近期,，市網(wǎng)信辦聯(lián)合市交通委,、市商務(wù)局,、市市場監(jiān)管局,、人民銀行北京市分行和市消協(xié)等相關(guān)部門,，通過實地暗訪和線上檢測等方式,，對市民日常生活消費常用二維碼,、小程序進行了抽樣測試,，并對存在強制關(guān)注,、違規(guī)收集使用消費者個人信息等問題的經(jīng)營者展開聯(lián)合約談,，督促經(jīng)營者認真整改，提高合規(guī)經(jīng)營意識,。

為切實有效指導經(jīng)營者充分認識消費者個人信息保護的重要性,，清楚了解收集使用消費者個人信息的范圍邊界，進一步強化經(jīng)營者的合規(guī)意識,，市網(wǎng)信辦聯(lián)合國家互聯(lián)網(wǎng)應急中心北京分中心,，結(jié)合我市實際情況，按照消費者真實掃碼消費體驗過程中可能遇到問題的先后順序,，整理出六類違規(guī)問題,，制定《北京市掃碼消費服務(wù)違規(guī)收集使用消費者個人信息案例解析及合規(guī)指引》，現(xiàn)公開發(fā)布,。

北京市掃碼消費服務(wù)違規(guī)收集使用

消費者個人信息案例解析及合規(guī)指引

為進一步規(guī)范我市掃碼消費服務(wù)經(jīng)營行為,，切實保護消費者個人信息合法權(quán)益，綜合對我市提供掃碼消費服務(wù)二維碼抽樣測試情況,，對六類常見易發(fā)違規(guī)問題進行案例解析,，根據(jù)《中華人民共和國個人信息保護法》《App違法違規(guī)收集使用個人信息行為認定方法》等法律法規(guī)，提出六條合規(guī)指引,，供全市提供掃碼消費服務(wù)的經(jīng)營者遵照執(zhí)行,。

一,、違規(guī)問題及案例解析

問題一：強制或誘導消費者關(guān)注公眾號

案例1：某大型商業(yè)中心掃碼繳停車費

該商業(yè)中心停車場內(nèi)粘貼“先繳費后離場掃碼繳停車費”二維碼，當消費者通過微信掃描二維碼時,，彈出該商業(yè)中心公眾號,，消費者點擊關(guān)注公眾號后，公眾號向消費者發(fā)送一鍵停車繳費小程序鏈接,。

案例2：某大型超市掃碼開發(fā)票

消費者在該超市購物時,，須通過掃描購物小票上的二維碼開具發(fā)票，過程中強制要求消費者關(guān)注超市公眾號,，關(guān)注后向消費者發(fā)送開具電子發(fā)票的鏈接,，消費者點擊進入方可開具發(fā)票。

違規(guī)行為解析

：根據(jù)《中華人民共和國個人信息保護法》第五條和第六條有關(guān)規(guī)定,，處理個人信息應當遵循合法,、正當、必要和誠信原則,，不得通過誤導,、欺詐、脅迫等方式處理個人信息,。處理個人信息應當具有明確,、合理的目的，并應當與處理目的直接相關(guān),，采取對個人權(quán)益影響最小的方式,。案例1中商業(yè)中心停車場內(nèi)粘貼的停車繳費二維碼，實際為商場公眾號二維碼,，須關(guān)注該公眾號后才可繳納停車費,，屬于誘導消費者關(guān)注公眾號。案例2中超市強制消費者關(guān)注公眾號后才能開具發(fā)票,，屬于強制消費者關(guān)注公眾號,。上述兩個案例均未采取對個人權(quán)益影響最小的方式處理個人信息，侵害了消費者的個人信息合法權(quán)益,。

問題二：未通過彈窗等顯著方式告知消費者隱私政策

案例3：某購物中心掃碼繳停車費

該購物中心停車場在消費者使用掃碼繳納停車費功能時,，引導消費者打開購物中心小程序，該小程序在特定功能下會獲取消費者的手機號碼,、精確地理位置等個人信息,，但未在首次使用時提示用戶閱讀隱私協(xié)議，并征得用戶同意,。

違規(guī)行為解析

：根據(jù)《中華人民共和國個人信息保護法》第十七條有關(guān)規(guī)定,，個人信息處理者在處理個人信息前，應當以顯著方式,、清晰易懂的語言真實,、準確,、完整地向個人告知個人信息的處理目的、處理方式,，處理的個人信息種類,、保存期限等事項。案例3中購物中心停車繳費小程序在首次使用時,，在未提供隱私協(xié)議的情況下直接索要消費者個人信息,，屬于未向消費者告知個人信息處理規(guī)則的行為,，侵害了消費者的個人信息合法權(quán)益,。

問題三：頻繁提示注冊登錄，干擾消費者使用

案例4：某連鎖奶茶店掃碼點餐

在該奶茶店掃碼點餐時,，提示用戶使用手機號等個人信息注冊登錄,，在消費者明確拒絕后，仍會以彈窗方式頻繁提示注冊登錄,，嚴重干擾使用,。

違規(guī)行為解析

：根據(jù)《App違法違規(guī)收集使用個人信息行為認定方法》第三條第二項有關(guān)規(guī)定，用戶明確表示不同意后,，仍收集個人信息或打開可收集個人信息的權(quán)限,，或頻繁征求用戶同意、干擾用戶正常使用,，此類行為可被認定為違規(guī)收集用戶個人信息,。案例4中商家在消費者掃碼點餐時，多次彈窗提示消費者使用手機號碼等信息注冊登錄,，屬于干擾用戶正常使用行為,。

