上海市網(wǎng)信辦和上海市市場監(jiān)管局近期在個人信息保護領(lǐng)域頻頻亮劍。“亮劍浦江?2024”專項執(zhí)法行動聚焦咖啡消費場景下個人信息權(quán)益保護開展專項整治,兩部門已對星巴克、瑞幸咖啡、Manner Coffee、麥咖啡、Tims天好咖啡、挪瓦咖啡、COSTA COFFEE 、M Stand、Seesaw Coffee、niiice café、Peet's Coffee、庫迪咖啡等24家連鎖咖啡企業(yè)開展普法培訓(xùn)和合規(guī)指導(dǎo)。同時,通過對該場景下幾類常見違法違規(guī)問題的梳理,發(fā)布咖啡消費場所個人信息保護案例解析。
“從消費者權(quán)益保護的角度,無論是APP還是微信小程序都需要遵循告知同意的基本原則,充分給予消費者選擇權(quán)。”TalkingData法務(wù)總監(jiān)兼數(shù)據(jù)合規(guī)官葛夢瑩對《中國消費者報》記者說,“保持收集和使用個人信息的透明度,最大限度地避免消費者權(quán)益被侵害,是企業(yè)信息保護合規(guī)的基本要求。”
問題一:強制或默認(rèn)同意隱私政策
“消費者首次使用某咖啡企業(yè)微信小程序點單時,彈窗提示消費者閱讀隱私政策,但未提供拒絕選項”“下單頁面默認(rèn)勾選0元入會按鈕,且默認(rèn)‘我已閱讀并同意《會員服務(wù)協(xié)議》’”,該行為被認(rèn)定為“強制同意隱私政策行為”和“默認(rèn)同意隱私政策行為”,侵害了消費者的個人信息權(quán)益。
葛夢瑩認(rèn)為,“告知—同意”是個人信息處理規(guī)則的核心內(nèi)容之一,目前不同企業(yè)對于告知與同意的細(xì)化落地標(biāo)準(zhǔn)有所差異。為了更好地保護用戶個人信息權(quán)益,市場監(jiān)管總局、國家標(biāo)準(zhǔn)化管理委員會于2023年5月23日發(fā)布了GB/T 42574—2023《信息安全技術(shù) 個人信息處理中告知和同意的實施指南》,針對告知要求,特別細(xì)化了三種告知時機,即首次告知、同步告知、再次告知,盡可能讓用戶對于個人信息處理規(guī)制有更清晰的理解,通過優(yōu)化不同階段告知的內(nèi)容和體量,以提升個人的接受度。
此外,葛夢瑩指出,如果入會涉及次月自動續(xù)費等操作,若默認(rèn)勾選“自動續(xù)費”選項,則違反了《電子商務(wù)法》相關(guān)規(guī)定。根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會《網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)安全指南》(征求意見稿)關(guān)于自動支付扣款的相關(guān)要求,網(wǎng)絡(luò)支付業(yè)務(wù)系統(tǒng)根據(jù)用戶自動扣款(代收代扣)授權(quán)協(xié)議自動生成自動扣款(代收代扣)協(xié)議編號,并在自動扣款(代收代扣)交易處理中驗證協(xié)議關(guān)系,確保自動扣款(代收代扣)業(yè)務(wù)由簽約商戶(收款人)定期發(fā)起,避免未經(jīng)用戶授權(quán)的資金扣劃。
問題二:隱私政策缺失不實或不完整
“通過微信小程序點單,雖然彈窗提示消費者閱讀隱私政策,但該隱私政策僅為第三方隱私政策模板”“小程序隱私政策承諾外送訂單功能會在‘消費者授權(quán)同意前提下’收集精準(zhǔn)地理位置信息,但實際使用該功能時,小程序強制消費者授權(quán)精準(zhǔn)地理位置信息”“咖啡點單小程序隱私政策包含‘微信小程序第三方SDK目錄’一節(jié),但未列出具體清單目錄”。
兩部門解析認(rèn)為,第三方隱私政策模板由于未包含本小程序的個人信息處理者名稱、處理目的、處理方式等事項,屬于隱私政策缺失;隱私政策寫明精準(zhǔn)地理位置信息系“授權(quán)收集”,但實際操作中卻屬于“強制收集”,存在隱私政策不實的問題。
葛夢瑩認(rèn)為,APP運營者在嵌入SDK時,需要告知SDK的名稱及其提供者名稱、聯(lián)系方式、SDK個人信息處理規(guī)則,否則就屬于隱私政策不完整。SDK的個人信息保護規(guī)則可以鏈接文本等方式體現(xiàn),APP如果嵌入一個或多個SDK的,可采用表格、鏈接文本等形式在APP個人信息保護政策中逐一列舉。此規(guī)定與工業(yè)和信息化部發(fā)布的《關(guān)于開展信息通信服務(wù)感知提升行動的通知》中提出的雙清單要求是一致的,即建立已收集個人信息清單和與第三方(包括SDK)共享個人信息清單。
問題三:強制或頻繁誘導(dǎo)收集位置信息
“點單時,小程序點單功能彈窗索要精準(zhǔn)位置信息權(quán)限,用戶點擊拒絕后,仍持續(xù)提示用戶授權(quán)精準(zhǔn)位置信息,否則無法點單”“小程序點單功能彈窗申請精準(zhǔn)位置信息權(quán)限,用戶點擊拒絕后,繼續(xù)彈窗申請精準(zhǔn)位置信息權(quán)限”,該行為被認(rèn)定為強制或頻繁誘導(dǎo)收集精準(zhǔn)位置信息行為。
一般情況下,人們認(rèn)為精確位置是點單的必要信息,但兩部門認(rèn)為《個人信息保護法》規(guī)定,處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則,不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。收集個人信息應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍,不得過度收集個人信息!禔PP違法違規(guī)收集使用個人信息行為認(rèn)定方法》規(guī)定,用戶明確表示不同意后,仍收集個人信息或打開可收集個人信息的權(quán)限,或頻繁征求用戶同意、干擾用戶正常使用,可被認(rèn)定為“未經(jīng)用戶同意收集使用個人信息”。精準(zhǔn)位置信息對于點單來說非必要信息,上述案例侵犯了消費者個人信息權(quán)益。
“合規(guī)操作要求企業(yè)必須嚴(yán)格遵循收集消費者個人信息‘最小必要’和‘告知同意’原則,才能切實履行個人信息保護義務(wù)。”葛夢瑩說道。
據(jù)了解,兩部門已要求企業(yè)要對照案例解析舉一反三進行自查整改,整改不力將依法受到處罰。
來源:中國消費者報 武曉莉
紅商網(wǎng)優(yōu)質(zhì)內(nèi)容還將同步分發(fā)到公眾號、視頻號、頭條號、西瓜抖音、網(wǎng)易號、搜狐號、企鵝號、百家號、好看視頻、新浪微博等國內(nèi)主力流量平臺。
|