海南:《海南省商场超市消费领域个人信息保护合规指引》发布
导读
点击文末“阅读原文”,查看规范原文。
2025年1月9日,海南网信办发布《海南省商场超市消费领域个人信息保护合规指引》(以下简称《指引》)。
《指引》适用于海南省行政区域内各类商场超市,并明确“APP或小程序”是指商场超市经营者向消费者提供注册会员、网络购物、支付结账、配送等功能的应用程序,包括但不限于移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、消费者无需安装即可使用的移动互联网应用等。
《指引》重点针对如下方面的合规要求作出指引:
告知同意要求:商场超市经营者通过APP或小程序向消费者提供服务的,应当在APP或小程序首次运行时以弹窗或其他显著方式向消费者提示阅读隐私政策。隐私政策内容应当清晰易懂,真实、准确、完整地向消费者告知收集、使用、储存个人信息的具体规则,并征得消费者明确同意,不得默认勾选同意隐私政策或是仅提供同意选项,不得在消费者同意隐私政策前申请精准位置信息、存储等权限。
不得超出授权范围处理个人信息:商场超市经营者应当严格按照其明示的规则收集、使用消费者个人信息,收集的个人信息或打开的可收集个人信息权限不得超出消费者授权范围。
一键登录、获取位置等场景下的合规要求:APP或小程序使用微信、支付宝等一键登录获取昵称、头像或手机号码等信息,或需要获取精准位置以提供附近门店服务的,应当征得消费者明确同意,不得以消费者拒绝授权为由停止提供服务或限制使用功能。
单独同意和特殊告知要求:商场超市经营者通过APP或小程序收集、处理消费者姓名、身份证号、行踪轨迹等敏感个人信息,或向第三方提供其处理的个人信息,应当同步告知消费者收集的目的和必要性,并取得消费者单独同意。
不得频繁弹窗索要权限:商场超市经营者不得频繁弹窗向消费者申请授权非必要个人信息,干扰消费者正常使用功能。
个性化商业营销要求:未经消费者同意、请求,或消费者明确表示拒绝的,商场超市经营者不得将消费者个人信息共享至第三方使用或推送个性化商业营销信息。推送商业营销信息应当提供退订或拒绝选项,个性化推荐服务应当提供简易的关闭操作流程。
变更及撤回同意要求:商场超市经营者应当保障消费者可以根据意愿变更授权同意范围、撤回授权和注销账号,不得设置不必要、不合理条件。
《指引》原文
海南省商场超市消费领域个人信息保护合规指引
第一章 总则
第一条 目的和依据
为加强海南省商场超市消费领域个人信息保护,有效提升经营者合规水平,海南省互联网信息办公室、海南省市场监督管理局、海南省商务厅依据《中华人民共和国个人信息保护法》《中华人民共和国消费者权益保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规,根据海南省商场超市消费领域实际情况,制定本指引。
第二条 适用范围
本指引适用于海南省行政区域内各类商场超市。
第三条 基本概念
本指引所称APP或小程序,是指商场超市经营者向消费者提供注册会员、网络购物、支付结账、配送等功能的应用程序,包括但不限于移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、消费者无需安装即可使用的移动互联网应用等。
第四条 基本原则
商场超市经营者开展经营活动,应当自觉遵守法律法规、商业道德和公序良俗,收集、使用消费者个人信息应当遵循合法、正当、必要、诚信的基本原则。
第二章 消费者个人信息保护
第五条 商场超市经营者通过APP或小程序向消费者提供服务的,应当在APP或小程序首次运行时以弹窗或其他显著方式向消费者提示阅读隐私政策。隐私政策内容应当清晰易懂,真实、准确、完整地向消费者告知收集、使用、储存个人信息的具体规则,并征得消费者明确同意,不得默认勾选同意隐私政策或是仅提供同意选项,不得在消费者同意隐私政策前申请精准位置信息、存储等权限。
第六条 商场超市经营者应当严格按照其明示的规则收集、使用消费者个人信息,收集的个人信息或打开的可收集个人信息权限不得超出消费者授权范围。
第七条 APP或小程序使用微信、支付宝等一键登录获取昵称、头像或手机号码等信息,或需要获取精准位置以提供附近门店服务的,应当征得消费者明确同意,不得以消费者拒绝授权为由停止提供服务或限制使用功能。
第八条 商场超市经营者通过APP或小程序收集、处理消费者姓名、身份证号、行踪轨迹等敏感个人信息,或向第三方提供其处理的个人信息,应当同步告知消费者收集的目的和必要性,并取得消费者单独同意。
第九条 商场超市经营者不得频繁弹窗向消费者申请授权非必要个人信息,干扰消费者正常使用功能。
第十条 未经消费者同意、请求,或消费者明确表示拒绝的,商场超市经营者不得将消费者个人信息共享至第三方使用或推送个性化商业营销信息。推送商业营销信息应当提供退订或拒绝选项,个性化推荐服务应当提供简易的关闭操作流程。
第十一条 商场超市经营者应当保障消费者可以根据意愿变更授权同意范围、撤回授权和注销账号,不得设置不必要、不合理条件。
第三章 责任与监督
第十二条 商场超市经营者应当建立健全消费者个人信息安全管理制度和操作规程,合理确定个人信息处理的操作权限,并对收集的个人信息实行分级、分类管理,采取相应的加密、去标识化等安全技术措施,提升个人信息管理规范性和安全性。
第十三条 商场超市经营者应当定期对员工进行安全教育和培训,制定并组织实施个人信息安全事件应急预案。
第十四条 商场超市经营者承担个人信息保护主体责任,应当采取技术和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
第十五条 海南省互联网信息办公室、海南省市场监督管理局依法依规对商场超市消费领域个人信息保护合规情况开展执法检查,海南省商务厅在职权范围内对商场超市领域个人信息保护合规情况进行监督。
第四章 附则
第十六条 本指引自公布之日起实施。
来源:海南网信办
一个专注于数据、网络安全、科技、媒体和通信(TMT)领域,以及环境、社会和治理(ESG)法律发展的频道,致力于与您分享我们对法律法规、行业动态方面的独家观点和深入解读。
