3•15涉个人信息重点案件一览
Editor's Note
学习!
The following article is from TMT法律论坛 Author 中伦数据团队
欢迎点击上方 TMT法律论坛 关注我们
导读
News
★
NEWS
★
随着《网络安全法》《民法典》《个人信息保护法》等规范的落地实施,消费者个人信息保护问题逐渐引发社会关注。中央及地方各监管部门亦依法积极履行监管职责,整治各类侵害消费者个人信息权益的违法行为。
目前,消费者个人信息保护现状不容乐观。据中国消费者协会发布的2023年“提振消费信心”消费维权年主题调查结果显示,“个人信息泄露”为当前消费者最为困扰的问题。[注]
图:消费者认为目前消费环境存在的主要问题
今年“3·15”期间,最高人民法院,央视“315晚会”,中国消费者协会,各地网信办、市场监管部门及消费者保护协会等部门机构陆续发布系列侵害消费者权益的典型案例,其中不少涉及消费者个人信息权益侵害。
在此背景下,我们选取了4例与消费者个人信息保护相关的典型案例,结合相关规定及行业良好实践进行简要评述,以供相关行业和领域的企业参考。
[注] 中国消费者协会发布的2023年“提振消费信心”消费维权年主题调查报告参见:
https://cca.org.cn/zxsd/detail/30632.html
目录
1. 餐饮小程序过度收集个人信息被约谈
2. 商家因遭差评擅自公布消费者个人信息构成侵权
3. 人脸识别信息违规采集被处罚
4. 免费破解版App成手机窃听器
01
餐饮小程序过度收集个人信息被约谈
案例来源:上海市网信办、上海市消保委
“3·15”国际消费者权益日前夕,上海市消保委对29家知名度较高的奶茶店和快餐店进行了暗访,发现部分餐饮企业运营的微信小程序存在对到店点餐的消费者强制索取手机号、用户位置精准信息等行为。针对以上问题,上海市网信办已会同市市场监督管理局、市消保委依法对问题严重的餐饮企业开展联合约谈,责令限期整改,并开展相关普法教育。同时要求大众点评、饿了么等平台通过公告、官方微博微信公众号等方式向消费者发出风险提示,并组织平台内餐饮商铺自查整改。
案件快评:
《个人信息保护法》第六条明确规定,“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”。除《个人信息保护法》外,多项针对移动互联网应用程序的规范,如《常见类型移动互联网应用程序必要个人信息范围规定》《移动互联网应用程序信息服务管理规定》《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》等,亦将小程序纳入适用范围,对其个人信息处理活动进行约束。
从监管实践与平台自治上看,小程序过度收集个人信息的问题亦早已受到关注:
2021年11月,海南网信办开展小程序过度收集使用个人信息专项治理,通报多款侵害用户权益小程序;
2022年3月,微信公众平台运营中心发布《关于小程序违规收集手机号行为的规范》推送;
2022年8月,工信部发布2022年第5批,总第25批《关于侵害用户权益行为的App通报》,明确通报8款餐饮类微信小程序存在强制用户使用定向推送功能,强制、频繁、过度索取权限,违规收集个人信息,欺骗误导强迫用户等问题。
从目前的监管实践上看,用户数量较多,所提供服务与个人生活关系较为密切,可能掌握大量个人信息或敏感个人信息的小程序,特别是餐饮类小程序为当前监管的重点,相关小程序运营方应重点注意:
在消费者首次使用小程序时,通过“弹窗”等显著方式提示消费者阅读隐私政策,取得消费者同意或具备其他个人信息处理的合法性基础。
仅在必要范围内收集消费者个人信息,如餐饮外卖类小程序的基本功能服务为“餐饮购买及外送”,必要个人信息范围包括收货人姓名、地址、联系电话、支付时间、支付金额、支付渠道等支付信息;但若不涉及外送,则不应索要消费者(或收货人)姓名、地址、联系电话等信息。例如,消费者扫码点单时,如拒绝提供手机号,仍应允许消费者下单消费;如拒绝提供精准位置信息,仍应允许消费者手动选择门店下单消费。
不应诱导消费者同意授权;且消费者拒绝授权后,不应频繁弹窗申请权限。
以合规方式获取消费者个人信息后,不得违法向第三方提供,避免消费者因收到定向推送的广告营销信息而引发投诉、举报风险。
02
商家因遭差评擅自公布消费者个人信息构成侵权
案例来源:最高人民法院
3月15日,最高人民法院举行新闻发布会,发布十件网络消费典型案例。
在“张某等人诉某商家网络侵权责任纠纷一案”中,原告张某等人因不满被告某商家的“剧本杀”游戏服务,上网发布“差评”,该商家遂在微信公众号发布与张某等人的微信群聊记录、游戏包厢监控视频录像片段、微信个人账号信息,还称“可向公众提供全程监控录像”。张某等人认为商家上述行为侵害其隐私权和个人信息权益,起诉要求商家停止侵权、赔礼道歉及赔偿精神损失等。
审理法院认为,消费者在经营者提供的包间内的活动具有私密性,商家为了澄清“差评”通过微信公众号公开消费者包间内监控录像并称可提供全程录像,构成对消费者隐私权的侵害;商家未经张某等人同意公布其微信个人账号信息,侵害了张某等人的个人信息权益。
案件快评:
《个人信息保护法》第十三条规定了个人信息处理的合法性基础,如个人信息处理者以“同意”为合法性基础处理个人信息的,根据《个人信息保护法》第二十五条的要求,公开其处理的个人信息应取得个人的单独同意。
