亮剑浦江丨上海市网信办发布《咖啡消费场景违法违规收集使用个人信息案例解析》(二)
“亮剑浦江·2024”专项执法行动,近期聚焦咖啡消费场景下个人信息权益保护开展专项整治。日前,上海市网信办、市市场监管局已经对星巴克、瑞幸咖啡、Manner Coffee、麦咖啡、Tims天好咖啡、挪瓦咖啡、COSTA COFFEE 、M Stand、Seesaw Coffee、niiice café、Peet's Coffee、库迪咖啡等24家连锁咖啡企业开展普法培训和合规指导。
6月25日,上海市网信办已发布《咖啡消费场景违法违规收集使用个人信息案例解析》(一),梳理了强制或默认同意隐私政策,隐私政策缺失、不实或不完整,强制或频繁诱导收集精准位置信息等3类常见违法违规问题。本期,将聚焦另3类问题,发布第二期案例解析。
第四类问题:诱导收集手机号码或关注公众号问题
案例8:消费者使用某咖啡点单微信小程序时,该小程序弹窗提示消费者提供手机号码用于注册会员,点击拒绝后,第二次继续弹窗向消费者申请授权手机号码。
案例9:消费者每次使用某咖啡点单微信小程序点单时,小程序均会弹窗向消费者提示“请先点击关注公众号再点餐”。
违法违规点:案例8中小程序点单页面里,“暂不授权”选项相比“一键授权手机号码”选项的字号,明显偏小,且消费者选择暂不授权后,该小程序立即第二次弹窗申请消费者授权,该行为可认定为“诱导收集手机号码行为”;案例9中小程序在消费者每次使用点单功能时均会弹窗提示关注公众号,诱导消费者并干扰消费者正常点单,该行为可认定为“诱导关注公众号行为”。以上两种违法违规行为侵害了消费者个人信息权益。
相关法律条文:《个人信息保护法》第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。《App违法违规收集使用个人信息行为认定方法》第三条第二款规定,用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用,可被认定为“未经用户同意收集使用个人信息”。
第五类问题:未提供关闭定向推送功能问题
案例10:消费者使用某咖啡点单微信小程序时,该小程序隐私政策声称会提供个性化内容展示和推荐的功能,但未提供关闭的渠道。
违法违规点:案例10中小程序隐私政策已声明会提供个性化推送的功能,但并未说明如何关闭该功能,也没有提供非个性化推动信息的选项,侵害了消费者个人信息权益。
相关法律条文:《个人信息保护法》第二十四条规定,通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。《App违法违规收集使用个人信息行为认定方法》第三条第六款规定,利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项,可被认定为“未经用户同意收集使用个人信息”。
第六类问题:未提供删除个人信息功能问题
案例11:消费者使用某咖啡点单小程序时,未提供账号注销渠道和功能。
违法违规点:案例11中小程序隐私政策中未提供账号注销渠道,且小程序中未发现账号注销功能,侵犯了消费者删除个人信息的权利,损害了消费者个人信息保护权益。
相关法律条文:《个人信息保护法》第四十七条和第五十条规定,个人撤回同意时,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。个人信息处理者应当为消费者建立行使个人信息权利的申请受理和处理机制,提供便捷的删除渠道和功能。《App违法违规收集使用个人信息行为认定方法》第六条第一款规定,未提供有效的更正、删除个人信息及注销用户账号功能,可被认定为“未按法律规定提供删除或更正个人信息功能”。
咖啡企业要对照案例解析举一反三进行自查整改,严格遵循收集消费者个人信息“最小必要”和“告知同意”原则,切实履行个人信息保护义务。下一步,上海市网信办将不定期开展“回头看”检查,对整改不力、问题严重的企业将依法立案、从严查处。