各相关单位:

为强化本市商超购物消费领域个人信息保护,维护商超企业和消费者双方的合法权益,在上海市互联网信息办公室、上海市市场监督管理局和上海市商务委员会的共同支持下,上海市消费者权益保护委员会和上海连锁经营协会共同制定并印发《上海市商超购物个人信息保护合规指引》。请认真组织学习和落实,以促进上海商超行业的健康有序发展。

上海市消费者权益保护委员会 上海连锁经营协会

2023年11月6日

上海市商超购物个人信息保护合规指引

第一章 总则

第一条 目的和依据

为强化本市商超购物消费领域个人信息保护,推动商超经营者主动履行个人信息保护义务,在上海市互联网信息办公室、上海市市场监督管理局和上海市商务委员会的共同支持下,上海市消费者权益保护委员会会同上海连锁经营协会依据《中华人民共和国个人信息保护法》《中华人民共和国消费者权益保护法》《上海市消费者权益保护条例》《App违法违规收集使用个人信息行为认定方法》等法律法规,根据本市商超市场发展现状,制定本指引。

第二条 适用范围

本指引适用于注册地或者消费行为地在上海的各类商超。

第三条 基本概念

本指引所称商超,是指经营者统一收银、消费者自主选购,包含购物、餐饮、服务等满足消费者日常生活需要的商业场所,包括但不限于超市、折扣店、仓储会员店、便利店、专业专卖店、等业态。

本指引所称APP或小程序,是指商超经营者向消费者提供注册会员、网络购物、支付结账、配送等功能的应用程序,包括但不限于移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、消费者无需安装即可使用的移动互联网应用等。

第四条 基本原则

商超经营者开展经营活动,应当自觉遵守法律法规、商业道德和公序良俗,收集、使用消费者个人信息应当遵循合法、正当、必要、诚信的基本原则。

第二章 消费者个人信息保护

第五条 商超经营者通过APP或小程序向消费者提供服务的,应当在APP或小程序首次运行时以弹窗或其他显著方式向消费者提示阅读隐私政策。隐私政策内容应当清晰易懂,真实、准确、完整地向消费者告知收集、使用、储存个人信息的具体规则,并征得消费者明确同意,不得默认勾选同意隐私政策或是仅提供同意选项,不得在消费者同意隐私政策前申请精准位置信息、存储等权限。

第六条 商超经营者应当严格按照隐私政策收集、使用、储存消费者个人信息,实际收集行为要与声明规则保持一致,收集的个人信息或索取的权限要与消费场景密切相关。

第七条 APP或小程序使用微信、支付宝等一键登录获取昵称、头像或手机号码等信息,或需要获取精准位置以提供附近门店服务的,应当征得消费者明确同意,不得以消费者拒绝授权为由停止提供服务或限制使用功能。

第八条 商超经营者通过APP或小程序收集、处理消费者姓名、身份证号、行踪轨迹等敏感个人信息,或向第三方提供其处理的个人信息,应当同步告知消费者收集的目的和必要性,并取得消费者单独同意。

第九条 商超经营者应当遵循“最小、必要”原则,不得以任何形式和理由强制、诱导消费者关注微信公众号、注册会员、索取非必要个人信息和权限,不得频繁弹窗索取权限或申请消费者同意,干扰消费者正常使用功能。

第十条 未经消费者同意、请求,或消费者明确表示拒绝的,商超经营者不得将消费者个人信息共享至第三方使用或推送个性化商业营销信息。推送商业营销信息应当提供退订或拒绝选项,个性化推荐服务应当提供简易的关闭操作流程。

第十一条 商超经营者应当保障消费者可以根据意愿变更授权同意范围、撤回授权和注销账号,不得设置不必要、不合理条件。

第三章 责任与监督

第十二条 商超经营者应当建立健全消费者个人信息安全管理制度和操作规程,合理确定个人信息处理的操作权限,并对收集的个人信息实行分级、分类管理,采取相应的加密、去标识化等安全技术措施,提升个人信息管理规范性和安全性。

第十三条 商超经营者应当定期对从业人员进行安全教育和培训,制定并组织实施个人信息安全事件应急预案。

第十四条 商超经营者承担个人信息保护主体责任,应当采取技术和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。

第十五条 上海市消费者权益保护委员会会同上海连锁经营协会将不定期对商超经营者个人信息保护合规情况开展暗访抽查和社会监督。

第四章 附 则

第十六条 本指引自印发之日起实施。

声明:本文来自上海市消保委,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。