为切实有效指导经营者充分认识消费者个人信息保护的重要性,清楚了解收集使用消费者个人信息的范围边界,进一步强化经营者的合规意识,市网信办联合国家互联网应急中心北京分中心,结合我市实际情况,按照消费者真实扫码消费体验过程中可能遇到问题的先后顺序,整理出六类违规问题,制定《北京市扫码消费服务违规收集使用消费者个人信息案例解析及合规指引》,现公开发布。
北京市扫码消费服务违规收集使用消费者个人信息案例解析及合规指引
为进一步规范我市扫码消费服务经营行为,切实保护消费者个人信息合法权益,综合对我市提供扫码消费服务二维码抽样测试情况,对六类常见易发违规问题进行案例解析,根据《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规,提出六条合规指引,供全市提供扫码消费服务的经营者遵照执行。
一、违规问题及案例解析
案例1:某大型商业中心扫码缴停车费
案例2:某大型超市扫码开发票
问题二:未通过弹窗等显著方式告知消费者隐私政策
案例3:某购物中心扫码缴停车费
该购物中心停车场在消费者使用扫码缴纳停车费功能时,引导消费者打开购物中心小程序,该小程序在特定功能下会获取消费者的手机号码、精确地理位置等个人信息,但未在首次使用时提示用户阅读隐私协议,并征得用户同意。
违规行为解析:根据《中华人民共和国个人信息保护法》第十七条有关规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限等事项。案例3中购物中心停车缴费小程序在首次使用时,在未提供隐私协议的情况下直接索要消费者个人信息,属于未向消费者告知个人信息处理规则的行为,侵害了消费者的个人信息合法权益。
案例4:某连锁奶茶店扫码点餐
问题四:强制消费者提供与功能无关的个人信息
案例5:某大型商业中心扫码缴停车费
案例6:某连锁奶茶店扫码开发票
使用该连锁奶茶店扫码开发票服务时,强制要求用户填写手机号码,用户拒绝后提示用户完善信息,否则无法开具发票。
违规行为解析:根据《中华人民共和国个人信息保护法》第六条有关规定,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。案例5中商家在消费者缴纳停车费时,强制要求用户提供手机号、姓名、出生日期、性别等非必要个人信息,用户拒绝后无法完成停车缴费。案例6中商家在开具发票时,强制要求消费者提供手机号码,消费者拒绝后无法开具发票。上述两个案例属于强制消费者提供非必要个人信息行为,侵害了消费者的个人信息合法权益。
问题五:违规向第三方提供消费者个人信息
案例7:某餐饮公司扫码开发票
违规行为解析:根据《中华人民共和国个人信息保护法》第二十三条有关规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。案例7中商家在未经消费者同意的情况下将消费者开票信息提供给第三方服务商,属于未经同意向他人提供个人信息行为,侵害了消费者的个人信息合法权益。
问题六:未向消费者提供删除个人信息的功能选项
案例8:某连锁奶茶店扫码点餐
违规行为解析:根据《App违法违规收集使用个人信息行为认定方法》第六条第一项有关规定,未提供有效的更正、删除个人信息及注销用户账号功能,可被认定为违规收集使用个人信息行为。案例8中商家在消费者扫码点餐时,其小程序收集消费者个人信息,但未设置注销或删除个人信息功能,属于未按法律规定提供删除或更正个人信息功能行为,侵害了消费者的个人信息合法权益。
二、合规指引
2.提供扫码消费服务的小程序,在收集消费者个人信息前应当以弹窗或其他显著方式向消费者提示隐私政策;不得默认勾选同意或仅提供同意选项。
3.提供扫码消费服务期间,小程序应当限制权限获取频次及个人信息采集频率;不得频繁弹窗,干扰消费者正常使用。
5.提供扫码消费服务的经营者将消费者个人信息共享至第三方使用前,应当告知消费者并征得消费者同意;未经消费者同意或者消费者明确表示拒绝的,不得将消费者个人信息共享至第三方。
6.提供扫码消费服务的经营者应当向消费者提供注销账号服务,不得为账号注销功能设置捆绑注销、要求消费者提供各种不合理证明等不必要条件。