为强化本市扫码消费领域个人信息保护，维护企业和消费者双方的合法权益，南昌市互联网信息办公室、南昌市市场监督管理局和南昌市消费者权益保护委员会共同制定并印发《南昌市扫码消费服务消费者个人信息保护合规指引》，以促进各类扫码消费行业健康有序发展。

南昌市扫码消费服务消费者个人信息保护合规指引

第一章 总则

第一条 目的和依据

为加强南昌市各领域消费者个人信息保护，有效提升经营者合规经营水平，南昌市互联网信息办公室（以下简称“南昌市委网信办”）、南昌市市场监督管理局（以下简称“南昌市市监局”）、南昌市消费者权益保护委员会（以下简称“南昌市消保委”）依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国消费者权益保护法》《中华人民共和国数据安全法》、《中华人民共和国消费者权益保护法实施条例》等法律、行政法规，参照《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等部门规章，制定本指引。

第二条 适用范围

本指引适用于南昌市行政区域内的各经营者，作为经营者开展扫码消费服务时，对消费者个人信息保护合规管理的指导建议。

第三条 基本概念

本指引所称的经营者，包括但不限于从事餐饮服务、娱乐服务、停车服务、商超购物、宾馆酒店、教育培训、汽车销售、房产销售、房产中介、小区物业等商品或者服务等经营活动的民事主体。

本指引所称的扫码消费服务，是指经营者通过二维码扫码跳转小程序或直接以小程序、APP、网站等方式向消费者提供在线自助服务。

本指引所称的小程序，是指经营者供消费者直接获取经营者信息、产品信息、服务项目、在线点餐、在线预约预订、在线结账、在线自助服务等功能的应用程序，包括但不限于微信/支付宝等各类小程序、微信公众号、网站、H5页面等。

第四条 基本原则

经营者提供扫码消费服务时，应当自觉遵守法律法规、商业道德和公序良俗，收集、使用消费者个人信息应当遵循合法、正当、必要、诚信的原则。

第二章 消费者个人信息保护

第五条

经营者应当在消费者首次使用扫码消费服务时，以弹窗或者其他显著方式向消费者提示隐私政策。隐私政策应当描述清楚，文字大小合适，条款内容简洁明了，明示收集、存储、使用、加工、传输、提供、公开、删除消费者个人信息的具体规则，征得消费者明确同意，不得默认勾选同意隐私政策或仅提供同意选项。

第六条

经营者应当严格按照其明示的规则收集、使用消费者个人信息，收集的个人信息或打开的可收集个人信息权限不得超出消费者授权范围。

第七条

经营者收集的个人信息应与当前消费场景必要相关，并根据不同服务场景区分索取相适应的权限和信息，不得诱导索取与服务无关的个人信息，包括但不限于姓名、生日、性别、手机号码、家庭住址、身份证号、银行账号等。

第八条

小程序使用微信一键登录获取微信昵称、微信头像或手机号码等信息，或需要获取精准位置以提供附近门店服务的，应当征得消费者明确同意，不得以消费者拒绝授权为由停止提供服务或限制使用功能，应当向消费者提供其他服务方式。

第九条

经营者不得以任何形式和理由强制或诱导消费者关注经营者微信公众号，不得以任何形式和理由强制或诱导消费者同意经营者收集与服务无关的个人信息。

第十条

经营者不得频繁弹窗向消费者申请同意授权非必要个人信息，干扰消费者正常使用功能。

第十一条

未经消费者明确同意或者请求，或者消费者表示拒绝的，经营者不得将消费者个人信息共享至第三方使用或推送商业营销信息。推送商业营销信息应当提供退订或拒绝选项。

第十二条

经营者应当保障消费者可以自主注销账号、删除个人信息，并提供便捷的注销账号、删除个人信息的渠道，不得设置不必要、不合理条件。

第三章 责任与监督

第十三条

经营者应当建立健全个人信息保护合规管理机制，完善个人信息收集、使用、储存、加工、传输、删除等各环节管理流程和操作要求，提升个人信息管理规范性。

第十四条

经营者承担个人信息保护主体责任，保证其所提供的扫码消费服务在设计、开发、运行、维护等各环节的安全性，并采取相应的技术措施和其他必要措施，确保消费者个人信息储存安全，规避信息泄露、数据被窃取、滥用、丢失等安全隐患。

第十五条

经营者应当定期组织员工开展个人信息保护教育培训，明确个人信息保护合规职责。

第十六条

南昌市委网信办、南昌市市监局依法依规对经营者扫码消费服务时消费者个人信息保护合规情况开展执法检查，南昌市消保委将不定期对经营者扫码消费服务时消费者个人信息保护合规情况开展暗访抽查和社会监督。

第四章 附则

第十六条 本指引自公布之日起实施

稿源：消保委秘书处