会员制模式在商业中应用广泛，从零售业（例如沃尔玛、天猫会员店）到金融业（例如银行VIP卡）、航空业（例如中国国际航空“国航知音”常旅客会员）再到服务行业（例如健身店、球场、电影院会员）。

顾客成为商家会员的第一步，须通过网络或纸面提交个人信息，该步骤即商家收集个人信息的过程。顾客成为会员后，商家会根据会员个人信息有针对性地提供折扣、积分奖励、促销优惠及其他会员权益。期间，会员信息将经历存储、使用、加工、传输、提供、公开等一系列的个人信息处理活动。

不言而喻，上述个人信息处理活动受即将生效的《个人信息保护法》规制。本文结合既往案例，简要探讨会员制模式在《个人信息保护法》框架下的主要合规问题。

一、对会员敏感个人信息采取特别措施

《个人信息保护法》设专节对敏感个人信息的处理作了特别规定，因此处理会员信息的商家须正确识别会员信息中的敏感个人信息，并针对该部分敏感个人信息采取特别措施。

《个人信息保护法》第二十八条第一款规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”此外，根据GB/T 35273-2020《个人信息安全规范》的定义，敏感个人信息还包括通信记录和内容、财产信息、征信信息、住宿信息、交易信息等。

不同行业的会员制要求的个人信息不尽相同。举例而言，某A商家《会员申请表》中的个人信息包括：中文名、身份证号、人像照片、联络电话、电子邮件地址、出生月份和年份、家庭地址、婚姻状况、语言偏好、受教育程度、职业、收入情况、健康信息、出行情况、菜肴偏好。

根据前述定义，A商家《会员申请表》收集的个人信息中，敏感个人信息包括：身份证号、人像照片、家庭地址及健康信息。

根据规定，A商家须针对会员敏感个人信息采取的特别措施具体如下：

1.只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，商家方可处理敏感个人信息。（第二十八条第二款）

2.处理敏感个人信息应当取得会员个人的单独同意；（第二十九条）

3.应当向个人告知处理敏感个人信息的必要性以及对会员个人权益的影响；（第三十条）

4.处理不满十四周岁未成年人会员个人信息的，应当取得未成年人会员的父母或者其他监护人的同意，并且应当制定专门的未成年会员个人信息处理规则；（第三十一条）

5. 应当事前进行会员个人信息保护影响评估，并对处理情况进行记录。（第五十五条）

二、举证会员个人信息收集、使用的合法性

就像《刑法》巨额财产来源不明罪中规定的国家工作人员本人须就其明显超过合法收入的财产说明合法来源一样，商家负有举证证明其掌握的会员个人信息来源以及使用的合法性。实践中，大量商家掌握的会员个人信息无法举证收集、使用的合法性，面临行政处罚风险。

案例一：“嵊州市健普森健身有限公司侵害消费者依法得到保护的个人信息权利案”嵊市监检处〔2019〕188号

案件事实：2019年5月10日，执法人员根据举报信息，依法对嵊州市健普森健身有限公司（以下简称：健普森公司）进行现场检查。执法人员在当事人销售部办公桌上发现消费者个人信息材料一份共13页，并在销售员工电脑内发现一个名为“儿童资源”的文件夹，内有大量消费者个人信息资料（内容包括姓名、手机号码、家庭住址、班级、出生年月等），当事人无法说明其来源。

处理结果：健普森公司未经消费者同意收集、使用消费者信息的行为违反了《侵害消费者权益行为处罚办法》第十一条第一款第（一）项“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者不得有下列行为：（一）未经消费者同意，收集、使用消费者个人信息；……”之规定，执法机关责令健普森公司改正其违法行为，决定对当事人处罚如下：罚款20000元。

案例二：“丹顿（上海）环保科技有限公司涉嫌侵害消费者权益案”沪市监松处〔2020〕号

案件事实：丹顿（上海）环保科技有限公司（以下简称：丹顿公司）通过从上海国美电器有限公司松江二店获得的“国美会员”信息（姓名、手机联系方式），而后以电话及短信的方式，在未经“国美会员”授权、允许的情况下，向“国美会员”发送商业信息邀请参加当事人举办的产品促销活动。

处理结果：丹顿公司未经消费者同意通过电话、短信等方式向消费者发送促销活动信息，并在消费者明确拒绝后，仍继续邀请其参加促销活动，违反了《侵害消费者权益行为处罚办法》第十一条第一款第（三）项的规定，构成了侵害消费者权益的行为，依据《侵害消费者权益行为处罚办法》第十四条第一款及《中华人民共和国消费者权益保护法》第五十六条第一款第（十）项予以处罚。

