10月26日,记者从上海市消费者权益保护委员会获悉,为引导上海市汽车销售行业加强保护消费者个人信息,维护汽车销售企业和消费者双方的合法权益,在上海市互联网信息办公室、上海市商务委员会和上海市市场监督管理局的支持下,上海市消保委和上海市汽车销售行业协会共同制定并印发《上海市汽车销售行业个人信息保护合规指引》(以下简称《指引》),要求经营者收集和处理个人信息应当遵循合法、正当、必要的原则,不得过度收集、处理,损害公共利益和消费者个人的合法权益。
《指引》指出,经营者收集个人信息的范围和方式应当合法、合理。通过书面形式告知消费者收集、使用个人信息的目的、方式和范围的,应当以醒目的方式、清晰易懂的语言明示具体规则,并征得消费者的书面同意。通过APP等线上渠道使用格式条款获取消费者个人信息授权的,应当在消费者首次使用时主动弹窗提示消费者个人阅读隐私政策,并征得消费者个人的明确同意,不得默认勾选同意隐私政策或仅提供同意选项。
收集个人信息应当与汽车消费咨询、试乘试驾、订购、使用、车险、金融和售后服务等消费场景密切相关,不得超出法律法规和服务所必需的范围。消费者个人不同意的,不得因此拒绝提供相关产品或服务。收集、使用消费者生物识别特征、行踪轨迹、征信记录等个人敏感信息的,应当同步告知消费者收集的目的性和必要性,并取得消费者的单独同意。
实际收集的个人信息要与声明规则保持一致,不得超出授权范围。因服务需要变更收集个人信息范围的,应当再次告知变更收集、使用个人信息的目的、方式和范围,并取得个人单独同意。
APP、微信公众号、微信小程序等使用微信、支付宝、金融机构等一键登录获取头像、昵称或手机号码等信息,或需要获取精准位置以提供附近门店服务的,应当征得个人明确同意。
在处理个人信息时,未经消费者个人同意或行车安全需要,不得对车辆行踪轨迹、导航记录、驾驶记录、道路状况、浏览历史等信息进行个人特征分析评估或自动决策;不得以电话、短信、弹窗等方式实施商业推销或索取权限申请,干扰正常使用。
无法征得同意而通过车辆摄像头、雷达等方式采集到车外个人信息且向车外提供的,应当进行匿名化处理,法律法规允许或要求的除外。
未经消费者同意或请求,或消费者个人明确表示拒绝的,不得将消费者个人信息交第三方处理。需经由第三方处理个人信息的,应当征得消费者个人的同意,并在第三方合作协议中明确规定个人信息的保护责任、保密义务、违约责任、突发处置措施等条款。
在存储个人信息时,应当建立健全个人信息安全保护管理机制,采取相应的加密、匿名化、去标识化等技术和其他安全措施,确保个人信息不被泄露、滥用和丢失。应当对收集的个人信息进行分类、分级管理,合理限定个人信息访问、处理、传输等权限,企业主要负责人应为个人信息保护的负责人。
值得注意的是,《指引》提出不得以任何形式和理由强制、诱导消费者关注经营者微信公众号、注册会员、索取非必要的个人信息和权限。应当设立专门的个人信息安全管理部门或者人员,负责处理消费者个人信息保护事务,并建立投诉监督机制,方便消费者在其个人信息安全和隐私受到侵犯时进行投诉,并在规定时限内得到反馈处理结果。
据悉,上海市消保委与上海市汽车销售行业协会将不定期对汽车销售服务合规情况开展暗访抽查和社会监督。