會(huì)員制模式在商業(yè)中應(yīng)用廣泛,從零售業(yè)(例如沃爾瑪�、天貓會(huì)員店)到金融業(yè)(例如銀行VIP卡)、航空業(yè)(例如中國(guó)國(guó)際航空“國(guó)航知音”常旅客會(huì)員)再到服務(wù)行業(yè)(例如健身店����、球場(chǎng)、電影院會(huì)員)����。
顧客成為商家會(huì)員的第一步,須通過(guò)網(wǎng)絡(luò)或紙面提交個(gè)人信息����,該步驟即商家收集個(gè)人信息的過(guò)程。顧客成為會(huì)員后����,商家會(huì)根據(jù)會(huì)員個(gè)人信息有針對(duì)性地提供折扣、積分獎(jiǎng)勵(lì)����、促銷優(yōu)惠及其他會(huì)員權(quán)益。期間�����,會(huì)員信息將經(jīng)歷存儲(chǔ)���、使用�、加工�、傳輸、提供��、公開(kāi)等一系列的個(gè)人信息處理活動(dòng)����。
不言而喻,上述個(gè)人信息處理活動(dòng)受即將生效的《個(gè)人信息保護(hù)法》規(guī)制�。本文結(jié)合既往案例,簡(jiǎn)要探討會(huì)員制模式在《個(gè)人信息保護(hù)法》框架下的主要合規(guī)問(wèn)題���。
一���、對(duì)會(huì)員敏感個(gè)人信息采取特別措施
《個(gè)人信息保護(hù)法》設(shè)專節(jié)對(duì)敏感個(gè)人信息的處理作了特別規(guī)定��,因此處理會(huì)員信息的商家須正確識(shí)別會(huì)員信息中的敏感個(gè)人信息����,并針對(duì)該部分敏感個(gè)人信息采取特別措施����。
《個(gè)人信息保護(hù)法》第二十八條第一款規(guī)定:“敏感個(gè)人信息是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身����、財(cái)產(chǎn)安全受到危害的個(gè)人信息,包括生物識(shí)別����、宗教信仰、特定身份����、醫(yī)療健康、金融賬戶����、行蹤軌跡等信息����,以及不滿十四周歲未成年人的個(gè)人信息����?���!贝送猓鶕?jù)GB/T 35273-2020《個(gè)人信息安全規(guī)范》的定義����,敏感個(gè)人信息還包括通信記錄和內(nèi)容、財(cái)產(chǎn)信息�����、征信信息����、住宿信息、交易信息等����。
不同行業(yè)的會(huì)員制要求的個(gè)人信息不盡相同����。舉例而言����,某A商家《會(huì)員申請(qǐng)表》中的個(gè)人信息包括:中文名、身份證號(hào)����、人像照片、聯(lián)絡(luò)電話����、電子郵件地址、出生月份和年份����、家庭地址、婚姻狀況����、語(yǔ)言偏好、受教育程度����、職業(yè)����、收入情況����、健康信息、出行情況����、菜肴偏好����。
根據(jù)前述定義,A商家《會(huì)員申請(qǐng)表》收集的個(gè)人信息中����,敏感個(gè)人信息包括:身份證號(hào)、人像照片����、家庭地址及健康信息。
根據(jù)規(guī)定����,A商家須針對(duì)會(huì)員敏感個(gè)人信息采取的特別措施具體如下:
1.只有在具有特定的目的和充分的必要性����,并采取嚴(yán)格保護(hù)措施的情形下����,商家方可處理敏感個(gè)人信息。(第二十八條第二款)
2.處理敏感個(gè)人信息應(yīng)當(dāng)取得會(huì)員個(gè)人的單獨(dú)同意�;(第二十九條)
3.應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)會(huì)員個(gè)人權(quán)益的影響;(第三十條)
4.處理不滿十四周歲未成年人會(huì)員個(gè)人信息的�����,應(yīng)當(dāng)取得未成年人會(huì)員的父母或者其他監(jiān)護(hù)人的同意�����,并且應(yīng)當(dāng)制定專門的未成年會(huì)員個(gè)人信息處理規(guī)則�;(第三十一條)
5. 應(yīng)當(dāng)事前進(jìn)行會(huì)員個(gè)人信息保護(hù)影響評(píng)估,并對(duì)處理情況進(jìn)行記錄����。(第五十五條)
二、舉證會(huì)員個(gè)人信息收集����、使用的合法性
就像《刑法》巨額財(cái)產(chǎn)來(lái)源不明罪中規(guī)定的國(guó)家工作人員本人須就其明顯超過(guò)合法收入的財(cái)產(chǎn)說(shuō)明合法來(lái)源一樣����,商家負(fù)有舉證證明其掌握的會(huì)員個(gè)人信息來(lái)源以及使用的合法性����。實(shí)踐中,大量商家掌握的會(huì)員個(gè)人信息無(wú)法舉證收集����、使用的合法性,面臨行政處罰風(fēng)險(xiǎn)����。
案例一:“嵊州市健普森健身有限公司侵害消費(fèi)者依法得到保護(hù)的個(gè)人信息權(quán)利案”嵊市監(jiān)檢處〔2019〕188號(hào)
案件事實(shí):2019年5月10日�,執(zhí)法人員根據(jù)舉報(bào)信息,依法對(duì)嵊州市健普森健身有限公司(以下簡(jiǎn)稱:健普森公司)進(jìn)行現(xiàn)場(chǎng)檢查�。執(zhí)法人員在當(dāng)事人銷售部辦公桌上發(fā)現(xiàn)消費(fèi)者個(gè)人信息材料一份共13頁(yè),并在銷售員工電腦內(nèi)發(fā)現(xiàn)一個(gè)名為“兒童資源”的文件夾��,內(nèi)有大量消費(fèi)者個(gè)人信息資料(內(nèi)容包括姓名�、手機(jī)號(hào)碼、家庭住址����、班級(jí)�、出生年月等)�,當(dāng)事人無(wú)法說(shuō)明其來(lái)源。
處理結(jié)果:健普森公司未經(jīng)消費(fèi)者同意收集��、使用消費(fèi)者信息的行為違反了《侵害消費(fèi)者權(quán)益行為處罰辦法》第十一條第一款第(一)項(xiàng)“經(jīng)營(yíng)者收集�、使用消費(fèi)者個(gè)人信息,應(yīng)當(dāng)遵循合法�����、正當(dāng)�����、必要的原則����,明示收集、使用信息的目的����、方式和范圍,并經(jīng)消費(fèi)者同意����。經(jīng)營(yíng)者不得有下列行為:(一)未經(jīng)消費(fèi)者同意����,收集����、使用消費(fèi)者個(gè)人信息;……”之規(guī)定����,執(zhí)法機(jī)關(guān)責(zé)令健普森公司改正其違法行為,決定對(duì)當(dāng)事人處罰如下:罰款20000元����。
案例二:“丹頓(上海)環(huán)保科技有限公司涉嫌侵害消費(fèi)者權(quán)益案”滬市監(jiān)松處〔2020〕號(hào)
