餐饮企业与SaaS做事商关于数据安然的合同条目设计上

本文梳理了部分头部SaaS做事商与餐饮企业关于数据安全的公开协议，并就干系条款设计提出初步建议，助力餐饮数字化发展。

作者丨余娟娟 袁玥

2024年6月13日，国家发展改革委、农业屯子部、商务部、文化和旅游部和市场监管总局联合发布《关于打造消费新场景造就消费新增长点的方法》（发改就业[2024]840号，以下简称《方法》）。
《方法》环绕餐饮消费、文旅体育消费、购物消费、大宗商品消费、康健养老托育消费和社区做事消费等方面支配了各项重点任务。
个中，在造就餐饮消费新场景方面，提出要“支持餐饮消费智能升级，推进餐饮经营主体数字化改造，提升市场剖析和客户获取能力。
推进餐饮外卖点单和配送智能化升级……”等。
与之对应，中国连锁经营协会与美连合合发布的《2024中国餐饮加盟行业白皮书》指出：“大众化餐饮成为中国餐饮业发展的主流方向，餐饮行业连锁化、数字化、家当化、标准化、绿色化等方面的高质量发展为餐饮‘万店时期’筑起稳定的根基。
[1]”

餐饮数字化改造离不开数字化工具。
本文分为高下两篇，上篇将结合笔者做事餐饮和零售行业SaaS做事商的干系实务履历，就餐饮企业与SaaS做事商之间关于数据归属的条约条款设计提出初步建议，供谈论参考。
下篇将重点谈论餐饮企业与SaaS做事商之间关于数据处理以及数据安全任务划分的条款设计。

一、餐饮数字化涉及的数据类型和特点

1.1 餐饮数字化的观点

根据国家信息中央2023年10月发布的《中国餐饮业数字化发展报告》，餐饮数字化的内涵和外延如下图所示[2]：

摘自《中国餐饮业数字化发展报告》

如上图所示，餐饮数字化包含数字供应链、扫码点餐、移动支付、在线外卖、在线点评、中心厨房等多个运用处景，个中堂食和外卖是最紧张的两大运用处景。
除此之外，餐饮数字化由餐饮企业、餐饮平台、消费者、骑手、供应商和政府监管等多方主体参与。

1.2 餐饮数字化涉及数据的类型

在数据流利领域，餐饮平台向餐饮企业供应数字化方案并处理干系数据。
餐饮数字化紧张网络和处理的数据类型包括但不限于：

（1）订单数据：紧张指订单号、菜品名称、价格、数量、点餐韶光等信息，用于跟踪和管理顾客的订单；

（2）菜品数据：涉及菜品的详细信息，例如菜品列表、菜品分类、菜品口味、质料种别等，用于菜品管理和库存掌握；

（3）库存数据：记录原材料、半成品、成品的库存情形，以及库存预警线等，用于库存管理和原材料采购；

（4）会员数据：包括会员的基本信息、消费记录、积分、充值情形等，用于会员管理和营销活动；

（5）发卖数据：涉及门店的发卖额、订单及客流量、会员数、门店KPI、日花费项等，用于剖析门店的营收情形和趋势；

（6）员工数据：记录员工的基本信息、事情效率、排班情形、培训情形等，用于员工管理和绩效评估；

（7）收银数据：涉及收银结算、移动支付、聚合支付等，用于防止收银损耗和提高收银效率；

（8）营销数据：涉及营销活动的成效，例如活动期间的发卖额、客流量等，用于评估营销策略的效果；

（9）客户反馈数据：网络客户的见地和建议，用于改进做事质量和顾客体验；

（10）食品安全监管数据：监控后厨环境和员工的操作规范，确保食品安全等。

1.3 餐饮数字化涉及数据的特点

如第1.2部分所述，我们创造餐饮数字化管理软件处理的数据有如下三大特点：

第一、软件涉及处理个人信息、金融信息等敏感程度较高的数据，且数据量较大；

第二、软件涉及处理多个数据主体的信息，包括门店、消费者、员工、供应商乃至是金融机构或第三方支付机构等；

第三、餐饮数字化管理软件大部分采取SaaS模式；SaaS做事商并不直接面向消费者，更不参与餐饮门店与消费者之间的交易，而仅仅为门店或餐饮品牌供应产品和技能做事。
在此根本之上，餐饮数字化SaaS做事商在数据安全方面的任务每每与门店和品牌方、第三方机构之间的任务稠浊在一起，明确餐饮数字化SaaS做事商的数据安全任务边界也是十分困难的事情。

