北京三中院终审判决:扫码点餐强制关注公众号涉嫌侵权

2024-06-23
来源:网络整理

在外就餐时,你是否遇到过不关注商家微信公众号或不授权商家获取个人信息就无法点餐的情况?这种做法是否涉嫌侵权?近日,北京市第三中级人民法院就一起个人信息保护纠纷案作出终审判决。

孔某到某餐饮公司就餐时,通过手机扫描二维码进入商户小程序进行网上点餐、结账。在此过程中,孔某需先关注商户微信公众号,并授权商户获取其微信昵称、头像、手机号等信息,并注册成为商户会员后才能点餐。若不同意授权商户获取前述信息,则无法进行网上点餐。此外,点餐后孔某发现,即便取消关注商户微信公众号,其个人信息仍存储在商户中,无法自行删除,于是孔某将某餐饮公司起诉至法院。 北京市第三中级人民法院认定商家在二维码点餐过程中设置关注微信公众号、获取个人信息授权的前置程序,属于变相强制获取消费者个人信息的行为,构成侵权,判令某餐饮公司停止侵权、赔礼道歉,并赔偿孔某公证费用5000元。

侵犯个人信息的微信小程序类型统计及相关监管规定

近年来,移动互联网小程序凭借“无需下载、无需安装、不占用内存、即用即走”等特点深受企业青睐,但也成为网络违法违规行为的温床,其中隐私政策缺失或未完善、用户信息安全保护机制未建立健全、违法违规收集使用个人信息等问题尤为突出。以微信小程序为例,根据工信部2022年至2023年发布的《关于APP(SDK)侵犯用户权益行为的通报》统计,违法收集个人信息、强制、频繁、过度请求权限等违法违规行为屡见不鲜,屈臣氏、小象充电等常见微信小程序均被点名。

在监管规定方面,除了大家熟知的《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》“三匹马”之外,工信部信管函[2020]164号在将APP服务商纳入整改范围时,也将快应用、小程序等新应用形态纳入其中。因此,适用于APP的标准和规范将逐步适用于小程序的合规审查。此外,小程序运营者还应参考《常见移动互联网应用程序必备个人信息范围规定》、《App违法违规收集使用个人信息认定方法》等法规和标准。

若未做好数据合规,导致用户个人信息泄露,小程序可能被下架,小程序运营者还可能面临行政、民事责任。若涉及非法获取、出售公民个人信息,达到一定情节的,还将面临刑事法律责任。

小程序处理用户个人信息的合规风险及应对措施

根据各地监管机构对小程序违规行为的通报及我们的经验,企业作为小程序运营者,应首先从以下几个方面进行个人信息数据合规性的自查自纠、自我整改:

合规风险审查级别

主要合规风险点

修正建议

1. 缺乏或缺乏明确的隐私政策

(1)未设置隐私政策或无法访问

1.制定合法、完备的隐私政策并合理提示用户:

(1)严格遵守国家关于用户隐私的法律法规及平台规则,配置并同步更新企业个人信息隐私政策规则和安全防护措施;

(2)使用用户隐私授权弹窗提示用户阅读个人信息处理规则;

(3)在用户首次使用或注册小程序时提示用户勾选“同意”,而不是通过用户注册或使用小程序功能默认取得用户同意;

(4)应当在隐私政策中明示收集、使用个人信息的目的、方式和范围,且不得事先提出收集个人信息的许可申请;

(5)第三方SDK处理个人信息的目的、方式和范围应在隐私政策等公开文件中明确说明。

(2)未通过弹窗等方式明确提示用户阅读隐私政策

识别码有什么用_小程序码识别开发费用_识别码制作

(3)未取得用户同意,用户首次打开小程序时默认勾选隐私政策

(4)用户未同意隐私政策且未提前申请许可

(5)未在隐私政策及其他公开披露内容中明确说明小程序集成的第三方软件开发工具包(SDK)收集、使用个人信息的目的、方式和范围

2. 非法收集或处理个人信息

(1)未同时明确告知用户收集个人信息的目的、方式和范围而收集用户个人信息

2.收集和处理个人信息需要向用户授权并明确告知:

(1)企业按照最少必要的个人信息原则,对小程序的功能、业务环节进行研究评估,确定可能收集、处理的个人信息的目的、方式和范围,制定独立的个人信息处理规则并同时告知用户;

(2)应确保敏感个人信息的收集与服务功能相关,且需要用户单独同意,可同时设置弹窗提示用户同意,不应采取“一揽子同意”的方式;

(3)在隐私政策中披露共享个人信息的具体情况,并附上其他应用+隐私政策的链接。或在流通前对个人信息进行去标识化、匿名化处理,防止数据泄露;

(4)应确保申请的权限均与服务功能相关,当用户拒绝无关权限时,仍可正常使用其他功能。用户拒绝授权后,不宜频繁、重复申请权限;

(5)不得以“小程序运行平台不支持”、“版本不兼容”、“技术开发过于复杂”等理由强迫用户授权使用。

(2)超出用户同意范围收集敏感数据(通讯录、实时位置、身份证、人脸信息等)

(3)未经用户同意,与其他应用程序共享或使用用户个人信息(设备识别信息、商品浏览记录、搜索习惯等)

(4)用户不同意开启非必要权限、拒绝展示业务功能或在用户拒绝后频繁弹出请求权限的弹窗

(五)以提高服务质量为由强制用户授权

3.未提供用户维权救济措施或设置用户维权救济障碍

(1)无法注销账户或删除、修改个人信息

3.采取合理、便捷的维权方式:

(1)向用户提供有效的信息更正、删除、注销账号入口。用户注销账号时需提供的个人信息不得超出用户在注册、使用小程序时提供的信息。账号注销后,应及时删除用户信息,或对相关个人信息进行去标识化处理,使其无法被检索或访问。

(2)需要建立或公布个人信息投诉、举报渠道,并在小程序页面公开;

(3)应建立投诉管理机制及投诉追踪流程,及时响应用户请求,如需人工处理的,应根据不同情况在承诺时限内(不超过15个工作日)核实并处理。

(4)应在隐私政策中告知用户定向推送通知的功能,并明确标明定向推送通知,并提供关闭定向推荐的选项。

小程序开发
阅读原文
分享