“扫码”消费中的个人信息保护——取之有道，用之有节

标签：公司与并购-公司合规体系，数字经济，电信、传媒、娱乐与高科技-数据及隐私权保护

引言：

近几个月，上海市网信办、上海市市场监督管理局联合开展了“亮剑浦江——消费领域个人信息权益保护专项执法行动”，聚焦“餐饮店”、“停车扫码”、“少儿学习培训”、“网络理财小贷”、“房产中介”、“租借充电器”、“商超购物”、“汽车4S店”等多个备受消费者关注的场景，推进了一系列整改工作。无独有偶，近期北京市网信办对市民日常生活消费常用二维码、小程序也进行了抽样测试，并对存在强制关注、违规收集使用消费者个人信息等问题的经营者展开联合约谈，督促经营者进行整改。除此以外，全国多地监管部门和消费者保护协会，也对“扫码”消费中频频出现的侵犯消费者个人信息权益行为高度关注并展开相应的监督和整改措施。由此可见，消费领域中与“扫码”有关的个人信息处理活动已成为监管部门执法的重点领域之一。

本文拟结合相关执法行动的重点，梳理和分析以“扫码”为媒介的消费服务所涉及的个人信息保护问题。

一、收集个人信息——取之有度

1. 如何理解“必要的个人信息”

《个人信息保护法》（以下简称“《个保法》”）的最小必要原则分为三个层面，首先，个人信息处理者不得过度或超范围收集个人信息，收集个人信息应当限制在实现处理目的所需要的最小范围[1]；其次，采集敏感个人信息时，必须具有充分必要性，否则个人信息处理者不得采集和处理敏感个人信息[2]；再次，个人信息处理者存储个人信息应限于其实现处理目的所必要的最短期限[3]。最小必要原则也体现在包括《消费者权益保护法》在内的多部法律法规中，是个人信息保护的基本原则之一。

如何界定消费领域的必要个人信息范围？在消费者信息的采集阶段，经营者需要针对不同消费场景判断其所采集的信息类型是否与实现产品或服务有直接关联[4]。例如，当消费者使用语音搜索、查看附近网点等功能时，经营者强制要求消费者提供设备信息（如IMEI、IMSI等设备唯一标识符）、姓名、身份证号，则属于典型的超出业务需要采集个人信息[5]。除此之外，个人信息的采集频率还需限于实现产品或服务所必需的最低频率[6]。针对高频率、重复模式的场景，经营者需要重视对频率的控制，支持消费者设置同意次数、同意期限或设置仅在使用期间同意等多样化的同意机制[7]。

2. “扫码”与点餐消费

以“扫码点餐”为例，餐饮经营者通过二维码跳转小程序或直接以小程序（包括但不限于微信/支付宝小程序、微信公众号、H5页面）等方式向消费者提供在线自助点单服务时，需要严格依据其提供的功能范围限制个人信息的采集范围。

今年7月，上海市消保委会同餐饮烹饪行业协会制定发布《上海市网络点餐服务消费者个人信息保护合规指引》，该指引针对网络点餐不同场景下餐饮经营者收集、使用、存储消费者个人信息等提出了具体的合规要求，并对部分典型属于超范围收集的个人信息类型进行了明确，其中：

• 个人身份和财产相关信息：在消费者到店点餐过程中（包括排队取号、每次加菜等环节）或买单页面，经营者通过小程序要求或诱导消费者提供个人身份和财产相关信息，如姓名、生日、性别、手机号码、家庭住址、身份证号、银行账号等，属于超范围收集个人信息。
•  精准位置信息：餐饮经营者获取消费者的精准位置信息也需要进行严格限制。部分餐饮经营者为了让消费者快速找到附近门店提供点餐服务，会向消费者申请获取精准位置信息。在索取该项权限时，应给予消费者足够的拒绝权。消费者拒绝后不得影响消费者正常下单以及使用门店搜索功能等不受限于该位置信息的其他功能。当再次弹窗索取位置信息权限时，应注意时间间隔，不得通过频繁索权。
•  关联登录获取的信息：出于网络营销的目的，部分餐饮经营者会强制或诱导消费者关注其微信公众号，如通过弹窗提示消费者“微信一键登录”或“手机号一键登录”，从而获取消费者的微信昵称和头像或手机号码等，消费者拒绝以上授权就无法正常下单。此类方式超范围采集了消费者的关联登录信息，并强制索取消费者个人信息权限，不仅违反了最小必要原则，还侵犯了消费者的选择权。