二、餐饮数字化各方主体之间的条约关系

2.1 条约关系图

为了方便谈论，以餐饮数字化SaaS做事商为中央，餐饮数字化各方主体之间的条约关系可以简要概括如下：

点击可查看大图

2.2 条约的签署与生效

如上图所示，在商户端，餐饮数字化SaaS做事商与餐饮企业签署《商户做事协议》，常日在餐饮企业注册账号并开始利用数字化管理软件之日起生效。
实践中存在两种情形：（1）餐饮品牌购买SaaS产品后，旗下授朱门店均可利用；（2）门店自行购买SaaS产品。
在消费端，SaaS做事商与消费者签署《用户做事协议》或《平台隐私政策》，常日自消费者扫码/注册账号之时签署并生效。
而针对第三方机构，例如支付机构、配送平台等，SaaS做事商紧张与他们签署《技能做事互助协议》，每每自餐饮数字化管理软件支配履行之日起开始打算做事期。

三、SaaS做事商与餐饮企业之间关于数据合规的条款梳理

针对不同主体之间的数据流利关系，条约紧张对数据的归属、数据的处理、保障数据安全的任务等三大方面进行了约定。
本文仅谈论SaaS做事商与餐饮企业之间关于数据安全的条约约定，SaaS做事商与消费者之间、SaaS做事商与第三方互助机构之间关于数据安全的条约条款将在今后的文章中进行剖析。

我们检索并研究了海内市场上部分头部餐饮数字化管理软件（代名表露为A/B/C/D）和北美市场的头部餐饮数字化SaaS做事商S的公开协议，仅为谈论之目的剖析如下：

3.1 关于数据归属的约定

3.1.1 公开协议的约定

明确数据归属，是划分数据处理权限和保护数据安全任务的根本。
数据归属是指数据的所有权或掌握权，即谁拥有数据、谁能够决定网络数据的办法和目的。

点击可查看大图

如上图所示，餐饮企业与SaaS做事商之间关于数据归属的约定思路各不相同，可以大致分为如下三类：

第一、对数据的归属没有明确约定，但约定了做事商享有数据的利用权。
例如：做事商A约定其对餐饮企业上传的数据具有利用权。
做事商B则进一步明确取得该等数据利用权的目的是为了技能做事的稳定及相应问题（BUG）等的排查、办理。

第二、对数据的归属考试测验进行明确，但界定并不清晰。
例如：做事商C约定用户数据和平台运营数据的所有权及其他干系权利属于做事商C，且是做事商C的商业秘密，但依法属于用户享有的干系权利除外。
那么，什么是依法属于用户享有的干系权利呢？文本中没有明确定义。
这在实际如约过程中就可能会产生争议空间。
做事商D利用商业秘密的观点，约定数据是做事商D的商业秘密，受到干系法律法规的保护。
但是，数据归属和商业秘密并不是一个观点。
根据我国《反不正当竞争法》第九条的规定，商业秘密是指不为"大众年夜众所知悉、具有商业代价并经权利人采纳相应保密方法的技能信息、经营信息等商业信息。
协议约定数据属于做事商的商业秘密，只是强调了做事商对该等信息负有保密的责任和任务；但纵然是归属于餐饮企业或第三方的数据，也可能构成做事商的商业秘密，属于做事商应该保密的范畴。
因此，从该等约定来看，我们理解做事商C和D是试图对数据的归属进行明确，但是条款设计上仍有歧义和不足完善的地方。

第三、放弃对数据归属的约定，转而从利用权能的角度，列举行事商利用数据的权利。
即境外做事商S对商户上传的内容有权利用、复制、修正、改编、发布、准备衍生作品、分发、公开演出和公开展示等，列举式的约定了多种利用的权能。

