第一章 总则
第一条 目的和依据
为强化本市餐饮领域消费者个人信息保护,有效提升餐饮经营者合规经营水平,在上海市网信办、市市场监管局和市商务委的支持下,上海市消费者权益保护委员会同上海市餐饮烹饪行业协会依据《中华人民共和国个人信息保护法》、《中华人民共和国消费者权益保护法》、《上海市消费者权益保护条例》、《App违法违规收集使用个人信息行为认定方法》等法律法规,根据本市餐饮行业发展现状,结合社会监督调查结果,制定本指引。
第二条 适用范围
本指引适用于本市行政区域内的各类餐饮经营者,作为餐饮经营者开展网络点餐服务消费者个人信息保护合规管理的指导建议。
第三条 基本概念
本指引所称的餐饮经营者,是指从事饮食的加工、烹饪及消费服务经营活动,包括但不限于餐馆、饭店、酒店、快餐店、小吃店、饮品店、宾馆、度假村等单位。
本指引所称的网络点餐,是指餐饮经营者通过二维码扫码跳转小程序或直接以小程序等方式向消费者提供在线自助点单服务。
本指引所称的小程序,是指餐饮经营者供消费者直接获取餐厅信息、菜单、在线点餐、结账等功能的应用程序,包括但不限于通过微信/支付宝小程序、微信公众号、h5页面等。
第四条 基本原则
餐饮经营者开展网络点餐服务经营活动,应当自觉遵守法律法规、商业道德和公序良俗,收集、使用消费者个人信息应当遵循合法、正当、必要、诚信的原则。
第二章 消费者个人信息保护
第五条 餐饮经营者应当在消费者首次使用网络点餐服务时,以弹窗或其他显著方式向消费者提示隐私政策。弹窗信息描述清楚,文字大小合适,条款内容简洁明了,应当清晰、准确地明示收集、使用、储存消费者个人信息的具体规则,便于消费者阅读和理解,并征得消费者明确同意,不得默认勾选同意隐私政策或是仅提供同意选项。
第六条 餐饮经营者应当严格按照其申明规则收集、使用消费者个人信息,收集的个人信息或打开的可收集个人信息权限不得超出消费者授权范围。
第七条 餐饮经营者收集的个人信息应与当前餐饮消费场景密切相关,并根据线下堂食、到店自取、外卖配送等消费场景区分索取相适应的权限和信息,不得在消费者登录、点餐、取号、加菜、结账等环节诱导索取与餐饮服务无关的个人信息,包括但不限于姓名、生日、性别、手机号码、家庭住址、身份证号、银行账号等。
第八条 小程序使用微信一键登录获取微信昵称、微信头像或手机号码等信息,或需要获取精准位置以提供附近门店服务的,应当征得消费者明确同意,不得以消费者拒绝授权为由停止提供服务或限制使用功能,应当向消费者提供其他服务方式。
第九条 餐饮经营者不得以任何形式和理由强制或诱导消费者关注经营者微信公众号,不得以任何形式和理由强制或诱导消费者同意餐饮经营者收集其与餐饮服务无关的个人信息。
第十条 网络点餐服务期间,小程序不得频繁弹窗申请消费者同意,干扰消费者正常使用功能。
第十一条 未经消费者同意或者请求,或者消费者明确表示拒绝的,餐饮经营者不得将消费者个人信息共享至第三方使用或推送商业营销信息。推送商业营销信息应当提供退订或拒绝选项。
第十二条 餐饮经营者应当保障消费者可以根据意愿注销账号、删除个人信息,不得设置不必要、不合理条件。
第三章 责任与监督
第十三条 餐饮经营者提供线下网络点餐服务的,应当同时备纸质菜单,纸质菜单供应的服务产品须与线上产品保持一致性。
第十四条 餐饮经营者应当建立健全消费者个人信息保护合规管理机制,完善个人信息收集、使用、储存、加工、传输、删除等各环节管理流程和操作要求,提升个人信息管理规范性。
第十五条 餐饮经营者承担个人信息保护主体责任,保证其小程序或委托第三方在设计、开发、运行、维护等各环节的安全性,并采取相应的技术措施和其他必要措施,确保消费者个人信息储存安全,规避信息泄露、数据被窃取、滥用、丢失等安全隐患。
第十六条 餐饮经营者应当定期组织开展门店消费者个人信息保护教育培训,明确个人信息保护合规职责。
第十七条 上海市消费者权益保护委员会与上海市餐饮烹饪行业协会将不定期对餐饮行业网络点餐服务合规情况开展暗访抽查和社会监督。
第四章 附则
第十八条 本指引自2023年7月18日起实施。