三、收集必要的会员个人信息

《个人信息保护法》第五条确立了处理个人信息应当遵循的四大原则：合法、正当、必要和诚信原则。必要的会员个人信息，是指保障会员制基本服务正常运行所必需的个人信息，缺少该信息会员制即无法实现基本服务。目前，必要性的判断尚无统一的评判基准。参考香港个人信息保护执法实践对收集会员个人信息必要性的判断标准，仍以前文A商家在《会员申请表》中所收集的个人信息为例：

1.关于收集会员中文名、联络电话、电子邮件地址、家庭地址、语言偏好相关个人信息，香港个人隐私专员公署认可收集这些信息主要是为了交流目的、也是为了识别会员身份而收集，因此隐私专员公署认为并未超过必要原则；

2.关于收集会员出生月日、婚姻状况、受教育程度、职业、菜肴偏好相关个人信息，香港个人隐私专员公署认可收集这些信息主要是为了设计有针对性的促销优惠，因为这些会员个人资料使商家更了解会员的背景，并使优惠更切合他们的需要，因此隐私专员公署认为并未超过必要原则；

3.关于收集会员身份证号，香港个人隐私专员公署则认为超出必要原则。商家解释收集身份证号系为会员提供登录相关网站的默认密码，公署则认为，商家能将任何数字或字符作为特定的默认密码分配给会员进行身份验证，没有必要收集个人身份证号的某部分数字作为默认密码；

4.关于收集会员出生年份，香港个人隐私专员公署同样认为超出必要原则。商家解释收集会员的出生年月日以供为会员提供生日促销活动，公署则认为，确定会员生日只需出生月和日即可，收集年份实属过度。

需要注意的是，上述香港个人隐私专员公署的观点源于特定行业的会员制。我们在判断收集会员个人信息是否超出必要性，仍须结合特定的行业、特定的会员权益以及特定的使用目的进行综合分析。实践中案例化解析医疗机构场景下的数据合规和个人信息保护要点，商家也可将《常见类型移动互联网应用程序必要个人信息范围规定》作为一个参考。大陆法律实践中，也有相关执法案例对收集会员个人信息的必要性问题作出过回应：

案例三：“上海松江绿地商业管理有限公司侵害消费者权益案”沪监管松处字（2018）第号

案件事实：上海松江绿地商业管理有限公司（以下简称：绿地公司）在只需要消费者提供手机号码的情况下，通过绿地公司的微信公众号平台为顾客办理了会员卡，并根据顾客在绿地公司超市消费的金额赠送相应的积分。绿地公司于2017年11月起，在为顾客办理积分兑换过程中，要求顾客必须先行提供身份证号码、家庭地址、家庭人口等个人信息，再为顾客办理积分兑换手续，否则不予兑换。

处理结果：执法机关认为案例化解析医疗机构场景下的数据合规和个人信息保护要点，绿地公司在经营活动中，未遵循必要性原则，在无需收集消费者身份证号、家庭住址、职业、家庭人口等个人信息就可以为顾客办理积分兑换的情况下，在会员积分兑换中，收集了会员的上述个人信息构成了《中华人民共和国消费者权益保护法》第五十六条第一款第（九）项关于“侵害消费者个人信息依法得到保护的权利的”的侵害消费者权益行为。

四、明晰会员个人信息的使用目的及授权

《个人信息保护法》第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。”执法实践中，以下示例被认定为处理会员个人信息的目的不明确：

示例：

“阁下同意阁下向本公司及/或本公司合伙人提供的所有个人资料，可由本公司及/或本公司合伙人使用及保留作以下用途：

a.由我们、我们的代理、我们的子公司或我们的合作伙伴销售商品和/或服务；

b.由我们、我们的子公司、我们的附属公司和/或我们的合作伙伴为您提供精心选择的优惠、促销和福利。我们、我们的附属公司、我们的关联公司及我们的合作伙伴可能需要进行匹配程序，以使我们/他们能够更好地了解您的特征和购买行为，并提供更适合您需要的其他服务，以协助我们及我们的合作伙伴选择您可能感兴趣的商品和服务；

c.设计由我们、我们的附属公司、我们的联属公司或我们的合作伙伴向您提供的新服务或改进现有服务；

d.综合行为分析。这可以与我们的合作伙伴和第三方进行分享；

e.作为其他有关目的的信息和数据来源；

f.使我们能够遵守我们和/或我们的合作伙伴的义务，与其他行业惯例互联。”

执法机关认为：上述使用目的过于含糊不清，系以天空为界限的使用目的。例如，在没有详细说明该商家附属公司、关联公司及合作伙伴的业务性质的情况下，a项下的商品或服务营销以及b项下的促销优惠的范围过于宽泛。e项中，“作为其他有关用途的资料和数据来源”是一个包罗万象的表述。f项中，“合作伙伴”的具体范围难以知晓，“行业惯例”本就难以界定。

