会员制模式在商业中应用广泛，从零售业（例如沃尔玛、天猫会员店）到金融业（例如银行VIP卡）、航空业（例如中国国际航空“国航知音”常旅客会员）再到服务行业（例如健身店、球场、电影院会员）。

顾客成为商家会员的第一步，须通过网络或纸面提交个人信息，该步骤即商家收集个人信息的过程。顾客成为会员后，商家会根据会员个人信息有针对性地提供折扣、积分奖励、促销优惠及其他会员权益。期间，会员信息将经历存储、使用、加工、传输、提供、公开等一系列的个人信息处理活动。

不言而喻，上述个人信息处理活动受即将生效的《个人信息保护法》规制。本文结合既往案例，简要探讨会员制模式在《个人信息保护法》框架下的主要合规问题。

一、对会员敏感个人信息采取特别措施

《个人信息保护法》设专节对敏感个人信息的处理作了特别规定，因此处理会员信息的商家须正确识别会员信息中的敏感个人信息，并针对该部分敏感个人信息采取特别措施。

《个人信息保护法》第二十八条第一款规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”此外，根据GB/T 35273-2020《个人信息安全规范》的定义，敏感个人信息还包括通信记录和内容、财产信息、征信信息、住宿信息、交易信息等。

不同行业的会员制要求的个人信息不尽相同。举例而言，某A商家《会员申请表》中的个人信息包括：中文名、身份证号、人像照片、联络电话、电子邮件地址、出生月份和年份、家庭地址、婚姻状况、语言偏好、受教育程度、职业、收入情况、健康信息、出行情况、菜肴偏好。

根据前述定义，A商家《会员申请表》收集的个人信息中，敏感个人信息包括：身份证号、人像照片、家庭地址及健康信息。

根据规定，A商家须针对会员敏感个人信息采取的特别措施具体如下：

1.只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，商家方可处理敏感个人信息。（第二十八条第二款）

2.处理敏感个人信息应当取得会员个人的单独同意；（第二十九条）

3.应当向个人告知处理敏感个人信息的必要性以及对会员个人权益的影响；（第三十条）

4.处理不满十四周岁未成年人会员个人信息的，应当取得未成年人会员的父母或者其他监护人的同意，并且应当制定专门的未成年会员个人信息处理规则；（第三十一条）

5. 应当事前进行会员个人信息保护影响评估，并对处理情况进行记录。（第五十五条）

二、举证会员个人信息收集、使用的合法性

就像《刑法》巨额财产来源不明罪中规定的国家工作人员本人须就其明显超过合法收入的财产说明合法来源一样，商家负有举证证明其掌握的会员个人信息来源以及使用的合法性。实践中，大量商家掌握的会员个人信息无法举证收集、使用的合法性，面临行政处罚风险。

案例一：“嵊州市健普森健身有限公司侵害消费者依法得到保护的个人信息权利案”嵊市监检处〔2019〕188号

案件事实：2019年5月10日，执法人员根据举报信息，依法对嵊州市健普森健身有限公司（以下简称：健普森公司）进行现场检查。执法人员在当事人销售部办公桌上发现消费者个人信息材料一份共13页，并在销售员工电脑内发现一个名为“儿童资源”的文件夹，内有大量消费者个人信息资料（内容包括姓名、手机号码、家庭住址、班级、出生年月等），当事人无法说明其来源。

处理结果：健普森公司未经消费者同意收集、使用消费者信息的行为违反了《侵害消费者权益行为处罚办法》第十一条第一款第（一）项“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者不得有下列行为：（一）未经消费者同意，收集、使用消费者个人信息；……”之规定，执法机关责令健普森公司改正其违法行为，决定对当事人处罚如下：罚款20000元。

案例二：“丹顿（上海）环保科技有限公司涉嫌侵害消费者权益案”沪市监松处〔2020〕号