一杯饮品店的咖啡,可能是不少打工人全新一天的开端。如今,线上点单几乎已成为各大咖啡店的“标配”,而点单时交出的个人信息安全问题不时困扰着广大消费者。为此,上海“亮剑浦江·2024”专项执法行动出手,聚焦咖啡消费场景下个人信息权益保护开展专项整治。

据“网信上海”消息,日前,上海市网信办、市市场监管局对星巴克、瑞幸咖啡、Manner Coffee、麦咖啡等24家连锁咖啡企业开展普法培训和合规指导。根据巡查情况,上海市网信办梳理了该场景下的三类常见违法违规问题,发布第一期《咖啡消费场景违法违规收集使用个人信息案例解析》(下称《案例解析》)。

隐私政策作为公示的收集使用个人信息规则,既是保证用户知情权的重要手段,也是约束运营者行为的重要机制。因此,《案例解析》针对咖啡企业隐私政策缺失、不实或不完整问题进行了重点披露。

具体来看,一种情况是消费者使用某咖啡点单微信小程序时,该小程序虽弹窗提示消费者阅读隐私政策,但该隐私政策仅为某第三方隐私政策模板。二是使用某咖啡点单小程序外送功能时,隐私政策承诺会在取得消费者授权同意后收集精准地理位置信息,但实际使用该功能时,小程序强制消费者授权精准地理位置信息。

打开网易新闻 查看精彩图片

隐私政策不实问题

SDK是几乎每个App都会使用的第三方插件,它们可以帮助App高效率、低成本地实现一系列功能,同时自身也具备获取相当一部分设备信息和用户个人信息的能力。《案例解析》披露,有咖啡点单小程序的隐私政策包含“微信小程序第三方SDK目录”一节,但未列出具体的第三方SDK清单目录。

你是否有过不授权就不能点单,或者被频繁索权的经历?此次《案例解析》还披露了强制或频繁诱导收集精准位置信息问题。比如,消费者使用某咖啡点单小程序时,被弹窗持续索要精准位置信息权限,不授权则无法点单。另外,用户明确拒绝给出精准位置信息权限后,小程序反复持续弹窗申请授权。

打开网易新闻 查看精彩图片

强制要求消费者提供精准位置信息

精准位置信息对于点单来说,并非必要信息,上述情况属于强制或频繁诱导收集精准位置信息行为,侵犯消费者个人信息权益。

上海网信办强调,咖啡企业应对照案例解析举一反三进行自查整改,严格遵循收集消费者个人信息“最小必要”和“告知同意”原则,切实履行个人信息保护义务。下一步,上海市网信办将不定期开展“回头看”检查,对整改不力、问题严重的企业将依法立案、从严查处。

南都记者梳理发现,在聚焦与公众生活关系密切的重点消费场景,通过合规指引、以案释法、执法震慑等方式督促大小商家规范信息收集行为方面,上海一直走在前列。

去年6月,上海市网信办、市市场监管局启动专项执法行动,聚焦餐饮店、停车扫码、少儿学习培训、网络理财小贷、房产中介、租借充电器、商超购物、汽车4S店八个问题较突出的消费场景,整治个人信息“过度采、强制要、诱导取、违规用”问题。

今年,“亮剑浦江·2024”专项执法行动持续发力。除了咖啡消费场景,停车缴费场景下强制关注公众号、加入会员、注册登录等违规问题也在4月实现深入整治,目前上海3704家公共停车场已全面推出停车缴费“纯净码”。

近年来上海开展的各类执法行动,无疑是有效落实《个人信息保护法》相关规定要求的一种体现。从中可以看出,当前个人信息保护执法的颗粒度更趋精细化和场景化,监管机构采取的执法手段也更为多元,柔性执法或将成为新一轮个人信息保护监管的重要手段。

采写:南都记者樊文扬