上海市网信办联合市监局对24家咖啡连锁企业进行普法培训和合规指导，针对咖啡消费场景下个人信息权益保护进行专项整治，旨在提高企业合规意识，保障消费者权益。

🔍 上海网信办和市监局对星巴克、瑞幸咖啡等24家连锁咖啡企业进行约谈，开展普法培训，针对个人信息保护进行专项整治。

📑 指出部分咖啡小程序存在强制同意隐私政策、隐私政策内容不完整、默认勾选入会协议等违法违规行为，侵害消费者权益。

📍 强调餐饮企业在外卖小程序上索要精准位置信息可能过度索权，侵犯消费者隐私权，建议消费者实行‘六不’原则以保护个人信息。

这次差不多所有在沪的咖啡大佬都被请去“喝咖啡”了。

几乎所有头部的咖啡连锁品牌，同一天被上海网信办和市监局请到一起“喝咖啡”，谈的语题关系到所有咖啡消费的权益。

日前，上海市网信办和上海市监局对星巴克、瑞幸咖啡、Manner Coffee、麦咖啡、Tims天好咖啡、挪瓦咖啡、COSTA COFFEE、M Stand、Seesaw Coffee、niiice café、Peet's Coffee、库迪咖啡等24家连锁咖啡企业约谈，开展普法培训和合规指导。

这是上海两部门近期开展的“亮剑浦江•2024”专项执法行动部分工作内容，旨在针对咖啡消费场景下个人信息权益保护专项整治行动。

为进一步强化咖啡企业合规意识，有效指导企业落实个人信息处理者法律责任，保障消费者体验服务品质。上海网信办根据前期巡查情况，梳理了该场景下几类常见违法违规问题，以案释法，督促相关规定要求得到有效落实。

01、“默认同意”没商量

在你使用小程序时，有几次会仔细查看授权页面里那些小号文字？有商家就是赌你不会看。部分品牌消费者首次使用某咖啡点单微信小程序时，该小程序弹窗提示消费者阅读隐私政策，但未提供拒绝选项。

另一种案例，消费者使用某咖啡点单微信小程序下单支付时，该下单页面默认勾选“0元入会”按钮，且默认“我已阅读并同意《会员服务协议》”。

下单页面默认勾选“0元入会”按钮

前一个案例中，小程序向消费者弹窗提示阅读隐私政策时，只有“详见《隐私权政策》”字样，未向消费者提供拒绝选项，消费者只得点击弹窗页面进入小程序，该行为可认定为“强制同意隐私政策行为”。

后一个案例中，小程序在下单支付页面默认同意《会员服务协议》，且《会员服务协议》包含个人信息使用、共享等相关处理规则，可视为隐私政策，因此该行为可认定为“默认同意隐私政策行为”。以上两种违法违规行为侵害了消费者个人信息权益。

隐私政策无拒绝选项

另外，根据《App违法违规收集使用个人信息行为认定方法》（下称《App个信认定法》）第三条第四款规定，以默认选择同意隐私政策等非明示方式征求用户同意，可被认定为“未经用户同意收集使用个人信息”。

02、“隐私政策”里埋雷

你有几次点开《隐私政策》认真读一读里面的条款？没读就对了，商家也知道很多人不会看，所以在条款里夹带点“私货”也没人注意。

小程序隐私协议

有案例证实已经有人中招。消费者使用某咖啡点单微信小程序时，该小程序虽弹窗提示消费者阅读隐私政策，但该隐私政策仅为某第三方隐私政策模板。另外，还有在小程序隐私政策包含“微信小程序第三方SDK目录”一节，但未列出具体的第三方SDK清单目录。经过这种名称替换，品牌悄咪咪地规避了《隐私政策》的那些约束条款。

还有消费者使用某咖啡点单小程序时，该小程序隐私政策承诺外送订单功能会在“消费者授权同意前提下”，收集精准地理位置信息，但实际使用该功能时，小程序强制消费者授权精准地理位置信息。

在埋雷的《隐私政策》中，小程序隐私政策实际内容为第三方隐私政策模板，未包含本小程序的个人信息处理者名称、处理目的、处理方式等事项，属于隐私政策缺失问题。

隐私协议

精准地理定位案例中，小程序隐私政策写明精准地理位置信息系“授权收集”，但实际操作中却属于“强制收集”，存在隐私政策不实问题。

案例中的小程序隐私政策虽然包含个人信息处理规则，但缺少第三方SDK目录，属于隐私政策不完整问题。

以上三种行为可被认定为“隐私政策缺失、不实或不完整问题”，侵害了消费者个人信息权益。

根据《App个信认定法》相关法律，违反其所声明的收集使用规则，收集使用个人信息，可被认定为“未经用户同意收集使用个人信息”。

03、不给定位不让消费

另一案例中，消费者使用某咖啡点单小程序时，该小程序点单功能弹窗索要“精准位置信息权限”，用户点击拒绝后，仍持续提示用户授权精准位置信息，如果不授权精准位置信息，则无法点单。

小程序强制授权精准地理位置信息

此外，消费者使用某咖啡点单小程序时，该小程序点单功能弹窗申请精准位置信息权限，用户点击就拒绝后，继续弹窗申请精准位置信息权限。

上述案例中，小程序点单功能频繁弹窗诱导消费者提供精准位置信息。精准位置信息对于点单来说，并非必要信息，有些已属于强制或频繁诱导收集精准位置信息行为，侵犯消费者个人信息权益。

上海网信办有关负责人称，餐饮企业在自己的外卖小程序上要求消费者授权位置信息，这在一定程度上算是过度索权，“这种要求可能侵犯了消费者的隐私权，而且通过这些位置信息，商家可以收集消费者的消费习惯和偏好。”

企业收集的信息量越大，收集信息内容越敏感，企业相应承担的法律责任就应该越严格。而企业合规意识的缺失，就意味着消费者个人信息泄露的风险越大。

上海网信办还提醒消费者，在日常点餐中可积极落实上海市网信办提出的“六不”建议，做到“隐私政策不告知不继续”“非必要个人信息不提供”“一键要号码不允许”“‘被’会员诱关注不冲动”“定向推营销广告不接受”等

本文来自微信公众号“中国饮品快报”（ID:zgypkb），作者：汪健，编辑：三月，36氪经授权发布。