到飯店吃飯不給紙質(zhì)菜單，要點(diǎn)菜必須要掃碼，有的還必須關(guān)注商家的微博、微信公眾號，停車場無人收費(fèi)，要繳費(fèi)先要掃碼關(guān)注才能付款，這些行為筆者也經(jīng)常遇到，較真兒來說，這些行為都是涉嫌違法的。而且并不是從個(gè)人信息保護(hù)法生效的現(xiàn)在才違法，從2012年全國人大常委會加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定開始，這些行為就已經(jīng)有了法律明文規(guī)定，屬于個(gè)人信息違法行為。

消費(fèi)者要充分知情和自愿

當(dāng)然首先要說清楚的是，只要消費(fèi)者真實(shí)自愿的，商家可以收集包括用戶頭像在內(nèi)的個(gè)人信息。但是點(diǎn)菜、付錢并不是必須一定要微信頭像信息，商家想通過拉客漲粉，先要看顧客是否同意。只給一個(gè)“同意”的點(diǎn)擊選項(xiàng)而不給不同意的選項(xiàng)，或者點(diǎn)擊不同意就退出程序不讓點(diǎn)菜付錢了，這些都是屬于強(qiáng)制要用戶同意，違反個(gè)人信息保護(hù)法第14條：“基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的，從其規(guī)定”以及個(gè)保法第16條“個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外”。

法言法語比較晦澀難懂，用通俗的話就是說，你征求用戶同意收集個(gè)人信息的，這個(gè)同意必須是在充分知情的前提下自愿、明確作出。

首先，所謂充分知情是需要商家告知顧客收集個(gè)人信息的內(nèi)容、目的、使用范圍等個(gè)人信息政策，而且告知的必須是真實(shí)、準(zhǔn)確、完整的，不能是說得好聽做不到，更不能收集了擅自拿去賣了或者干其他違法的事情，僅此一點(diǎn)估計(jì)相當(dāng)多的中小餐飲商家根本弄不懂也做不到。

其次，所謂自愿不是說點(diǎn)擊同意按鈕就是法律上認(rèn)可的自愿，如果對比一些規(guī)范的跨國公司的相關(guān)做法就可以看出，只有一個(gè)同意的按鈕或者你先幫人家把同意勾選好了那都不是真正的自愿，你得有不同意的按鈕，而且不能說我拒絕了你就不提供服務(wù)。為了把這個(gè)問題說清楚，我國個(gè)人信息保護(hù)法第16條專門明確了“不能因?yàn)橛脩舨煌饣蛘叱坊赝饩芙^提供產(chǎn)品或者服務(wù)”。所以個(gè)人信息保護(hù)法這兩個(gè)法條是白紙黑字予以明確的，關(guān)于收集個(gè)人信息的要求必須是用戶充分知情，真實(shí)自愿同意，并且不能因?yàn)榫芙^同意商家就拒絕提供服務(wù)。

很多商家會問，大家多年來都是這么做的，好像也沒聽誰說過違法？也沒見有多少處罰案例或者法院判決違法的真事兒？個(gè)人信息違法的處罰案例并不是沒有，只不過專業(yè)性較強(qiáng)，公眾關(guān)注度不高，這兩年個(gè)人信息保護(hù)法通過后才引起媒體和公眾相對較多的關(guān)注。

個(gè)人信息保護(hù)法雖然生效時(shí)間不長，但是全球范圍內(nèi)保護(hù)電子信息已經(jīng)多年，我國最早規(guī)定個(gè)人信息得到保護(hù)的法律是2003年通過的中華人民共和國居民身份證法，此后，2009年刑法修正案七對個(gè)人信息入罪做了規(guī)定，2012年底通過的《全國人大常委會加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》則系我國第一部網(wǎng)絡(luò)信息保護(hù)的專門法律，確立的“合法、正當(dāng)、必要”的個(gè)人收集個(gè)人信息的基本原則沿用至今，其明確規(guī)定：“網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集、使用公民個(gè)人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集、使用公民個(gè)人電子信息，應(yīng)當(dāng)公開其收集、使用規(guī)則”。這些規(guī)定與今天的個(gè)人信息保護(hù)法相比當(dāng)然稍顯粗糙，但是基本的原則畢竟那時(shí)都有了，所以執(zhí)法依據(jù)是沒有問題的。

關(guān)于沒有看到多少執(zhí)法案例的問題，除了一部分原因是過去關(guān)注度不如現(xiàn)在高；另外一方面是因?yàn)閷τ谄髽I(yè)一般違法行為執(zhí)法部門還是落實(shí)營商環(huán)境建設(shè)需要以普法和糾正為主，處罰的是少數(shù)比較嚴(yán)重的違法行為，除市場監(jiān)管部門成熟的執(zhí)法隊(duì)伍外，網(wǎng)信辦公開信息顯示執(zhí)法培訓(xùn)工作已經(jīng)進(jìn)行了十多期，執(zhí)法的準(zhǔn)備工作應(yīng)該是做好了的。自2013年消費(fèi)者權(quán)益保護(hù)法修訂增加個(gè)人信息保護(hù)的相關(guān)規(guī)定以來，企業(yè)涉及個(gè)人信息保護(hù)的執(zhí)法案例和消保維權(quán)不少都是由市場監(jiān)管部門作出的。歷年3·15晚會曝光的個(gè)人信息保護(hù)案例大部分都有后續(xù)的行政執(zhí)法甚至刑事追責(zé)法律文書可供查詢。

