邀请顾客注册成自己奶茶品牌的会员或是扫码拉新时,收集一些顾客的个人信息以便后期精准营销,这是商家常用手法。但从今年11月起,商家收集顾客的手机号、身份证号等信息,就有可能触犯了刚生效的《个人信息保护法》。
今年十月,上海普陀区市场监督管理局查处了某餐饮公司违反消费者个人信息保护的案例。
该餐饮公司通过在餐厅餐桌上张贴二维码的方式,让消费者扫码点餐及付款等操作。
但消费者必须同意授权手机号码才能完成上述操作,过程中也未告知消费者此操作的目的。
经上海执法部门调查核实,餐厅收集手机号并不属于完成点餐功能的必要环节,且该餐厅未向消费者明示此操作的目的、方式和范围。
执法部门还发现,餐厅收集的消费者个人信息,在系统后台可以查阅、下载和使用,且未对操作人员规定保密要求。
系统中存储了“会员ID、姓名、性别、手机号码、卡余额”等个人信息且无加密下载保护。由此存在重大安全隐患,消费者个人信息有泄露、丢失风险。
对此,上海普陀区市场监督管理局认定该餐饮公司违反了《消费者权益保护法》第二十九条规定:
经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。
经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
为此,执法机关对该餐饮公司做出了警告另加人民币5万元罚款的决定。
本案对于餐饮及茶饮企业具有很大的警示意义,门店在设置刷码点单的时候,务必避免搜集和存储消费者个人信息,特别是姓名、手机号码、身份证号码、地址等信息。
对于确有合理必要搜集和存储的信息,要采取必要安全技术措施,严格控制接触信息的人员,并和相关人员签署完善的保密协议,设置有效处罚规定,严防相关人员可以轻易导出用户个人信息。
《个人信息保护法》已于2021年11月1日生效,其处罚金额的上限也远远高于《消费者权益保护法》的规定,这是经营者需要特别注意的。