中國(guó)消費(fèi)者報(bào)報(bào)道（記者武曉莉）上海市網(wǎng)信辦和上海市市場(chǎng)監(jiān)管局近期在個(gè)人信息保護(hù)領(lǐng)域頻頻亮劍。“亮劍浦江•2024”專項(xiàng)執(zhí)法行動(dòng)聚焦咖啡消費(fèi)場(chǎng)景下個(gè)人信息權(quán)益保護(hù)開(kāi)展專項(xiàng)整治，兩部門已對(duì)星巴克、瑞幸咖啡、Manner Coffee、麥咖啡、Tims天好咖啡、挪瓦咖啡、COSTA COFFEE 、M Stand、Seesaw Coffee、niiice café、Peet's Coffee、庫(kù)迪咖啡等24家連鎖咖啡企業(yè)開(kāi)展普法培訓(xùn)和合規(guī)指導(dǎo)。同時(shí)，通過(guò)對(duì)該場(chǎng)景下幾類常見(jiàn)違法違規(guī)問(wèn)題的梳理，發(fā)布咖啡消費(fèi)場(chǎng)所個(gè)人信息保護(hù)案例解析。

“從消費(fèi)者權(quán)益保護(hù)的角度，無(wú)論是APP還是微信小程序都需要遵循告知同意的基本原則，充分給予消費(fèi)者選擇權(quán)?！盩alkingData法務(wù)總監(jiān)兼數(shù)據(jù)合規(guī)官葛夢(mèng)瑩對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō)，“保持收集和使用個(gè)人信息的透明度，最大限度地避免消費(fèi)者權(quán)益被侵害，是企業(yè)信息保護(hù)合規(guī)的基本要求?！?/p>

問(wèn)題一：強(qiáng)制或默認(rèn)同意隱私政策

“消費(fèi)者首次使用某咖啡企業(yè)微信小程序點(diǎn)單時(shí)，彈窗提示消費(fèi)者閱讀隱私政策，但未提供拒絕選項(xiàng)”“下單頁(yè)面默認(rèn)勾選0元入會(huì)按鈕，且默認(rèn)‘我已閱讀并同意《會(huì)員服務(wù)協(xié)議》’”，該行為被認(rèn)定為“強(qiáng)制同意隱私政策行為”和“默認(rèn)同意隱私政策行為”，侵害了消費(fèi)者的個(gè)人信息權(quán)益。

葛夢(mèng)瑩認(rèn)為，“告知—同意”是個(gè)人信息處理規(guī)則的核心內(nèi)容之一，目前不同企業(yè)對(duì)于告知與同意的細(xì)化落地標(biāo)準(zhǔn)有所差異。為了更好地保護(hù)用戶個(gè)人信息權(quán)益，市場(chǎng)監(jiān)管總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)于2023年5月23日發(fā)布了GB/T 42574—2023《信息安全技術(shù) 個(gè)人信息處理中告知和同意的實(shí)施指南》，針對(duì)告知要求，特別細(xì)化了三種告知時(shí)機(jī)，即首次告知、同步告知、再次告知，盡可能讓用戶對(duì)于個(gè)人信息處理規(guī)制有更清晰的理解，通過(guò)優(yōu)化不同階段告知的內(nèi)容和體量，以提升個(gè)人的接受度。

此外，葛夢(mèng)瑩指出，如果入會(huì)涉及次月自動(dòng)續(xù)費(fèi)等操作，若默認(rèn)勾選“自動(dòng)續(xù)費(fèi)”選項(xiàng)，則違反了《電子商務(wù)法》相關(guān)規(guī)定。根據(jù)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)《網(wǎng)絡(luò)支付服務(wù)數(shù)據(jù)安全指南》（征求意見(jiàn)稿）關(guān)于自動(dòng)支付扣款的相關(guān)要求，網(wǎng)絡(luò)支付業(yè)務(wù)系統(tǒng)根據(jù)用戶自動(dòng)扣款（代收代扣）授權(quán)協(xié)議自動(dòng)生成自動(dòng)扣款（代收代扣）協(xié)議編號(hào)，并在自動(dòng)扣款（代收代扣）交易處理中驗(yàn)證協(xié)議關(guān)系，確保自動(dòng)扣款（代收代扣）業(yè)務(wù)由簽約商戶（收款人）定期發(fā)起，避免未經(jīng)用戶授權(quán)的資金扣劃。

