會員制模式在商業(yè)中應(yīng)用廣泛���,從零售業(yè)(例如沃爾瑪、天貓會員店)到金融業(yè)(例如銀行VIP卡)��、航空業(yè)(例如中國國際航空“國航知音”常旅客會員)再到服務(wù)行業(yè)(例如健身店��、球場��、電影院會員)��。
顧客成為商家會員的第一步����,須通過網(wǎng)絡(luò)或紙面提交個人信息,該步驟即商家收集個人信息的過程���。顧客成為會員后,商家會根據(jù)會員個人信息有針對性地提供折扣����、積分獎勵、促銷優(yōu)惠及其他會員權(quán)益�。期間,會員信息將經(jīng)歷存儲、使用���、加工����、傳輸��、提供���、公開等一系列的個人信息處理活動�����。
不言而喻���,上述個人信息處理活動受即將生效的《個人信息保護(hù)法》規(guī)制。本文結(jié)合既往案例����,簡要探討會員制模式在《個人信息保護(hù)法》框架下的主要合規(guī)問題。
一��、對會員敏感個人信息采取特別措施
《個人信息保護(hù)法》設(shè)專節(jié)對敏感個人信息的處理作了特別規(guī)定�����,因此處理會員信息的商家須正確識別會員信息中的敏感個人信息,并針對該部分敏感個人信息采取特別措施�。
《個人信息保護(hù)法》第二十八條第一款規(guī)定:“敏感個人信息是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身�����、財(cái)產(chǎn)安全受到危害的個人信息�,包括生物識別、宗教信仰��、特定身份��、醫(yī)療健康���、金融賬戶��、行蹤軌跡等信息��,以及不滿十四周歲未成年人的個人信息����?!贝送猓鶕?jù)GB/T 35273-2020《個人信息安全規(guī)范》的定義�����,敏感個人信息還包括通信記錄和內(nèi)容�、財(cái)產(chǎn)信息、征信信息����、住宿信息、交易信息等�。
不同行業(yè)的會員制要求的個人信息不盡相同。舉例而言�,某A商家《會員申請表》中的個人信息包括:中文名、身份證號���、人像照片���、聯(lián)絡(luò)電話、電子郵件地址���、出生月份和年份����、家庭地址、婚姻狀況�����、語言偏好�、受教育程度、職業(yè)�、收入情況、健康信息�����、出行情況�����、菜肴偏好�����。
根據(jù)前述定義����,A商家《會員申請表》收集的個人信息中,敏感個人信息包括:身份證號�、人像照片�、家庭地址及健康信息�����。
根據(jù)規(guī)定����,A商家須針對會員敏感個人信息采取的特別措施具體如下:
1.只有在具有特定的目的和充分的必要性����,并采取嚴(yán)格保護(hù)措施的情形下,商家方可處理敏感個人信息��。(第二十八條第二款)
2.處理敏感個人信息應(yīng)當(dāng)取得會員個人的單獨(dú)同意����;(第二十九條)
3.應(yīng)當(dāng)向個人告知處理敏感個人信息的必要性以及對會員個人權(quán)益的影響;(第三十條)
4.處理不滿十四周歲未成年人會員個人信息的��,應(yīng)當(dāng)取得未成年人會員的父母或者其他監(jiān)護(hù)人的同意��,并且應(yīng)當(dāng)制定專門的未成年會員個人信息處理規(guī)則��;(第三十一條)
5. 應(yīng)當(dāng)事前進(jìn)行會員個人信息保護(hù)影響評估���,并對處理情況進(jìn)行記錄����。(第五十五條)
二、舉證會員個人信息收集����、使用的合法性
就像《刑法》巨額財(cái)產(chǎn)來源不明罪中規(guī)定的國家工作人員本人須就其明顯超過合法收入的財(cái)產(chǎn)說明合法來源一樣,商家負(fù)有舉證證明其掌握的會員個人信息來源以及使用的合法性��。實(shí)踐中���,大量商家掌握的會員個人信息無法舉證收集���、使用的合法性,面臨行政處罰風(fēng)險(xiǎn)��。
案例一:“嵊州市健普森健身有限公司侵害消費(fèi)者依法得到保護(hù)的個人信息權(quán)利案”嵊市監(jiān)檢處〔2019〕188號
案件事實(shí):2019年5月10日���,執(zhí)法人員根據(jù)舉報(bào)信息�,依法對嵊州市健普森健身有限公司(以下簡稱:健普森公司)進(jìn)行現(xiàn)場檢查��。執(zhí)法人員在當(dāng)事人銷售部辦公桌上發(fā)現(xiàn)消費(fèi)者個人信息材料一份共13頁,并在銷售員工電腦內(nèi)發(fā)現(xiàn)一個名為“兒童資源”的文件夾���,內(nèi)有大量消費(fèi)者個人信息資料(內(nèi)容包括姓名�����、手機(jī)號碼、家庭住址�、班級、出生年月等)��,當(dāng)事人無法說明其來源�����。
處理結(jié)果:健普森公司未經(jīng)消費(fèi)者同意收集����、使用消費(fèi)者信息的行為違反了《侵害消費(fèi)者權(quán)益行為處罰辦法》第十一條第一款第(一)項(xiàng)“經(jīng)營者收集、使用消費(fèi)者個人信息���,應(yīng)當(dāng)遵循合法��、正當(dāng)����、必要的原則,明示收集��、使用信息的目的���、方式和范圍�,并經(jīng)消費(fèi)者同意��。經(jīng)營者不得有下列行為:(一)未經(jīng)消費(fèi)者同意���,收集�、使用消費(fèi)者個人信息�;……”之規(guī)定,執(zhí)法機(jī)關(guān)責(zé)令健普森公司改正其違法行為�����,決定對當(dāng)事人處罰如下:罰款20000元�����。
案例二:“丹頓(上海)環(huán)??萍加邢薰旧嫦忧趾οM(fèi)者權(quán)益案”滬市監(jiān)松處〔2020〕號
