信息化觀察網(wǎng)

本文來自網(wǎng)信北京。

近期，市網(wǎng)信辦聯(lián)合市交通委、市商務(wù)局、市市場監(jiān)管局、人民銀行北京市分行和市消協(xié)等相關(guān)部門，通過實地暗訪和線上檢測等方式，對市民日常生活消費常用二維碼、小程序進(jìn)行了抽樣測試，并對存在強(qiáng)制關(guān)注、違規(guī)收集使用消費者個人信息等問題的經(jīng)營者展開聯(lián)合約談，督促經(jīng)營者認(rèn)真整改，提高合規(guī)經(jīng)營意識。

為切實有效指導(dǎo)經(jīng)營者充分認(rèn)識消費者個人信息保護(hù)的重要性，清楚了解收集使用消費者個人信息的范圍邊界，進(jìn)一步強(qiáng)化經(jīng)營者的合規(guī)意識，市網(wǎng)信辦聯(lián)合國家互聯(lián)網(wǎng)應(yīng)急中心北京分中心，結(jié)合我市實際情況，按照消費者真實掃碼消費體驗過程中可能遇到問題的先后順序，整理出六類違規(guī)問題，制定《北京市掃碼消費服務(wù)違規(guī)收集使用消費者個人信息案例解析及合規(guī)指引》，現(xiàn)公開發(fā)布。

北京市掃碼消費服務(wù)違規(guī)收集使用消費者個人信息案例解析及合規(guī)指引

為進(jìn)一步規(guī)范我市掃碼消費服務(wù)經(jīng)營行為，切實保護(hù)消費者個人信息合法權(quán)益，綜合對我市提供掃碼消費服務(wù)二維碼抽樣測試情況，對六類常見易發(fā)違規(guī)問題進(jìn)行案例解析，根據(jù)《中華人民共和國個人信息保護(hù)法》《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》等法律法規(guī)，提出六條合規(guī)指引，供全市提供掃碼消費服務(wù)的經(jīng)營者遵照執(zhí)行。

違規(guī)問題及案例解析

問題一：強(qiáng)制或誘導(dǎo)消費者關(guān)注公眾號

案例1：某大型商業(yè)中心掃碼繳停車費

該商業(yè)中心停車場內(nèi)粘貼“先繳費后離場掃碼繳停車費”二維碼，當(dāng)消費者通過微信掃描二維碼時，彈出該商業(yè)中心公眾號，消費者點擊關(guān)注公眾號后，公眾號向消費者發(fā)送一鍵停車?yán)U費小程序鏈接。

案例2：某大型超市掃碼開發(fā)票

消費者在該超市購物時，須通過掃描購物小票上的二維碼開具發(fā)票，過程中強(qiáng)制要求消費者關(guān)注超市公眾號，關(guān)注后向消費者發(fā)送開具電子發(fā)票的鏈接，消費者點擊進(jìn)入方可開具發(fā)票。

違規(guī)行為解析：根據(jù)《中華人民共和國個人信息保護(hù)法》第五條和第六條有關(guān)規(guī)定，處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。案例1中商業(yè)中心停車場內(nèi)粘貼的停車?yán)U費二維碼，實際為商場公眾號二維碼，須關(guān)注該公眾號后才可繳納停車費，屬于誘導(dǎo)消費者關(guān)注公眾號。案例2中超市強(qiáng)制消費者關(guān)注公眾號后才能開具發(fā)票，屬于強(qiáng)制消費者關(guān)注公眾號。上述兩個案例均未采取對個人權(quán)益影響最小的方式處理個人信息，侵害了消費者的個人信息合法權(quán)益。

問題二：未通過彈窗等顯著方式告知消費者隱私政策

案例3：某購物中心掃碼繳停車費

該購物中心停車場在消費者使用掃碼繳納停車費功能時，引導(dǎo)消費者打開購物中心小程序，該小程序在特定功能下會獲取消費者的手機(jī)號碼、精確地理位置等個人信息，但未在首次使用時提示用戶閱讀隱私協(xié)議，并征得用戶同意。

違規(guī)行為解析：根據(jù)《中華人民共和國個人信息保護(hù)法》第十七條有關(guān)規(guī)定，個人信息處理者在處理個人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地向個人告知個人信息的處理目的、處理方式，處理的個人信息種類、保存期限等事項。案例3中購物中心停車?yán)U費小程序在首次使用時，在未提供隱私協(xié)議的情況下直接索要消費者個人信息，屬于未向消費者告知個人信息處理規(guī)則的行為，侵害了消費者的個人信息合法權(quán)益。

問題三：頻繁提示注冊登錄，干擾消費者使用

案例4：某連鎖奶茶店掃碼點餐

在該奶茶店掃碼點餐時，提示用戶使用手機(jī)號等個人信息注冊登錄，在消費者明確拒絕后，仍會以彈窗方式頻繁提示注冊登錄，嚴(yán)重干擾使用。

違規(guī)行為解析：根據(jù)《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》第三條第二項有關(guān)規(guī)定，用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權(quán)限，或頻繁征求用戶同意、干擾用戶正常使用，此類行為可被認(rèn)定為違規(guī)收集用戶個人信息。案例4中商家在消費者掃碼點餐時，多次彈窗提示消費者使用手機(jī)號碼等信息注冊登錄，屬于干擾用戶正常使用行為。