实践中，提供堂食、现卖食品的经营者门店提供扫码点餐服务时，除了获取消费者登录、点餐、取号、加菜、结账等不同阶段所必要个人信息外，对其他个人信息的收集请求应当谨慎行之。但是，若营业者提供除了到店点餐之外的其他业务，如餐饮外卖等，采集的个人信息是否超出必要的范围，则尚需结合餐饮营业者提供的业务情况具体分析。例如，经营者在提供线上外卖服务时，作为提供“餐饮购买及外送”的基本功能服务，必要个人信息则可包括：电话号码、姓名、地址、联系电话以及支付时间、支付金额、支付渠道等支付信息[8]。

3. “扫码”与停车缴费

在扫码缴纳停车费的业务中，对“非必要个人信息”的判断也需要遵循同样的逻辑，“停车”和“缴费”为其核心业务，超过该两项业务之外的个人信息不得强制向消费者采集。目前，国内不少商场或停车场地运营者推出“纯净版”停车缴费二维码，并在显著位置标注“直接扫码、付费离场”。消费者只需输入车牌号、点击缴费两步后，就可以直接缴纳停车费，而不涉及其他个人信息的采集。

对于停车缴费业务，执法机关并非完全禁止在停车场张贴商场会员码或公众号二维码。依据今年8月北京市网信办联合市商务局、北京市市场监管局等相关部门发布的《北京市扫码消费服务违规收集使用消费者个人信息案例解析及合规指引》，经营者需要对提供扫码消费服务和会员服务的二维码进行区分，以醒目方式提示消费者二维码的实际作用或功能[9]。因此，当向消费者提供停车费优惠、会员积分等非停车缴费的基础功能时，可以通过对消费者充分提示，并仅收集与相关服务有关的个人信息，但不得通过强制或诱导消费者加入商场会员或关注公众号。若消费者不加入会员或关注公众号，则不能支付停车费，属于典型的强制或诱导行为[10]。

4. “扫码”与租借充电

充电设备租赁业务在国内已具备相当可观的市场规模，通过租借充电设备引发的个人信息保护问题也日渐突出。今年8月份，上海市网信办聚焦租借手机充电器场景中普遍存在的“过度采、强制要、诱导取、违规用”消费者个人信息的行为开展了集中整治，并发布《租借手机充电器场景下所需最小必要个人信息清单》，要求经营者自查整改。在提供租借充电服务过程中，针对扫码、租借、寻找机柜、支付等各环节，经营者所采集个人信息范围可依据以下不同业务阶段进行区分：

二、知情同意——告之以实

1. “告知同意”

“告知同意”规则是我国个人信息保护的基本规则。《信息安全技术 个人信息处理中告知和同意的实施指南》（GB/T 42574—2023）将告知方式细化为：一般告知、增强告知、即时提示，并列举了常见应用场景下的告知同意模式，为经营者有效地履行告知同意义务提供了更细化的指导规则。

经营者作为个人信息处理者需要遵循告知同意原则，即在处理个人信息之前，应当向个人信息主体充分告知相关事项，并征得其同意。告知同意原则是否得到充分贯彻，是个人信息保护相关执法行动中判断个人信息处理是否合法的关键因素。

未经消费者同意处理个人信息，或者告知内容缺乏真实、准确、完整性，是实践中较为常见的违规处理个人信息的行为。虽然，目前大多数经营者已通过设置隐私政策、服务协议等相关文件履行向消费者的“告知同意”义务，但是在实践中因为获取同意的方式与手段存在瑕疵而受到处罚的仍屡见不鲜[11]。比如，近年来工业和信息化部通报的存在违规问题的APP(SDK)名单中，收集个人信息明示告知不到位，APP强制、频繁、过度索取权限，未经用户同意收集和使用个人信息仍占较大比重。

