2025年9月，全国网络安全标准化技术委员会秘书处组织制定和发布了《网络安全标准实践指南--扫码点餐个人信息保护要求》(以下简称《实践指南》)，该文件标志着我国对餐饮行业个人信息保护的监管进入精细化阶段。本文将从餐饮商家的角度，深入解析《实践指南》的核心内容，并提供切实可行的合规建议。

一、出台《实践指南》的背景与意义
 

扫码点餐作为一种便捷的消费方式，近年来迅速普及，成为餐饮行业的标配。然而，随之而来的是个人信息被过度收集、强制关注公众号、频繁弹窗授权、用户数据泄露等问题频发，严重侵害了消费者的个人信息权益。

此前，除《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”）外，《上海市网络点餐服务消费者个人信息保护合规指引》（以下简称“《上海指引》”）《北京市扫码消费服务违规收集使用消费者个人信息案例解析及合规指引》等地方性文件为区域内经营者提供了相应的消费者个人信息保护合规管理的指导建议，在一定程度上为本地商家提供了参考。

但实践中仍然存在大量违规风险。2025年3月28日，中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展2025年个人信息保护系列专项行动的公告》中就将在App（含小程序、公众号、快应用）以及线下消费场景违法违规收集使用个人信息，列入专项行动的治理范围。

而本次《实践指南》的发布，从国家层面统一了扫码点餐场景下的个人信息保护标准，直接回应了当前扫码点餐中最突出的问题，具有更强的权威性和适用性。

二、商家必须关注的五大重点
 

1.明确“最小必要”个人信息范围
 

《个人信息保护法》要求处理个人信息需遵循合法、正当、必要原则，且收集范围应限于实现处理目的的最小范围。《实践指南》进一步明确可收集订单信息（如订单号、桌号、所点菜品、菜品总价）和支付信息（如支付状态、支付时间、商品名称、收单机构、支付方式、交易单号、商户单号）、平台用户ID，禁止强制收集手机号、位置、平台账号信息等非必要个人信息。同时，《上海指引》明确，不得在消费者登录、点餐、取号、加菜、结账等环节诱导索取与餐饮服务无关的个人信息，包括但不限于姓名、生日、性别、手机号码、家庭住址、身份证号、银行账号等，即手机号、位置信息、生日、性别等均不属于必要信息，商家不得强制收集。若用户拒绝提供，商家仍应提供基本点餐服务。

2. 禁止强制关注公众号、注册会员
 

《实践指南》明确规定：“不得通过强制关注公众号、注册会员等误导、欺诈、胁迫等方式处理个人信息。”这意味着商家不能再以“关注公众号才能点餐”“注册会员才能结账”等方式变相收集用户信息。

中国消费者协会发布的2023消费维权十大典型司法案例之四的“孔某诉北京南锣肥猫餐饮有限公司个人信息保护纠纷案”中，北京某餐饮公司因强制要求消费者关注公众号并获取微信昵称、手机号等信息，被北京市第三中级人民法院认定构成侵权，判决餐饮公司向孔某书面告知处理孔某个人信息的范围、方式，向孔某进行书面赔礼道歉，赔偿原告公证费五千元。

3. 强化透明度与用户同意机制
 

《实践指南》要求商家在用户首次使用扫码点餐小程序时，以弹窗形式明示个人信息处理规则，并由用户主动勾选同意。个人信息处理规则内容应包括：运营者身份、联系方式；处理目的、方式、种类、保存期限；是否涉及敏感信息（涉及的应明确标识/突出显示）；使用的第三方服务提供者的身份、第三方服务处理个人信息的种类、第三方服务个人信息处理规则；为保护个人信息所采取的安全措施；用户权利及实现机制；投诉举报渠道、在接受通知方面的可选项等。此外，在申请获取用户权限（如位置、相机等）时，应明确说明使用目的和使用场景。同时，禁止频繁弹窗干扰用户正常使用。

在“左某个人信息保护纠纷案”（案号（2023）粤01民终33217号）中，左某在注册会员及进入一APP界面时，点击勾选了《客户个人数据保护章程》的选项，后左某在该APP预定了雅某公司的酒店，并提交了姓名、国籍、电话号码、电子邮箱地址、银行卡号等个人信息。事后，左某发现《章程》中载有将其个人信息传送共享至全球多个地区接收主体的内容。因此，左某诉至法院。法院判决雅某公司向左某致书面赔礼道歉，并赔偿财产损失2万元（含合理开支）。

4. 重申保障用户权利的实现机制
 

《实践指南》强调，商家应支持用户行使其个人信息权利，包括查阅、复制、更正、删除、撤回同意、注销账号等。特别是注销账号后，应及时删除或匿名化处理用户信息。《上海指引》也明确，餐饮经营者应当保障消费者可以根据意愿注销账号、删除个人信息，不得设置不必要、不合理条件。

部分点餐系统在用户取消关注公众号或要求注销会员信息时，未能及时、便捷地删除用户个人信息，甚至要求用户到店面提交书面申请，增加了信息被长期滞留和泄露的风险。

2024年由上海市互联网信息办公室、上海市市场监督管理局联合发起的“亮剑浦江·2024”专项执法活动中，也曾针对咖啡消费场景下过度收集消费者非必要个人信息、未及时删除用户个人信息等的违法违规行为进行集中整改。

