“亮剑浦江·2024”专项执法行动,近期聚焦咖啡消费场景下个人信息权益保护开展专项整治。日前,上海市网信办、市市场监管局已经对星巴克、瑞幸咖啡、Manner Coffee、麦咖啡、Tims天好咖啡、挪瓦咖啡、COSTA COFFEE 、M Stand、Seesaw Coffee、niiice café、Peet’s Coffee、库迪咖啡等24家连锁咖啡企业开展普法培训和合规指导。
为进一步强化咖啡企业合规意识,有效指导企业落实个人信息处理者法律责任,保护咖啡消费者个人信息安全,保障消费者体验服务品质,上海市网信办根据前期巡查情况,梳理了该场景下六类常见违法违规问题,以案释法,督促《个人信息保护法》相关规定要求得到有效落实。
第一类问题:强制或默认同意隐私政策
案例1:消费者首次使用某咖啡点单微信小程序时,该小程序弹窗提示消费者阅读隐私政策,但未提供拒绝选项。
案例2:消费者使用某咖啡点单微信小程序下单支付时,该下单页面默认勾选0元入会按钮,且默认“我已阅读并同意《会员服务协议》”。
违法违规点:案例1中小程序向消费者弹窗提示阅读隐私政策时,只有“详见《隐私权政策》”字样,未向消费者提供拒绝选项,消费者只得点击弹窗页面进入小程序,该行为可认定为“强制同意隐私政策行为”;案例2中小程序在下单支付页面默认同意《会员服务协议》,且《会员服务协议》包含个人信息使用、共享等相关处理规则,可视为隐私政策,因此该行为可认定为“默认同意隐私政策行为”。以上两种违法违规行为侵害了消费者个人信息权益。
相关法律条文:《个人信息保护法》第十五条规定,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。《App违法违规收集使用个人信息行为认定方法》第三条第四款规定,以默认选择同意隐私政策等非明示方式征求用户同意,可被认定为“未经用户同意收集使用个人信息”。
第二类问题:隐私政策缺失、不实或不完整问题
案例3:消费者使用某咖啡点单微信小程序时,该小程序虽弹窗提示消费者阅读隐私政策,但该隐私政策仅为某第三方隐私政策模板。
案例4:消费者使用某咖啡点单小程序时,该小程序隐私政策承诺外送订单功能会在“消费者授权同意前提下”收集精准地理位置信息,但实际使用该功能时,小程序强制消费者授权精准地理位置信息。
案例5:消费者使用某咖啡点单小程序时,该小程序隐私政策包含“微信小程序第三方SDK目录”一节,但未列出具体的第三方SDK清单目录。
违法违规点:案例3中小程序隐私政策实际内容为第三方隐私政策模板,未包含本小程序的个人信息处理者名称、处理目的、处理方式等事项,属于隐私政策缺失问题;案例4中小程序隐私政策写明精准地理位置信息系“授权收集”,但实际操作中却属于“强制收集”,存在隐私政策不实问题;案例5中小程序隐私政策虽然包含个人信息处理规则,但缺少第三方SDK目录,属于隐私政策不完整问题。以上三种行为可被认定为“隐私政策缺失、不实或不完整问题”,侵害了消费者个人信息权益。
相关法律条文:《个人信息保护法》第十七条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限等事项。《App违法违规收集使用个人信息行为认定方法》第三条第九款规定,违反其所声明的收集使用规则,收集使用个人信息,可被认定为“未经用户同意收集使用个人信息”。
第三类问题:强制或频繁诱导收集精准位置信息问题
案例6:消费者使用某咖啡点单小程序时,该小程序点单功能弹窗索要精准位置信息权限,用户点击拒绝后,仍持续提示用户授权精准位置信息,如果不授权精准位置信息,则无法点单。
案例7:消费者使用某咖啡点单小程序时,该小程序点单功能弹窗申请精准位置信息权限,用户点击就拒绝后,继续弹窗申请精准位置信息权限。
违法违规点:案例6中小程序点单功能强制要求消费者提供精准位置信息;案例7中小程序点单功能频繁弹窗诱导消费者提供精准位置信息。精准位置信息对于点单来说,并非必要信息,案例6和案例7属于强制或频繁诱导收集精准位置信息行为,侵犯消费者个人信息权益。
相关法律条文:《中华人民共和国个人信息保护法》第五条和第六条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。《App违法违规收集使用个人信息行为认定方法》第三条第二款规定,用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用,可被认定为“未经用户同意收集使用个人信息”。
第四类问题:诱导收集手机号码或关注公众号问题
案例8:消费者使用某咖啡点单微信小程序时,该小程序弹窗提示消费者提供手机号码用于注册会员,点击拒绝后,第二次继续弹窗向消费者申请授权手机号码。
案例9:消费者每次使用某咖啡点单微信小程序点单时,小程序均会弹窗向消费者提示“请先点击关注公众号再点餐”。
违法违规点:案例8中小程序点单页面里,“暂不授权”选项相比“一键授权手机号码”选项的字号,明显偏小,且消费者选择暂不授权后,该小程序立即第二次弹窗申请消费者授权,该行为可认定为“诱导收集手机号码行为”;案例9中小程序在消费者每次使用点单功能时均会弹窗提示关注公众号,诱导消费者并干扰消费者正常点单,该行为可认定为“诱导关注公众号行为”。以上两种违法违规行为侵害了消费者个人信息权益。
相关法律条文:《个人信息保护法》第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。《App违法违规收集使用个人信息行为认定方法》第三条第二款规定,用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用,可被认定为“未经用户同意收集使用个人信息”。
第五类问题:未提供关闭定向推送功能问题
案例10:消费者使用某咖啡点单微信小程序时,该小程序隐私政策声称会提供个性化内容展示和推荐的功能,但未提供关闭的渠道。
违法违规点:案例10中小程序隐私政策已声明会提供个性化推送的功能,但并未说明如何关闭该功能,也没有提供非个性化推动信息的选项,侵害了消费者个人信息权益。
相关法律条文:《个人信息保护法》第二十四条规定,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。《App违法违规收集使用个人信息行为认定方法》第三条第六款规定,利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项,可被认定为“未经用户同意收集使用个人信息”。
第六类问题:未提供删除个人信息功能问题
案例11:消费者使用某咖啡点单小程序时,未提供账号注销渠道和功能。
违法违规点:案例11中小程序隐私政策中未提供账号注销渠道,且小程序中未发现账号注销功能,侵犯了消费者删除个人信息的权利,损害了消费者个人信息保护权益。
相关法律条文:《个人信息保护法》第四十七条和第五十条规定,个人撤回同意时,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。个人信息处理者应当为消费者建立行使个人信息权利的申请受理和处理机制,提供便捷的删除渠道和功能。《App违法违规收集使用个人信息行为认定方法》第六条第一款规定,未提供有效的更正、删除个人信息及注销用户账号功能,可被认定为“未按法律规定提供删除或更正个人信息功能”。
咖啡企业要对照案例解析举一反三进行自查整改,严格遵循收集消费者个人信息“最小必要”和“告知同意”原则,切实履行个人信息保护义务。下一步,上海市网信办将不定期开展“回头看”检查,对整改不力、问题严重的企业将依法立案、从严查处。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索个人信息等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。