中國消費(fèi)者報(bào)報(bào)道(記者武曉莉)上海市網(wǎng)信辦和上海市市場監(jiān)管局近期在個(gè)人信息保護(hù)領(lǐng)域頻頻亮劍。“亮劍浦江•2024”專項(xiàng)執(zhí)法行動(dòng)聚焦咖啡消費(fèi)場景下個(gè)人信息權(quán)益保護(hù)開展專項(xiàng)整治,兩部門已對(duì)星巴克、瑞幸咖啡、Manner Coffee、麥咖啡、Tims天好咖啡、挪瓦咖啡、COSTA COFFEE 、M Stand、Seesaw Coffee、niiice café、Peet's Coffee、庫迪咖啡等24家連鎖咖啡企業(yè)開展普法培訓(xùn)和合規(guī)指導(dǎo)。同時(shí),通過對(duì)該場景下幾類常見違法違規(guī)問題的梳理,發(fā)布咖啡消費(fèi)場所個(gè)人信息保護(hù)案例解析。
“從消費(fèi)者權(quán)益保護(hù)的角度,無論是APP還是微信小程序都需要遵循告知同意的基本原則,充分給予消費(fèi)者選擇權(quán)?!盩alkingData法務(wù)總監(jiān)兼數(shù)據(jù)合規(guī)官葛夢(mèng)瑩對(duì)《中國消費(fèi)者報(bào)》記者說,“保持收集和使用個(gè)人信息的透明度,最大限度地避免消費(fèi)者權(quán)益被侵害,是企業(yè)信息保護(hù)合規(guī)的基本要求。”
問題一:強(qiáng)制或默認(rèn)同意隱私政策
“消費(fèi)者首次使用某咖啡企業(yè)微信小程序點(diǎn)單時(shí),彈窗提示消費(fèi)者閱讀隱私政策,但未提供拒絕選項(xiàng)”“下單頁面默認(rèn)勾選0元入會(huì)按鈕,且默認(rèn)‘我已閱讀并同意《會(huì)員服務(wù)協(xié)議》’”,該行為被認(rèn)定為“強(qiáng)制同意隱私政策行為”和“默認(rèn)同意隱私政策行為”,侵害了消費(fèi)者的個(gè)人信息權(quán)益。
葛夢(mèng)瑩認(rèn)為,“告知—同意”是個(gè)人信息處理規(guī)則的核心內(nèi)容之一,目前不同企業(yè)對(duì)于告知與同意的細(xì)化落地標(biāo)準(zhǔn)有所差異。為了更好地保護(hù)用戶個(gè)人信息權(quán)益,市場監(jiān)管總局、國家標(biāo)準(zhǔn)化管理委員會(huì)于2023年5月23日發(fā)布了GB/T 42574—2023《信息安全技術(shù) 個(gè)人信息處理中告知和同意的實(shí)施指南》,針對(duì)告知要求,特別細(xì)化了三種告知時(shí)機(jī),即首次告知、同步告知、再次告知,盡可能讓用戶對(duì)于個(gè)人信息處理規(guī)制有更清晰的理解,通過優(yōu)化不同階段告知的內(nèi)容和體量,以提升個(gè)人的接受度。
此外,葛夢(mèng)瑩指出,如果入會(huì)涉及次月自動(dòng)續(xù)費(fèi)等操作,若默認(rèn)勾選“自動(dòng)續(xù)費(fèi)”選項(xiàng),則違反了《電子商務(wù)法》相關(guān)規(guī)定。根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)《網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)安全指南》(征求意見稿)關(guān)于自動(dòng)支付扣款的相關(guān)要求,網(wǎng)絡(luò)支付業(yè)務(wù)系統(tǒng)根據(jù)用戶自動(dòng)扣款(代收代扣)授權(quán)協(xié)議自動(dòng)生成自動(dòng)扣款(代收代扣)協(xié)議編號(hào),并在自動(dòng)扣款(代收代扣)交易處理中驗(yàn)證協(xié)議關(guān)系,確保自動(dòng)扣款(代收代扣)業(yè)務(wù)由簽約商戶(收款人)定期發(fā)起,避免未經(jīng)用戶授權(quán)的資金扣劃。
