在國家網(wǎng)信辦網(wǎng)絡(luò)執(zhí)法與監(jiān)督局指導(dǎo)下，“亮劍浦江·消費領(lǐng)域個人信息權(quán)益保護(hù)專項執(zhí)法行動”近期聚焦網(wǎng)絡(luò)理財小貸場景下個人信息保護(hù)問題進(jìn)行專項治理。目前，上海市網(wǎng)信辦已指導(dǎo)多家金融理財服務(wù)類APP運營企業(yè)加強(qiáng)個人信息保護(hù)合規(guī)工作，并會同國家金融監(jiān)督管理局上海監(jiān)管局，以及市銀行同業(yè)公會、市保險同業(yè)公會等部門組織開展“網(wǎng)絡(luò)理財小貸場景下個人信息保護(hù)”普法培訓(xùn)和行政指導(dǎo)，指導(dǎo)企業(yè)建立健全個人信息保護(hù)合規(guī)制度和安全防護(hù)措施，切實維護(hù)好廣大消費者的個人信息權(quán)益。

為進(jìn)一步強(qiáng)化企業(yè)合規(guī)意識，有效指導(dǎo)企業(yè)落實個人信息處理者法律責(zé)任，做到個人信息采之有界、用之有度、護(hù)之有責(zé)，上海市網(wǎng)信辦根據(jù)前期巡查情況，梳理了該場景下六類常見違法違規(guī)問題共十個案例，分兩期發(fā)布解析，以案釋法，加大《個人信息保護(hù)法》普法力度。現(xiàn)發(fā)布第一期案例解析。

第一類問題：強(qiáng)制消費者同意不相關(guān)的第三方產(chǎn)品隱私政策

案例1：消費者使用某投資理財類App注冊登錄功能時，該App強(qiáng)制要求消費者同意某第三方App隱私政策，否則無法完成注冊登錄功能。

違法違規(guī)點：案例1中App注冊登錄功能強(qiáng)制消費者同意第三方App隱私政策，且該第三方App隱私政策與本產(chǎn)品處理個人信息目的并不相關(guān)，屬于處理信息未采取對個人權(quán)益影響最小的方式。以上行為侵害了消費者的個人信息合法權(quán)益。

相關(guān)法律條文：《中華人民共和國個人信息保護(hù)法》第五條和第六條規(guī)定，處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式。

第二類問題：強(qiáng)制收集消費者非必要個人信息

案例2：消費者使用某投資理財類App拍照上傳頭像功能，該App申請非必要的存儲權(quán)限（實際只需拍照權(quán)限即可），否則無法使用拍照上傳頭像功能。 

案例3：消費者使用某消費分期類App語音搜索功能時，該App申請非必要的存儲權(quán)限（實際只需麥克風(fēng)權(quán)限即可），否則無法使用語音搜索功能。

違法違規(guī)點：案例2中App在消費者使用拍照上傳頭像功能時，強(qiáng)制要求消費者同意非必要的存儲權(quán)限；案例3中App在消費者使用語音搜索功能時，強(qiáng)制要求消費者同意非必要的存儲權(quán)限。以上行為屬于強(qiáng)制要求消費者提供非必要的個人信息，侵害了消費者個人信息合法權(quán)益。

相關(guān)法律條文：《中華人民共和國個人信息保護(hù)法》第十六條規(guī)定，個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)；處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的除外。

第三類問題：頻繁收集消費者非必要個人信息

案例4：消費者使用某銀行貸款微信小程序，該小程序以“定位分行屬地”為由申請非必要的精準(zhǔn)位置信息，消費者拒絕后，仍繼續(xù)彈窗申請精準(zhǔn)位置信息，嚴(yán)重干擾消費者使用。

案例5:消費者使用某手機(jī)銀行App注冊登錄功能時，該App以“填寫驗證碼”為由申請非必要的短信權(quán)限，消費者拒絕后，重新使用注冊登錄功能，仍繼續(xù)彈窗申請短信權(quán)限，嚴(yán)重干擾消費者使用。

違法違規(guī)點：案例4中小程序在消費者使用時，多次彈窗申請精準(zhǔn)位置信息；案例5中App在消費者使用注冊登錄功能時，多次彈窗申請短信權(quán)限。以上行為屬于頻繁收集消費者非必要個人信息，干擾用戶正常使用行為。

相關(guān)法律條文：《中華人民共和國個人信息保護(hù)法》第五條和第六條規(guī)定，處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個人信息。收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》第三條第二款規(guī)定，用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權(quán)限，或頻繁征求用戶同意、干擾用戶正常使用。

金融理財服務(wù)類機(jī)構(gòu)要對照案例解析舉一反三進(jìn)行自查整改，嚴(yán)格遵循收集消費者個人信息“最小、必要原則”“告知同意原則”，切實履行個人信息保護(hù)義務(wù)。下一步，上海市網(wǎng)信辦將不定期開展“回頭看”檢查，對整改不力、問題嚴(yán)重的企業(yè)依法立案、從嚴(yán)查處。