上海市网信办｜发布《咖啡消费场景违法违规收集使用个人信息案例解析》（一）

网络法实务圈 · 公众号 · 互联网安全 · 2024-06-27 18:05

正文

“ 亮剑浦江 ·2024” 专项执法行动，近期聚焦咖啡消费场景下个人信息权益保护开展专项整治。日前，上海市网信办、市市场监管局已经对星巴克、瑞幸咖啡、 Manner Coffee 、麦咖啡、 Tims 天好咖啡、挪瓦咖啡、 COSTA COFFEE 、 M Stand 、 Seesaw Coffee 、 niiice café 、 Peet's Coffee 、库迪咖啡等 24 家连锁咖啡企业开展普法培训和合规指导。

为进一步强化咖啡企业合规意识，有效指导企业落实个人信息处理者法律责任，保护咖啡消费者个人信息安全，保障消费者体验服务品质，上海市网信办根据前期巡查情况，梳理了该场景下六类常见违法违规问题，分两期发布解析，以案释法，督促《个人信息保护法》相关规定要求得到有效落实。现发布第一期案例解析。

第一类问题：强制或默认同意隐私政策

案例 1 ： 消费者首次使用某咖啡点单微信小程序时，该小程序弹窗提示消费者阅读隐私政策，但未提供拒绝选项。

案例 2 ： 消费者使用某咖啡点单微信小程序下单支付时，该下单页面默认勾选 0 元入会按钮，且默认 “ 我已阅读并同意《会员服务协议》 ” 。

违法违规点： 案例 1 中小程序向消费者弹窗提示阅读隐私政策时，只有 “ 详见《隐私权政策》 ” 字样，未向消费者提供拒绝选项，消费者只得点击弹窗页面进入小程序，该行为可认定为 “ 强制同意隐私政策行为 ” ；案例 2 中小程序在下单支付页面默认同意《会员服务协议》，且《会员服务协议》包含个人信息使用、共享等相关处理规则，可视为隐私政策，因此该行为可认定为 “ 默认同意隐私政策行为 ” 。以上两种违法违规行为侵害了消费者个人信息权益。

相关法律条文： 《个人信息保护法》第十五条规定，基于个人同意处理个人信息的，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。《 App 违法违规收集使用个人信息行为认定方法》第三条第四款规定，以默认选择同意隐私政策等非明示方式征求用户同意，可被认定为 “ 未经用户同意收集使用个人信息 ” 。

第二类问题：隐私政策缺失、不实或不完整问题

案例 3 ： 消费者使用某咖啡点单微信小程序时，该小程序虽弹窗提示消费者阅读隐私政策，但该隐私政策仅为某第三方隐私政策模板。

案例 4 ： 消费者使用某咖啡点单小程序时，该小程序隐私政策承诺外送订单功能会在 “ 消费者授权同意前提下 ” 收集精准地理位置信息，但实际使用该功能时，小程序强制消费者授权精准地理位置信息。

案例 5 ： 消费者使用某咖啡点单小程序时，该小程序隐私政策包含 “ 微信小程序第三方 SDK 目录 ” 一节，但未列出具体的第三方 SDK 清单目录。

违法违规点： 案例 3 中小程序隐私政策实际内容为第三方隐私政策模板，未包含本小程序的个人信息处理者名称、处理目的、处理方式等事项，属于隐私政策缺失问题；案例 4 中小程序隐私政策写明精准地理位置信息系 “ 授权收集 ” ，但实际操作中却属于 “ 强制收集 ” ，存在隐私政策不实问题；案例 5 中小程序隐私政策虽然包含个人信息处理规则，但缺少第三方 SDK 目录，属于隐私政策不完整问题。以上三种行为可被认定为 “ 隐私政策缺失、不实或不完整问题 ” ，侵害了消费者个人信息权益。

相关法律条文： 《个人信息保护法》第十七条规定，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息的处理目的、处理方式，处理的个人信息种类、保存期限等事项。《 App 违法违规收集使用个人信息行为认定方法》第三条第九款规定，违反其所声明的收集使用规则，收集使用个人信息，可被认定为 “ 未经用户同意收集使用个人信息 ” 。

第三类问题：强制或频繁诱导收集精准位置信息问题

案例 6 ： 消费者使用某咖啡点单小程序时，该小程序点单功能弹窗索要精准位置信息权限，用户点击拒绝后，仍持续提示用户授权精准位置信息，如果不授权精准位置信息，则无法点单。

上海市网信办｜发布《咖啡消费场景违法违规收集使用个人信息案例解析》（一）

正文

请到「今天看啥」查看全文