近期，市網信辦聯合市交通委、市商務局、市市場監管局、人民銀行北京市分行和市消協等相關部門，通過實地暗訪和線上檢測等方式，對市民日常生活消費常用二維碼、小程序進行了抽樣測試，并對存在強制關注、違規收集使用消費者個人信息等問題的經營者展開聯合約談，督促經營者認真整改，提高合規經營意識。

為切實有效指導經營者充分認識消費者個人信息保護的重要性，清楚了解收集使用消費者個人信息的范圍邊界，進一步強化經營者的合規意識，市網信辦聯合國家互聯網應急中心北京分中心，結合我市實際情況，按照消費者真實掃碼消費體驗過程中可能遇到問題的先后順序，整理出六類違規問題，制定《北京市掃碼消費服務違規收集使用消費者個人信息案例解析及合規指引》，現公開發布。

北京市掃碼消費服務違規收集使用消費者個人信息案例解析及合規指引

為進一步規范我市掃碼消費服務經營行為，切實保護消費者個人信息合法權益，綜合對我市提供掃碼消費服務二維碼抽樣測試情況，對六類常見易發違規問題進行案例解析，根據《中華人民共和國個人信息保護法》《App違法違規收集使用個人信息行為認定方法》等法律法規，提出六條合規指引，供全市提供掃碼消費服務的經營者遵照執行。

違規問題及案例解析

問題一：強制或誘導消費者關注公眾號

案例1：某大型商業中心掃碼繳停車費

該商業中心停車場內粘貼“先繳費 后離場 掃碼繳停車費”二維碼，當消費者通過微信掃描二維碼時，彈出該商業中心公眾號，消費者點擊關注公眾號后，公眾號向消費者發送一鍵停車繳費小程序鏈接。

案例2：某大型超市掃碼開發票

消費者在該超市購物時，須通過掃描購物小票上的二維碼開具發票，過程中強制要求消費者關注超市公眾號，關注后向消費者發送開具電子發票的鏈接，消費者點擊進入方可開具發票。

違規行為解析：根據《中華人民共和國個人信息保護法》第五條和第六條有關規定，處理個人信息應當遵循合法、正當、必要和誠信原則，不得通過誤導、欺詐、脅迫等方式處理個人信息。處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。案例1中商業中心停車場內粘貼的停車繳費二維碼，實際為商場公眾號二維碼，須關注該公眾號后才可繳納停車費，屬于誘導消費者關注公眾號。案例2中超市強制消費者關注公眾號后才能開具發票，屬于強制消費者關注公眾號。上述兩個案例均未采取對個人權益影響最小的方式處理個人信息，侵害了消費者的個人信息合法權益。

問題二：未通過彈窗等顯著方式告知消費者隱私政策

案例3：某購物中心掃碼繳停車費

該購物中心停車場在消費者使用掃碼繳納停車費功能時，引導消費者打開購物中心小程序，該小程序在特定功能下會獲取消費者的手機號碼、精確地理位置等個人信息，但未在首次使用時提示用戶閱讀隱私協議，并征得用戶同意。

違規行為解析：根據《中華人民共和國個人信息保護法》第十七條有關規定，個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息的處理目的、處理方式，處理的個人信息種類、保存期限等事項。案例3中購物中心停車繳費小程序在首次使用時，在未提供隱私協議的情況下直接索要消費者個人信息，屬于未向消費者告知個人信息處理規則的行為，侵害了消費者的個人信息合法權益。

問題三：頻繁提示注冊登錄，干擾消費者使用

案例4：某連鎖奶茶店掃碼點餐

在該奶茶店掃碼點餐時，提示用戶使用手機號等個人信息注冊登錄，在消費者明確拒絕后，仍會以彈窗方式頻繁提示注冊登錄，嚴重干擾使用。

違規行為解析：根據《App違法違規收集使用個人信息行為認定方法》第三條第二項有關規定，用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權限，或頻繁征求用戶同意、干擾用戶正常使用，此類行為可被認定為違規收集用戶個人信息。案例4中商家在消費者掃碼點餐時，多次彈窗提示消費者使用手機號碼等信息注冊登錄，屬于干擾用戶正常使用行為。