問(wèn)題二：隱私政策缺失不實(shí)或不完整

“通過(guò)微信小程序點(diǎn)單，雖然彈窗提示消費(fèi)者閱讀隱私政策，但該隱私政策僅為第三方隱私政策模板”“小程序隱私政策承諾外送訂單功能會(huì)在‘消費(fèi)者授權(quán)同意前提下’收集精準(zhǔn)地理位置信息，但實(shí)際使用該功能時(shí)，小程序強(qiáng)制消費(fèi)者授權(quán)精準(zhǔn)地理位置信息”“咖啡點(diǎn)單小程序隱私政策包含‘微信小程序第三方SDK目錄’一節(jié)，但未列出具體清單目錄”。

兩部門解析認(rèn)為，第三方隱私政策模板由于未包含本小程序的個(gè)人信息處理者名稱、處理目的、處理方式等事項(xiàng)，屬于隱私政策缺失；隱私政策寫明精準(zhǔn)地理位置信息系“授權(quán)收集”，但實(shí)際操作中卻屬于“強(qiáng)制收集”，存在隱私政策不實(shí)的問(wèn)題。

葛夢(mèng)瑩認(rèn)為，APP運(yùn)營(yíng)者在嵌入SDK時(shí)，需要告知SDK的名稱及其提供者名稱、聯(lián)系方式、SDK個(gè)人信息處理規(guī)則，否則就屬于隱私政策不完整。SDK的個(gè)人信息保護(hù)規(guī)則可以鏈接文本等方式體現(xiàn)，APP如果嵌入一個(gè)或多個(gè)SDK的，可采用表格、鏈接文本等形式在APP個(gè)人信息保護(hù)政策中逐一列舉。此規(guī)定與工業(yè)和信息化部發(fā)布的《關(guān)于開(kāi)展信息通信服務(wù)感知提升行動(dòng)的通知》中提出的雙清單要求是一致的，即建立已收集個(gè)人信息清單和與第三方（包括SDK）共享個(gè)人信息清單。

問(wèn)題三：強(qiáng)制或頻繁誘導(dǎo)收集位置信息

“點(diǎn)單時(shí)，小程序點(diǎn)單功能彈窗索要精準(zhǔn)位置信息權(quán)限，用戶點(diǎn)擊拒絕后，仍持續(xù)提示用戶授權(quán)精準(zhǔn)位置信息，否則無(wú)法點(diǎn)單”“小程序點(diǎn)單功能彈窗申請(qǐng)精準(zhǔn)位置信息權(quán)限，用戶點(diǎn)擊拒絕后，繼續(xù)彈窗申請(qǐng)精準(zhǔn)位置信息權(quán)限”，該行為被認(rèn)定為強(qiáng)制或頻繁誘導(dǎo)收集精準(zhǔn)位置信息行為。

一般情況下，人們認(rèn)為精確位置是點(diǎn)單的必要信息，但兩部門認(rèn)為《個(gè)人信息保護(hù)法》規(guī)定，處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，不得通過(guò)誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息。收集個(gè)人信息應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息?！禔PP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》規(guī)定，用戶明確表示不同意后，仍收集個(gè)人信息或打開(kāi)可收集個(gè)人信息的權(quán)限，或頻繁征求用戶同意、干擾用戶正常使用，可被認(rèn)定為“未經(jīng)用戶同意收集使用個(gè)人信息”。精準(zhǔn)位置信息對(duì)于點(diǎn)單來(lái)說(shuō)非必要信息，上述案例侵犯了消費(fèi)者個(gè)人信息權(quán)益。

“合規(guī)操作要求企業(yè)必須嚴(yán)格遵循收集消費(fèi)者個(gè)人信息‘最小必要’和‘告知同意’原則，才能切實(shí)履行個(gè)人信息保護(hù)義務(wù)?！备饓?mèng)瑩說(shuō)道。

據(jù)了解，兩部門已要求企業(yè)要對(duì)照案例解析舉一反三進(jìn)行自查整改，整改不力將依法受到處罰。