外出就餐時，你遇到過這些情況嗎——不掃碼無法點餐、點餐必須關注公眾號、頻繁彈窗要求收集位置信息……令人不堪其擾。隨著手機掃碼點餐引發的隱私安全擔憂逐漸受到公眾重視，一份旨在規范掃碼點餐處理個人信息行為、減少因掃碼點餐造成的個人權益損害的新文件，向社會公開征求意見。

7月22日，全國網絡安全標準化技術委員會發布了其組織編制的《網絡安全標準實踐指南——掃碼點餐個人信息保護要求（征求意見稿）》，并向社會公開征求意見，意見反饋截止日期為8月4日。該文件擬明確訂單信息、支付信息系為實現掃碼點餐服務所必需，不得過度收集個人信息。

訂單信息、支付信息為掃碼點餐服務所必需

南都記者注意到，《網絡安全標準實踐指南——掃碼點餐個人信息保護要求（征求意見稿）》（下簡稱《實踐指南》）的起草單位包括中國電子技術標準化研究院，以及多所高校、企業等。

《實踐指南》提到，該文件依據法律法規和政策標準要求，針對當前掃碼點餐過程中餐飲商家超范圍收集個人信息等問題，給出了掃碼點餐個人信息保護實踐指引。其適用于餐飲商家規范掃碼點餐服務個人信息處理活動，也適用于第三方評估機構等參考。

《實踐指南》內容主要包括總體要求和個人信息保護要求兩部分。總體來看，掃碼點餐服務應避免四類行為，一是超范圍收集個人信息。強制收集或通過小程序頻繁彈窗提示收集用戶平臺賬號信息、手機號、位置等非必要個人信息。二是強制關注公眾號或注冊會員。強制以關注公眾號、注冊會員等為由收集餐飲用戶手機號、生日、性別等信息。

三是未經用戶同意處理個人信息。收集個人信息用于餐飲用戶授權以外的目的、未經用戶同意向第三方提供用戶個人信息。四是未提供個人信息刪除功能。提供賬號注冊功能收集餐飲用戶個人信息的，未提供有效的注銷賬號途徑；餐飲用戶注銷賬號的，未及時對其個人信息進行刪除或匿名化處理。

掃碼點餐交出個人信息后，這些信息該被如何處理？《實踐指南》擬對掃碼點餐收集的個人信息保護作出要求，主要聚焦開發運維小程序和第三方責任。

《實踐指南》擬提出，餐飲商家自行開發、運維掃碼點餐小程序并面向餐飲用戶提供掃碼點餐服務的，應制定小程序個人信息處理規則。

具體而言，規則內容應包括小程序運營者基本情況；處理個人信息的目的、方式，處理個人信息的種類、保存期限，涉及敏感個人信息的，需明確標識或突出顯示；小程序使用的第三方服務提供者的身份、第三方服務處理個人信息的種類、處理規則；餐飲的用戶權利和實現機制，如查閱、復制、轉移、更正、補充、刪除、撤回同意、注銷賬號的方法等。

除了提供個人信息處理規則，在餐飲用戶首次使用掃碼點餐服務時，應以彈窗的形式向其明示該規則，并由餐飲用戶主動勾選同意規則。

此外，在商家自行開發、運維掃碼點餐小程序時，還應采用彈窗的形式向餐飲用戶明示權限申請目的、使用場景；應僅向餐飲用戶收集滿足所提供服務所需的最少必要個人信息；建立個人信息投訴舉報管理機制和跟蹤流程，并在不超過十五個工作日內對投訴進行響應等。

值得注意的是，“最少必要個人信息”該如何定義？《實踐指南》擬進一步明確，掃碼點餐服務所需必要個人信息包括訂單信息、支付信息。餐飲商家在提供掃碼該服務過程中還會提供會員注冊、賬號登錄、識別餐飲用戶所處店面等擴展功能，而手機號、位置信息、小程序賬號信息則并非實現掃碼點餐服務所必需。

由于開發能力不足，不少餐飲商家會委托第三方開發、運維掃碼點餐小程序。《實踐指南》擬規定，應在滿足前述情況的基礎上，與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等；應要求受托人按照約定處理個人信息，對受托人的個人信息處理活動進行監督。

小程序的開發運營者之外，提供餐飲服務小程序配置的平臺這一責任主體也不可忽視。《實踐指南》擬提出，應在小程序開發者使用開發平臺前對其資質進行審核；在小程序上線前對小程序進行個人信息安全檢測，重點檢測超范圍收集個人信息、未經同意向第三方提供個人信息、強制索權等方面；在小程序上線后，對小程序的個人信息安全保護情況進行持續監督、定期抽查。

從中央到地方，專項整治掃碼點餐亂象

使用手機“掃一掃”功能、線上點餐支付，正在成為外出就餐時慣常的消費動作。但類似“點餐必須掃碼”“強制或誘導關注公眾號”“頻繁彈窗提示收集用戶手機號、位置信息”等行為，引發了公眾對這一“便捷”操作的隱私安全擔憂。

南都記者梳理發現，近年來，掃碼點餐背后的違法違規收集個人信息亂象逐漸受到監管重視，從中央到地方，相關部門紛紛“出手”規范掃碼消費行為。

今年3月，中央網信辦、工業和信息化部、公安部、市場監管總局發布公告稱，2025將圍繞線下消費場景違法違規收集使用個人信息等重點問題開展系列專項行動。具體包括掃碼點餐等線下消費場景中，強制關注公眾號、強制注冊會員，強制收集非必要的手機號、生日、性別等信息等問題。

地方層面也在加緊行動。7月，山東省委網信辦聯合多個部門開展2025年“安寧齊魯”山東省個人信息保護專項行動，其中提出對“掃碼點餐”等線下消費場景違法違規收集使用個人信息問題，包括未公開個人信息處理規則、強制關注綁定、強制收集個人信息、違規處理未成年人個人信息、違規處理人臉信息、非法公開或者擅自向他人提供個人信息等進行治理。

同月，四川省委網信辦會同多個部門，召開全省個人信息保護專項治理工作協調會議，明確“掃碼點餐”等線下消費場景是違法違規收集使用個人信息的主要治理對象，要求結合行業實際，扎實開展全面摸排和自查整改。

6月，北京市網信辦聯合多部門聚焦“線上點餐”等11個民生消費領域應用程序開展專項整治。此次行動覆蓋全市各類經營主體（服務商）5萬余家，隨機抽取197款應用程序進行遠程技術檢測，發現并督導整改未公開收集使用規則、未征得用戶同意收集個人信息、傳輸通道認證授權機制不完善等各類問題388個。

采寫：南都記者 樊文揚