《中华人民共和国个人信息保护法》第四条
“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”
《中华人民共和国个人信息保护法》第十三条
“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”
从法律角度看,消费数据(尤其是其中包含的个人信息)的归属并非简单的“属于”或“不属于”某一方,而是涉及所有权、处理权、使用权等多重权利的划分。核心在于这些数据是个人信息,其权利主体是消费者个人。餐厅或平台作为数据处理者,在合法合规的前提下,拥有对这些数据的处理权和使用权,但其前提是尊重和保护消费者的个人信息权益。
综合来看,扫码点餐收集的消费数据在法律上首先属于消费者的个人信息。餐厅或平台作为数据处理者,在履行法定义务(如告知、获取同意、保障安全)的前提下,可以合法地处理和使用这些数据,但所有权和使用权的主体是分离的。消费者对其个人信息拥有最终的控制权。
建议:
在处理此类数据时,任何一方都应以尊重和保护消费者个人信息权益为前提,确保数据处理的合法、正当、必要和安全。
