“支付寶賬單”事件的四個疑問
1月3日,支付寶公布了一年一度的用戶“個人賬單”。在賬單首頁,有一行特別小的字——“我同意《芝麻服務協議》(下稱《協議》)”,并且已經提前點選了“同意”。這份協議的內容,涉及“你允許芝麻信用收集你的信息,并向第三方提供”。
這一情況經一位律師在微博上披露后,引發輿論的廣泛關注和質疑。
1月10日,國家互聯網信息辦公室網絡安全協調局約談了支付寶(中國)網絡技術有限公司、芝麻信用管理有限公司的有關負責人。11日,工信部信息通信管理局再次約談了螞蟻金服集團公司(支付寶),要求企業本著充分保障用戶知情權和選擇權的原則立即進行整改。
針對這一事件所涉及的事實和法律問題,本報記者采訪了相關專家以及螞蟻金服有關人士。
為什么要“默認勾選”?
有網友認為,信用服務機構擁有的個人信息主體越多,提供的信用產品越有優勢,越能吸引更多的需求商,“芝麻信用用小字默認勾選并無法回頭查看的方式,可能是想得到更多人的授權。”
“這次事件引起大家不滿,主要是因為締約方式。”中國社科院法學所助理研究員劉明博士認為,合同締結的方式與合同的內容同等重要,芝麻信用用小字默認勾選并無法回頭查看的行為會讓消費者有“被下套”的感覺,懷疑支付寶用這種方式把人吸引過去,實際上是讓大家去給芝麻信用授權。如果商家在締約程序上對消費者不公平,那么,消費者對合同內容就很難控制,喪失了和商家博弈的優勢甚至機會,這是消費者感到不滿的地方。
根據2015年1月5日中國人民銀行印發的《關于做好個人征信業務準備工作的通知》,芝麻信用管理有限公司是國內首批8個商業征信機構之一。據芝麻信用官網介紹,芝麻信用是獨立的第三方信用服務機構,是螞蟻金服生態體系內的重要組成部分。從信用卡、消費金融、融資租賃、抵押貸款,到酒店、租房、租車、婚戀、分類信息、學生服務、公共事業服務等,芝麻信用已經在上百個場景為用戶、商戶提供信用服務。螞蟻金服全球消費者關系高級專家徐婷介紹說,自上線以來,芝麻信用已向十幾個行業提供信用服務,擁有的個人信息用戶量上億。
“默認勾選這類做法,主要發生在對自己的商業信用信心不足、試圖以此累積用戶授權的企業。其實,芝麻信用不屬于這種企業。”中國社會科學院大學互聯網法治研究中心執行主任劉曉春對記者說,“之前做行業調研的時候,曾經對芝麻信用的個人信息保護體系做過調查和研究,在內部合規、防止個人數據外泄以及對外合作的數據安全維護方面,芝麻信用保障措施讓人印象深刻。對于這樣一個機構,我認為它完全沒有采用默認勾選這種‘雕蟲小技’來獲取更多授權的必要。”
“對默認勾選做了改正后,我們自己多次復盤,發現問題可能首先出在互聯網產品設計的慣性思維上。”徐婷向記者介紹了事后公司內部調查的情況,“互聯網產品經理在設計產品時,傾向于關注讓產品使用起來,體驗上盡量快速、順滑。這樣一種思維,導致互聯網推出產品時,會直接把很多東西給用戶選好了,在用戶使用時最后看一眼沒有問題,就確認了。這種思維不正確地認為,很多操作、交互對于用戶來講,都是一次體驗上的摩擦。”
“默認勾選”錯在哪里?
