11月6日，记者从上海市消费者权益保护委员会获悉，为强化上海市商超购物消费领域个人信息保护，维护商超企业和消费者双方的合法权益，在上海市互联网信息办公室、上海市市场监管局和上海市商务委员会的共同支持下，上海市消保委和上海连锁经营协会共同制定并印发《上海市商超购物个人信息保护合规指引》（以下简称《指引》），提出商超不得以任何形式和理由强制、诱导消费者关注微信公众号、注册会员、索取非必要个人信息和权限等要求，以促进上海商超行业的健康有序发展。

　　《指引》指出，商超经营者开展经营活动，应当自觉遵守法律法规、商业道德和公序良俗，收集、使用消费者个人信息应当遵循合法、正当、必要、诚信的基本原则。

　　商超经营者通过APP或小程序向消费者提供服务的，应当在APP或小程序首次运行时以弹窗或其他显著方式向消费者提示阅读隐私政策。隐私政策内容应当清晰易懂，真实、准确、完整地向消费者告知收集、使用、储存个人信息的具体规则，并征得消费者明确同意，不得默认勾选同意隐私政策或是仅提供同意选项，不得在消费者同意隐私政策前申请精准位置信息、存储等权限。

　　商超经营者应当严格按照隐私政策收集、使用、储存消费者个人信息，实际收集行为要与声明规则保持一致，收集的个人信息或索取的权限要与消费场景密切相关。

　　APP或小程序使用微信、支付宝等一键登录获取昵称、头像或手机号码等信息，或需要获取精准位置以提供附近门店服务的，应当征得消费者明确同意，不得以消费者拒绝授权为由停止提供服务或限制使用功能。

　　《指引》强调，商超经营者通过APP或小程序收集、处理消费者姓名、身份证号、行踪轨迹等敏感个人信息，或向第三方提供其处理的个人信息，应当同步告知消费者收集的目的和必要性，并取得消费者单独同意。

　　商超经营者应当遵循“最小、必要”原则，不得以任何形式和理由强制、诱导消费者关注微信公众号、注册会员、索取非必要个人信息和权限，不得频繁弹窗索取权限或申请消费者同意，干扰消费者正常使用功能。

　　未经消费者同意、请求，或消费者明确表示拒绝的，商超经营者不得将消费者个人信息共享至第三方使用或推送个性化商业营销信息。推送商业营销信息应当提供退订或拒绝选项，个性化推荐服务应当提供简易的关闭操作流程。

　　《指引》要求商超经营者应当保障消费者可以根据意愿变更授权同意范围、撤回授权和注销账号，不得设置不必要、不合理条件。

　　商超经营者应当建立健全消费者个人信息安全管理制度和操作规程，合理确定个人信息处理的操作权限，并对收集的个人信息实行分级、分类管理，采取相应的加密、去标识化等安全技术措施，提升个人信息管理规范性和安全性。

　　商超经营者应当定期对从业人员进行安全教育和培训，制定并组织实施个人信息安全事件应急预案。商超经营者承担个人信息保护主体责任，应当采取技术和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

　　据悉，上海市消保委将会同上海连锁经营协会不定期对商超经营者个人信息保护合规情况开展暗访抽查和社会监督。