随着移动互联网的发展，扫码点餐近年来快速兴起。受疫情影响，无接触点餐和无接触结账方式也加快了扫码点餐的普及。

对于餐饮商家而言，扫码点餐能够在一定程度上降低人工成本、运营成本，提高营业效率，如餐厅的翻台率;同时还能收集和分析客户信息，从而帮助其改进经营方式。有些扫码点餐还会将顾客信息自动记录进会员系统中，有利于餐饮商家进行二次营销和引流。

对于消费者而言，扫码点餐可以减少排队等待时间，减少对服务人员的依赖，也方便挑选菜品。然而，另一方面，扫码点餐也会带来法律层面的问题。认识到其可能带来的法律风险，并采取合法有效的方式维护个人权益，对消费者来说具有重要意义。

2021年，上海市普陀区市场监管局在日常检查中发现，上海某餐饮管理有限公司在其管理的“某某城”餐厅内提供扫码点餐服务，要求消费者必须授权手机号码才能完成扫码点餐，且未告知消费者收集手机号的目的。

经查，当事人通过其使用的收银管理软件设置扫码点餐必须要授权手机号的功能，使得消费者在餐饮门店内使用扫码点餐服务时必须授权手机号才能完成支付。

经核实，收集手机号并非完成扫码点餐功能的必要环节，且当事人也没有向消费者明示收集、使用手机号码的目的、方式和范围。另外，当事人将收集的5893条消费者个人信息，在其使用的餐饮管理软件相应模块中供查阅、下载和使用，未采取技术措施和其他必要措施，确保消费者个人信息安全。

当事人以会员营销为目的，在其管理的餐饮门店内开展扫码点餐服务时非必要收集消费者手机号，未向消费者明示收集、使用手机号的目的、方式和范围，违反了《中华人民共和国消费者权益保护法》第二十九条第一款的规定。

当事人对其储存在餐饮管理软件系统内的消费者个人信息怠于履行安全管理义务，存在安全隐患，违反了《中华人民共和国消费者权益保护法》第二十九条第二款的规定。依据《中华人民共和国消费者权益保护法》第五十六条第一款第(九)项的规定，处警告，并处罚款5万元。

《民法典》第一百一十一条规定：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全。”

《消费者权益保护法》第二十九条规定：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。”

《个人信息保护法》第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”

消费者到餐厅就餐，双方之间实际上成立了餐饮服务合同，消费者具有向餐厅支付相应价款的义务，但没有义务必须使用扫码点餐的方式，也没有义务必须将手机号、生日、姓名、地理位置、通讯录等与餐饮消费无关的个人信息提供给商家。

扫码点餐的本质是将原本应该由餐饮商家自己承担的生产经营成本转嫁给了消费者，无形之中额外增加了消费者的义务和风险。还有一些餐饮商家拒绝提供人工点餐服务，要求现场就餐的消费者必须先关注公众号或小程序，再进行扫码点餐，借此获取消费者的个人信息。这不仅可能违反法律规定的收集、使用个人信息的合法、正当、必要原则，还可能涉嫌对消费者个人信息的过度收集。如果餐饮商家对数据保管不善，消费者还要承担个人信息泄露、丢失的风险。

规范扫码点餐，本质就是在保护个人信息安全。在立法层面，我国对于个人信息保护的规定已经日趋完善、成熟，《民法典》《个人信息保护法》《消费者权益保护法》《网络安全法》《数据安全法》《电子商务法》等法律将共同编织成一张消费者个人信息“保护网”。

《民法典》从第一千零三十二条到第一千零三十九条，用专章对隐私权和个人信息保护作出了规定，还有2021年11月施行的《个人信息保护法》，从概念到原则，从个人的信息权利到个人信息处理者的义务和法律责任，都做出了非常细致和具有可操作性的规定。

而在地方立法上，2021年6月29日，《深圳经济特区数据条例》正式通过，将自明年1月1日起实施。《条例》内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面，是国内数据领域首部基础性、综合性立法，确立了处理个人数据“最小必要”原则。《条例》第十二条明确规定：“数据处理者不得以自然人不同意处理其个人数据为由，拒绝向其提供相关核心功能或者服务。”

