酒店运营商能否通过住客扫码入住,间接收集住客个人信息?
父亲节快乐说说朋友圈酒店运营商能否通过住客扫码入住,
间接收集住客个人信息?
陈美因要去外地出差,提前在网上预订了一间连锁酒店的单人豪华大床房。当天,陈美抵达酒店办理入住时,被前台服务员告知,酒店已经上线了扫描入住功能,需通过扫码办理。陈美留意到,在按下“一键登录”的按钮时,页面下方有一行小字——“我已阅读并同意《会员服务条款》和《隐私声明》”,如不同意打钩,将无法完成入住登记;而一旦打钩,系统则进一步要求住客提供手机号码,并自动为该手机号码注册会员,成为会员后,酒店将自动关联住客在预订房间时留存的身份证号码。
与此同时,陈美发现,在办理入住时,酒店前台并未主动告知可通过人工办理入住,也未明示“扫码入住即等于加入会员”。陈美觉得该连锁酒店的行为可能侵犯了住客的个人信息权益,于是就该问题向律师咨询。
律师说法
《个人信息保护法》第十四条第一款规定:“基于个人同意处理个人信息的,该同意应当由个
人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”连锁酒店的网络运营商在住客扫码入住的环节中嵌入注册会员环节,以此间接获取住客的昵称、头像以及手机号码等个人信息。虽然住客均在《会员服务条款》和《隐私声明》中打钩表示已阅读并同意,但事实上住客并非在个人充分知情的前提下自愿明确作出同意的意思表示。
《个人信息保护法》第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”《隐私声明》中提出,住客在使用酒店的网站或者移动应用软件时,需要提供姓名、性别、身份证号码、家庭住址、电话号码、生日、邮箱、账号、密码及其选择酒店时的偏好以及支付时提供的银行账户或信用卡等信息。但是,家庭住址、生日、账号、密码等显然都不是酒店必要收集的个人信息,酒店在对住客信息的处理中违背了“最小范围原则”。另外,这其中的家庭住址、银行账户、信用卡信息均属于敏感个人信息,敏感个人信息一旦泄露或者被非法使用,容易导致个人的人格尊严受到侵害或者人身、财产安全受到危害。
因此,根据《个人信息保护法》第二十八条、第二十九条的规定,“处理敏感个人信息应当取得个人的单独同意”,并且“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”,酒店的网络运营商将住客的敏感个人信息与其他种类的个人信息合并获取住客的授权,并且未对收集住客敏感个人信息的目的及必要性进行单独明确充分说明,违反了《个人信息保护法》关于敏感个人信息处理规则的有关规定。
生活小贴士
1.作为消费者,在入住酒店时,若需要使用扫码,应当谨慎注意,尤其是在授权前,要留意打钩项后的文字叙述,对于未明示同意就获取用户授权的,可向当地消费者协会或工信部门投诉。
2.如果住客发现“被会员”,不希望个人信息留存在酒店网络运营商的服务器上,可先通过酒店官方的要求注销会籍并删除相关个人信息。如果酒店官方不予配合,住客可保留与客服通话的电话录音或者邮件往来作为相关证据,向消费者协会投诉,或者提起民事诉讼。
法律速递
《个人信息保护法》
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
手机软件安装韩国首尔胜利事件《App违法违规收集使用个人信息行为认定方法》
一、 以下行为可被认定为“未公开收集使用规则”
内能与什么有关
1.在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;鲁班七号QQ红包
3.隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
4.隐私政策等收集使用规则难以阅读,如文字过小过密、颜过淡、模糊不清,或未提供简体中文版等。
羽毛球规则二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”
1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
2.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
3.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
4.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。