喝个咖啡还要被过度索取个人信息
近期
上海市网信办和上海市市场监管局开展
“亮剑浦江•2024”专项执法行动
聚焦咖啡消费场景下
个人信息权益保护
两部门已对
星巴克、瑞幸咖啡、Manner Coffee、麦咖啡、Tims天好咖啡、挪瓦咖啡、COSTA COFFEE
M Stand、Seesaw Coffee、niiice café、Peet's Coffee、库迪咖啡等
24家连锁咖啡企业
开展普法培训和合规指导
并梳理咖啡消费场景中
常见违法违规问题
👇👇👇
问题一:强制或默认同意隐私政策 👉“消费者首次使用某咖啡企业微信小程序点单时,弹窗提示消费者阅读隐私政策,但未提供拒绝选项” 👉“下单页面默认勾选0元入会按钮,且默认‘我已阅读并同意《会员服务协议》’”。 ⭐违法违规点:该行为被认定为“强制同意隐私政策行为”和“默认同意隐私政策行为”,侵害了消费者的个人信息权益。
为了更好地保护用户个人信息权益,市场监管总局、国家标准化管理委员会于2023年5月23日发布了GB/T 42574—2023《信息安全技术 个人信息处理中告知和同意的实施指南》,针对告知要求,特别细化了三种告知时机,即首次告知、同步告知、再次告知,尽可能让用户对于个人信息处理规制有更清晰的理解,通过优化不同阶段告知的内容和体量,以提升个人的接受度。
TalkingData法务总监兼数据合规官葛梦莹指出,如果入会涉及次月自动续费等操作,若默认勾选“自动续费”选项,则违反了《电子商务法》相关规定。
问题二:隐私政策缺失不实或不完整 👉“通过微信小程序点单,虽然弹窗提示消费者阅读隐私政策,但该隐私政策仅为第三方隐私政策模板” 👉“小程序隐私政策承诺外送订单功能会在‘消费者授权同意前提下’收集精准地理位置信息,但实际使用该功能时,小程序强制消费者授权精准地理位置信息” 👉“咖啡点单小程序隐私政策包含‘微信小程序第三方SDK目录’一节,但未列出具体清单目录”。 ⭐违法违规点:第三方隐私政策模板由于未包含本小程序的个人信息处理者名称、处理目的、处理方式等事项,属于隐私政策缺失;隐私政策写明精准地理位置信息系“授权收集”,但实际操作中却属于“强制收集”,存在隐私政策不实的问题。
葛梦莹认为,APP运营者在嵌入SDK时,需要告知SDK的名称及其提供者名称、联系方式、SDK个人信息处理规则,否则就属于隐私政策不完整。SDK的个人信息保护规则可以链接文本等方式体现,APP如果嵌入一个或多个SDK的,可采用表格、链接文本等形式在APP个人信息保护政策中逐一列举。
问题三:强制或频繁诱导收集位置信息 👉“点单时,小程序点单功能弹窗索要精准位置信息权限,用户点击拒绝后,仍持续提示用户授权精准位置信息,否则无法点单” 👉“小程序点单功能弹窗申请精准位置信息权限,用户点击拒绝后,继续弹窗申请精准位置信息权限” ⭐违法违规点:精准位置信息对于点单来说,并非必要信息,强制或频繁诱导收集精准位置信息行为,侵犯消费者个人信息权益。
葛梦莹表示:“合规操作要求企业必须严格遵循收集消费者个人信息‘最小必要’和‘告知同意’原则,才能切实履行个人信息保护义务。”
据了解,上海市两部门已要求企业要对照案例解析举一反三进行自查整改,整改不力将依法受到处罚。
版权所有:佛山市消费者委员会 ICP备案:粤ICP备2020133524号
Email:fs315@163.com | 技术咨询:0757-88338818 网站地图
佛山市消委会地址:佛山市禅城区汾江中路217号七层