2. “扫码”和强制关注

实践中，部分经营者出于广告推送，商业营销等目的，通过程序设置强制消费者“关注公众号”，例如仅在消费者点击关注后才可以进行正常的点餐、缴费、购物、开票等活动。此方式虽然从商业上增强了消费者黏性，但是经营者将关注公众号作为消费者行使权利或享受服务的前提，侵害了消费者的自主选择权和公平交易权。消费者被迫授权个人信息后，常常会收到关注公众号所发送的大量营销广告等，消费者在权限开通过程中也面临着个人信息泄露的风险。

在“扫码点餐”场景下，消费者扫码点单后，小程序以优化服务体验、提供会员折扣等名义诱导消费者关注企业公众号。在消费者拒绝关注后，经营者在功能页面仍反复出现弹窗申请[12]，干扰消费者正常使用，这属于典型的强制关注公众号的行为。

在其他消费场景中，强制消费者进行关注的违法行为也时有发生。例如，仅在消费者点击关注公众号后，才向消费者发送停车缴费小程序链接；或强制要求消费者关注超市公众号，关注后发送开具电子发票的链接。“关注公众号”并非提供相应点餐、停车缴费、开具发票等基本功能服务所必须，当消费者拒绝同意后，经营者不应频繁询问、请求同意，对消费者造成打扰[13]。

另一种常见的违规操作是“诱导”消费者关注或同意，表现为在相关界面中设置默认勾选项，在消费者不知情的情况下取得其同意。例如，某餐饮App在使用第三方技术系统接入的点餐小程序中，设置带有迷惑性质的“0元入会”按钮，诱导消费者默认勾选加入会员、默认同意会员隐私政策，从而进一步索取消费者手机号码等个人信息。此类默认消费者同意的行为，诱导消费者在不经意或未完全了解服务内容的情况下完成对企业的授权，违反了告知同意原则[14]。需要注意，即使经营者向消费者提供免费入会或其他优惠，“关注公众号”和“加入会员”也需以取得消费者明示同意为前提。

3. 隐私政策和弹窗的设置

经营者通过二维码提供消费服务的，当消费者首次扫码进入小程序或App使用相关服务前，需要通过个人信息保护政策或指引等告知基本业务功能所必需的个人信息种类、处理目的等处理规则[15]。虽然在不同的消费场景下的告知内容存在差异，但是在个人信息保护政策在设置时有一些较为通用的注意事项：

内容真实、准确、完整：经营者应事先根据消费场景设置适当的隐私政策，隐私政策中需详尽披露收集个人信息的各业务功能，并向个人信息主体告知所提供产品或服务的核心业务功能及所需收集的个人信息。在消费者首次扫码进入小程序或App消费时，商家应以“弹窗”等显著方式提示其个人信息保护政策并明确告知消费者个人信息收集使用的方式、目的、范围等内容。例如，在“停车缴费”场景下，监管部门发现某购物中心停车场在消费者使用扫码缴费功能时，引导消费者打开购物中心小程序，但未在用户首次使用时提示用户注意该小程序在特定功能下会获取消费者的手机号码、精确地理位置等个人信息[16]，此类行为属于典型的未履行“告知同意”义务的违规事项。

设置“拒绝”选项：经营者需在隐私政策中设置“同意”或“不同意/拒绝”的选项，并明确告知拒绝提供或拒绝同意所带来的影响。商家应允许个人信息主体自主选择是否同意提供或自动采集，例如，在扫码点餐场景下，小程序通过弹窗等方式向消费者告知隐私政策，但只有同意的选项，没有拒绝或不同意的选项已作为常见的违法行为被上海网信办列入《餐饮行业扫码点餐常见个人信息保护问题自查清单》[17]。若消费者不同意被收集基本业务功能所必需的个人信息的，经营者可拒绝向用户提供服务[18]。当消费者不同意收集扩展业务功能所必需的个人信息的，经营者不得影响消费者对基本业务功能使用或降低基本业务功能的服务质量[19]。

