消费者苦“扫码点餐”久矣，便捷之外，“扫码点餐”的安全边界在哪里？｜马上评

图片来源：视觉中国

数字经济时代，各行业都在拥抱数字化，餐饮业也正在被重塑。当下，扫码点餐已在国内大小餐厅普及，随处可见。然而，近几年因扫码点餐而引发的数据信息安全问题却时常被广大网友吐槽和诟病，关于“扫码点餐”的争议也经久不断。

5月9日，北京市消协发文指出，经营者不得强制消费者扫码点餐、扫码缴费，并公开劝喻相关经营者，对于消费者开具发票需求，不得拖延、拒绝及设置门槛；应通过提供多种服务方式以保障消费者选择权等合法权益，不得强制消费者关注公众号或使用手机App、小程序进行自助点餐或购物、缴费；不得利用公众号或手机App、小程序过度收集消费者个人信息。

事实上，早在2021年3月，中国消费者协会就曾发文，明确强制扫码点餐、强制关注公众号或授权个人信息的行为，违反《中华人民共和国消费者权益保护法》。同年，深圳消费者委员会联合相关单位推出全国首个关于扫码消费的行业自律承诺，提出商家不得强制让消费者扫码消费，不得强制或变相强制消费者关注商家公众号，收集消费者信息。2022年2月，上海市也出台了首个《餐饮行业“扫码点餐”规范指引》，规范商家强制“扫码点餐”及过度索取用户信息行为。

“扫码点餐”的安全边界究竟在哪里？消费便捷与信息安全当如何兼顾？

“扫码点餐”到底方便了谁？

目前，国内大多数餐厅的“扫码点餐”可以分为以下几种：小程序点单、关注公众号点单及扫码直接点单。不少网友表示，最喜欢的点餐方式是扫码直接跳转点餐页面，简单粗暴，高效便捷点餐，省去了与服务员沟通的时间，同时也解决了当下不少“社恐人”的就餐需求。此外，线上点餐的方式，也让整个就餐消费过程变得更加“安静”，减少了消费者与服务人员的沟通，就餐环境也得到了改善。

不过，“扫码点餐”对于不少中老年人而言却不友好，老年群体对于新事物的接受能力较弱，“扫码点餐”只会给他们带来更多困扰，还有就是“扫码点餐”易受到网络及点餐系统影响，网速不好或点餐系统问题都会影响消费者体验。

从商家角度来讲，近两年，不少餐饮企业高呼降本增效口号，“扫码点餐”正是企业顺应数字化趋势，实现降本增效的重要途径。不仅可以减少人力成本，同时在客流量较大的情况下，也能打破时空制约，实现高效点餐。

北京某餐厅负责人告诉笔者，餐厅采取线上点餐，多都是出于人力成本和盈利考虑。假设客流量相同的情况下，以周末人流量较大的时间段为例，正常需要15个服务员，但是使用线上点餐的话，10个服务员也完全足够，与之对应的公司支出的员工薪资成本也会大大降低。

一位线上点餐系统的供应商也称，同一间餐饮门店，若是使用了“扫码点餐”，店面接客率至少会增加50%。不仅如此，“扫码点餐”也会给餐厅节约一笔菜单印制费用。

除了上述成本和盈利因素外，后续的精准营销和推广也是不少商家执着于获取用户信息的主要目的。“其实多数线上点餐，不论是小程序点餐还是扫码直接点餐，不用获取消费者手机号、头像、位置等个人信息也是能正常点餐的，只不过很多商家都表示有后续的营销需求，系统可以通过数据对消费者进行用户画像，并据此进行精准营销，比如通过向获取的用户手机号推送优惠活动。”一位小程序点餐系统服务商如是说。

还有商家会通过扫码让消费者添加企业微信或扫码强制关注公众号点餐，以此为公众号引流，或建立自家社群，成为商家的“私域流量”，方便后续优惠活动在做社群和公众号进行精准推送。某一连锁餐厅负责人表示，每年通过这种有针对性地对消费者进行新品推送、优惠券推送等，可以为餐厅增加好几万的纯利润。