問題四：強制消費者提供與功能無關(guān)的個人信息

案例5：某大型商業(yè)中心掃碼繳停車費

消費者在該商業(yè)中心掃描停車場二維碼時，商家強制要求消費者使用手機號注冊登錄,，注冊時強制要求填寫姓名,、出生日期、性別等與提供功能無關(guān)的個人信息,。

案例6：某連鎖奶茶店掃碼開發(fā)票

使用該連鎖奶茶店掃碼開發(fā)票服務(wù)時,，強制要求用戶填寫手機號碼，用戶拒絕后提示用戶完善信息,，否則無法開具發(fā)票,。

違規(guī)行為解析

：根據(jù)《中華人民共和國個人信息保護法》第六條有關(guān)規(guī)定，收集個人信息,，應當限于實現(xiàn)處理目的的最小范圍,，不得過度收集個人信息。案例5中商家在消費者繳納停車費時,，強制要求用戶提供手機號,、姓名,、出生日期、性別等非必要個人信息,，用戶拒絕后無法完成停車繳費,。案例6中商家在開具發(fā)票時，強制要求消費者提供手機號碼,，消費者拒絕后無法開具發(fā)票,。上述兩個案例屬于強制消費者提供非必要個人信息行為，侵害了消費者的個人信息合法權(quán)益,。

問題五：違規(guī)向第三方提供消費者個人信息

案例7：某餐飲公司掃碼開發(fā)票

該餐飲公司使用第三方服務(wù)商開發(fā)的發(fā)票助手提供服務(wù),，當消費者掃碼開發(fā)票時，未征得消費者同意便跳轉(zhuǎn)到第三方小程序,，該小程序強制要求消費者注冊登錄第三方服務(wù)商賬號,，用戶拒絕則無法繼續(xù)使用相關(guān)業(yè)務(wù)。

違規(guī)行為解析

：根據(jù)《中華人民共和國個人信息保護法》第二十三條有關(guān)規(guī)定,，個人信息處理者向其他個人信息處理者提供其處理的個人信息的,，應當向個人告知接收方的名稱或者姓名、聯(lián)系方式,、處理目的,、處理方式和個人信息的種類，并取得個人的單獨同意,。案例7中商家在未經(jīng)消費者同意的情況下將消費者開票信息提供給第三方服務(wù)商,，屬于未經(jīng)同意向他人提供個人信息行為，侵害了消費者的個人信息合法權(quán)益,。

問題六：未向消費者提供刪除個人信息的功能選項

案例8：某連鎖奶茶店掃碼點餐

消費者使用該奶茶店二維碼掃描點餐時,，便進入奶茶店小程序，其隱私政策指出會在特定場景下收集消費者的手機號碼,、位置,、地址、微信昵稱,、頭像等個人信息,，但未提供刪除個人信息或注銷賬號相關(guān)功能。

違規(guī)行為解析

：根據(jù)《App違法違規(guī)收集使用個人信息行為認定方法》第六條第一項有關(guān)規(guī)定,，未提供有效的更正,、刪除個人信息及注銷用戶賬號功能，可被認定為違規(guī)收集使用個人信息行為,。案例8中商家在消費者掃碼點餐時,，其小程序收集消費者個人信息，但未設(shè)置注銷或刪除個人信息功能,，屬于未按法律規(guī)定提供刪除或更正個人信息功能行為,，侵害了消費者的個人信息合法權(quán)益,。

二、合規(guī)指引

1.提供掃碼消費服務(wù)的二維碼應當與提供會員服務(wù)的二維碼予以區(qū)分,，以醒目方式提示消費者二維碼的實際作用或功能,；不得強迫或誘導消費者關(guān)注經(jīng)營者公眾號，推送營銷信息的,，應當提供退訂或拒絕選項,。

2.提供掃碼消費服務(wù)的小程序，在收集消費者個人信息前應當以彈窗或其他顯著方式向消費者提示隱私政策,；不得默認勾選同意或僅提供同意選項,。

3.提供掃碼消費服務(wù)期間，小程序應當限制權(quán)限獲取頻次及個人信息采集頻率,；不得頻繁彈窗,，干擾消費者正常使用,。

4.提供掃碼消費服務(wù)的經(jīng)營者在收集使用消費者個人信息時,，應當遵守相關(guān)法律法規(guī)，征得消費者同意,；不得以任何形式和理由強迫消費者同意經(jīng)營者收集與其提供服務(wù)無關(guān)的個人信息,。

5.提供掃碼消費服務(wù)的經(jīng)營者將消費者個人信息共享至第三方使用前，應當告知消費者并征得消費者同意,；未經(jīng)消費者同意或者消費者明確表示拒絕的,，不得將消費者個人信息共享至第三方。

6.提供掃碼消費服務(wù)的經(jīng)營者應當向消費者提供注銷賬號服務(wù),，不得為賬號注銷功能設(shè)置捆綁注銷,、要求消費者提供各種不合理證明等不必要條件。

北京市互聯(lián)網(wǎng)信息辦公室

2023年8月30日