使用手机“扫一扫”功能，查看信息或点餐支付正在成为惯常的消费动作。但类似“点餐必须扫码”“点一杯奶茶产生87条数据”“强制或诱导关注公众号”等行为，也让人不由得思考扫码消费的“边界”在哪？

对此，近期多地监管部门先后“出手”，尝试规范扫码消费行为。上海聚焦扫码点餐、停车缴费、租借充电宝等消费场景，开启专项执法行动；北京则专门提出六条合规指引和八大案例，引导企业发现违规问题并敦促整改。

南都记者观察发现，App、小程序违法违规收集个人信息行为一直备受监管重视，各地通报了一批又一批问题App。随着近两年个保法、数安法的落地施行，执法从线上走到线下——聚焦与公众生活关系密切的重点消费场景，地方监管部门通过合规指引、以案释法、执法震慑等多重方式，试图督促大小商家规范信息收集行为。为扎牢个人信息保护的篱笆，相关执法行为呈现精细化、场景化的趋势。

区分提供扫码消费服务和会员服务的二维码

在商业中心扫描停车场二维码缴费时，被要求填写姓名、手机号、出生日期、性别等无关信息；走进一家奶茶店准备扫码点餐时，被要求使用手机号等个人信息注册登录，明确拒绝后还会频繁收到提示注册的弹窗；在超市购物后扫描小票上的二维码开具发票，被强制要求关注超市公众号，否则无法开票……

面对这样的扫码“骚扰”行为，消费者有权说不吗？为回应这一关切，近期北京市网信办联合多个相关部门出手了！

针对日常生活消费常用二维码、小程序，北京市网信办专门进行了抽样测试，并督促存在个人信息保护问题的经营者整改。为进一步强化经营者合规意识，北京市网信办联合国家互联网应急中心北京分中心制定并发布《北京市扫码消费服务违规收集使用消费者个人信息案例解析及合规指引》（下称《指引》）。

《指引》基于抽样测试情况，总结了六类常见易发违规问题，并提出相应的合规建议。根据扫码消费过程中可能遇到的问题，被规制的情形包括强制或诱导消费者关注公众号、强制消费者提供与功能无关的个人信息等。

《指引》要求，提供扫码消费服务的二维码应当和提供会员服务的二维码予以区分，以醒目方式提示消费者二维码的实际作用或功能；不得强迫或诱导消费者关注经营者公众号；推送营销信息的，应当提供退订或拒绝选项。

进行扫码消费时，大多消费者都难以接受连续多次操作个人信息收集弹窗，通常会据此认定若不同意该申请则无法使用服务，进而选择同意。这种做法涉嫌变相“强制”申请获取权限。

北京市网信办针对频繁提示注册登录、干扰消费者使用这一情况作出要求。《指引》强调，提供扫码消费服务期间，小程序应当限制权限获取频次及个人信息采集频率；不得频繁弹窗，干扰消费者正常使用。

《个人信息保护法》规定，收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。《指引》进一步明确，提供扫码消费服务的经营者在收集使用消费者个人信息时，应当遵守相关法律法规，征得消费者同意；不得以任何形式和理由强迫消费者同意经营者收集与其提供服务无关的个人信息。

另外，《指引》还就消费者个人信息的共享、删除提出合规要求。提供扫码消费服务的经营者将消费者个人信息共享至第三方使用前，应当告知消费者并征得消费者同意；经营者应当向消费者提供注销账号服务，不得为账号注销功能设置捆绑注销、要求消费者提供各种不合理证明等不必要条件。

上海持续针对单个场景扫码消费行为作出规制

在移动互联网发展早期，App违法违规收集使用个人信息的乱象曾有目共睹：在用户个人信息经历了被App无条件攫取的“野蛮期”、多部委联合开展专项治理行动的“强监管期”后，其合规情况逐渐向好。

南都记者梳理发现，自App个人信息保护进入一个全新阶段后，监管的方向逐渐由线上扩展到线下，与公众日常生活息息相关的具体场景中的个人信息保护问题成为关注焦点——其中扫码消费便是一个极其重要的场景。在这方面，北京和上海已率先作出示范。

和北京一样，扫码消费行为也是上海近期整治个人信息违规收集行为的一大重点抓手。不同的是，上海关注的扫码范围似乎更广泛，且逐一对单个场景发起了专门的整治行动。

今年6月，上海市网信办、市市场监管局启动专项执法行动，聚焦餐饮店、停车扫码、少儿学习培训、网络理财小贷、房产中介、租借充电器、商超购物、汽车4S店八个问题较突出的消费场景，整治个人信息“过度采、强制要、诱导取、违规用”问题。

7月，上海市消保委制定发布《上海市网络点餐服务消费者个人信息保护合规指引》，针对网络点餐的不同场景提出具体合规要求和操作准则。

比如，除了要求餐饮经营者不得收集与服务无关的个人信息，不得强制或诱导消费者关注经营者微信公众号，推送商业营销信息时应提供退订或拒绝选项等常见内容，还明确其应采取相应的技术措施和其他必要措施，确保消费者个人信息储存安全；定期开展门店消费者个人信息保护教育培训，明确合规职责等。值得一提的是，餐饮经营者提供线下网络点餐服务的，应当同时备纸质菜单。

在对“停车扫码”消费场景进行集中整治时，要求商场或停车场地运营者及时推出“纯净版”停车缴费二维码，确保不收集任何个人信息。若以停车费优惠、会员积分等名义张贴商场会员码或公众号二维码，必须有充分提示并仅收集与相关服务有关的个人信息。

这波整治行动很快得到了反馈。目前，覆盖上海市主要商圈的64家商场停车场已落实要求，消费者只需输入车牌号、点击缴费两步后，就可以直接缴纳停车费。

另外一个公众感知强、使用频率高的场景是租借手机充电设备。对此，上海市网信办“查罚并举”，一面发布《租借手机充电器场景下所需最小必要个人信息清单》要求企业自查整改，一面对违法违规情节严重的相关企业予以行政处罚或将违法违规线索上报国家网信办。

具体而言，该清单从扫码、租借、寻找机柜、支付四个环节提出合规要求。扫码仅需拍照权限，租借仅需手机号码；不得强制或频繁索取精准位置权限向消费者展示附近可用机柜；如通过免押金信用支付，仅需提供信用账户信息以供核实。

南都记者观察发现，尽管上述不同场景在具体要求上有差别，其聚焦的问题总体来看“殊途同归”，即不得过度、强制、频繁索取个人信息，经营者需履行相关的合规义务等。

通过两地近期的执法行动也可以看出，个人信息保护执法的颗粒度更趋精细化和场景化，所涉及的监管范围更广，而监管机构采取的执法手段也更为多元——在执法震慑之外，合规指引、敦促整改等柔性执法手段，亦频频应用于其中，这或是新一轮个人信息保护监管的重要趋势。

来源：南方都市报、N视频报道

编辑：刘虹麟   校对：黄    清

审核：何承健   监制：谢华容

总监制：魏凡翔