2018年1月4日,北京岳成律师事务所高级合伙人岳屾山律师在微博发文,质疑支付宝年度账单涉嫌侵犯用户的知情权、选择权,引发网络热议。
日前,该事件有了后续。近日,国家互联网信息办公室网络安全协调局约谈了支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人。
网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺;应严格按照网络安全法的要求,加强对支付宝平台的全面排查,进行专项整顿,切实采取有效措施,防止类似事件再次发生。
支付宝和芝麻信用表示,将认真落实监管部门要求,从源头查找问题,深刻汲取教训,全面整改。
事件回顾
支付宝公布用户年度个人账单引风波 支付宝连夜道歉 协议条款耐人寻味
支付宝近期公布了一年一度的用户个人账单,却引来不小风波,原因是在账单首页中,有一行特别小的字,我同意《芝麻服务协议》,并且已经帮用户选择好了同意,而协议条款内容则涉及你允许芝麻信用收集你的信息。
这一事件被一位律师发现,并发布了微博,一时间被众多网友转发,而大家共同的担心就是自己的个人信息有没有被泄露的风险。为此,支付宝方面连夜道歉,表示这次的作法愚蠢之极,而保护用户的信息安全一直是他们的生命线。而事件并没有就此结束。
律师:条款强势 信息泄露存风险
本台记者采访了发现支付宝账单中这行小字信息并发布微博的这位律师,在他看来,支付宝的这一举动不仅仅涉嫌侵犯用户的知情权、选择权,而所谓的《芝麻服务协议》的很多条款都耐人寻味,用户资料存在被泄露的风险。
律师 岳屾山:它甚至提到说我会征集你的个人信息行为信息交易记录等等,这些信息进行整理和综合之后,提供给它的合作伙伴提供给第三方,有可能第三方会进行滥用,比如说像你打电话、认为你征信记录比较好,给你打电话进行推销。
见到岳屾山之后,他就点开了这份《芝麻服务协议》,逐条向记者介绍,服务规则中写着您授权我们可以从合法保存您信息的第三方,收集及处理您的各类信息。、我们可将您的全部信息进行分析并将结果推送给我们的合作和服务的机构。这就意味着芝麻信用受到用户授权,不但可以从第三方收集用户信息,还可以整合后,推送给其它机构。
律师 岳屾山:芝麻信用给我的理解,那就是一个征信系统或者说征信机构,那你就只能征集跟我征信有关的这些信息,你只能提供这些征信报告,征信评级、风险评估,而不能把我的这些数据整合起来之后还用于其它的地方,那这个就违反了征信管理条例的规定。
《征信业管理条例》第二条明确,征信业务是指依法收集、整理、保存、加工个人、法人及其它组织的信用信息,并对外提供信用报告、信用评分、信用评级等业务。岳屾山认为作为征信公司,对外提供的只能是跟信用有关的评级报告,提供其它数据,就已经超出了一家征信公司的工作范围。
而这样一段话,更让人怀疑《芝麻信用》对外提供的不仅仅是信用评价结果。在协议最后,有这样一段话提示用户风险。信息被依法提供给第三方后被他人不当利用的风险、因您的信用状况较好,而造成您被第三方推销产品或服务等打扰的风险。
律师 岳屾山:过于强势了,如果说你是做征信,那你就是只对征信的信息进行征集,然后用于征信系统,而不能够说除了信用报告之后,我可能还会分析出一个这些群体客户的一些行为信息,或者说是一个大数据。然后提供给别人,不管是卖掉的也好,还是说直接无偿提供的也好。
支付宝母公司再回应:好心办坏事
芝麻信用是一家独立的第三方征信机构,用于展示客户个人信用。那么,在协议条款当中,为什么会出现将用户的信息推送给合作方、第三方的行为呢?这些条款中没有写明的推送出去的信息,究竟是什么?会不会对造成用户的信息泄露?记者联系到芝麻信用母公司蚂蚁金服。
蚂蚁金服品牌与公众沟通部 陈彩银:其实这次的本意是让用户知情,即使是支付宝年度账单调用芝麻信用的信息,也需要用户同意,但很遗憾,我们的方式错了,好心办坏事。
按照芝麻信用方面的解释,芝麻信用和支付宝是相互独立的两家公司,虽然同属于蚂蚁金服旗下,但支付宝的年度账单需要展示用户在芝麻信用的数据时,也需要重新获得用户的授权。本来是想让用户更有知情权,没想到引起了公众的误解。
记者:作为一家征信公司,为什么要把用户信息给到第三方?这怎么理解?