“默認打鉤的做法有違契約精神,特別是契約自由、契約正義。”中國人民大學商法研究所所長劉俊海教授說,“契約自由是契約雙方真實的意思表示,然后達成合意,這樣才能對雙方都有拘束力。默認打鉤,就是你還沒有讓大家看到合同條款,就默認同意了,作為企業單方起草的格式條款,沒有征求消費者同意,就把它作為對消費者和企業雙方都有拘束力的契約條款,有違契約自由的精神。契約自由不是單邊的,是雙邊的契約自由。按理說,任何企業制定的格式條款,是企業受消費者之托,代表消費者起草的格式條款。但問題是,很多格式條款塞進‘私貨’,往往排斥消費者的核心權力和利益訴求,增加消費者的義務、責任和風險,單方擺脫或排除商家對消費者承擔義務和責任,單方為企業創設權利和主要的利益,只要存在上述一種情況,即有悖契約自由,有悖契約正義。契約正義要求雙方的權利義務是對等的,放在天平上稱一稱,你的權利跟我的權利是對等的,你的義務和我的義務也是對等的。”
“默認勾選是不合規的,我們國家雖然沒有個人數據保護法,但消費者權益保護法明確規定,消費者有知情權和自由選擇權,如果用戶沒有注意到這個協議,然后就默認達成了,個人信息就被‘賣’掉了,這首先侵害了用戶的知情權和自由選擇權。”中國政法大學傳播法研究中心副主任朱巍說。
“從消費者權益保護的角度看,默認勾選不僅侵害了消費者的知情權、選擇權,也侵害了其個人信息安全權”。北京市律師協會消費者權益保護專業委員會主任邱寶昌律師認為,用小字默認勾選項,容易一帶而過,不是消費者自己選的,個人信息會怎么被處理不受自己真實意思支配,有安全隱患。“這還涉及到隱私權、財產安全、人身安全,如果信息被泄露了,比如家庭經濟條件相關的信息,也有可能引發盜竊、搶劫等案件。”
關于隱私權,朱巍提出,隱私權是侵權責任法第2條規定的一項重要權利。從侵權責任法上說,只要用戶同意,作為民事權利,部分隱私權可以讓渡。但這種同意不能是以欺騙的方式取得。“在用戶不知情的情況下,默認打鉤,規定他同意或‘騙’他同意,以這種方式獲得信息,侵害了隱私權。”
朱巍還指出,從網絡安全法角度考慮,公民個人信息也是網絡安全重要組成方面,從2012年12月28日,全國人大常委會審議通過《加強網絡信息保護的決定》,到2016年網絡安全法通過,立法上把商家對用戶個人信息的使用歸納為9個字“合法性、正當性、必要性”,就是必須要在完全征求用戶同意的基礎上,才能使用用戶信息,不能違規或違約地使用。其中第43條規定,當用戶發現網絡服務提供者違規或違約使用個人信息時,有權要求網絡服務提供者把這部分信息予以刪除,給了用戶刪除權。所以,如果用戶不知情,何來違約?因此,默認勾選方式很不妥當,用戶可以要求芝麻信用把所有信息予以刪除。
北京化工大學文法學院副教授岳業鵬則指出,根據消費者權益保護法第26條規定,經營者在經營活動中使用格式條款的,不得利用格式條款并借助技術手段強制交易。有這種情況的格式條款,內容無效。“默認勾選限制了消費者對個人信息利用進行決定和控制的權利,而且,芝麻信用沒有采用‘合理的方式’進行提示,即使消費者點擊同意,該條款也應當認定無效。”
徐婷也坦承,默認勾選的確錯了,確實不應該這樣做。“隨著事件的發酵,我們愈發認識到自己工作上的失誤給公眾和用戶帶來的困擾。公司非常重視,管理層認為不能就事論事來討論這次事件,要從根源上全面反思。”
如何保障用戶的知情權、選擇權?
那么,如果不默認勾選,而是讓用戶自主“點擊確認”,是不是就算保障了用戶的知情權、選擇權了呢?對此,劉明認為,互聯網合同締結方式主要分兩種,一是瀏覽合同締結,二是注冊用戶時點擊確認締結。后者有一個點擊同意的過程,給用戶意思表示的機會,這恰恰是“默認勾選”難以做到的。“其實,讓用戶在根本不知情的情況下達成協議,正是《協議》不被認可的關鍵所在。而點擊確認,這種互聯網合同締結方式的效力在理論和實踐上確實已經被認可。被認可的關鍵,還是在于涉及消費者權利和義務的核心內容,是不是讓消費者有機會、明確地看到。有的互聯網協議雖然也采取了點擊確認方式,但合同內容過多,理解起來困難,又用了格式條款方式,也有可能形成對消費者不公平的效果。”
中國人民大學博士后孔德超認為,《協議》中概括性授權范圍過于寬泛,信息主體無法知曉哪些被采集的個人信息被用于評價個人信用,更無法行使《征信業管理條例》所規定的信息主體對個人錯誤或不準確的個人信息所享有的異議權、更正權。
朱巍也認為,從《協議》的內容看,消費者并不能了解芝麻信用收集和使用個人信息的范圍、方式、目的、用途,也不知道提供了自己的信息后,芝麻會提供什么樣的服務。條款界定模糊,授權說明比較籠統。而明確告知信息主體采集使用信息的范圍、方式、目的等事項,是網絡安全法和《電信和互聯網用戶個人信息保護規定》等多部法律法規的要求。他指出,關于隱私信息使用的條款,應該更多地凸顯給用戶,讓用戶特別注意。“建議芝麻信用下一步把這個協議做大一點,特別是把用戶個人信息誰來用、怎么用、能不能轉讓、怎么轉讓等,都明確告知用戶。不能默認勾選同意,要默認勾選不同意,讓用戶閱讀之后變成同意,才能跳到下一步。”