同时值得关注的是，一些商家会采用第三方的点餐服务软件，这也导致用户信息除了被商家获取之外，也有可能被第三方服务平台所掌握，这些数据有可能被用到“大数据杀熟”的侵害消费者利益的行为中。

此外，商家遭受黑客攻击导致用户信息泄露也时有发生，今年1月，肯德基和必胜客的母公司百胜餐饮集团被勒索软件攻击，随后对受影响人发送泄露通知信称，发现用户数据被攻击者泄露，其中包括用户的姓名、驾驶执照号码和身份证号码。

国际巨头尚有网络安全之危，小体量的餐饮系统服务商数据泄露风险显然更高。新京报曾在此前报道，不法分子售卖外卖送餐信息，万条信息售价不过千元。

IBM发布的《2020年数据泄露成本报告》显示，客户的个人身份信息占到了所有数据泄露的80％，是最经常丢失或被盗的记录类型。此外，52％的数据泄露是由恶意外部人员造成的，25％由系统故障和攻击造成，23％则是由于人为错误。

“扫码点餐”的安全边界何在？

如前文所言，“扫码点餐”是餐饮企业数字化转型的重要方式，在为商家和消费者带来便利，提升点餐效率的同时，也为商家节约了用人成本。未来“扫码点餐”或将继续作为主要点餐方式存在，那么，扫码点餐的数据安全“边界”将如何设立？便利之外，商家该如何兼顾消费者信息安全？

2021年11月开始施行的《个人信息保护法》规定，收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。《消费者权益保护法》也规定，经营者收集、使用消费者个人信息应当遵循合法、正当、必要的原则。也就是说，消费者在扫码点餐中，商家应按照最小和必要原则获取消费者个人信息。

浙江工业大学地方法治与社会治理创新研究中心主任俞锋也曾表示，在个人信息保护里面，学界和实务界有一个共识，那就是非必要不采集。如果需要采集，需要提前告知用户，并将选择的权利交给用户。

当然，消费者在面对过度的信息获取和采集时，也可选择向当地消协或市场监管局等相关部门举报和投诉。不过，现实中多数消费者也并不会因为“扫码点餐”而选择维权，有网友表示，“也会介意商家获取自己的信息，但话说回来，大家都扫了，线上点餐确实更方便就睁一只眼闭一只眼了”。

笔者认为，“扫码点餐”要做到为消费者提供便捷点餐的同时兼顾信息安全，从消费者的角度出发，优化点餐服务。

例如餐厅在提供扫码点餐服务时，应当在显著的位置、用清晰易懂的语言，真实、准确、完整地告知消费者收集和处理个人信息的目的、方式，收集的个人信息的种类、保存期限等事项，并征得同意。

同时对个人信息的保存期限应以完成信息索取目的后的最短时间内进行抹除，如餐饮时间结束，商家就应在短时间内对消费者信息进行删除。如果明确告知后，消费者仍拒绝扫码点餐的，也可提供其他点餐方式，不得强迫消费者进行扫码点餐，或因消费者不扫码点餐就拒不提供就餐服务。

还有更为简单直接的方式就是，商家只在扫码点餐场景下仅收集与就餐相关的数据，例如，餐桌号、点餐的菜品、就餐人数等，避免收集与点餐或就餐服务无关的手机号、微信号、位置等其他个人信息。

最后，还要强化第三方平台的信息安全责任，规范二维码使用标准。如微信平台要加强对小程序开发者的审核管理，对于不合理或过度获取消费者信息的小程序或供应商做出相应处理。同时，严格落实二维码的使用识别标准，减少或禁止公众号平台对用户信息的强制收集，严格整治商家强制或过度获取消费者信息行为，在尊重消费者意愿的基础上，遏制“大数据”泛化、被迫化等现象。

未来，随着数据作为第五大生产要素流动性的持续提升，基于Web3.0的数据确权技术的发展以及数据流通和交易机制的完善，扫码点餐带来的数据安全和应用边界问题，也能够通过新的技术创新获得更妥善的解决，让数据真正为用户所用。（本文首发于钛媒体APP，作者|章橙）