近日,新京报记者从北京互联网法院获悉了一起个人信息保护纠纷案。该案中,未经消费者同意,某商店的线上小程序获取到消费者的线下交易信息,消费者发现后起诉对方要求赔礼道歉获法院支持。消费者购物信息被商店小程序获取某线下商店由青岛某公司实际运营,与商店同名的微信小程序由被告北京某电子商务公司运营。2021年10月10日,马某在该线下商店购物,在收款台自主扫描商品条形码形成商品订单后自主结账,收款台屏幕出现“扫一扫支付”二维码,显示付款方式有支付宝、微信和商店小程序。马某使用微信扫一扫功能扫描该二维码,跳转至商店微信小程序,小程序随即显示该笔交易的交易店面、交易时间、商品名称等信息,点击“立即支付”后可付款成功。马某认为,自己线下购物、线下微信付款,未调用、未使用该商店微信小程序,而且该微信小程序也没有余额,在原告扫描“扫一扫支付”二维码后,就被商店微信小程序获取了自己的线下购物信息,侵害其个人信息权益,故诉至法院要求被告赔礼道歉。被告辩称,其获取原告订单交易信息是基于原告的授权,而非违法取得,未侵害原告的个人信息权益。经审理查明,该微信小程序的《用户服务协议》和《隐私政策》均无征求消费者同意获取消费者线下交易记录的相关条款。法院经审理认为军列杀出重围,原告在某商店购买商品的交易信息包括交易店面、付款价格等信息,系原告在交易活动中产生的信息,属于个人信息。《个人信息保护法》第十三条规定,个人信息处理者取得个人的同意,或为订立、履行个人作为一方当事人的合同所必需,方可处理个人信息。被告运营的微信小程序在《用户服务协议》《隐私政策》中均未明示涉案小程序将获取消费者的线下交易订单信息,且线下交易时亦未向消费者告知并取得同意。此外,原告系在线下店铺购买商品军列杀出重围,交易相对方并非本案被告,且商店线下展示的二维码仅有“扫一扫支付”字样,故对于消费者而言,该二维码应仅具有支付功能,扫描该二维码致使小程序获取线下交易记录并非必要军列杀出重围,不属于“为订立、履行合同所必需”。因此,被告运营的微信小程序获取原告的线下交易记录的行为,未经原告同意,也非订立、履行合同所必需,构成对原告个人信息权益的侵害。法院判决被告向原告马某书面赔礼道歉。一审判决作出后,被告提起上诉。二审审理中,被告撤回上诉,二审法院予以准许,一审判决生效。法官:个人信息使用及处理应获本人同意法官表示,线下商店未经消费者同意将消费者的交易信息共享至线上小程序,扩大了个人信息处理主体和使用范围,构成对消费者个人信息权益的侵害。随着实体经济数字化程度加深,线上线下一体化自营商店呈现规模化发展,该类商店往往有独立运营的App、微信小程序等集支付、消费于一体的线上平台。该类经营模式虽具有其独特的特征和优势,但在个人信息处理方面容易引发个人信息侵权风险。本案明确消费者的线下购物信息因包含交易店面、付款价格等,系消费者在交易活动中产生的信息,构成消费者的个人信息。经营者在处理该类信息时,应当遵循合法、正当、必要等原则,如需线上线下不同经营主体共享该类信息,应当充分告知消费者并取得消费者同意。该案对实体经济和数字经济深度融合过程中面对的个人信息风险作出提示,为促进相关产业经济高质量发展提供了指引。新京报记者 慕宏举编辑 甘浩校对