支付宝年度账单引监管关注 用户授权协议漏洞起争议
【财新网】(记者 张宇哲 王琼慧)新年初始的第二个工作日,微信朋友圈刷屏最多的是支付宝推出的用户个性化年度账单。一如支付宝以往的风格,这看上去原本是一个很有创意很温馨的商业营销,不少人乐此不疲,未料涉及收集用户信息的用户授权协议漏洞引发争议。
1月3日下午,北京市岳成律师事务所高级合伙人岳屾山律师首先在微博发文质疑,支付宝年度账单首页的“我同意《芝麻服务协议》”,“不但字特别小,而且已经帮你选择好同意了。”
随着这一热点迅速发酵,亦引起监管关注。财新记者获悉,当日下午央行支付司亦要求支付宝对此纠正并致歉。
就在芝麻信用和支付宝道歉之后,仍有用户发现新的问题。例如,当用户向芝麻信用客服提问“如何关闭芝麻信用”时,在跳出页面上选择“B仍要关闭”之后,竟然要求“上传身份证正反面和手机号码”,也就是说在收集相关个人信息后,才可关闭芝麻信用。又是一个隐藏的套路……
接近央行征信局人士告诉财新记者,对于芝麻信用的这次营销活动,亦正密切关注。
岳屾山在前述博文中称,这个账单的查看和《芝麻服务协议》没有关联性,所以当用户选择“取消”同意,依然能够看到年度账单。“但如果你没注意到,就会直接同意这个协议,允许支付宝收集你的信息包括在第三方保存的信息。”
岳屾山进一步解释称,根据《互联网交易管理办法》的规定,经营者应当采用显著的方式提请消费者注意与消费者有重大利害关系的条款。同时对于信息收集,该规定要求经营者需要明示收集、使用信息的目的、方式和范围,并经被收集者同意。而“芝麻”这个根本不给你了解条款的机会,直接让你默认同意,稍不注意就进坑了。
“根据《消费者权益保护法》,消费者有选择权,而不是商家替消费者选择。或许芝麻会说,你可以选择不同意,可是“芝麻”你偷偷摸摸的帮我选好了“同意”,还那么小的字,稍不留神就漏掉了,唬谁呢?
他的质疑很快引起支付宝用户的响应,岳屾山的前述微博文章亦很快成为微信圈的第二波刷屏热文。“这年头,每一次刷屏的背后,满满都是套路。我现在关心的是,怎么取消刚才没注意就点了的那个同意。”一位网友感慨道。
当晚深夜,芝麻信用管理公司发布“关于支付宝年账单首页《芝麻服务协议》的情况说明”,向公众致歉,也同时对支付宝的年度账单小组表示歉意,称本来是希望充分尊重用户的知情权,“初衷没错但用了非常傻逼的方式,愚蠢至极”,已调整页面,取消默认勾选。“如果用户希望在自己的年度账单中看到信用免押的内容,可以手动勾选该选项。”
支付宝随后转发该情况说明,并称“我也不知道该说什么,一起承担吧”。对于网友最关心的如何取消授权,芝麻信用支招称,可以在【支付宝客户端-我的-芝麻信用-信用管理-授权管理】中找到“支付宝”这个选项,然后取消这个授权。
芝麻信用同时表示,“很多用户担心自己的信息安全和隐私问题,这些问题同样是芝麻信用的生命线。用户信息的获取、沉淀、使用和分享,都会在严格遵守相关法律法规的前提下,做到用户知情和同意,做到不过度采集,更绝不会滥用数据。”
此前不久的2017年6月1日,《网络安全法》和最高人民法院、最高人民检察院首次就《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称“两高”司法解释)同日正式实施,借鉴国际经验,首次对侵犯公民个人信息的行为和适用法律进行了进一步的明晰,均加强了对网络运营商在收集和使用个人信息的规范,包括要求明确取得用户授权、不能笼统授权、明确披露信息用途、适用范围、时效等,并采取措施确保个人信息的安全。
事实上,在大数据时代,这种搜集个人信息不规范的情况,在中国的各类APP中仍都广泛存在。“目前,在中国,个人数据被大规模收集用于销售和交易、且未得到个人适当同意的情况广泛存在,并且许多个人也可能尚未意识到存在的风险,” KrolL Discovery 大中华区中国区经理 Han Lai 表示。KrolL Discovery是一家在电子发现、信息管理与数据恢复领域的全球领先公司。
有法律界人士对财新记者表示,支付宝获取用户授权的方式涉嫌误导,还涉及到用户的隐私权利和数据商业价值的权属问题,数据是否实际使用,有没有可靠的第三方监督?这些问题无法回答。此外,一旦误点同意服务协议,用户的救济权利,即同意该数据的无限使用,并没有任何授权使用年限,而用户也无法终止逆转该授权使用。
对于网络个人信息收集如何获得用户同意的问题,此前上海段和段律师事务所合伙人刘春泉曾在财新发表专栏文章进行解释。他提出,对于手机应用软件的权限索取要求,应当借鉴诉讼授权区分重大权利的思路,区分敏感个人信息权限和一般个人信息权限:即对于一般个人信息,可以通过概括性授权予以同意,也就是通过用户协议点击合同的方式予以同意;对于敏感类的个人信息,则不能通过概括性授权同意,而应当坚持“个别告知、逐次告知,特别授权”同意的方式。如何平衡法律合规要求与用户体验,比较理想的状态是企业在应用设置时应将信息收集设置为用户可以自行选择。“如果用户选择了要求提供相关服务,却没有选择开通权限,用户调用服务时你需要开通权限,你再去要求用户开通不迟。”
一位资深律师亦同时表示,类似事件如果发生在美国或中国香港,“就是一个侵犯消费者个人隐私信息的大案件,是很危险的,很容易被监管机构重罚;而国内互联网企业对收集个人信息的违规风险都不够重视。”
在Han Lai看来,在新的网络安全法出台后,大数据公司需要重新审视操作的过程、公司的内部法务必须重新审阅商业模式和流程;从商业的角度来说,虽然会大幅增加成本、降低效率,但网络安全环境的建立和维护势在必行。“做的越完善也就越有利于降低今后的成本。现在不实施,以后的运行成本会越来越高。”
在国外,知名的互联网巨头都曾因个人信息处置不当遭受巨额罚款或反垄断审查。比如2012年美国旧金山地方法院因Google秘密跟踪用户上网习惯而对Google开出了高达2250万美元的罚单;2015年雅虎因曾侵犯邮件隐私遭到一项全国性的集体诉讼案,该讼案指控雅虎非法截取非雅虎邮箱用户发送给雅虎邮箱用户的电子邮件内容,并利用这些信息提高广告收入。
2017年以来,美国三大征信机构———益博睿(Experian)、艾可飞(Equifax)和环联(Transunion)都因为对信用评分产品用途的虚假宣传,被美国消费者金融保护局(CFPB)分别处以数百万美元的罚款。当年德国联邦企业联合管理局(Federal Cartel Office)亦着手审查一项关于Facebook欺压用户的指控,即Facebook胁迫用户在其未必了解具体方法的情况下,同意让Facebook收集自己上网活动的相关数据。同时Facebook和谷歌对消费者数据如此大规模的收集和垄断控制已经在韩国及日本遭到反垄断质疑。