問題二:隱私政策缺失不實(shí)或不完整
“通過微信小程序點(diǎn)單,雖然彈窗提示消費(fèi)者閱讀隱私政策,但該隱私政策僅為第三方隱私政策模板”“小程序隱私政策承諾外送訂單功能會(huì)在‘消費(fèi)者授權(quán)同意前提下’收集精準(zhǔn)地理位置信息,但實(shí)際使用該功能時(shí),小程序強(qiáng)制消費(fèi)者授權(quán)精準(zhǔn)地理位置信息”“咖啡點(diǎn)單小程序隱私政策包含‘微信小程序第三方SDK目錄’一節(jié),但未列出具體清單目錄”。
兩部門解析認(rèn)為,第三方隱私政策模板由于未包含本小程序的個(gè)人信息處理者名稱、處理目的、處理方式等事項(xiàng),屬于隱私政策缺失;隱私政策寫明精準(zhǔn)地理位置信息系“授權(quán)收集”,但實(shí)際操作中卻屬于“強(qiáng)制收集”,存在隱私政策不實(shí)的問題。
葛夢(mèng)瑩認(rèn)為,APP運(yùn)營者在嵌入SDK時(shí),需要告知SDK的名稱及其提供者名稱、聯(lián)系方式、SDK個(gè)人信息處理規(guī)則,否則就屬于隱私政策不完整。SDK的個(gè)人信息保護(hù)規(guī)則可以鏈接文本等方式體現(xiàn),APP如果嵌入一個(gè)或多個(gè)SDK的,可采用表格、鏈接文本等形式在APP個(gè)人信息保護(hù)政策中逐一列舉。此規(guī)定與工業(yè)和信息化部發(fā)布的《關(guān)于開展信息通信服務(wù)感知提升行動(dòng)的通知》中提出的雙清單要求是一致的,即建立已收集個(gè)人信息清單和與第三方(包括SDK)共享個(gè)人信息清單。
問題三:強(qiáng)制或頻繁誘導(dǎo)收集位置信息
“點(diǎn)單時(shí),小程序點(diǎn)單功能彈窗索要精準(zhǔn)位置信息權(quán)限,用戶點(diǎn)擊拒絕后,仍持續(xù)提示用戶授權(quán)精準(zhǔn)位置信息,否則無法點(diǎn)單”“小程序點(diǎn)單功能彈窗申請(qǐng)精準(zhǔn)位置信息權(quán)限,用戶點(diǎn)擊拒絕后,繼續(xù)彈窗申請(qǐng)精準(zhǔn)位置信息權(quán)限”,該行為被認(rèn)定為強(qiáng)制或頻繁誘導(dǎo)收集精準(zhǔn)位置信息行為。
一般情況下,人們認(rèn)為精確位置是點(diǎn)單的必要信息,但兩部門認(rèn)為《個(gè)人信息保護(hù)法》規(guī)定,處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則,不得通過誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。收集個(gè)人信息應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,不得過度收集個(gè)人信息?!禔PP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》規(guī)定,用戶明確表示不同意后,仍收集個(gè)人信息或打開可收集個(gè)人信息的權(quán)限,或頻繁征求用戶同意、干擾用戶正常使用,可被認(rèn)定為“未經(jīng)用戶同意收集使用個(gè)人信息”。精準(zhǔn)位置信息對(duì)于點(diǎn)單來說非必要信息,上述案例侵犯了消費(fèi)者個(gè)人信息權(quán)益。
“合規(guī)操作要求企業(yè)必須嚴(yán)格遵循收集消費(fèi)者個(gè)人信息‘最小必要’和‘告知同意’原則,才能切實(shí)履行個(gè)人信息保護(hù)義務(wù)。”葛夢(mèng)瑩說道。
據(jù)了解,兩部門已要求企業(yè)要對(duì)照案例解析舉一反三進(jìn)行自查整改,整改不力將依法受到處罰。
官方微信公眾號(hào)
官方微博