2025年4月,从大张旗鼓杀入美团腹地至今,京东外卖攻城掠地,日订单已破1000万!恭喜东哥,早已将京东集团、京东物流、京东健康、达达集团、德邦股份等5个IPO收入囊中,京东工业已箭在弦上,加上外卖未来也是指日可待。
但问题来了,同样4月,在京东商城美的智能家居自营旗舰店上发生的事,从询问我们有关个人信息保护的客户小风切身经历来看,却似后院起火。据数治网DTZed了解,客户4月13日在京东商城上下单上门测量服务,不料遭遇盗用个人信息、套路以及投诉无门的“三连”结果。
01 京东自营闹心“三连”始末
我们先一起来回看事情的完整经过,因客户有对门两套房的厨卫要翻新,在和美的智能家居京东自营旗舰店客服确认京东师傅上门后:
1. 客户下单美的吊顶的上门测量服务,同时提供手机号;
2. 客户莫名收到来自匠X多的到家服务接单信息;
3. 客户接到美的吊顶经销商电话确认上门服务;
4. 美的吊顶经销商的师傅按约定上门完成测量画图;
5. 再次接到美的吊顶经销商电话要求让自营店加单;
6. 客户和美的智能家居自营店客服说明加单,反被要求再次下单;
7. 客户明确订单页面并无标明按套收取上门费用;
8. 客户再被美的智能家居自营店客服要求购买8平方米以上才可退费;
9. 客户投诉到京东Plus专属客服,提供以上接单和对话截图;
10. 在4月16日,客户接到第二次京东客服来电,上报部门处理;
11. 到5月2日再无答复,客户却收到客服满意度调查填写邮件。
02 个人信息保护核心规则
经我们核查,匠X多是阿里战投旗下的到家服务平台,为什么京东自营店放着自己的到家服务不派单,反而在三方平台上盗用客户的个人信息去注册下单?这虽然让人费解,但上门服务涉及客户的姓名、手机号和地址,对于任一平台或App在个人信息处理时,凡是涉及到使用个人信息的首要一条是“告知-同意”。
到此我们可以明了,在无明确告知客户,且没有取得客户同意的情况下,京东商城美的智能家居自营旗舰店私自使用客户的个人信息在第三方服务平台上注册,这已涉嫌违反《个人信息保护法》。
我们从以往发布的有关个人信息保护的多篇文章来看,首先在《APP个人信息处理合规要点“告知-同意”标准应用》一篇中,对个人信息数据处理中“告知-同意”的相关法律法规、内涵及相关合规标准展开讨论,以供App运营者理解和落地“告知-同意”相关要求时参考。
2021年,《中华人民共和国个人信息保护法》将“告知-同意”进一步具体化,正式确立了以“告知-同意”为核心的个人信息保护规则。
个保法中的“告知”与“同意”
国家标准GB/T 42574-2023 《信息安全技术 个人信息处理中告知和同意的实施指南 》给出了个人信息处理者处理个人信息时,向主体告知处理规则、取得个人同意的实施方法和步骤。
在《被洒咖啡粉事不小 在个人信息上违法违规事更大》一篇中,上海市网信办根据前期巡查情况,梳理了该场景下六类常见违法违规问题,以案释法,督促《个人信息保护法》相关规定要求得到有效落实。
其中提到:
《个人信息保护法》第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
《个人信息保护法》第十七条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限等事项。
《个人信息保护法》第四十七条和第五十条规定,个人撤回同意时,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。个人信息处理者应当为消费者建立行使个人信息权利的申请受理和处理机制,提供便捷的删除渠道和功能。
客户在说明情况时已和数治网DTZed表示,到目前京东商城美的智能家居自营旗舰店没有任何表示,京东客服也再没有任何答复和处理,更是无法提出删除请求。尽管对于此次的遭遇感到非常无语和不快,只希望通过现身说法,让大家对个人信息保护有个切实的了解,能够维护自身的合法权益。
而且,在《北京互联网法院发布个人信息保护典型案例》一篇中,也已明确民法典和个人信息保护法的具体适用标准,强化个人信息处理合规体系建设,并建议有关部门普及个人信息维权救济手段,降低维权成本。
03 互联网平台合规路漫漫
互联网平台发展至今,对于个人信息处理、合规审计、数据报送等从国家标准到管理办法都已陆续颁布实施,首先我们先从《国标“GB/T 44588 个人信息处理规则”收集使用条款解读》来看。
GB/T 44588-2024《数据安全技术 互联网平台及产品服务个人信息处理规则》已于2025年4月1日正式开始实施,规定了互联网平台及产品服务个人信息处理规则的基本要求、编制程序、规则内容和发布形式等要求。
其次,《速看!个人信息保护合规审计新规,5月1日起正式实施》,为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。
其中在第十二条明确提到,处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。
而在《做好规范报送:网络交易合规小数据带来行业健康大作用》中,《办法》也已于4月25日起正式施行,要求遵照“最小必要”原则,网络交易数据报送范围、频次、利用、处理等与监管目标成比例,做到克制收集、依法利用、安全处理。
就如《个人信息安全规范的“最小必要”标准条款应用解析》提到的,以保障用户隐私为首要任务,从GB/T 35273《信息安全技术 个人信息安全规范》的要求出发,做到收集个人信息是合理、必要、最小化的。
从以往我们和京东云的接触了解,他们确实在政府和行业的数据治理上有建树,不过京东集团自身的商城自营店又为什么会出现数据伦理和素养上的缺失?!如有需要,数治网DTZed 很乐意为全员送出这一课,完全免费!
因为数据治理不仅是确保数据质量和安全的基础,也是推动组织战略增长和创新的必要条件。通过建立完善的数据治理框架,组织可以提高数据的可信度和可用性,促进数据共享与协作,培养数据驱动的企业文化,构建可持续的数据生态系统。
以下课件示例,点击图片查看高清大图:
个人信息无小事,如果在本文中所发生的,是京东商城上的自营店有意为之才真让人后怕,与第三方平台勾结,图一时用户注册增长之利,而放任个人信息安全于不顾。我们唯有寄希望于重要互联网平台能从法律、规范到标准都能条条落到实处,真正做好个人信息保护。
来源:数治网DTZed,图片:Markus Winkler,Unsplash
-228x171.jpg)
-228x171.jpg)
2 评论