中國消費者報報道（記者武曉莉）上海市網(wǎng)信辦和上海市市場監(jiān)管局近期在個人信息保護領域頻頻亮劍。“亮劍浦江•2024”專項執(zhí)法行動聚焦咖啡消費場景下個人信息權益保護開展專項整治，兩部門已對星巴克、瑞幸咖啡、Manner Coffee、麥咖啡、Tims天好咖啡、挪瓦咖啡、COSTA COFFEE 、M Stand、Seesaw Coffee、niiice café、Peet's Coffee、庫迪咖啡等24家連鎖咖啡企業(yè)開展普法培訓和合規(guī)指導。同時，通過對該場景下幾類常見違法違規(guī)問題的梳理，發(fā)布咖啡消費場所個人信息保護案例解析。

“從消費者權益保護的角度，無論是APP還是微信小程序都需要遵循告知同意的基本原則，充分給予消費者選擇權。”TalkingData法務總監(jiān)兼數(shù)據(jù)合規(guī)官葛夢瑩對《中國消費者報》記者說，“保持收集和使用個人信息的透明度，最大限度地避免消費者權益被侵害，是企業(yè)信息保護合規(guī)的基本要求?！?/p>

問題一：強制或默認同意隱私政策

“消費者首次使用某咖啡企業(yè)微信小程序點單時，彈窗提示消費者閱讀隱私政策，但未提供拒絕選項”“下單頁面默認勾選0元入會按鈕，且默認‘我已閱讀并同意《會員服務協(xié)議》’”，該行為被認定為“強制同意隱私政策行為”和“默認同意隱私政策行為”，侵害了消費者的個人信息權益。

葛夢瑩認為，“告知—同意”是個人信息處理規(guī)則的核心內(nèi)容之一，目前不同企業(yè)對于告知與同意的細化落地標準有所差異。為了更好地保護用戶個人信息權益，市場監(jiān)管總局、國家標準化管理委員會于2023年5月23日發(fā)布了GB/T 42574—2023《信息安全技術 個人信息處理中告知和同意的實施指南》，針對告知要求，特別細化了三種告知時機，即首次告知、同步告知、再次告知，盡可能讓用戶對于個人信息處理規(guī)制有更清晰的理解，通過優(yōu)化不同階段告知的內(nèi)容和體量，以提升個人的接受度。

此外，葛夢瑩指出，如果入會涉及次月自動續(xù)費等操作，若默認勾選“自動續(xù)費”選項，則違反了《電子商務法》相關規(guī)定。根據(jù)全國信息安全標準化技術委員會《網(wǎng)絡支付服務數(shù)據(jù)安全指南》（征求意見稿）關于自動支付扣款的相關要求，網(wǎng)絡支付業(yè)務系統(tǒng)根據(jù)用戶自動扣款（代收代扣）授權協(xié)議自動生成自動扣款（代收代扣）協(xié)議編號，并在自動扣款（代收代扣）交易處理中驗證協(xié)議關系，確保自動扣款（代收代扣）業(yè)務由簽約商戶（收款人）定期發(fā)起，避免未經(jīng)用戶授權的資金扣劃。

問題二：隱私政策缺失不實或不完整

“通過微信小程序點單，雖然彈窗提示消費者閱讀隱私政策，但該隱私政策僅為第三方隱私政策模板”“小程序隱私政策承諾外送訂單功能會在‘消費者授權同意前提下’收集精準地理位置信息，但實際使用該功能時，小程序強制消費者授權精準地理位置信息”“咖啡點單小程序隱私政策包含‘微信小程序第三方SDK目錄’一節(jié)，但未列出具體清單目錄”。

兩部門解析認為，第三方隱私政策模板由于未包含本小程序的個人信息處理者名稱、處理目的、處理方式等事項，屬于隱私政策缺失；隱私政策寫明精準地理位置信息系“授權收集”，但實際操作中卻屬于“強制收集”，存在隱私政策不實的問題。

葛夢瑩認為，APP運營者在嵌入SDK時，需要告知SDK的名稱及其提供者名稱、聯(lián)系方式、SDK個人信息處理規(guī)則，否則就屬于隱私政策不完整。SDK的個人信息保護規(guī)則可以鏈接文本等方式體現(xiàn)，APP如果嵌入一個或多個SDK的，可采用表格、鏈接文本等形式在APP個人信息保護政策中逐一列舉。此規(guī)定與工業(yè)和信息化部發(fā)布的《關于開展信息通信服務感知提升行動的通知》中提出的雙清單要求是一致的，即建立已收集個人信息清單和與第三方（包括SDK）共享個人信息清單。

問題三：強制或頻繁誘導收集位置信息

“點單時，小程序點單功能彈窗索要精準位置信息權限，用戶點擊拒絕后，仍持續(xù)提示用戶授權精準位置信息，否則無法點單”“小程序點單功能彈窗申請精準位置信息權限，用戶點擊拒絕后，繼續(xù)彈窗申請精準位置信息權限”，該行為被認定為強制或頻繁誘導收集精準位置信息行為。

一般情況下，人們認為精確位置是點單的必要信息，但兩部門認為《個人信息保護法》規(guī)定，處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。收集個人信息應當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息?！禔PP違法違規(guī)收集使用個人信息行為認定方法》規(guī)定，用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權限，或頻繁征求用戶同意、干擾用戶正常使用，可被認定為“未經(jīng)用戶同意收集使用個人信息”。精準位置信息對于點單來說非必要信息，上述案例侵犯了消費者個人信息權益。

“合規(guī)操作要求企業(yè)必須嚴格遵循收集消費者個人信息‘最小必要’和‘告知同意’原則，才能切實履行個人信息保護義務?！备饓衄撜f道。

據(jù)了解，兩部門已要求企業(yè)要對照案例解析舉一反三進行自查整改，整改不力將依法受到處罰。