個(gè)人信息保護(hù)法和消保法均可處罰

餐飲等企業(yè)強(qiáng)制關(guān)注公眾號或者強(qiáng)制掃碼點(diǎn)單的行為不僅違反個(gè)人信息保護(hù)法也違反消費(fèi)者權(quán)益保護(hù)法，兩者都是可以處罰的。個(gè)人信息保護(hù)法執(zhí)法主體是網(wǎng)信部門，消費(fèi)者權(quán)益保護(hù)法和各省區(qū)市消保條例執(zhí)法主體是市場監(jiān)管部門，當(dāng)然后者個(gè)人信息保護(hù)的規(guī)定與個(gè)人信息保護(hù)法相比相對粗一些，查處的話有一定難度，所以現(xiàn)在上海等地方的整治行動(dòng)是網(wǎng)信部門和市場監(jiān)管部門聯(lián)合行動(dòng)。

地方的立法可以為市場監(jiān)管部門的個(gè)人信息維權(quán)行動(dòng)提供更精細(xì)的立法支持。如上海市消保條例第二十一條規(guī)定：經(jīng)營者處理消費(fèi)者個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信的原則，明示處理信息的目的、方式和范圍，并依法征得消費(fèi)者同意；不得從事違反法律法規(guī)、超出消費(fèi)者同意范圍或者與服務(wù)場景無關(guān)的消費(fèi)者個(gè)人信息處理活動(dòng)。經(jīng)營者履行明示義務(wù)和征得消費(fèi)者同意的證明資料至少留存三年。

經(jīng)營者應(yīng)當(dāng)建立健全信息保密和信息安全管理制度，制定信息安全應(yīng)急預(yù)案，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，經(jīng)營者應(yīng)當(dāng)立即采取補(bǔ)救措施，啟動(dòng)應(yīng)急預(yù)案，依法及時(shí)通知履行個(gè)人信息保護(hù)職責(zé)的部門和消費(fèi)者。

從這些地方立法的規(guī)定措辭來看，筆者注意到有的內(nèi)容可以視為引致性條款，即通過地方立法要求商家不得違反“法律法規(guī)”的規(guī)定，可以解釋為用個(gè)人信息保護(hù)法具體規(guī)則判斷商家的非真實(shí)關(guān)注和拒絕關(guān)注拒絕服務(wù)為違反上述規(guī)定，如此則巧妙解決了個(gè)人信息保護(hù)法的執(zhí)法主體不是市場監(jiān)管部門的問題，我個(gè)人傾向于認(rèn)為有這樣的規(guī)定，市場監(jiān)管部門用個(gè)人信息保護(hù)法條款認(rèn)定企業(yè)具體條款違反上述地方立法的規(guī)定，在法律上是成立的，并不突破個(gè)人信息保護(hù)法執(zhí)法管轄是網(wǎng)信部門的問題，而且市場監(jiān)管部門統(tǒng)一行使對餐飲等一般企業(yè)的執(zhí)法監(jiān)督職能隊(duì)伍完備，體系成熟，也是符合現(xiàn)在實(shí)際情況的。當(dāng)然具體兩個(gè)部門未來如何解決這個(gè)管轄交叉問題，有待于法律文書和法院的判決予以正式解答。

關(guān)注大型平臺治理責(zé)任

商家電子菜單可以用平板電腦、大屏幕等點(diǎn)菜，可以用手機(jī)掃碼點(diǎn)單但完全不需要提交頭像或者關(guān)注微信公眾號，后者是與服務(wù)場景無關(guān)的，并不是實(shí)現(xiàn)就餐、付費(fèi)等合同目的所必須的，故消費(fèi)者有權(quán)不予授權(quán)。市場監(jiān)管局以違反消費(fèi)者權(quán)益保護(hù)法規(guī)定的侵害消費(fèi)選擇權(quán)和公平交易權(quán)利等法條進(jìn)行處罰也是可以的，但是對于取證要求有點(diǎn)高。

筆者認(rèn)為這個(gè)問題的治理現(xiàn)在比較缺少關(guān)注和研究的是大型平臺和應(yīng)用分發(fā)市場等主體的平臺治理責(zé)任問題，根據(jù)《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》第20條：“應(yīng)用程序分發(fā)平臺應(yīng)當(dāng)建立健全管理機(jī)制和技術(shù)手段，建立完善上架審核、日常管理、應(yīng)急處置等管理措施，...應(yīng)用程序分發(fā)平臺應(yīng)當(dāng)加強(qiáng)對在架應(yīng)用程序的日常管理，對含有違法和不良信息，下載量、評價(jià)指標(biāo)等數(shù)據(jù)造假，存在數(shù)據(jù)安全風(fēng)險(xiǎn)隱患，違法違規(guī)收集使用個(gè)人信息，損害他人合法權(quán)益等的，不得為其提供服務(wù)”。即應(yīng)用平臺可以通過上架的安全審核控制小程序及其他應(yīng)用的個(gè)人信息收集合規(guī)水平。

如果平臺控制水平提升到一定階段，再結(jié)合行政執(zhí)法和司法判決的引導(dǎo)，相信這個(gè)問題不久將來可以得到較好的解決。

（作者系上海段和段律師事務(wù)所律師）