近期,市网信办联合市交通委、市商务局、市市场监管局、人民银行北京市分行和市消协等相关部门,通过实地暗访和线上检测等方式,对市民日常生活消费常用二维码、小程序进行了抽样测试,并对存在强制关注、违规收集使用消费者个人信息等问题的经营者展开联合约谈,督促经营者认真整改,提高合规经营意识。
为切实有效指导经营者充分认识消费者个人信息保护的重要性,清楚了解收集使用消费者个人信息的范围边界,进一步强化经营者的合规意识,市网信办联合国家互联网应急中心北京分中心,结合我市实际情况,按照消费者真实扫码消费体验过程中可能遇到问题的先后顺序,整理出六类违规问题,制定《北京市扫码消费服务违规收集使用消费者个人信息案例解析及合规指引》,现公开发布。
北京市扫码消费服务违规收集使用
消费者个人信息案例解析及合规指引
为进一步规范我市扫码消费服务经营行为,切实保护消费者个人信息合法权益,综合对我市提供扫码消费服务二维码抽样测试情况,对六类常见易发违规问题进行案例解析,根据《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规,提出六条合规指引,供全市提供扫码消费服务的经营者遵照执行。
一、违规问题及案例解析
问题一:强制或诱导消费者关注公众号
案例1:某大型商业中心扫码缴停车费
该商业中心停车场内粘贴“先缴费后离场扫码缴停车费”二维码,当消费者通过微信扫描二维码时,弹出该商业中心公众号,消费者点击关注公众号后,公众号向消费者发送一键停车缴费小程序链接。
案例2:某大型超市扫码开发票
消费者在该超市购物时,须通过扫描购物小票上的二维码开具发票,过程中强制要求消费者关注超市公众号,关注后向消费者发送开具电子发票的链接,消费者点击进入方可开具发票。
违规行为解析
:根据《中华人民共和国个人信息保护法》第五条和第六条有关规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。案例1中商业中心停车场内粘贴的停车缴费二维码,实际为商场公众号二维码,须关注该公众号后才可缴纳停车费,属于诱导消费者关注公众号。案例2中超市强制消费者关注公众号后才能开具发票,属于强制消费者关注公众号。上述两个案例均未采取对个人权益影响最小的方式处理个人信息,侵害了消费者的个人信息合法权益。
问题二:未通过弹窗等显著方式告知消费者隐私政策
案例3:某购物中心扫码缴停车费
该购物中心停车场在消费者使用扫码缴纳停车费功能时,引导消费者打开购物中心小程序,该小程序在特定功能下会获取消费者的手机号码、精确地理位置等个人信息,但未在首次使用时提示用户阅读隐私协议,并征得用户同意。
违规行为解析
:根据《中华人民共和国个人信息保护法》第十七条有关规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限等事项。案例3中购物中心停车缴费小程序在首次使用时,在未提供隐私协议的情况下直接索要消费者个人信息,属于未向消费者告知个人信息处理规则的行为,侵害了消费者的个人信息合法权益。
问题三:频繁提示注册登录,干扰消费者使用
案例4:某连锁奶茶店扫码点餐
在该奶茶店扫码点餐时,提示用户使用手机号等个人信息注册登录,在消费者明确拒绝后,仍会以弹窗方式频繁提示注册登录,严重干扰使用。
违规行为解析
:根据《App违法违规收集使用个人信息行为认定方法》第三条第二项有关规定,用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用,此类行为可被认定为违规收集用户个人信息。案例4中商家在消费者扫码点餐时,多次弹窗提示消费者使用手机号码等信息注册登录,属于干扰用户正常使用行为。
问题四:强制消费者提供与功能无关的个人信息
案例5:某大型商业中心扫码缴停车费
消费者在该商业中心扫描停车场二维码时,商家强制要求消费者使用手机号注册登录,注册时强制要求填写姓名、出生日期、性别等与提供功能无关的个人信息。
案例6:某连锁奶茶店扫码开发票
使用该连锁奶茶店扫码开发票服务时,强制要求用户填写手机号码,用户拒绝后提示用户完善信息,否则无法开具发票。
违规行为解析
:根据《中华人民共和国个人信息保护法》第六条有关规定,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。案例5中商家在消费者缴纳停车费时,强制要求用户提供手机号、姓名、出生日期、性别等非必要个人信息,用户拒绝后无法完成停车缴费。案例6中商家在开具发票时,强制要求消费者提供手机号码,消费者拒绝后无法开具发票。上述两个案例属于强制消费者提供非必要个人信息行为,侵害了消费者的个人信息合法权益。
问题五:违规向第三方提供消费者个人信息
案例7:某餐饮公司扫码开发票
该餐饮公司使用第三方服务商开发的发票助手提供服务,当消费者扫码开发票时,未征得消费者同意便跳转到第三方小程序,该小程序强制要求消费者注册登录第三方服务商账号,用户拒绝则无法继续使用相关业务。
违规行为解析
:根据《中华人民共和国个人信息保护法》第二十三条有关规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。案例7中商家在未经消费者同意的情况下将消费者开票信息提供给第三方服务商,属于未经同意向他人提供个人信息行为,侵害了消费者的个人信息合法权益。
问题六:未向消费者提供删除个人信息的功能选项
案例8:某连锁奶茶店扫码点餐
消费者使用该奶茶店二维码扫描点餐时,便进入奶茶店小程序,其隐私政策指出会在特定场景下收集消费者的手机号码、位置、地址、微信昵称、头像等个人信息,但未提供删除个人信息或注销账号相关功能。
违规行为解析
:根据《App违法违规收集使用个人信息行为认定方法》第六条第一项有关规定,未提供有效的更正、删除个人信息及注销用户账号功能,可被认定为违规收集使用个人信息行为。案例8中商家在消费者扫码点餐时,其小程序收集消费者个人信息,但未设置注销或删除个人信息功能,属于未按法律规定提供删除或更正个人信息功能行为,侵害了消费者的个人信息合法权益。
二、合规指引
1.提供扫码消费服务的二维码应当与提供会员服务的二维码予以区分,以醒目方式提示消费者二维码的实际作用或功能;不得强迫或诱导消费者关注经营者公众号,推送营销信息的,应当提供退订或拒绝选项。
2.提供扫码消费服务的小程序,在收集消费者个人信息前应当以弹窗或其他显著方式向消费者提示隐私政策;不得默认勾选同意或仅提供同意选项。
3.提供扫码消费服务期间,小程序应当限制权限获取频次及个人信息采集频率;不得频繁弹窗,干扰消费者正常使用。
4.提供扫码消费服务的经营者在收集使用消费者个人信息时,应当遵守相关法律法规,征得消费者同意;不得以任何形式和理由强迫消费者同意经营者收集与其提供服务无关的个人信息。
5.提供扫码消费服务的经营者将消费者个人信息共享至第三方使用前,应当告知消费者并征得消费者同意;未经消费者同意或者消费者明确表示拒绝的,不得将消费者个人信息共享至第三方。
6.提供扫码消费服务的经营者应当向消费者提供注销账号服务,不得为账号注销功能设置捆绑注销、要求消费者提供各种不合理证明等不必要条件。
北京市互联网信息办公室
2023年8月30日