“算法推荐”的告知：若经营者将个人信息用于算法推荐或个性化展示，经营者需要在其隐私政策中详尽说明其具体应用场景，及对个人信息主体可能产生的影响，并由消费者自主选择是否提供或同意收集。告知内容包括提供算法推荐服务的情况，并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等[20]。此外，经营者还需要主动向消费者告知哪些频道、板块、页面提供了非个性化的内容，便于消费者做出选择。从功能页面的设计上，经营者可通过用户协议、个人信息保护政策、产品功能说明文案、弹窗界面等灵活方式说明开启或关闭个性化推送可能对消费者权益造成的影响。

避免频繁弹窗：在小程序中添加弹窗功能是经营者常用的商业手段，通过弹窗方式向消费者展现新品推荐、活动通知、特别优惠等营销信息可以有效地提高消费者的参与度和转化率。但部分商家以优化服务体验、提供会员折扣等名义诱导消费者授权精准位置信息或者手机号等个人信息，诱导消费者关注企业公众号，消费者拒绝后，页面仍反复出现弹窗申请，影响消费者正常使用。经营者除了需要对权限获取和个人信息采集频次进行限制外[21]，通过弹窗推送广告信息的，还应显著标明“广告”和关闭标志，确保弹窗广告一键关闭[22]。某奶茶店在提供扫码点餐时，提示用户使用手机号等个人信息注册登录，在消费者明确拒绝后，频繁弹窗提示消费者进行注册登录，因而被通报整改[23]。

三、通过个人信息进行推送——用之有节

1. 消费者的知情权和选择权

经营者依据不同的客户群体进行个性化广告推送和内容推荐，是实现精准营销的重要方式。关于精准营销与用户画像的应用，可参阅文章：《用户画像：如何平衡商业化利用和个人信息保护？》。例如，在“扫码点餐”消费场景中，经营者采取“关注公众号-页面内进入点餐程序-点餐”流程使消费者完成点餐。但是，这一流程不仅是出于便捷化考虑加速点餐流程，其中更暗含着营销思路。消费者在初次点单完成后，部分经营者会通过算法推荐的方式向消费者进行活动促销、上新宣传或其他商业广告的消息推送。

在今年的一系列执法活动中，侵犯消费者知情权、强制用户使用定向推送功能仍是侵害消费者权益的重点。例如，部分网络理财借贷和少儿培训的App中未经消费者同意，便使用收集的消费者手机号码通过拨打电话，发送短信、添加微信等方式向消费者推荐贷款或推荐课程等业务[24]。除了未经消费者同意进行商业营销，部分餐饮App还会将消费者个人信息提供给第三方使用，使得消费者频繁收到定向推送的广告营销信息。此外，侵犯消费者选择权的违规行为，还包括经营者为向消费者推送广告营销信息，但没有提供退订或拒绝的选项[25]。

2. “算法推荐”的合理应用

《消费者权益保护法》和《电子商务法》从保障消费者知情权和公平交易权的角度对向消费者的个性化推荐进行了规范。《个保法》《App违法违规收集使用个人信息行为认定方法》《互联网信息服务算法推荐管理规定》，以及《信息安全技术 个人信息处理中告知和同意的实施指南》对使用消费者的个人信息进行“自动化决策”和“算法推荐”等进行了细化规定，梳理如下：

四、个人信息保存和删除——留之有时

1. 如何理解“最短必要”期限

“存储”和“删除”是个人信息处理活动的重要环节。依据《个保法》，个人信息的保存期限应当为实现处理目的所必要的最短时间[26]，这意味着经营者在处理消费者的个人信息时，应依据不同的消费场景下个人信息处理目的、方式、范围等确定所需的最短存储期限，并在相关目的实现后及时予以删除或匿名化处理。由于《个保法》未对“最短期限”设置明确的时间节点或区间，仅提出了“最短必要”的原则性要求，因此给予经营者依据业务实际需要留存消费者个人信息相对模糊的空间。