与上述问题类似，一些商家与会员约定向第三方提供其处理的个人信息时，往往对第三方的定义含糊其辞，例如：

“阁下进一步同意，本公司可向本公司的代理人、承办商、任何电信公司、任何第三方收款机构、任何信贷资料服务机构、任何保安机构、任何信贷提供者、银行、金融机构、任何其他对本公司负有保密责任的人士，以及本公司就阁下为上述目的使用、披露、持有、处理、保留或转让该等个人资料的权利的任何实际或建议的受让人或受让人披露及转让该等个人资料。”

示例中的第三方定义几乎无所不包，尤其是“任何其他对本公司负有保密责任的人士”这一表述具有兜底性质，有违《个人信息保护法》第二十三条的规定：商家向第三方提供其处理的会员个人信息的，应当向会员告知第三方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得会员个人的单独同意。

五、履行安全存储管理义务

《个人信息保护法》对个人信息处理者规定了防止未经授权的访问以及个人信息泄露、篡改、丢失的义务。具体而言，商家履行安全存储管理义务至少应当采取以下措施：

1.制定内部管理制度和操作规程；

2.对个人信息实行分类管理；

3.采取相应的加密、去标识化等安全技术措施；

4.合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

5.制定并组织实施个人信息安全事件应急预案。

实践中，有的商家未履行个人信息保护义务、会员个人信息无安全技术措施，例如案例四及案例六；有的商家虽制定了内部管理制度，但仍存在制度缺失、执行不到位的问题，例如案例五。

案例四：靖江市公安局《行政处罚决定书》靖公（桥）行罚决字〔2021〕1392号

案件事实：2021年8月13日10时许，执法机关至某B加盟店检查时，发现该单位前台电脑未设置锁屏

密码并处于打开状态，桌面“xx系统”可直接显示会员姓名、手机号码等会员信息，该单位未采取安全技术措施确保收集的个人信息安全。

处理结果：违法单位某B加盟店的行为已构成不履行个人信息保护义务，根据《中华人民共和国网络安全法》第四十二条第（二）项、第六十四条第一款之规定，建议对某B加盟店责令限期三日内改正并处警告。

案例五：“苏州工业园区市场监督管理局与苏州安娜斯健身服务有限公司行政非诉审查裁定书”(2021)苏0591行审2号

案件事实：经查，安娜斯公司主营健身服务，消费者办理会员卡时当事人会登记一些信息，例如：姓名、手机号码、办理卡种类、充值金额等。安娜斯公司将会员登记的上述信息制作成电子Excel表格，保存在前台工作人员的电脑中，由前台工作人员加密保管。2019年11月1日，执法人员在安娜斯公司处发现两本会员名单并采取了先行登记，经与安娜斯公司的工作人员一同核实发现在另一家公司苏州市朴邻房产经纪有限公司第二分公司发现的42页个人信息材料为这两本会员名单中的一部分，重合部分一共42页，包含办卡日期、姓名、联系方式、卡类型、办卡金额等信息。

安娜斯公司收集的消费者信息由前台保管，销售人员如果需要均可以向前台索取，安娜斯公司工作人员林小帅便是向前台索要了42页消费者信息复印件，并与朴邻房产经纪有限公司工作人员刘芳慈进行交换，交换信息的行为经林小帅与刘芳慈双方确认属实，具体交换信息已无法查清。

处理结果：执法机关认为，一、安娜斯公司未能建立健全消费者个人信息保密和管理制度，导致其员工林小帅在工作时复印了消费者的信息，与他人进行交换，违反了《江苏省消费者权益保护条例》第十七条的规定。二、安娜斯公司员工林小帅在从事职务行为过程中从朴邻员工刘芳慈处获取了消费者信息，并成功推销了几十人办卡，承办人员认为上述行为违反了《侵害消费者权益行为处罚办法》第十一条第一款第一项的规定。鉴于当事人制定了《针对消费者个人信息保护采取的措施》、《针对消费者个人隐私信息保密管理制度》，执法机关该局决定从轻处罚。决定责令当事人改正，合计处罚款7万元。

案例六：沪市监浦处〔2021〕9号

案件事实：当事人于2020年10月8日向上海乐晴互联网上网服务有限公司免费提供104条当事人的会员信息，信息包含会员身份证号码、手机号等内容，供乐晴公司通过短信群发软件向上述会员发送商业信息使用。

处理结果：当事人非法向他人提供消费者个人信息的行为，构成了侵害消费者个人信息依法得到保护的权利的违法行为。责令改正，并作出行政处罚如下：罚款7万元。