在国家网信办网络执法与监督局指导下,“亮剑浦江·消费领域个人信息权益保护专项执法行动”近期聚焦网络理财小贷场景下个人信息保护问题进行专项治理。目前,上海市网信办已指导多家金融理财服务类APP运营企业加强个人信息保护合规工作,并会同国家金融监督管理局上海监管局,以及市银行同业公会、市保险同业公会等部门组织开展“网络理财小贷场景下个人信息保护”普法培训和行政指导,指导企业建立健全个人信息保护合规制度和安全防护措施,切实维护好广大消费者的个人信息权益。
为进一步强化企业合规意识,有效指导企业落实个人信息处理者法律责任,做到个人信息采之有界、用之有度、护之有责,上海市网信办根据前期巡查情况,梳理了该场景下六类常见违法违规问题共十个案例,分两期发布解析,以案释法,加大《个人信息保护法》普法力度。第一期案例解析已于9月13日发布,现发布第二期案例解析。
第四类问题:未经消费者同意收集使用个人信息
案例6:消费者使用某保险类小程序时,该小程序在消费者同意隐私政策之前就向消费者申请授权精准位置信息。
违法违规点:案例6中小程序在消费者未同意隐私政策的情况下,直接申请打开精准位置信息权限,属于未经消费者同意收集使用个人信息的行为。
相关法律条文:《中华人民共和国个人信息保护法》第十三条规定,个人信息处理者在取得个人同意或符合法律规定的其他情形下方可处理个人信息。《App违法违规收集使用个人信息行为认定方法》第三条第一款规定,征得用户同意前就开始收集个人信息或打开可收集个人信息的权限,此类行为可被认定为“未经用户同意收集使用个人信息”。
第五类问题:未同步告知消费者收集个人信息目的
案例7:消费者使用某消费金融类小程序的上传身份证照片功能时,该小程序未同步向消费者告知收集身份证照片的必要性。
案例8:消费者首次使用某贷款类App时,App读取应用列表,但未向消费者同步告知读取应用列表的目的。
违法违规点:案例7中小程序要求消费者上传身份证照片等敏感个人信息,但未同步向消费者告知收集该个人信息的目的和必要性;案例8中App首次读取应用列表时未同步向消费者告知收集应用列表的目的。以上行为侵害了消费者的个人信息合法权益。
相关法律条文:《中华人民共和国个人信息保护法》第十七条规定,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限等事项;第三十条规定,个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。《App违法违规收集使用个人信息行为认定方法》第二条第三款规定,在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解,此类行为可被认定为“未明示收集使用个人信息的目的、方式和范围”。
第六类问题:为删除消费者个人信息设置不合理条件
案例9:消费者使用某投资理财类App的注销账号功能时,该App提示消费者需同步注销某第三方App账号,但此第三方App与该App并无必要关联,构成了捆绑注销行为,属于为消费者注销账号设置不合理条件。
案例10:消费者使用某汽车贷款小程序的注销账号功能时,隐私政策声明在20个工作日内完成注销账号的核查与处理。
违法违规点:案例9中App实施捆绑注销,为消费者注销账号设置不合理条件;案例10中小程序承诺时限超过15个工作日,属于未按法律规定提供删除或更正个人信息功能行为。
相关法律条文:《中华人民共和国个人信息保护法》第四十七条和第五十条规定,个人撤回同意时,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。《App违法违规收集使用个人信息行为认定方法》第六条第二款和第三款规定,为更正、删除个人信息或注销用户账号设置不必要或不合理条件;虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理,此类行为可被认定为“未按法律规定提供删除或更正个人信息功能”。
金融理财服务类机构要对照案例解析举一反三进行自查整改,严格遵循收集消费者个人信息“最小、必要原则”“告知同意原则”,切实履行个人信息保护义务。下一步,上海市网信办将不定期开展“回头看”检查,对整改不力、问题严重的企业依法立案、从严查处。