2022年2月22日，徐汇区市场监管局正式发布上海首个《餐饮行业“扫码点餐”规范指引》，引导经营者规范扫码点餐行为，为餐饮行业发展的新模式提供了明确具体的指导。

《指引》要求餐饮服务经营者收集消费者信息应当遵循合法、正当、必要的原则，在提供扫码点餐服务时，应当限于实现处理目的的最小范围，不得强制要求消费者对手机号、微信号等个人信息进行注册或授权，不得过度收集消费者信息;要求餐饮服务经营者对已收集的消费者信息必须严格保密，不得泄露、出售或者非法向他人提供，未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息;还要求餐饮企业只提供扫码点餐服务而不提供人工点餐服务的，要在经营场所显著位置标注“本店仅提供扫码点餐”，增加消费者的自主选择权，也鼓励保留实体菜单、人工点餐等方式。

虽然从效力上来说，该《指引》不具有法律法规的强制约束力，但其在《消费者权益保护法》《个人信息保护法》等相关法律法规的基础上作出了进一步的细化规定。从过去立法当中的原则性规定，进一步细化明确餐饮商家在扫描点餐服务中具体应该怎么做，哪些事项不能做，哪些事项鼓励做，使得餐饮服务者在经营过程中有了更为具体明确的规范指引，也有利于市场监管部门在执法过程中，有的放矢地提出合理化的整改意见。一旦经营者违反相关法律法规，市场监管部门有权对经营者的违法行为进行查处。未来，如果该《指引》在徐汇区试行的效果反响良好，可以考虑将《指引》推广到上海市，下一步也可以适时提高《指引》的立法层级，扩大其约束力和影响力。

在执法层面，2021年3月，杭州市江干区市场监督管理局在对辖区内餐饮企业进行检查时，发现餐饮门店几乎全部使用扫码点餐，在顾客开启授权的过程当中，商家已经获取了顾客个人消费信息，随后执法部门要求涉嫌强制扫码点餐的餐饮单位进行限期整改。

在社会层面，2021年5月，深圳市消委会联合该市福田区消委会推出的全国首个《扫码消费行业自律承诺》，覆盖了个人信息保护相关内容，包括用户在购物中心缴纳停车费无须授权微信头像、昵称、性别等非必要信息;商家收集用户个人信息要遵循合法、正当、必要性原则等。

2021年5月，中国烹饪协会发出《关于完善餐饮企业“扫码点餐”信息化服务方式的倡议》，倡导餐饮单位在提供“扫码点餐”服务时，应采用技术措施确保用户个人信息的安全，防止用户个人信息的泄露、丢失，保障用户的合法权益，同时应保障用户对是否接受“扫码点餐”服务的自主选择权。

2021年12月，腾讯公司通过微信公众平台向开发者推送了关于自查“扫码点餐强制关注公众号”问题的通知，提醒开发者自查是否存在此类问题，并及时进行改正，核查后仍未改正的，将被限制通过二维码打开公众号的功能。

对于餐饮商家来说，不应强制用户以关注餐厅公众号作为点餐前提，“强制关注”一方面是损害了消费者本应享有的“选择同意”的权利，另一方面也属于《微信公众平台服务协议》中所明确禁止的行为;建议餐厅经营者应当为拒绝授权的消费者提供替代性解决方案，在除扫码之外，提供纸质菜单、人工点餐的方式，充分保障消费者的自主选择权。

餐饮商家在扫码点餐时应当主动向消费者告知需要收集的个人信息类型及收集目的，这既是《个人信息保护法》的要求，也是餐厅运营者在使用公众平台服务时应遵守的平台义务;餐饮商家还应当遵守“最小必要”的数据处理原则，即便商家在点餐场景下有收集消费者个人信息的需要，也应当将范围控制在与点餐场景必要相关的范围内。

对于消费者来说，应重视自己的个人信息保护，学会运用法律手段保护个人隐私安全;要养成“非必要不提供”的习惯，在点餐时要明确商家收集个人信息的方式、范围、目的和依据，不要轻易将非必要的个人信息提供给商家;要学会主动用法律武器维护自身权益，如果消费者在扫描点餐过程中，个人信息权益受到侵害，可拨打12345、12315进行投诉、反映，倒逼商家规范自身的经营行为。

扫描点餐是餐饮业发展中的技术创新之一，无论如何创新，如何发展，餐饮业始终不变的内核都是服务。餐饮从业者应当在合法合规经营的前提下，坚持以人为本的经营理念，多从消费者的角度换位思考、诚信经营、公平相待，在尊重消费者意愿的基础上，努力为消费者提供更优质、更高效的服务。