問題四：強(qiáng)制消費者提供與功能無關(guān)的個人信息

案例5：某大型商業(yè)中心掃碼繳停車費

消費者在該商業(yè)中心掃描停車場二維碼時，商家強(qiáng)制要求消費者使用手機(jī)號注冊登錄，注冊時強(qiáng)制要求填寫姓名、出生日期、性別等與提供功能無關(guān)的個人信息。

案例6：某連鎖奶茶店掃碼開發(fā)票

使用該連鎖奶茶店掃碼開發(fā)票服務(wù)時，強(qiáng)制要求用戶填寫手機(jī)號碼，用戶拒絕后提示用戶完善信息，否則無法開具發(fā)票。

違規(guī)行為解析：根據(jù)《中華人民共和國個人信息保護(hù)法》第六條有關(guān)規(guī)定，收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。案例5中商家在消費者繳納停車費時，強(qiáng)制要求用戶提供手機(jī)號、姓名、出生日期、性別等非必要個人信息，用戶拒絕后無法完成停車?yán)U費。案例6中商家在開具發(fā)票時，強(qiáng)制要求消費者提供手機(jī)號碼，消費者拒絕后無法開具發(fā)票。上述兩個案例屬于強(qiáng)制消費者提供非必要個人信息行為，侵害了消費者的個人信息合法權(quán)益。

問題五：違規(guī)向第三方提供消費者個人信息

案例7：某餐飲公司掃碼開發(fā)票

該餐飲公司使用第三方服務(wù)商開發(fā)的發(fā)票助手提供服務(wù)，當(dāng)消費者掃碼開發(fā)票時，未征得消費者同意便跳轉(zhuǎn)到第三方小程序，該小程序強(qiáng)制要求消費者注冊登錄第三方服務(wù)商賬號，用戶拒絕則無法繼續(xù)使用相關(guān)業(yè)務(wù)。

違規(guī)行為解析：根據(jù)《中華人民共和國個人信息保護(hù)法》第二十三條有關(guān)規(guī)定，個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應(yīng)當(dāng)向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。案例7中商家在未經(jīng)消費者同意的情況下將消費者開票信息提供給第三方服務(wù)商，屬于未經(jīng)同意向他人提供個人信息行為，侵害了消費者的個人信息合法權(quán)益。

問題六：未向消費者提供刪除個人信息的功能選項

案例8：某連鎖奶茶店掃碼點餐

消費者使用該奶茶店二維碼掃描點餐時，便進(jìn)入奶茶店小程序，其隱私政策指出會在特定場景下收集消費者的手機(jī)號碼、位置、地址、微信昵稱、頭像等個人信息，但未提供刪除個人信息或注銷賬號相關(guān)功能。

違規(guī)行為解析：根據(jù)《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》第六條第一項有關(guān)規(guī)定，未提供有效的更正、刪除個人信息及注銷用戶賬號功能，可被認(rèn)定為違規(guī)收集使用個人信息行為。案例8中商家在消費者掃碼點餐時，其小程序收集消費者個人信息，但未設(shè)置注銷或刪除個人信息功能，屬于未按法律規(guī)定提供刪除或更正個人信息功能行為，侵害了消費者的個人信息合法權(quán)益。

合規(guī)指引

1.提供掃碼消費服務(wù)的二維碼應(yīng)當(dāng)與提供會員服務(wù)的二維碼予以區(qū)分，以醒目方式提示消費者二維碼的實際作用或功能；不得強(qiáng)迫或誘導(dǎo)消費者關(guān)注經(jīng)營者公眾號，推送營銷信息的，應(yīng)當(dāng)提供退訂或拒絕選項。

2.提供掃碼消費服務(wù)的小程序，在收集消費者個人信息前應(yīng)當(dāng)以彈窗或其他顯著方式向消費者提示隱私政策；不得默認(rèn)勾選同意或僅提供同意選項。

3.提供掃碼消費服務(wù)期間，小程序應(yīng)當(dāng)限制權(quán)限獲取頻次及個人信息采集頻率；不得頻繁彈窗，干擾消費者正常使用。

4.提供掃碼消費服務(wù)的經(jīng)營者在收集使用消費者個人信息時，應(yīng)當(dāng)遵守相關(guān)法律法規(guī)，征得消費者同意；不得以任何形式和理由強(qiáng)迫消費者同意經(jīng)營者收集與其提供服務(wù)無關(guān)的個人信息。

5.提供掃碼消費服務(wù)的經(jīng)營者將消費者個人信息共享至第三方使用前，應(yīng)當(dāng)告知消費者并征得消費者同意；未經(jīng)消費者同意或者消費者明確表示拒絕的，不得將消費者個人信息共享至第三方。

6.提供掃碼消費服務(wù)的經(jīng)營者應(yīng)當(dāng)向消費者提供注銷賬號服務(wù)，不得為賬號注銷功能設(shè)置捆綁注銷、要求消費者提供各種不合理證明等不必要條件。

北京市互聯(lián)網(wǎng)信息辦公室

2023年8月30日