徐婷回應稱,出于對個人信息保護的考慮,下一步他們將準備從產品設計理念入手進行改進。“我們反思,后來協議更改了提醒的方式和位置,增加一個點擊的過程,可能是更優的用戶體驗。老實講,查看賬單的過程出現一個點擊,對于用戶來講,是會增加一點成本的,但可以讓他更清晰,不會有誤解。而且用戶感覺到有一個自己選擇的過程,雖然麻煩點,但卻是容易被接受的。所以以后在產品設計的時候,不能總想著減少產品體驗的摩擦,減少不必要的交互,更多地要結合法律,結合用戶需求綜合地考慮,和用戶有良性的互動。”
徐婷告訴記者,“從意見和觀點的反饋中,我們也發現,有一些質疑其實是源于用戶對《協議》條款內容的誤解。正是因為大家不了解信用服務是怎么回事,才會有信息可能被泄露的擔心。通過這些誤解的產生,我們也反思,如果我們能清晰地讓大家了解到,我們是如何與合作伙伴開展合作的,信用評價是如何影響用戶生活的;如果我們能用更準確、更通俗易懂同時又符合法律條款嚴謹性的語言表達出協議條款的含義,可能就不會有這些誤解了。我們現在正在想辦法,已經在著手研究了。”
“另外,我們將在組織結構上,保障這次改進工作的落實。公司決定在客戶中心下面單設一個部門,專門負責消費者權益保護和個人信息保護,落實到一個非常具體的部門和責任人身上。他會直接向總經理匯報,相當于單辟出一支隊伍來專門落實,對這個部門也會有明確的考核和追責制度,從現在開始,整個公司把消費者信息保護工作重視起來,我們計劃對全員進行個人信息保護的文化建設和培訓教育,腦子里繃著信息保護這根弦。我們有信心用實際的努力來做好用戶的信息保護。”徐婷表示。
大數據時代個人信息如何保護?
“支付寶賬單”事件,引發公眾對個人信息安全的關注。
“默認勾選,應該不只是支付寶一家的做法,它是互聯網行業內部通行做法,幾乎是一個明規則。”朱巍說,這是因為,我們國家沒有個人數據保護法,涉及到隱私保護的法律法規、政策性文件、紅頭文件,有150多部,但立法上太籠統,不夠詳細。沒有把個人信息和大數據進行區分。可識別的信息屬于個人信息,屬于隱私權范疇;不可識別的信息屬于大數據,屬于知識產權范疇,商家可以隨便拿來用沒有問題。“比如瀏覽了什么頁面,瀏覽次數多少,這些不可識別到個人的信息,不需要征求用戶個人同意;但是,到底是誰瀏覽了,叫什么名字,這些信息必須要事先告知用戶,征求用戶同意之后才可以用。而個人信息和大數據之間的界限,我們國家實際上是非常模糊的。正是因為模糊,所以很多網絡服務提供者把隨意收集信息當作商業慣例,根本就不說清楚,自己用的是個人信息還是大數據,混為一談對商家是極為有利的。”
默認打鉤的做法為什么在互聯網行業能成為明規則?劉俊海認為,“這反映出在一定程度上存在著監管漏洞和盲區,應敦促相關執法機構、監管部門在市場失靈的時候勇于監管。監管者應當用行政指導、市場準入、行政處罰等各種手段維護消費者與企業之間的公平交易秩序,維護企業之間的公平競爭秩序。監管目標不是讓企業掙不到錢,而是打造一個消費者有幸福感、獲得感和安全感的消費友好型社會。打造一個多贏共享,誠實信用,公平公正,相互包容的互聯網市場生態環境,促進互聯網企業可持續發展。個人覺得,以損害消費者利益來打造商業盈利模式,是短視的,不是睿智的企業,聰明的企業應該主動與消費者站在一起,主動尊重和保護消費者知情權、隱私權、個人信息保護權,主動履行企業的安全保障義務。”
邱寶昌認為,政府相關部門的確需要加大行政監管,規范經營者的行為,同時也需要消費者發現之后,及時向市場監管部門和行業主管部門投訴,之后政府部門要及時查處,形成對消費者個人信息保護的社會共治。
朱巍說,在大數據、互聯網時代,其實每個人的觀念也需要有所改變和適應,現在不可能跟從前一樣,把自己的個人信息都看作是隱私不能碰觸,很多個人信息被提取,可能更多地要從大數據角度考慮。另外,現在還是信用社會,前不久,芝麻信用等8家市場機構和市場自律組織中國互聯網金融協會共同組建了一家市場化個人征信機構叫百行征信。征信的基礎是個人信息,沒有個人信息是做不了個人征信的。在這個過程中,用戶肯定要讓渡一部分隱私權,但前提條件是要告訴用戶,這個信息怎么用,如果用戶要注銷自己賬號,征信機構要保證相關信息都刪掉,不能違規使用,只要保證這部分權利,就沒有問題。
“此次事件進一步提升了大數據時代人們對個人信息及隱私的自我保護意識,詮釋了對個人信息和隱私保護從傳統意義上‘免于披露’的被動保護,向現代信息社會‘主動控制’的轉變。”孔德超建議,完善個人信息及隱私立法保護體系,首先要強化頂層設計,同時要完善個人信息采集與利用的技術規則體系,從技術層面,還要落實信息主體享有的各項權利。王心禾