点单付款先要扫码关注？这些行为真的违法了︱网眼看法

到饭店吃饭不给纸质菜单，要点菜必须要扫码，有的还必须关注商家的微博、微信公众号，停车场无人收费，要缴费先要扫码关注才能付款，这些行为笔者也经常遇到，较真儿来说，这些行为都是涉嫌违法的。而且并不是从个人信息保护法生效的现在才违法，从2012年全国人大常委会加强网络信息保护的决定开始，这些行为就已经有了法律明文规定，属于个人信息违法行为。

消费者要充分知情和自愿

当然首先要说清楚的是，只要消费者真实自愿的，商家可以收集包括用户头像在内的个人信息。但是点菜、付钱并不是必须一定要微信头像信息，商家想通过拉客涨粉，先要看顾客是否同意。只给一个“同意”的点击选项而不给不同意的选项，或者点击不同意就退出程序不让点菜付钱了，这些都是属于强制要用户同意，违反个人信息保护法第14条：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定”以及个保法第16条“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务；处理个人信息属于提供产品或者服务所必需的除外”。

法言法语比较晦涩难懂，用通俗的话就是说，你征求用户同意收集个人信息的，这个同意必须是在充分知情的前提下自愿、明确作出。

首先，所谓充分知情是需要商家告知顾客收集个人信息的内容、目的、使用范围等个人信息政策，而且告知的必须是真实、准确、完整的，不能是说得好听做不到，更不能收集了擅自拿去卖了或者干其他违法的事情，仅此一点估计相当多的中小餐饮商家根本弄不懂也做不到。

其次，所谓自愿不是说点击同意按钮就是法律上认可的自愿，如果对比一些规范的跨国公司的相关做法就可以看出，只有一个同意的按钮或者你先帮人家把同意勾选好了那都不是真正的自愿，你得有不同意的按钮，而且不能说我拒绝了你就不提供服务。为了把这个问题说清楚，我国个人信息保护法第16条专门明确了“不能因为用户不同意或者撤回同意拒绝提供产品或者服务”。所以个人信息保护法这两个法条是白纸黑字予以明确的，关于收集个人信息的要求必须是用户充分知情，真实自愿同意，并且不能因为拒绝同意商家就拒绝提供服务。

很多商家会问，大家多年来都是这么做的，好像也没听谁说过违法？也没见有多少处罚案例或者法院判决违法的真事儿？个人信息违法的处罚案例并不是没有，只不过专业性较强，公众关注度不高，这两年个人信息保护法通过后才引起媒体和公众相对较多的关注。

个人信息保护法虽然生效时间不长，但是全球范围内保护电子信息已经多年，我国最早规定个人信息得到保护的法律是2003年通过的中华人民共和国居民身份证法，此后，2009年刑法修正案七对个人信息入罪做了规定，2012年底通过的《全国人大常委会加强网络信息保护的决定》则系我国第一部网络信息保护的专门法律，确立的“合法、正当、必要”的个人收集个人信息的基本原则沿用至今，其明确规定：“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则”。这些规定与今天的个人信息保护法相比当然稍显粗糙，但是基本的原则毕竟那时都有了，所以执法依据是没有问题的。

关于没有看到多少执法案例的问题，除了一部分原因是过去关注度不如现在高；另外一方面是因为对于企业一般违法行为执法部门还是落实营商环境建设需要以普法和纠正为主，处罚的是少数比较严重的违法行为，除市场监管部门成熟的执法队伍外，网信办公开信息显示执法培训工作已经进行了十多期，执法的准备工作应该是做好了的。自2013年消费者权益保护法修订增加个人信息保护的相关规定以来，企业涉及个人信息保护的执法案例和消保维权不少都是由市场监管部门作出的。历年3·15晚会曝光的个人信息保护案例大部分都有后续的行政执法甚至刑事追责法律文书可供查询。

个人信息保护法和消保法均可处罚

餐饮等企业强制关注公众号或者强制扫码点单的行为不仅违反个人信息保护法也违反消费者权益保护法，两者都是可以处罚的。个人信息保护法执法主体是网信部门，消费者权益保护法和各省区市消保条例执法主体是市场监管部门，当然后者个人信息保护的规定与个人信息保护法相比相对粗一些，查处的话有一定难度，所以现在上海等地方的整治行动是网信部门和市场监管部门联合行动。

地方的立法可以为市场监管部门的个人信息维权行动提供更精细的立法支持。如上海市消保条例第二十一条规定：经营者处理消费者个人信息的，应当遵循合法、正当、必要和诚信的原则，明示处理信息的目的、方式和范围，并依法征得消费者同意；不得从事违反法律法规、超出消费者同意范围或者与服务场景无关的消费者个人信息处理活动。经营者履行明示义务和征得消费者同意的证明资料至少留存三年。

经营者应当建立健全信息保密和信息安全管理制度，制定信息安全应急预案，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，经营者应当立即采取补救措施，启动应急预案，依法及时通知履行个人信息保护职责的部门和消费者。

从这些地方立法的规定措辞来看，笔者注意到有的内容可以视为引致性条款，即通过地方立法要求商家不得违反“法律法规”的规定，可以解释为用个人信息保护法具体规则判断商家的非真实关注和拒绝关注拒绝服务为违反上述规定，如此则巧妙解决了个人信息保护法的执法主体不是市场监管部门的问题，我个人倾向于认为有这样的规定，市场监管部门用个人信息保护法条款认定企业具体条款违反上述地方立法的规定，在法律上是成立的，并不突破个人信息保护法执法管辖是网信部门的问题，而且市场监管部门统一行使对餐饮等一般企业的执法监督职能队伍完备，体系成熟，也是符合现在实际情况的。当然具体两个部门未来如何解决这个管辖交叉问题，有待于法律文书和法院的判决予以正式解答。

关注大型平台治理责任

商家电子菜单可以用平板电脑、大屏幕等点菜，可以用手机扫码点单但完全不需要提交头像或者关注微信公众号，后者是与服务场景无关的，并不是实现就餐、付费等合同目的所必须的，故消费者有权不予授权。市场监管局以违反消费者权益保护法规定的侵害消费选择权和公平交易权利等法条进行处罚也是可以的，但是对于取证要求有点高。

笔者认为这个问题的治理现在比较缺少关注和研究的是大型平台和应用分发市场等主体的平台治理责任问题，根据《移动互联网应用程序信息服务管理规定》第20条：“应用程序分发平台应当建立健全管理机制和技术手段，建立完善上架审核、日常管理、应急处置等管理措施，...应用程序分发平台应当加强对在架应用程序的日常管理，对含有违法和不良信息，下载量、评价指标等数据造假，存在数据安全风险隐患，违法违规收集使用个人信息，损害他人合法权益等的，不得为其提供服务”。即应用平台可以通过上架的安全审核控制小程序及其他应用的个人信息收集合规水平。

如果平台控制水平提升到一定阶段，再结合行政执法和司法判决的引导，相信这个问题不久将来可以得到较好的解决。

（作者系上海段和段律师事务所律师）