会员/预约数据采集:一张“告知卡”就够用
实体店做会员、做预约,最容易踩的坑是没讲清楚为什么收、收哪些、存多久、谁能看。2026年4月发布的个人信息保护专项行动,也把“未完整告知、强制同意、超范围收集、注销难”列为重点治理问题。
可直接贴前台/收银台/小程序弹窗的告知模板(精简版):
- 收集信息:手机号(必填);姓名/生日(选填);预约时间与项目(预约必填)。
- 使用目的:会员积分与权益核验、预约确认与到店提醒、售后与对账。
- 处理方式:顾客自主填写或扫码授权;门店系统录入;仅用于本店运营。
- 保存期限:完成目的所必需的最短时间;注销或到期后删除/匿名化。
- 你的权利:可查询/更正/删除、撤回同意、注销会员;渠道:前台/电话/小程序“隐私与账号”。
- 第三方:如使用短信服务商/会员系统服务商,将在明细页列出接收方名称、用途与联系方式并获取单独同意。
员工访问分级:别让“内鬼权限”变成事故放大器
外部黑客很多时候是从“员工账号+过宽权限”进来的。欧洲监管在2026年披露的罚单案例里,就点名了账号权限过宽、日志监测不足,导致泄露范围被放大。
- 店员:仅能查看当日预约与本人服务的订单;看不到完整手机号(脱敏)。
- 店长:可看本店会员基础信息与统计报表;导出需要二次审批。
- 总部客服/运营:按工单临时开通、到期自动回收;全程留痕。
- IT/供应商:默认无数据可见;远程运维开“堡垒机/录屏/命令审计”。
- 硬规则:禁止共享账号;离职当日关停;每月抽查一次“谁导出过数据”。
泄露应急处置清单:按这张表跑就不慌
2026年7月1日实施的个人信息保护合规审计相关国家标准,把“应急预案是否可执行”作为检查重点;出现重大事件时,监管也可能要求做合规审计,甚至在泄露达100万人以上个人信息或10万人以上敏感个人信息等情形下触发更严要求。
- 0-2小时:冻结可疑账号、停用导出接口、隔离受影响系统;保全日志与证据。
- 2-24小时:核对泄露范围(哪些字段、多少人、是否含敏感信息);同步法务与负责人;启动供应商排查。
- 24-72小时:给受影响顾客明确告知(风险、补救、联系方式);按适用要求向主管部门报告;上线补丁与强制改密。
- 7天内:复盘“权限/流程/供应商”三条线;更新制度与培训,形成整改记录,方便抽查与审计。
可执行建议:把上面的“告知模板”做成一页A4+小程序弹窗;把员工权限改成“默认最小可见+导出必审批”;每季度做一次桌面演练(假设“门店Pad丢了/员工误发群”),确保每个人知道该找谁、做什么、留什么证据。