5. 商家个人信息保护的主体责任
 

提供扫码点餐服务的餐饮商家，以自己名义向用户提供点餐服务并决定个人信息处理目的与方式，往往是小程序运营者、个人信息处理者，需承担个人信息保护的主体责任及个人信息泄露安全责任，即使委托第三方处理个人信息的，也必须与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督，餐饮商家是合规风险的首要承担者。 

三、对扫码点餐个人信息保护的合规建议
 

1. 全面自查现有扫码点餐系统。
 

商家对扫码点餐系统的自查，建议一个由店长、运营负责人和IT支持（或第三方技术客服）的自查小组，自查以下方面：

（1）强制关注公众号、注册会员等行为的核查：员工可以顾客身份，全程体验点餐流程。

首先，检查用户是否可以自主选择关注公众号、注册会员、下载APP等，如未关注公众号、未注册会员、未下载APP的，点餐流程是否会中断或被反复提示（在用户拒绝后反复弹窗）；

其次，首次使用时是否弹窗提示隐私政策，是否设置用户主动勾选“同意”的选项，若用户拒绝勾选”同意”的，是否能以“游客身份”继续点餐和支付，整个过程不中断。

再次，权限申请是否为“一次一授权”而非“一揽子授权”（如相机权限：仅在用户主动扫码时申请，“用于扫描餐桌二维码”）；是否存在“软强制”（如将“同意”按钮设计得异常显著，而“拒绝/跳过”按钮无法操作或位置较隐蔽等）。

（2）信息收集清单对照：整理一份小程序在点餐、加餐、支付、售后全流程中可能收集的信息清单。将清单与本文第二条第1点中罗列的“必要个人信息”逐项对比。凡是不在必要范围内的，如要求用户手动输入手机号、生日、性别等，必须审视其必要性，如果是为了营销，必须设置为用户主动选择的扩展功能。如用户拒绝提供上述不在必要范围内的信息时，是否影响基本点餐服务。

（3）提供纸质菜单：根据《上海指引》要求，餐饮经营者提供线下网络点餐服务的，应当同时备纸质菜单，纸质菜单供应的服务产品须与线上产品保持一致性。故应自查线上菜单的品项、价格是否与纸质菜单一致。

（4）隐私政策（个人信息处理规则）的可理解性测试：将隐私政策交给一位不熟悉法律术语的普通员工阅读，看其是否能快速理解隐私政策所述内容，是否能清晰明白“收集内容、收集目的、用户权利”。建议采用图表、分段、加粗等多种方式来提升可理解性，避免使用冗长晦涩的法律文本。

（5）账号注销的可操作性验证：设置清晰、便捷的“账号注销”操作入口，提供有效的注销账号路径，不得设置不合理条件且不应要求用户提供超出验证身份所需的信息。自查注销步骤是否足够简单，有无设置“注销账号”选项。

2. 规范与第三方合作

餐饮商家必须清醒地认识到，根据《个人信息保护法》，委托第三方处理个人信息，并不代表责任转移。建议商家与第三方签订《委托处理协议》，并注意：

（1）委托处理协议的关键条款：协议必须包含专门的个人信息保护条款，明确：a.处理目的、方式和个人信息种类：严格限定在扫码点餐业务范围内；b.安全措施：要求受托方采取加密、访问控制等安全技术措施；c.转委托规范：未经商家书面同意，不得进行转委托；d.数据返还与删除：要求受托方合规删除或返还所有个人信息。

（2）合规承诺与能力证明：要求第三方作出合规承诺，并将其作为合同附件。

（3）约定发生个人信息泄露等数据安全事故的责任。

（4）持续性监督：不应“一签了之”，应持续性监督第三方信息处理合规性，可通过合同中约定的权利，不定期抽查其后台系统的访问日志，确保数据未被超范围使用。

3. 建立投诉响应与安全事件应急预案

《实践指南》要求商家在15个工作日内对用户投诉进行响应。建议设立专人（可为店长或运营经理）负责个人信息投诉，并建立内部处理流程，如设置“接收登记-调查核实-内部协调-整改反馈-回访归档”的闭环流程，确保15个工作日内完成实质性响应。

同时，应制定个人信息泄露等安全事件的应急预案，明确何种情况（如证实数据泄露、遭到监管问询）下启动预案，设置包括立即遏制漏洞、通知受影响用户、报告监管部门（如必要）、发布对外声明等的处置步骤，以此确保在发生问题时能及时应对、降低损失。

4. 加强员工培训

好的制度需要通过一线员工（如前台、服务员、店长等）来落实。餐饮商家应定期组织员工学习，确保一线人员了解合规要求，避免在推广扫码点餐时出现违规行为。

四、结语
 

随着《实践指南》的发布，实现了“地方+国家”双重合规，扫码点餐服务将更加规范、透明。未来，餐饮商家不仅要在技术上合规，更要在服务理念上转变，将个人信息保护作为提升用户体验、增强品牌信任的重要一环。对于那些仍以“数据收割”为商业模式的商家而言，合规成本将显著上升；而对于注重用户隐私与体验的商家而言，这将是一次品牌升级的机遇。

商家应尽早行动起来，对照新规全面整改。只有切实将个人信息保护融入日常经营，才能在数字化浪潮中赢得消费者的长期信任，真正实现“扫码点餐，安心消费”。

特别声明：本文仅代表作者个人观点，不代表大成律师事务所或其律师出具的任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请与我们取得联络，未经同意不得转载或使用。转载或引用时须注明出处。