面对个人信息保护法,商业会员制模式应

2023/4/13 来源:不详

会员制模式在商业中应用广泛,从零售业(例如沃尔玛、天猫会员店)到金融业(例如银行VIP卡)、航空业(例如中国国际航空“国航知音”常旅客会员)再到服务行业(例如健身店、球场、电影院会员)。

顾客成为商家会员的第一步,须通过网络或纸面提交个人信息,该步骤即商家收集个人信息的过程。顾客成为会员后,商家会根据会员个人信息有针对性地提供折扣、积分奖励、促销优惠及其他会员权益。期间,会员信息将经历存储、使用、加工、传输、提供、公开等一系列的个人信息处理活动。

不言而喻,上述个人信息处理活动受即将生效的《个人信息保护法》规制。本文结合既往案例,简要探讨会员制模式在《个人信息保护法》框架下的主要合规问题。

一、对会员敏感个人信息采取特别措施

《个人信息保护法》设专节对敏感个人信息的处理作了特别规定,因此处理会员信息的商家须正确识别会员信息中的敏感个人信息,并针对该部分敏感个人信息采取特别措施。

《个人信息保护法》第二十八条第一款规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”此外,根据GB/T-《个人信息安全规范》的定义,敏感个人信息还包括通信记录和内容、财产信息、征信信息、住宿信息、交易信息等。

不同行业的会员制要求的个人信息不尽相同。举例而言,某A商家《会员申请表》中的个人信息包括:中文名、身份证号、人像照片、联络电话、电子邮件地址、出生月份和年份、家庭地址、婚姻状况、语言偏好、受教育程度、职业、收入情况、健康信息、出行情况、菜肴偏好。

根据前述定义,A商家《会员申请表》收集的个人信息中,敏感个人信息包括:身份证号、人像照片、家庭地址及健康信息。

根据规定,A商家须针对会员敏感个人信息采取的特别措施具体如下:

1.只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,商家方可处理敏感个人信息。(第二十八条第二款)

2.处理敏感个人信息应当取得会员个人的单独同意;(第二十九条)

3.应当向个人告知处理敏感个人信息的必要性以及对会员个人权益的影响;(第三十条)

4.处理不满十四周岁未成年人会员个人信息的,应当取得未成年人会员的父母或者其他监护人的同意,并且应当制定专门的未成年会员个人信息处理规则;(第三十一条)

5.应当事前进行会员个人信息保护影响评估,并对处理情况进行记录。(第五十五条)

二、举证会员个人信息收集、使用的合法性

就像《刑法》巨额财产来源不明罪中规定的国家工作人员本人须就其明显超过合法收入的财产说明合法来源一样,商家负有举证证明其掌握的会员个人信息来源以及使用的合法性。实践中,大量商家掌握的会员个人信息无法举证收集、使用的合法性,面临行政处罚风险。

案例一:“嵊州市健普森健身有限公司侵害消费者依法得到保护的个人信息权利案”嵊市监检处〔〕号

案件事实:年5月10日,执法人员根据举报信息,依法对嵊州市健普森健身有限公司(以下简称:健普森公司)进行现场检查。执法人员在当事人销售部办公桌上发现消费者个人信息材料一份共13页,并在销售员工电脑内发现一个名为“儿童资源”的文件夹,内有大量消费者个人信息资料(内容包括姓名、手机号码、家庭住址、班级、出生年月等),当事人无法说明其来源。

处理结果:健普森公司未经消费者同意收集、使用消费者信息的行为违反了《侵害消费者权益行为处罚办法》第十一条第一款第(一)项“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者不得有下列行为:(一)未经消费者同意,收集、使用消费者个人信息;……”之规定,执法机关责令健普森公司改正其违法行为,决定对当事人处罚如下:罚款元。

案例二:“丹顿(上海)环保科技有限公司涉嫌侵害消费者权益案”沪市监松处〔〕27000274号

案件事实:丹顿(上海)环保科技有限公司(以下简称:丹顿公司)通过从上海国美电器有限公司松江二店获得的“国美会员”信息(姓名、手机联系方式),而后以电话及短信的方式,在未经“国美会员”授权、允许的情况下,向“国美会员”发送商业信息邀请参加当事人举办的产品促销活动。

处理结果:丹顿公司未经消费者同意通过电话、短信等方式向消费者发送促销活动信息,并在消费者明确拒绝后,仍继续邀请其参加促销活动,违反了《侵害消费者权益行为处罚办法》第十一条第一款第(三)项的规定,构成了侵害消费者权益的行为,依据《侵害消费者权益行为处罚办法》第十四条第一款及《中华人民共和国消费者权益保护法》第五十六条第一款第(十)项予以处罚。

三、收集必要的会员个人信息

《个人信息保护法》第五条确立了处理个人信息应当遵循的四大原则:合法、正当、必要和诚信原则。必要的会员个人信息,是指保障会员制基本服务正常运行所必需的个人信息,缺少该信息会员制即无法实现基本服务。目前,必要性的判断尚无统一的评判基准。参考香港个人信息保护执法实践对收集会员个人信息必要性的判断标准,仍以前文A商家在《会员申请表》中所收集的个人信息为例:

1.关于收集会员中文名、联络电话、电子邮件地址、家庭地址、语言偏好相关个人信息,香港个人隐私专员公署认可收集这些信息主要是为了交流目的、也是为了识别会员身份而收集,因此隐私专员公署认为并未超过必要原则;

2.关于收集会员出生月日、婚姻状况、受教育程度、职业、菜肴偏好相关个人信息,香港个人隐私专员公署认可收集这些信息主要是为了设计有针对性的促销优惠,因为这些会员个人资料使商家更了解会员的背景,并使优惠更切合他们的需要,因此隐私专员公署认为并未超过必要原则;

3.关于收集会员身份证号,香港个人隐私专员公署则认为超出必要原则。商家解释收集身份证号系为会员提供登录相关网站的默认密码,公署则认为,商家能将任何数字或字符作为特定的默认密码分配给会员进行身份验证,没有必要收集个人身份证号的某部分数字作为默认密码;

4.关于收集会员出生年份,香港个人隐私专员公署同样认为超出必要原则。商家解释收集会员的出生年月日以供为会员提供生日促销活动,公署则认为,确定会员生日只需出生月和日即可,收集年份实属过度。

需要注意的是,上述香港个人隐私专员公署的观点源于特定行业的会员制。我们在判断收集会员个人信息是否超出必要性,仍须结合特定的行业、特定的会员权益以及特定的使用目的进行综合分析。实践中,商家也可将《常见类型移动互联网应用程序必要个人信息范围规定》作为一个参考。大陆法律实践中,也有相关执法案例对收集会员个人信息的必要性问题作出过回应:

案例三:“上海松江绿地商业管理有限公司侵害消费者权益案”沪监管松处字()第27000059号

案件事实:上海松江绿地商业管理有限公司(以下简称:绿地公司)在只需要消费者提供手机号码的情况下,通过绿地公司的

转载请注明:
http://www.3g-city.net/gjyzl/4097.html
  • 上一篇文章:

  • 下一篇文章:
  • 网站首页 版权信息 发布优势 合作伙伴 隐私保护 服务条款 网站地图 网站简介

    温馨提示:本站信息不能作为诊断和医疗依据
    版权所有2014-2024 冀ICP备19027023号-6
    今天是: