近日，上海市网信办发布2026年第二批消费零售专项个人信息保护问题通报，本次专项针对属地APP、微信小程序开展合规检测，优衣库、沪上阿姨、汉堡王、亚瑟士、迪卡侬、可口可乐、奥乐齐等共计13个消费零售、餐饮、运动品牌被公开点名，多款日常高频使用的APP及微信小程序均存在个人信息违规收集乱象。

通报名单。图/网信上海

通报明确披露各大平台具体违规情形：优衣库APP存在频繁弹窗、强制用户同意收集非必要个人信息问题；沪上阿姨小程序隐私政策可读性差，公示的信息收集范围和实际收集行为不符，收集敏感信息时未向用户告知具体用途；汉堡王小程序在点餐、核销等无关服务场景，违规获取用户位置、通讯录、短信权限，同时存在账号注销后后台仍留存、不删除用户个人信息的问题；亚瑟士小程序本次违规问题数量最多，覆盖多项个人信息保护不合规情形；迪卡侬小程序则存在未经用户许可，擅自收集使用个人信息的违规行为。

上海网信办明确要求，全部涉事主体需在15个工作日内完成整改并报送整改材料，监管部门后续将结合各家整改情况依法核查处置，对整改不力、逾期拒不整改的品牌，将依法从严开展处罚。

针对本次消费零售行业集中曝出的个人信息保护乱象，九派新闻采访了北京市京师（武汉）律师事务所执业律师余昊。他结合现行法律法规，针对行业通行的授权套路、信息收集边界、企业处罚后果以及消费者维权方式作出解读。

当下不少涉事品牌面对合规质疑，均以用户手动点击弹窗同意作为抗辩理由，认为自身获取用户信息已经获得授权，具备合法性。余昊律师称：“商家这套说辞在司法实践中基本无效，不能作为免除自身违法责任的依据。根据《中华人民共和国个人信息保护法》以及《中华人民共和国民法典》规定，平台收集个人信息，必须牢牢守住自愿、知情、最小必要三大核心原则，任何带有逼迫性、捆绑性的授权，从一开始就不具备法律效力。”

其介绍，目前市面上消费类APP和小程序三类常见授权方式，全部属于无效授权。“第一种是强制同意，不同意授权就直接封禁浏览、点单等基础服务，这属于典型胁迫式授权；第二种是捆绑同意，把非必要隐私权限和基础服务打包绑定，不让用户分开选择，直接违背最小必要原则；第三种是默认勾选，平台提前帮用户勾选同意，无需用户手动确认，这不属于法律要求的明示自愿同意。哪怕用户最后迫于使用服务的需求点击了同意，整个意思表示都存在瑕疵，这份授权从头到尾都是无效的。”

余昊律师称，零售、餐饮APP和小程序，核心功能就是购物、点单，本质上不需要过多抓取用户隐私。正常情况下，仅需要手机号完成订单联络即可，只有外卖配送场景，可以按需收取收货地址，堂食和到店自提，完全不需要地址信息。

“而位置行踪、通讯录、短信都属于敏感个人信息，和消费服务毫无关联，平台原则上一概不能索要。就算极少数业务确实存在刚需，也必须单独弹窗讲清用途，拿到用户一对一单独同意，绝对不允许打包批量申请权限。本次汉堡王在无关场景索要位置、通讯录权限，就是非常典型的过度索权违法行为。”其称。

关于普通消费者如何维权的问题，余昊律师建议，遇到强制弹窗、莫名索要隐私权限这类情况，不要习惯性点击同意，第一时间录屏保存完整操作过程，固定好电子证据。维权不用局限单一渠道，可以多渠道并行：通过12377网信举报平台、12315市场监管热线发起官方投诉，也可以直接在微信、手机应用商店内投诉对应的小程序和APP，最快速度制止侵权行为。

余昊还提醒，当前互联网行业个人信息合规监管风向持续收紧，消费端APP、小程序野蛮索权的时代已经彻底结束。“广大消费者不用害怕拒绝授权后无法正常使用服务，法律本身就保护大家拒绝非必要授权的权利，遇到不合理的隐私索取弹窗，直接拒绝即可，主动守住自己的个人信息安全底线。”

九派新闻记者 李韵聪

编辑 万璇 李杨

【来源：九派新闻】

版权归原作者所有，向原创致敬