問題四：強制消費者提供與功能無關的個人信息

案例5：某大型商業中心掃碼繳停車費

消費者在該商業中心掃描停車場二維碼時，商家強制要求消費者使用手機號注冊登錄，注冊時強制要求填寫姓名、出生日期、性別等與提供功能無關的個人信息。

案例6：某連鎖奶茶店掃碼開發票

使用該連鎖奶茶店掃碼開發票服務時，強制要求用戶填寫手機號碼，用戶拒絕后提示用戶完善信息，否則無法開具發票。

違規行為解析：根據《中華人民共和國個人信息保護法》第六條有關規定，收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。案例5中商家在消費者繳納停車費時，強制要求用戶提供手機號、姓名、出生日期、性別等非必要個人信息，用戶拒絕后無法完成停車繳費。案例6中商家在開具發票時，強制要求消費者提供手機號碼，消費者拒絕后無法開具發票。上述兩個案例屬于強制消費者提供非必要個人信息行為，侵害了消費者的個人信息合法權益。

問題五：違規向第三方提供消費者個人信息

案例7：某餐飲公司掃碼開發票

該餐飲公司使用第三方服務商開發的發票助手提供服務，當消費者掃碼開發票時，未征得消費者同意便跳轉到第三方小程序，該小程序強制要求消費者注冊登錄第三方服務商賬號，用戶拒絕則無法繼續使用相關業務。

違規行為解析：根據《中華人民共和國個人信息保護法》第二十三條有關規定，個人信息處理者向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。案例7中商家在未經消費者同意的情況下將消費者開票信息提供給第三方服務商，屬于未經同意向他人提供個人信息行為，侵害了消費者的個人信息合法權益。

問題六：未向消費者提供刪除個人信息的功能選項

案例8：某連鎖奶茶店掃碼點餐

消費者使用該奶茶店二維碼掃描點餐時，便進入奶茶店小程序，其隱私政策指出會在特定場景下收集消費者的手機號碼、位置、地址、微信昵稱、頭像等個人信息，但未提供刪除個人信息或注銷賬號相關功能。

違規行為解析：根據《App違法違規收集使用個人信息行為認定方法》第六條第一項有關規定，未提供有效的更正、刪除個人信息及注銷用戶賬號功能，可被認定為違規收集使用個人信息行為。案例8中商家在消費者掃碼點餐時，其小程序收集消費者個人信息，但未設置注銷或刪除個人信息功能，屬于未按法律規定提供刪除或更正個人信息功能行為，侵害了消費者的個人信息合法權益。

合規指引

1.提供掃碼消費服務的二維碼應當與提供會員服務的二維碼予以區分，以醒目方式提示消費者二維碼的實際作用或功能；不得強迫或誘導消費者關注經營者公眾號，推送營銷信息的，應當提供退訂或拒絕選項。

2.提供掃碼消費服務的小程序，在收集消費者個人信息前應當以彈窗或其他顯著方式向消費者提示隱私政策；不得默認勾選同意或僅提供同意選項。

3.提供掃碼消費服務期間，小程序應當限制權限獲取頻次及個人信息采集頻率；不得頻繁彈窗，干擾消費者正常使用。

4.提供掃碼消費服務的經營者在收集使用消費者個人信息時，應當遵守相關法律法規，征得消費者同意；不得以任何形式和理由強迫消費者同意經營者收集與其提供服務無關的個人信息。

5.提供掃碼消費服務的經營者將消費者個人信息共享至第三方使用前，應當告知消費者并征得消費者同意；未經消費者同意或者消費者明確表示拒絕的，不得將消費者個人信息共享至第三方。

6.提供掃碼消費服務的經營者應當向消費者提供注銷賬號服務，不得為賬號注銷功能設置捆綁注銷、要求消費者提供各種不合理證明等不必要條件。

北京市互聯網信息辦公室

2023年8月30日

責任編輯：王超