◎ 如果消费者的个人信息被泄露，就有理由认为是通过该商家渠道泄露，可以向法院起诉，并要求经营者承担赔偿责任。个人信息保护法第六十九条规定，适用于这个情况的举证责任倒置。

    ◎ 商家应当关注和学习个人信息保护相关的法律法规，并提高诚信守法经营的理念。个人信息保护在数字时代具有特殊意义，只有消费者安心，企业才会有更好的发展前景。

    ◎ 数字化时代需要对数据的价值进行合理开发和利用。执法部门应以法律技术和法律规范为基础，惩戒与教育相结合，并加强个人信息保护相关法律法规的宣传。

    ■ 中国妇女报全媒体记者 高越

    当下，手机支付越来越广泛地应用在生活中，其在提供便捷服务的同时，个人信息保护问题也逐渐浮现出来。

    近期，上海市委网信办、上海市市场监管局执法人员根据消费者举报线索，对星巴克、Shake Shack、天泰餐厅开展现场执法。三家餐饮企业存在频繁诱导索取用户手机号、诱导消费者提供精准位置信息、频繁弹窗诱导注册会员、诱导消费者关注公众号等问题。上海市委网信办、上海市市场监管局会同徐汇区委网信办、黄浦区委网信办依法约谈三家企业，要求三家企业针对过度收集个人信息行为进行全面整改，切实履行个人信息保护义务，维护消费者的合法权益。

    商家过度收集个人信息违反了哪些规定？

    “这种扫码点餐付款的方式会让消费者感觉非常便捷。但商家收集的相关个人信息必须有限度，这个限度必须与其提供的餐饮服务密切相关，并在一定范围内尽可能少地收集信息。而在相关案例中，餐饮企业经营者收集的信息和提供的餐饮服务无关，不必要过度收集会导致消费者的个人信息存在泄漏风险。”北京中闻律师事务所律师李斌在接受中国妇女报全媒体记者采访时表示。

    据了解，这些餐厅普遍存在的问题是：消费者首次使用小程序扫码点单时，没有收到商家关于隐私保护的显著提示；商家在服务协议和隐私政策中没有设置“同意”或“拒绝”的选项，默认消费者允许提供个人信息；商家超范围向消费者索取和餐饮服务无关的个人敏感信息，包括姓名、生日、性别、家庭住址、身份证号、银行账号等。

    某中央企业法务合规处负责人表示，这些行为违反了《中华人民共和国个人信息保护法》（以下简称个人信息保护法）《App违法违规收集使用个人信息行为认定方法》等法律规定。

    个人信息保护法第六条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。

    个人信息保护法第二十三条则规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

    上述负责人表示，如果扫码点单后，出现“微信一键登录”获取昵称和头像、“微信手机号一键登录”获取手机号等弹窗提示，或者买单时要求消费者提供手机号，消费者如果拒绝以上授权就无法下单，违反了《App违法违规收集使用个人信息行为认定方法》中的第四条规定，因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能，可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”。

    个人信息价值与风险并存

    商家为什么要收集个人信息呢？

    李斌认为，在数字时代，信息在未来是可以挖掘的宝库。“但是商家忽略了一种风险，如果未经过消费者同意或超过同意的授权范围收集个人信息，本身就涉及侵权行为。”

    上述负责人认为，个人信息对于商家有很多价值，比如，能更好地帮助企业进行客户画像——指对目标客户进行分析和总结，以形成关于目标客户基本特征和行为习惯的综合描述，从而丰富营销手段和产品。除此之外，商家可能会以此来增加用户黏性。甚至有的商家会将消费者的个人信息提供给第三方，获得潜在的单次收益或利益分成，导致消费者可能频繁收到推送的各种广告。在他看来，商家向第三方共享个人信息必须事前征得消费者同意。

    李斌认为，对商家而言，即使收集时明确表示征得同意，但如果过度收集了不必要的信息，将会大大增加保密成本，“一旦信息从经营者的渠道泄露，经营者将承担侵权责任。”

    对消费者来说，如果个人信息被泄露，可能会被推送一些商业广告；如果个人信息被不当地转让给第三方，甚至可能会被用于精准诈骗违法犯罪行为。

    那么，如果违反相关法律法规，商家可能会面临怎样的处罚？

    上述负责人表示，商家可能会面临行政处罚和民事责任，情节特别严重还有可能面临刑事责任。

    个人信息保护法第六十六条规定，违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

    个人信息保护法第六十九条规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。

    李斌认为，从民事责任的角度来看，如果消费者的个人信息被泄露，就有理由认为是通过该商家渠道泄露，可以向法院起诉，并要求经营者承担赔偿责任。“个人信息保护法第六十九条规定，适用于这个情况的为举证责任倒置，这就意味着如果经营者认为自己没有过错，就需要证明处理个人信息的所有环节和程序都是严格按照法律法规进行操作的。”

    积极保护个人信息，企业才能行稳致远

    那么商家如何做才是合法合规的？消费者又该如何保护个人信息的安全？

    “商家必须了解在处理个人信息的过程中的各项法定义务，应当检讨哪些方面是不合法、不合规的，并积极采取自行整改措施。”李斌认为，提前认识到合规的重要性会让企业走得更加长远。

    李斌认为，商家收集个人信息要在最小范围内进行，在收集时，要对消费者提前告知，每一项授权都应该明示选择，例如设置强制阅读时间。对于重大利害关系的格式条款，应当以显著方式提醒消费者注意，让消费者能首先看到这些条款的存在，并重点关注这些内容等。

    从个人角度来说，消费者应当了解自己享有个人信息受保护的权利。如果发现商家过度收集信息，有权要求不提供信息，并与商家据理力争。同时，可以向网信部门和市场监管部门投诉。

    上述负责人认为，消费者要知道个人信息的价值，并明白个人信息遭到泄露可能会带来风险。在他看来，商家需要给予消费者选择权，如同时支持网络支付或现金支付。商家需要建立与自身经营相适应的个人信息保护制度，如是否对个人信息进行分级分类？是否进行匿名化处理，或者进行脱敏（敏感信息）处理？是否对员工进行培训？是否采取制度确保不会发生消费者个人信息的非法买卖？

    从社会角度来看，数字化时代需要对数据的价值进行合理开发和利用。执法部门应以法律技术和法律规范为基础，惩戒与教育相结合，并加强个人信息保护相关法律法规的宣传。上述负责人表示：“这次上海的处理具有很强的借鉴意义。责令整改可以给企业指出方向，让企业知道错误并及时修正，面对拒不改正的，则需要采取相应惩戒措施。”

    李斌同样认为，上海此次柔性执法有着很好的效果，在损害后果发生之前及时介入约谈，让商家重视个人信息保护问题。商家应当关注和学习个人信息保护相关的法律法规，并提高诚信守法经营的理念。个人信息保护在数字时代具有特殊意义，只有消费者安心，企业才会有更好的发展前景。