蚂蚁金服品牌与公众沟通部 陈彩银:第三方需要使用芝麻信用服务时候,必须要有芝麻信用提供信息用于用户评估,但对大多数第三方服务来说,芝麻行用只提供信用分,不会提供手机号和地址等信息。
蚂蚁金服表示,所有向第三方提供的信息,都是用于信用评估,不做其它用途,那么协议最后的风险提示又是怎么回事呢?
记者:在协议最后,写着因您的信用状况较好,而造成您被第三方推销产品或服务等打扰的风险,这样的风险要如何理解?
蚂蚁金服品牌与公众沟通部 陈彩银:这主要是告诉信用分高的用户,他可以享受到哪些服务,比如可以享受到免押租车、免押住酒店、免押租充电宝等。
蚂蚁金服解释,这所谓的第三方推销和打扰,实际上出现在支付宝的app当中,告知信用高分用户可以享受哪些优惠,采访中,蚂蚁金服没有再做过多回应,只是一再表示,公司视用户隐私保护为自己的生命线,并不会滥用数据。
【大数据时代如何保护个人信息】手机软件中被你忽视的隐私条款
视用户隐私保护为自己的生命线,不会滥用数据。希望蚂蚁金服说到做到。也希望这些条款的真实意图、真实作用真的是像蚂蚁金服解释的那样,一切有待时间检验。
而随着记者调查的深入,发现像芝麻信用这样的事件只是冰山一角,众多的手机软件,在用户注册时,都会出现隐私条款,这些隐私条款大都与用户隐私有关,位置也都不太显眼,但是与芝麻信用的协议一样,默认选项都是同意软件获取用户个人信息。
这是一款照片编辑软件,注册界面写着注册表示同意账号规则和隐私政策,而点开隐私政策,其中明确,将搜集用户信息,用于软件改善,还有这样一条我们提供的服务可能包括属于我们的服务供应商的第三方追踪工具,我们的隐私政策不会覆盖到第三方追踪工具的使用。我们没有权利访问或控制这些第三方。而具体的第三方的信息,则需要用户自己发邮件了解。
这是一款购物软件,在个人信息使用规则中写到在不透露您个人信息的前提下,我们有权对用户数据库进行分析并予以商业化的利用而在共享条款上写明我们可能会将您的个人信息共享给支持我们功能的第三方。
这些隐私条款大都内容冗长,位置隐蔽,即便用户完成注册也很难全面了解。
律师 马林艳:你的信息不发给第三方,这个交易无法完成的情况下,你不让我使用你的个人信息是不可能的,但是超出了这个范围,就必须给用户一个选择权。
马林艳律师告诉记者这些条款的关键在于第三方是谁?提供给第三方的究竟是关于用户的那些信息内容,如果提供的信息跟用户在软件进行的交易无关,软件方是没有权利决定将这些资料给到第三方的。
中国人民公安大学网络信息中心副主任 韩华:敏感隐私问题这些数据清洗掉之后,被第三方用于特定的大数据分析,但是清洗工作往往是很难进行把握、倾斜的,个人隐私是不是还会被泄露,这个很难说清楚。这是一个普遍的现象。
目前,我国并没有专门的大数据方面的立法,所谓隐私政策条款,用户几乎没有议价能力,要注册就只能同意,而条款内容有些语焉不详,有些晦涩难懂,对自己的隐私权用户根本难以控制。
律师 马林艳:这就需要支付平台、电商平台的社会责任和它的公平公正的角度来面对这个问题了。
【大数据时代如何保护个人信息他山之石】数据泄露或受多国调查并重罚
希望支付平台、电商平台承担起社会责任,也希望监管部门可以从严监管,让用户的隐私更加安全。事实上,大数据时代,个人信息的保护,是全世界共同面临的问题,在国外,不少知名公司也曾因搜集用户的位置信息而惹上麻烦,甚至是面临诉讼。
不久前,美国优步公司首席执行官的一篇博文,将优步数据泄露事件推上了风口浪尖。文中写到优步在2016年底曾遭到两名黑客攻击,全球有超过5700万名用户和司机的个人数据被曝光,涉及到姓名、电子邮件地址、电话号码、还有用户住址以及信用卡信息。
事件一经曝光便引发了全球用户的恐慌。仅仅在欧洲,就将面临至少是意大利、荷兰和英国三个国家数据保护机构的调查,甚至可能面临英国机构50万英镑的罚款。
保护用户隐私不利会惹上麻烦 隐私条款处理不好也会惹官司
2012年,谷歌公司曾计划推出一项新的隐私条款,对旗下60多款产品各自的隐私条款实行统一化,结果引起了美国两党共计8人组成的立法调查委员会的质疑。而谷歌公司在重压之下不得不宣布,不会剥夺用户选择退出数据分析广告系统的法定权利。
2011年,苹果公司也因获取用户手机定位事件,收到了来自韩国广播通信委员会开出的300万韩元罚单。