3.1.2 判断数据归属的成分

那么，应该如何判断数据的归属呢？我国并没有采取欧盟《通用数据保护条例》（GDPR）的做法，对数据掌握者和数据处理者进行划分。
但是，我们可以从国家干系政策和立法演化中，窥见数据角色划分的紧张参考成分。
中共中心、国务院2022年12月2日发布的《关于构建数据根本制度更好发挥数据要素浸染的见地》（以下简称《数据二十条》）第二条第（三）款提出：“根据数据来源和数据天生特色，分别界天命据生产、流利、利用过程中各参与方享有的合法权利，建立数据资源持有权、数据加工利用权、数据产品经营权平分置的产权运行机制，推进非公共数据按市场化办法‘共同利用、共享收益’的新模式，为激活数据要素代价创造和代价实现供应根本性制度保障。
”《数据二十条》提出了根据数据来源和数据的天生特色界天命据归属、划分数据参与主体的角色的辅导性方向。

同时，我国《个人信息保护法》提出了“个人信息处理者”的观点。
《个人信息保护法》第二十条规定：“两个以上的个人信息处理者共同决定个人信息的处理目的和处理办法的，应该约定各自的权利和责任。
”根据本条规定，判断个人信息处理者的标准是哪一方决定个人信息的处理目的和处理办法。
这个标准和GDPR的规定类似。

我们考试测验将上述的参考成分适用到餐饮数字化的场景中：

（1）从数据来源和数据的天生特色角度来看：餐饮企业与SaaS做事商之间，数据紧张来源于餐饮企业，是餐饮企业及其门店上传或操作系统的行为形成了干系数据。
范例的场景为餐饮连锁店的管理模式：SaaS系统在连锁门店布放和履行之后，门店事情职员操作系统将当天的经营数据包括但不限于配餐数据、订单数据、物流运输数据、收入现金流等上传到云端，方便餐饮企业总部进行查阅，判断门店在某一特定时期的经营状况。
据此，原则上该等数据应该归属于餐饮企业。

（2）从决定数据的处理目的和处理办法的角度来看：餐饮企业是决定数据处理目的的第一决策者也是第一任务人，SaaS做事商仅为餐饮企业供应技能做事。
但是，SaaS做事商也存在对该等数据进行编辑、加工或剖析的可能。
例如餐饮排行榜的发布，平台做事商通过剖析门店的餐品特色、用餐环境、消费者的体验等，推出各大排行榜、推举榜等，这种榜单背后反响的是SaaS做事商或平台企业的大数据剖析能力，其目的是为了推广SaaS做事商的增值做事、增强客户黏度。
因此，餐饮企业和SaaS做事商都有可能决定数据的处理目的和处理办法。
对该等加工数据的归属，我们认为可以视情形约定由餐饮企业与SaaS做事商共享、或完备归属于SaaS做事商。

3.1.3 我们的建议

综上所述，我们认为关于数据归属的约定，可以采取二分法的方法。
对付餐饮企业及其门店在日常经营活动过程中上传的原始数据，应该归属于餐饮企业；对付SaaS做事商将平台上累积的原始数据进行编辑、剖析、处理后形成的加工数据，则可以根据商业本色由双方协商同等决定由餐饮企业与SaaS做事商共享或完备归属于SaaS做事商。
此外，我们也建议在数据归属条款中保留餐饮企业对SaaS做事商的必要授权。
纵然是完备归属于餐饮企业的原始数据，也应该授权SaaS做事商在供应技能做事、履行系统检修、运维、故障打消等事情中进行必要的处理。

结语

明确数据归属是厘清餐饮数字化场景下各方权利责任的第一步，第二步是数据处理的授权，尤其是归属于餐饮企业的数据，餐饮企业可以授权SaaS做事商进行何种范围、何种程度的处理。
在此根本上，本文下篇将进一步剖析餐饮企业和SaaS做事商之间关于数据处理授权、数据安全任务划分的条约条款，并为SaaS做事商供应初步建议。

[注]

[1] 详见中国连锁经营协会和美连合合发布的《2024中国餐饮加盟行业白皮书》，下载链接：https://pic01.sq.seqill.cn/uploads/0423/171386473910.pdf 。

[2] 详见国家信息中央2023年10月发布的《中国餐饮业数字化发展报告》，下载链接：http://www.sic.gov.cn/sic/83/260/1020/12139_pc.html 。

特殊声明

以上所刊登的文章仅代表作者本人不雅观点，不代表北京市中伦状师事务所或其状师出具的任何形式之法律见地或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。
未经本所书面授权，不得转载或利用该等文章中的任何内容，含图片、影像等视听资料。
如您故意就干系议题进一步互换或磋商，欢迎与本所联系。