售前電話
135-3656-7657
售前電話 : 135-3656-7657
會員制模式在商業(yè)中應用廣泛,從零售業(yè)(例如沃爾瑪、天貓會員店)到金融業(yè)(例如銀行VIP卡)、航空業(yè)(例如中國國際航空“國航知音”常旅客會員)再到服務行業(yè)(例如健身店、球場、電影院會員)。
顧客成為商家會員的第一步,須通過網絡或紙面提交個人信息,該步驟即商家收集個人信息的過程。顧客成為會員后,商家會根據(jù)會員個人信息有針對性地提供折扣、積分獎勵、促銷優(yōu)惠及其他會員權益。期間,會員信息將經歷存儲、使用、加工、傳輸、提供、公開等一系列的個人信息處理活動。
不言而喻,上述個人信息處理活動受即將生效的《個人信息保護法》規(guī)制。本文結合既往案例,簡要探討會員制模式在《個人信息保護法》框架下的主要合規(guī)問題。
一、對會員敏感個人信息采取特別措施
《個人信息保護法》設專節(jié)對敏感個人信息的處理作了特別規(guī)定,因此處理會員信息的商家須正確識別會員信息中的敏感個人信息,并針對該部分敏感個人信息采取特別措施。
《個人信息保護法》第二十八條第一款規(guī)定:“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。”此外,根據(jù)GB/T 35273-2020《個人信息安全規(guī)范》的定義,敏感個人信息還包括通信記錄和內容、財產信息、征信信息、住宿信息、交易信息等。
不同行業(yè)的會員制要求的個人信息不盡相同。舉例而言,某A商家《會員申請表》中的個人信息包括:中文名、身份證號、人像照片、聯(lián)絡電話、電子郵件地址、出生月份和年份、家庭地址、婚姻狀況、語言偏好、受教育程度、職業(yè)、收入情況、健康信息、出行情況、菜肴偏好。
根據(jù)前述定義,A商家《會員申請表》收集的個人信息中,敏感個人信息包括:身份證號、人像照片、家庭地址及健康信息。
根據(jù)規(guī)定,A商家須針對會員敏感個人信息采取的特別措施具體如下:
1.只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,商家方可處理敏感個人信息。(第二十八條第二款)
2.處理敏感個人信息應當取得會員個人的單獨同意;(第二十九條)
3.應當向個人告知處理敏感個人信息的必要性以及對會員個人權益的影響;(第三十條)
4.處理不滿十四周歲未成年人會員個人信息的,應當取得未成年人會員的父母或者其他監(jiān)護人的同意,并且應當制定專門的未成年會員個人信息處理規(guī)則;(第三十一條)
5. 應當事前進行會員個人信息保護影響評估,并對處理情況進行記錄。(第五十五條)
二、舉證會員個人信息收集、使用的合法性
就像《刑法》巨額財產來源不明罪中規(guī)定的國家工作人員本人須就其明顯超過合法收入的財產說明合法來源一樣,商家負有舉證證明其掌握的會員個人信息來源以及使用的合法性。實踐中,大量商家掌握的會員個人信息無法舉證收集、使用的合法性,面臨行政處罰風險。
案例一:“嵊州市健普森健身有限公司侵害消費者依法得到保護的個人信息權利案”嵊市監(jiān)檢處〔2019〕188號
案件事實:2019年5月10日,執(zhí)法人員根據(jù)舉報信息,依法對嵊州市健普森健身有限公司(以下簡稱:健普森公司)進行現(xiàn)場檢查。執(zhí)法人員在當事人銷售部辦公桌上發(fā)現(xiàn)消費者個人信息材料一份共13頁,并在銷售員工電腦內發(fā)現(xiàn)一個名為“兒童資源”的文件夾,內有大量消費者個人信息資料(內容包括姓名、手機號碼、家庭住址、班級、出生年月等),當事人無法說明其來源。
處理結果:健普森公司未經消費者同意收集、使用消費者信息的行為違反了《侵害消費者權益行為處罰辦法》第十一條第一款第(一)項“經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,并經消費者同意。經營者不得有下列行為:(一)未經消費者同意,收集、使用消費者個人信息;……”之規(guī)定,執(zhí)法機關責令健普森公司改正其違法行為,決定對當事人處罰如下:罰款20000元。
案例二:“丹頓(上海)環(huán)??萍加邢薰旧嫦忧趾οM者權益案”滬市監(jiān)松處〔2020〕號