除了依据不同消费场景设置“最短必要”期限外，经营者还需要关注其行业内相关法律法规对数据存储期限的特别要求。《网络餐饮服务食品安全监督管理办法》规定网络餐饮服务第三方平台提供者和自建网站餐饮服务提供者应当履行记录义务，如实记录网络订餐的订单信息，包括食品的名称、下单时间、送餐人员、送达时间以及收货地址，信息保存时间不得少于6个月[27]，其中下单时间、收货地址，则属于消费者的个人信息范畴。《电子商务法》要求电子商务平台经营者应当记录、保存平台上发布的商品和服务信息、交易信息，相关数据的保存时间自交易完成之日起不少于3年，其中记录的交易信息可能涉及消费者的个人信息。因此，经营者在接收和处理消费者行使的删除权时，亦需关注相关个人信息是否仍在法定保存期限内。

2. 对“删除权”的响应

《个保法》赋予个人信息主体删除权，并在规定的情形下要求个人信息处理者应在个人信息主体向其发出撤回同意或要求删除的通知时，删除相关个人信息。个人信息的删除分为以下两种途径：一是个人请求个人数据处理者删除；二是个人数据处理者主动删除[28]。如果个人信息处理者未主动履行该义务，个人信息主体可请求删除。

参考《App违法违规收集使用个人信息行为认定方法》的规定，未提供有效的更正、删除个人信息及注销用户账号功能，或为更正、删除个人信息或注销用户账号设置不必要或不合理条件，可被认定为未按法律规定提供删除或更正个人信息功能[29]。例如，某餐饮类App在其隐私政策指出会在特定场景下收集消费者的手机号码、位置、地址、微信昵称、头像等个人信息，但未提供删除个人信息或注销账号相关功能，属于典型的未提供账号删除路径；再如，消费者使用某投资理财类App的注销账号功能时，该App提示消费者需同步注销某第三方App账号，但此第三方App与该App并无必要关联，构成了捆绑注销行为，属于为消费者注销账号设置不合理条件[30]。

此外，以下行为也属于未按法律规定提供删除或更正个人信息功能：经营者提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，或需人工处理的，未在承诺时限内完成核查和处理，或者更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成。例如，某网络理财类App未承诺在15个工作日内完成注销响应处理[31]，属于未及时响应消费者行权；再如，某贷款类小程序在其隐私政策中声明中20个工作日内完成注销账号的核查与处理[32]，而该时限明显超出了账户注销的法定期限。

在经营者通过“扫码”进入小程序或App向消费者提供服务时，我们建议经营者采取以下合规措施：（1）在相关处理目的已经实现、无法实现或实现处理目的不再必要时，主动删除消费者的个人信息；（2）确保消费者可以根据意愿注销账号、删除个人信息，不得设置不必要、不合理条件[33]，包括为账号注销功能设置捆绑注销、要求消费者提供各种不合理证明等[34]；（3）针对消费者要求账号注销的请求，从收到请求之日起，在15个自然日内予以受理且在15个工作日内完成处理，不同消费场景还需要关注其所在行业的特殊规定[35]和法定存储期限。

结语

中国消费市场的数字化在过去几年得到了快速的发展。“扫码”消费已成为中国消费者的日常消费模式，其为消费者带来便利的同时，也出现了为数不少的侵犯消费者个人信息权益的情形。

个人信息权益保护是数字化消费时代不可避免的重要命题。“扫码”消费模式下的数据处理具有隐蔽性强的特征，消费者难以察觉个人信息被违规收集、使用和传输，使得侵害消费者权益的行为“悄然”发生。

随着各地对消费者个人信息保护专项执法行动的深入开展以及消费者个人信息权利意识的提升，我们建议经营者重视数据合规建设，健全个人信息保护制度和安全防护措施，落实个人信息保护，维护商业和消费者权益保护的平衡。

感谢实习生郭思雨对本文作出的贡献。

扫码订阅“金杜律师事务所”，了解更多业务资讯