上海市网信办发布《咖啡消费场景违法违规收集使用个人信息案例解析》(一)
为进一步强化咖啡企业合规意识,有效指导企业落实个人信息处理者法律责任,保护咖啡消费者个人信息安全,保障消费者体验服务品质,上海市网信办根据前期巡查情况,梳理了该场景下六类常见违法违规问题,分两期发布解析,以案释法,督促《个人信息保护法》相关规定要求得到有效落实。现发布第一期案例解析。
第一类问题:强制或默认同意隐私政策
案例1:消费者首次使用某咖啡点单微信小程序时,该小程序弹窗提示消费者阅读隐私政策,但未提供拒绝选项。
案例2:消费者使用某咖啡点单微信小程序下单支付时,该下单页面默认勾选0元入会按钮,且默认“我已阅读并同意《会员服务协议》”。
违法违规点:案例1中小程序向消费者弹窗提示阅读隐私政策时,只有“详见《隐私权政策》”字样,未向消费者提供拒绝选项,消费者只得点击弹窗页面进入小程序,该行为可认定为“强制同意隐私政策行为”;案例2中小程序在下单支付页面默认同意《会员服务协议》,且《会员服务协议》包含个人信息使用、共享等相关处理规则,可视为隐私政策,因此该行为可认定为“默认同意隐私政策行为”。以上两种违法违规行为侵害了消费者个人信息权益。
相关法律条文:《个人信息保护法》第十五条规定,基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。《App违法违规收集使用个人信息行为认定方法》第三条第四款规定,以默认选择同意隐私政策等非明示方式征求用户同意,可被认定为“未经用户同意收集使用个人信息”。
第二类问题:隐私政策缺失、不实或不完整问题
案例3:消费者使用某咖啡点单微信小程序时,该小程序虽弹窗提示消费者阅读隐私政策,但该隐私政策仅为某第三方隐私政策模板。
案例4:消费者使用某咖啡点单小程序时,该小程序隐私政策承诺外送订单功能会在“消费者授权同意前提下”收集精准地理位置信息,但实际使用该功能时,小程序强制消费者授权精准地理位置信息。
案例5:消费者使用某咖啡点单小程序时,该小程序隐私政策包含“微信小程序第三方SDK目录”一节,但未列出具体的第三方SDK清单目录。
违法违规点:案例3中小程序隐私政策实际内容为第三方隐私政策模板,未包含本小程序的个人信息处理者名称、处理目的、处理方式等事项,属于隐私政策缺失问题;案例4中小程序隐私政策写明精准地理位置信息系“授权收集”,但实际操作中却属于“强制收集”,存在隐私政策不实问题;案例5中小程序隐私政策虽然包含个人信息处理规则,但缺少第三方SDK目录,属于隐私政策不完整问题。以上三种行为可被认定为“隐私政策缺失、不实或不完整问题”,侵害了消费者个人信息权益。
相关法律条文:《个人信息保护法》第十七条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限等事项。《App违法违规收集使用个人信息行为认定方法》第三条第九款规定,违反其所声明的收集使用规则,收集使用个人信息,可被认定为“未经用户同意收集使用个人信息”。
案例6:消费者使用某咖啡点单小程序时,该小程序点单功能弹窗索要精准位置信息权限,用户点击拒绝后,仍持续提示用户授权精准位置信息,如果不授权精准位置信息,则无法点单。
案例7:消费者使用某咖啡点单小程序时,该小程序点单功能弹窗申请精准位置信息权限,用户点击就拒绝后,继续弹窗申请精准位置信息权限。
违法违规点:案例6中小程序点单功能强制要求消费者提供精准位置信息;案例7中小程序点单功能频繁弹窗诱导消费者提供精准位置信息。精准位置信息对于点单来说,并非必要信息,案例6和案例7属于强制或频繁诱导收集精准位置信息行为,侵犯消费者个人信息权益。
相关法律条文:《中华人民共和国个人信息保护法》第五条和第六条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。《App违法违规收集使用个人信息行为认定方法》第三条第二款规定,用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用,可被认定为“未经用户同意收集使用个人信息”。
咖啡企业要对照案例解析举一反三进行自查整改,严格遵循收集消费者个人信息“最小必要”和“告知同意”原则,切实履行个人信息保护义务。下一步,上海市网信办将不定期开展“回头看”检查,对整改不力、问题严重的企业将依法立案、从严查处。