山东省网络点餐服务消费者个人信息保护合规指引

　　山东省网络点餐服务

 

　　第一章 总则

 

　　第一条  为加强餐饮领域消费者个人信息保护，提升餐饮经营者合规经营水平，在山东省互联网信息办公室、省商务厅的支持下，山东省消费者协会会同省餐饮与住宿行业协会，依据《中华人民共和国民法典》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国数据安全法》等法律以及《App违法违规收集使用个人信息行为认定方法》等规范性文件，结合本省餐饮行业发展实际，制定本指引。

 

　　第二条  网络点餐服务是餐饮领域收集、使用消费者个人信息的重要场景，加强合规指引，可指导餐饮经营者识别法律风险，防范侵权行为，有效保护消费者合法权益。

 

　　第三条  在本省行政区域内，通过在线点餐程序向消费者提供网络点餐服务的各类餐饮经营者，适用本指引。

 

　　本指引所称餐饮经营者，是指餐馆、饭店、酒店、快餐店、小吃店、饮品店、商场食品专柜、宾馆、度假村、农家乐等从事餐饮服务经营活动的各类经营主体。

 

　　本指引所称通过在线点餐程序提供网络点餐服务，是指餐饮经营者通过扫码、跳转点餐小程序等方式，向消费者提供信息浏览、菜单展示、价格查询、菜品选择及结算等基本功能的在线点餐服务。

 

　　第四条  餐饮经营者开展网络点餐服务经营活动，应当遵守法律法规和商业道德，不得违背公序良俗。处理消费者个人信息应当遵循合法、正当、必要、诚信、公开、透明的原则。

 

　　第二章 消费者个人信息保护合规要求

 

　　第五条  餐饮经营者应当以独立文本或在隐私政策中向消费者明示个人信息处理规则，包括但不限于收集、使用个人信息的目的、方式、范围、保存期限等。

 

　　消费者个人信息处理规则文本应当简洁明了、语言通俗易懂、字体大小适宜，确保消费者能够充分理解，并便于查阅和保存。

 

　　第六条  餐饮经营者在消费者首次使用网络点餐服务时，应当通过弹窗等显著方式提示消费者阅读其信息处理规则，并通过主动勾选、点击“同意”等明示动作获取同意，不得与其他功能捆绑。

 

　　餐饮经营者既有个人信息处理规则发生变更的，应当重新取得消费者个人同意。

 

　　第七条  餐饮经营者应当严格遵循其信息处理规则，未经消费者同意，不得收集个人信息或打开可收集个人信息的权限，实际收集的个人信息或打开的可收集个人信息权限不得超出消费者授权范围。

 

　　第八条  餐饮经营者应当根据线下堂食、到店自取、外卖配送等不同消费场景的实际需求，区分收集必要的个人信息。不得诱导、强制或变相强制消费者提供与餐饮服务无关的个人信息（包括如姓名、生日、性别、身份证号、银行账号等）。

 

　　第九条  餐饮经营者不得以提供优惠券、获取积分、会员折扣等形式或理由，强制或诱导消费者关注其微信公众号或其他社交媒体账号、注册会员；不得收集与其提供的餐饮服务无关的个人信息，尤其是个人敏感信息。

 

　　第十条  在线点餐程序使用微信一键登录等便捷方式请求获取消费者的昵称、头像、手机号码等信息，或者需要获取精准位置信息以提供附近门店服务时，应当取得消费者的单独同意。消费者拒绝同意的，餐饮经营者应当提供能够继续使用基本功能的替代方式。

 

　　第十一条  在网络点餐服务过程中，在线点餐程序不得频繁向消费者弹窗请求授权同意收集个人信息或开启权限，不得干扰消费者使用网络点餐的基本功能。

 

　　第十二条  未经消费者单独同意，或者消费者已明确表示拒绝的，餐饮经营者不得将消费者的个人信息提供给任何第三方。

 

　　未经消费者单独同意或请求，或者消费者明确拒绝的，餐饮经营者不得向其发送商业性营销信息。经消费者同意的，应当同时提供显著、便捷的取消方式。

 

　　第十三条  餐饮经营者应当提供线上注销账号及删除个人信息的渠道，及时处理消费者的申请，不得设置不必要或不合理的条件。

 

　　第十四条  餐饮经营者在线下提供网络点餐服务的，应当同时备有纸质菜单。纸质菜单中展示的服务产品名称、价格、规格等信息，应当与线上保持一致。不得强制或诱导消费者使用网络点餐服务。

 

　　第三章 责任与监督

 

　　第十五条  餐饮经营者应当建立健全消费者个人信息保护合规管理架构，制定相应的合规管理制度，完善合规运行机制，提升个人信息管理规范性。

 

　　第十六条  餐饮经营者对消费者个人信息保护承担主体责任。

 

　　餐饮经营者自行开发、运维在线点餐程序的，应当对个人信息收集、存储、使用、加工、传输、提供、公开、删除等各环节，采取加密、去标识化等相应的安全技术措施及其他必要措施，防范个人信息泄露、篡改、丢失、被窃取、滥用等安全风险。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施，及时上报有关行政管理部门。

 

　　餐饮经营者委托第三方处理个人信息的，应当与第三方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对第三方的个人信息处理活动进行监督。第三方应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，第三方应当将个人信息返还餐饮经营者或者予以删除，不得保留。未经餐饮经营者同意，第三方不得转委托他人处理个人信息。

 

　　第十七条  餐饮经营者应当将消费者个人信息保护纳入员工日常教育培训，明确员工的个人信息保护职责。

 

　　第十八条  餐饮经营者应当建立并公布消费者个人信息安全的投诉、举报渠道，及时受理并处理相关投诉、举报，并告知消费者对处理结果不满意时的相应救济途径。

 

　　第十九条  山东省消费者协会与山东省餐饮与住宿行业协会将加强对餐饮行业网络点餐合规情况的社会监督，保护消费者合法权益。

 

　　第四章 附则

 

　　第二十条  本指引对网络点餐服务中的消费者个人信息保护作出一般性指引，法律法规、规范性文件另有专门规定的，适用其规定。

 

　　第二十一条  本指引由山东省消费者协会、山东省餐饮与住宿行业协会负责解释。

 

　　第二十二条  本指引自发布之日起施行。