亮劍浦江丨上海市網信辦發佈《咖啡消費場景違法違規收集使用個人信息案例解析》

 「亮劍浦江·2024」專項執法行動，近期聚焦咖啡消費場景下個人信息權益保護開展專項整治。日前，上海市網信辦、市市場監管局已經對星J.巴克、瑞幸咖啡、Manner Coffee、麥咖啡、Tims天好咖啡、挪瓦咖啡、COSTA COFFEE 、M Stand、Seesaw Coffee、niiice café、Peet’s Coffee、庫迪咖啡等24家連鎖咖啡企業開展普法培訓和合規指導。

6月25日，上海市網信辦已發佈《咖啡消費場景違法違規收集使用個人信息案例解析》（一），梳理了強製或預設同意隱私政策，隱私政策缺失、不實或不完整，強製或頻繁誘導收集精準位置信息等3類常見違法違規問題。本期，將聚焦另3類問題，發佈第二期案例解析。

第四類問題：誘導收集手機號碼或關注公眾號問題

案例8：消費者使用某咖啡點單微信小程序時，該小程序彈窗提示消費者提供手機號碼用於註冊會員，點擊拒絕後，第二次繼續彈窗向消費者申請授權手機號碼。

案例9：消費者每次使用某咖啡點單微信小程序點單時，小程序均會彈窗向消費者提示「請先點擊關注公眾號再點餐」。

違法違規點：案例8中小程序點單頁面里，「暫不授權」選項相比「一鍵授權手機號碼」選項的字號，明顯偏小，且消費者選擇暫不授權後，該小程序立即第二次彈窗申請消費者授權，該行為可認定為「誘導收集手機號碼行為」；案例9中小程序在消費者每次使用點單功能時均會彈窗提示關注公眾號，誘導消費者並干擾消費者正常點單，該行為可認定為「誘導關注公眾號行為」。以上兩種違法違規行為侵害了消費者個人信息權益。

相關法律條文：《個人信息保護法》第五條規定，處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。《App違法違規收集使用個人信息行為認定方法》第三條第二款規定，用戶明確表示不同意後，仍收集個人信息或打開可收集個人信息的權限，或頻繁徵求用戶同意、干擾用戶正常使用，可被認定為「未經用戶同意收集使用個人信息」。

第五類問題：未提供關閉定向推送功能問題

案例10：消費者使用某咖啡點單微信小程序時，該小程序隱私政策聲稱會提供個性化內容展示和推薦的功能，但未提供關閉的渠道。

違法違規點：案例10中小程序隱私政策已聲明會提供個性化推送的功能，但並未說明如何關閉該功能，也沒有提供非個性化推送信息的選項，侵害了消費者個人信息權益。

相關法律條文：《個人信息保護法》第二十四條規定，通過自動化決策方式向個人進行信息推送、商業營銷，應當同時提供不針對其個人特徵的選項，或者向個人提供便捷的拒絕方式。《App違法違規收集使用個人信息行為認定方法》第三條第六款規定，利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項，可被認定為「未經用戶同意收集使用個人信息」。

第六類問題：未提供刪除個人信息功能問題

案例11：消費者使用某咖啡點單小程序時，未提供帳號註銷渠道和功能。

違法違規點：案例11中小程序隱私政策中未提供帳號註銷渠道，且小程序中未發現帳號註銷功能，侵犯了消費者刪除個人信息的權利，損害了消費者個人信息保護權益。

相關法律條文：《個人信息保護法》第四十七條和第五十條規定，個人撤回同意時，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除。個人信息處理者應當為消費者建立行使個人信息權利的申請受理和處理機制，提供便捷的刪除渠道和功能。《App違法違規收集使用個人信息行為認定方法》第六條第一款規定，未提供有效的更正、刪除個人信息及註銷用戶帳號功能，可被認定為「未按法律規定提供刪除或更正個人信息功能」。

咖啡企業要對照案例解析舉一反三進行自查整改，嚴格遵循收集消費者個人信息「最小必要」和「告知同意」原則，切實履行個人信息保護義務。下一步，上海市網信辦將不定期開展「回頭看」檢查，對整改不力、問題嚴重的企業將依法立案、從嚴查處。