早餐时分,北京西三环一家西少爷餐厅。记者站在收银台前,没有服务员。喊了一声,后厨有人回应:“自己扫码点餐。”“我不会,您来给点一下吧。”“我们早上忙外卖呢,没人,你自己点吧。”

如今,这种情形成了很多餐厅的常态。有些餐厅不管忙时闲时,服务员一概让你扫码点餐。不仅如此,扫码后注册、输入手机号、索取个人信息……一系列操作不仅让人失去了去餐厅吃饭享受热情周到服务的愉悦,更增添了担心个人信息泄露的隐忧。

对此,法律专家认为,消费者可以对扫码点餐说“不”。

扫不扫码是用餐者的权利迎来送往、宾至如归,人们去餐厅吃饭,服务员是否热情周到,有时候和菜品好坏一样影响顾客的消费体验。而这一切,正在被冷冰冰的扫码点餐取代。

近日,有媒体抽样调查了某市100家餐厅,其中有72家餐厅提供扫码点餐服务。而扫码后,有35家餐厅要求关注相关微信公众号后才能点餐,20家餐厅需要在点餐前输入手机号。上述西少爷餐厅在记者的一再坚持下,过了半天才出来一个员工,很不耐烦地提供了点餐服务。而记者在北京霄云路一家肯德基餐厅点餐时,员工更是以“现在很忙,没人给你点”为由拒绝提供人工点餐服务。

“如果把扫码点餐作为唯一的点餐方式,就侵害了消费者对服务方式的选择权。”中国消费者协会律师团成员、北京实现者律师事务所律师吕晓晶说,“消费者购买商品或服务时,选择或不选择何种商品、哪个商家,以及什么样的服务方式,是消费者的法定选择权。具体到消费者用餐时选择使用哪种点餐方式,既是消费者对服务方式的选择权,也是消费者的法定权利。”

吕晓晶指出,《消费者权益保护法》(以下简称《消法》)第九条规定:“消费者享有自主选择商品或者服务的权利。消费者有权自主选择提供商品或者服务的经营者,自主选择商品品种或者服务方式,自主决定购买或者不购买任何一种商品、接受或者不接受任何一项服务。”显然,扫码点餐作为一种服务方式,消费者有权自主选择。如果扫码点餐是餐馆唯一的点餐方式,则限制了消费者自主选择服务方式的法定权利。餐馆如果如此经营,就涉嫌违反《消法》。

此外,即便是在消费者愿意扫码点餐的情况下,商家的行为也有可能侵犯消费者的选择权。用过扫码点餐的人都知道,很多时候,扫了码并非就可以立刻开始点餐。扫码只是第一步,要吃上饭,还得被强制关注餐厅公众号,填写手机号、生日等相关信息,成为会员,甚至需要同意商家使用你的位置信息……一番操作,将个人信息悉数“上交”之后,才能正常点餐。

红星新闻特约评论员熊志认为,尽管完成支付后可以取消关注,很多人为了避免后续骚扰也是这样做的,但整个扫码点餐的服务过程中,消费者实际上没有太多选择的余地,关注公众号或者注册会员等都带有强烈的强制色彩。按照《网络安全法》的规定,收集、使用个人信息,应公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。如果餐厅将填写信息、注册会员和点餐强制绑定,并且没有在显著位置提供“隐私条款”或“用户协议”,就谈不上明示收集或征得同意。

业内人士指出,当“输入信息才能点餐”成为了一种“形式自愿”的交易行为后,其实已经违背了顾客的意愿,客观上侵犯了消费者的自主选择权。

扫码收集个人信息应有限度记者在某企业微信公众号上扫码购买展览参观票,只填写了一个手机验证码就顺利买了票,其余信息都是可选项。但当验票看展时忘记了二维码电子票存在哪里了,告知了手机号后,记者就顺利验票进入了。这种绝佳的使用感受从另一个方面表明,一个简单的点餐、支付行为,在技术上只需要一个手机验证码即可,根本不需要收集那么多个人信息。正因为如此,扫码点餐用烦琐的注册过程过度收集个人信息,成为用户吐槽的焦点。

“既然涉及到个人信息的收集,那就应该严格遵守相应的隐私界限。”熊志认为,有的餐厅要求填写手机号、生日、姓名、性别等个人信息,明显超出了应有的边界,存在着违背“必要”原则的越界嫌疑。

吕晓晶认为,除了《消法》规定的收集信息应当依照“合法、正当、必要”的原则外,这个问题还涉及消费者的隐私权。商家收集消费者信息必须经消费者同意,以公开和正当的理由,只收集与消费者点餐存在必要关系的信息,非必要信息不应收集。《民法典》第1034、1035、1038条不仅规定了个人信息的内容、范围,而且对侵权的方式和保护原则也进行了详细规定,这就为个人信息收集、使用和保护划出了比较清晰的边界和限度。

对于个人信息的内容,《民法典》第1034条规定得很清楚:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”“个人信息收集、使用的限度,应当将《消法》和《民法典》的相关规定结合起来看,方可把握个人信息保护问题的内容、范围、边界和限度。”吕晓晶说。

商家无权随意处置个人信息过度收集个人信息的背后,是庞大的营销“流量池”。如今,越来越多的扫码点餐系统服务商同时也在做精准营销服务。代替服务员与消费者直接接触的点餐二维码,不再只具有点餐这一简单功能,而是成为商家打通流量、获取C端数据的重要入口。比如,有服务商可以精准圈定商家门店附近5公里范围内的80名潜在消费者,分析出他们带有的“女性”“高消费者”“白领”等标签,并发送营销短信。这些顾客被吸引到店扫码点餐、首次消费后,即实现了一次成功的“潜客拉新”。

平台基于收集到的个人信息形成精准标签再授权给商家使用,这一过程是否合规呢?吕晓晶认为,这一点《民法典》已规定得很明确:“‘除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施包括以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;处理他人的私密信息;以其他方式侵害他人的隐私权。’这些规定,把个人信息保护规定难以囊括的个人隐私问题划定了内容和禁止边界。可以肯定的是,若消费者觉得平台发送营销短信的行为侵扰了其私人生活安宁,则有权拒绝。”

熊志认为,对消费者来说,所填写的个人隐私信息如果只是被餐厅用于后续的营销,那么顶多只是广告骚扰的问题,但谁也无法知晓和保证它的真实用途及储存的安全性。一旦被滥用或者被盗用,甚至流向地下个人信息倒卖灰色市场,无疑会形成严峻的泄露风险。

扫码点餐增加商家经营风险“扫码点餐作为可选择的方式,对商家来说其实也存在隐忧。”吕晓晶指出,只要商家收集了消费者的信息,就同时产生了对消费者个人信息保护、明示、同意、公开、必要、保密、安全的法定义务,违反这些义务,就应依法承担民事责任和行政责任。

吕晓晶表示:“消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利。”这是《消法》明确规定的权利。《消法》第二十九条也对经营者收集、使用消费者个人信息的原则、内容进行了详细规定。首先是应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意;应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定;经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供;经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施;经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。

吕晓晶还指出,根据《消法》的规定,侵害消费者个人信息依法得到保护的权利的,除了需要承担相应的民事责任外,还有可能被处以警告、没收违法所得、罚款,乃至责令停业整顿、吊销营业执照等处罚。