虽然商家面对消费者的差评,有权作出澄清,但澄清中应注意不得非法公开消费者的个人信息。此外,各应用程序提供者为消费者提供评价或类似功能时,也应注意:
在获得消费者单独同意的情况下(如以同意为合法性基础),方可公开其昵称、评价内容等,单独同意需满足“充分知情(明确处理方式、目的、范围等)”“自主、明确、单独作出”“便捷撤回”“不与其他服务/数据处理活动相捆绑”等要求。
在获取消费者单独同意时,不得提前默认勾选;如消费者不同意公开其个人信息,也不得影响消费者正常使用评价等功能。
展示传播消费者消费体验,公开与消费者的交流内容等场景下,如涉及个人信息,同样也须遵循前述要求。
03
人脸识别信息违规采集被处罚
案例来源:上海市市监局
近期,上海市市场监督管理局从2022年查办的侵害消费者权益案件中,筛选并公布一批典型案例。
在“上海骏亭房地产有限公司侵犯消费者权益案”中,当事人在设立的营销中心大厅布置有4台人脸识别摄像机,对进入人员采集人脸识别信息。经查,当事人采集人脸识别信息时仅提供相关格式条款,未明示收集、使用的目的和范围,未公开收集、使用规则,亦未征得自然人单独同意,且当事人将信息泄露给了第三方,共采集人脸信息20596条,涉及自然人2250个。嘉定区市场监管局依法对当事人作出罚款40万元的行政处罚。
案件快评:
人脸识别信息属于敏感个人信息。根据《个人信息保护法》第二十九条至第三十一条的要求,处理敏感个人信息的,需向消费者额外告知处理敏感个人信息的必要性以及对个人权益的影响,如以同意为合法性基础的,还应当取得消费者的单独同意。
值得关注的是,作为敏感程度较高的个人信息,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《使用人脸识别技术处理个人信息规定》”)《GB/T 41819-2022信息安全技术 人脸识别数据安全要求》等规范就人脸识别信息的处理规定了系列加成要求。了解详情,可点击阅读“明晰人脸识别案件司法裁判规则,推动AI行业规范发展——最高院人脸识别司法解释解读”,“一图读懂国家标准GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》”。
此外,还需注意,根据《个人信息保护法》第二十六条规定,如在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。《使用人脸识别技术处理个人信息规定》中列举了部分公共场所示例,如宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等。
04
免费破解版App成手机窃听器
案例来源:央视
315信息安全实验室技术人员对十余款常用的视频、音乐、小说等应用软件的破解版,即盗版版本,进行了实时监测,发现部分破解版App被嵌入和官方版本毫不相关的第三方插件,即SDK软件包。运行破解版App时,前述SDK软件包即会违法收集消费者个人信息,甚至监听消费者通话,进而实时捕捉和追踪用户动态,形成用户的精准画像,从而推送大量的广告,实现流量变现。
目前,工信部已组织应用分发平台、电商平台、搜索平台第一时间对曝光的破解版App进行排查,处置436条非正规渠道的非法下载链接;并组织相关通信管理局对有关线索进行调查,依法处理违法违规主体。同时,工信部进一步组织专业检测机构对App及软件开发工具包(SDK)开展专项检测。
案件快评:
目前,工信部等监管部门已深化开展App、SDK等应用服务上下游全链条治理工作,“破解版App”内置SDK违规收集个人信息给终端提供者、平台经营者及App提供者均敲响了警钟。
结合《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》《移动互联网应用程序信息服务管理规定》相关规定:
终端提供者应在安装过程中以显著方式告知用户App申请的个人信息权限列表。
平台经营者应采取复合验证等措施,对申请上架的应用程序提供者进行真实身份信息认证;并建立分发明示界面,全量公示在架App,或引导用户从正规渠道下载所分发的App。同时,应建立、披露应用程序审核规则,并对应用程序进行日常安全审核,如发现存在数据安全风险隐患,违法违规收集使用个人信息,损害他人合法权益等的,及时采取警示、暂停服务、拒绝上架、督促整改、下架处置等措施。
App提供者应合规接入、集成SDK,对SDK进行业务性与安全性评估,并监督SDK的个人信息收集行为是否超出约定或用户同意的范围等。
此外,本次“3·15晚会”还曝光恢复出厂设置并非彻底清除手机数据等案例。我们理解,该案例不仅提示消费者如何有效清除手机数据,同时也为企业如何切实履行数据删除义务提供警示。
案例链接:
1. 上海市网信办:
https://mp.weixin.qq.com/s/TrusvZcsNzieGpyb3p2qfQ;
上海市消保委:
https://mp.weixin.qq.com/s/yhUJbNtcGEv_PkrUpi6MVQ
2.最高人民法院:
https://mp.weixin.qq.com/s/oYwsREKnp7JlGQspTNkgUQ
3.上海市市监局:
https://mp.weixin.qq.com/s/K7Q5lPK2ZVOF-pF40YxUDw
4. 央视:
https://tv.cctv.com/2023/03/15/VIDAmWrH1iEEkbQVz1OW3fJX230315.shtml
本期编辑:陈瑊 陈煜烺 林婉琪