(记者刘浩)记者近日从上海市消费者权益保护委员会获悉,为引导上海市汽车销售行业加强保护消费者个人信息,维护汽车销售企业和消费者双方合法权益,在上海市互联网信息办公室、上海市商务委员会和上海市市场监管局的支持下,上海市消保委和上海市汽车销售行业协会共同制定并印发《上海市汽车销售行业个人信息保护合规指引》(以下简称《指引》),要求经营者收集和处理个人信息应当遵循合法、正当、必要的原则,不得过度收集、处理,损害公共利益和消费者合法权益。
《指引》指出,经营者收集个人信息的范围和方式应当合法、合理。通过书面形式告知消费者收集、使用个人信息的目的、方式和范围的,应当以醒目的方式、清晰易懂的语言明示具体规则,并征得消费者书面同意。通过APP等线上渠道使用格式条款获取消费者个人信息授权的,应当在消费者首次使用时主动弹窗提示消费者阅读隐私政策,并征得消费者个人的明确同意,不得默认勾选同意隐私政策或仅提供同意选项。
《指引》规定,收集个人信息应当与汽车消费咨询、试乘试驾、订购、使用、车险、金融和售后服务等消费场景密切相关,不得超出法律法规和服务所必需的范围。消费者不同意的,不得因此拒绝提供相关产品或服务。收集、使用消费者生物识别特征、行踪轨迹、征信记录等个人敏感信息的,应当同步告知消费者收集的目的性和必要性,并取得消费者的单独同意。实际收集的个人信息要与声明规则保持一致,不得超出授权范围。因服务需要变更收集个人信息范围的,应当再次告知变更收集、使用个人信息的目的、方式和范围,并取得个人单独同意。APP、微信公众号、微信小程序等使用微信、支付宝、金融机构等一键登录获取头像、昵称或手机号码等信息,或需要获取精准位置以提供附近门店服务的,应当征得个人明确同意。
《指引》强调,在处理个人信息时,未经消费者同意或出于行车安全需要,不得对车辆行踪轨迹、导航记录、驾驶记录、道路状况、浏览历史等信息进行个人特征分析评估或自动决策;不得以电话、短信、弹窗等方式实施商业推销或索取权限申请,干扰正常使用。无法征得同意而通过车辆摄像头、雷达等方式采集到车外个人信息且向车外提供的,应当进行匿名化处理,法律法规允许或要求的除外。未经消费者同意或请求,或消费者个人明确表示拒绝的,不得将消费者个人信息交第三方处理。需经由第三方处理个人信息的,应当征得消费者个人的同意,并在第三方合作协议中明确规定个人信息的保护责任、保密义务、违约责任、突发处置措施等条款。在存储个人信息时,应当建立健全个人信息安全保护管理机制,采取相应的加密、匿名化、去标识化等技术和其他安全措施,确保个人信息不被泄露、滥用和丢失。应当对收集的个人信息进行分类、分级管理,合理限定个人信息访问、处理、传输等权限,企业主要负责人应为个人信息保护的负责人。
值得注意的是,《指引》提出不得以任何形式和理由强制、诱导消费者关注经营者微信公众号、注册会员、索取非必要的个人信息和权限。应当设立专门的个人信息安全管理部门或者人员,负责处理消费者个人信息保护事务,并建立投诉监督机制,方便消费者在其个人信息安全和隐私受到侵犯时进行投诉,并在规定时限内得到反馈处理结果。 |