导读
1月3日,支付宝发布个人年度账单,用户可查看全年花钱情况,包括网购总支出及各部分支出所占比重、全年出行次数、线下支付数额及次数、守信信息以及所参与的公益项目等。就在每个人的个人年度账单刷爆朋友圈的同时,有网友发现,个人年度账单首页入口处一行不起眼的小字“我同意《芝麻服务协议》”被支付宝设置为默认勾选,这一行为引发了社会不小的争议与讨论,很多网友质疑,支付宝是在变相收集用户信息,可能侵犯用户隐私。中国消费者报更是发布了《紧急!查看支付宝年度账单前,请先看这个》(点击查看原文),继支付宝账单后又被诸多网友转载,一时间各种评论层出不穷,大家纷纷表达对支付宝未经同意收集信息的担忧。
支付宝回应
1月3日晚间23:34,芝麻信用官方微博发布《关于查看支付宝年度账单时“被同意芝麻服务协议”的情况说明》(以下称《情况说明》)进行回应并认错,《情况说明》表示,承认默认勾选的设置“肯定是错了”,在首页展示这行小字的本来是希望充分尊重用户的知情权,让用户知道,只有在自己同意的情况下,支付宝年账单才可以展示用户的信用免押内容,“初衷没错但用了非常傻逼的方式,愚蠢至极”,“对于这次事件给大家带来的恐慌和误解,我们向大家表示深深的歉意”。
目前,支付宝已经调整了页面,取消了默认勾选,若用户希望在自己的年度账单中看到信用免押的内容,可以手动勾选。此外,对于并不想在年度账单里展示自己的信用免押内容,但又已经被默认勾选的用户,可在【支付宝客户端-我的-芝麻信用-信用管理-授权管理】中找到“支付宝”选项并取消授权。
那么《芝麻服务协议》是否存在变相收集用户信息、侵犯用户隐私的情形呢?下面我们来详细解读一下《芝麻服务协议》并看看我国现行个人信息保护以及网络安全相关的法律法规对此是如何规定的。
关于《芝麻服务协议》
一、服务的使用与接受

图片来自网络
《网络安全法》
第二十二条网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
《消费者权益保护法》
第二十九条经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。
鉴于《网络安全法》(以下称“《网安法》”)自去年6月1日出台后,国家网信办及有关部门加大监管处罚力度,8月份四部委联合开展网络产品和服务隐私条款评审活动,各大网络运营者相继更新了自身隐私政策,在登陆相关网络产品和服务APP时,很多网络运营者已经做到了《网安法》第二十二条规定的向用户明示的义务,本次支付宝个人年度账单事件的发酵归根结底在于《芝麻信用服务协议》并未在用户进入账单首页时即明确弹出提示注意,而仅以默认勾选和小字的方式则造成了大众的忽略。此外,《消费者权益保护法》同样明确了经营者在收集、使用个人信息时应当向消费者明示收集使用目的、方式和范围并经其同意。
二、信息的收集与提供


图片来自网络
《征信业管理条例》
第十四条
禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。
征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。
关于收集个人信息的范围,根据《芝麻服务协议》,采集的信息包括但不限于用户的个人信息、行为信息、交易信息、资产信息、设备信息等,同时排除了宗教信仰、基因、指纹、血型、疾病和病史等个人敏感信息。值得注意的是,芝麻信用还将个人用户的收入、存款、有价证券、商业保险、不动产信息和纳税数额等对于用户而言较为私密和重要的信息纳入收集范围,从而引起了部分网友的疑虑。虽然现行《征信业管理条例》明确规定征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产和纳税数额信息,但若征信机构明确告知用户提供上述信息的不利后果,且用户书面同意的,应作为例外情形。因此,我们提醒广大用户,在开通芝麻信用服务时仍需高度重视《芝麻服务协议》中提到的信用评级、第三方不当利用以及被动接受产品营销等不利后果,在充分衡量相关利弊后再做决定。
《网络安全法》
第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
《征信业管理条例》
第十八条向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。
征信机构不得违反前款规定提供个人信息。
第十九条征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中作出足以引起信息主体注意的提示,并按照信息主体的要求作出明确说明。
关于向第三方提供个人信息的问题,《征信业管理条例》中要求第三方查询个人信息时需取得信息主体本人的书面同意,而《芝麻服务协议》在“二、服务规则”第二项第一段中已经清楚阐释了上述内容,可以直接向第三方提供的仅为除贷款类和涉及商业秘密以外的其他信息。因此,鉴于第三方向用户收集个人信息需另经用户书面明示同意并在约定范围使用,广大用户在向第三方授权后,更应该追踪关注的是个人信息是否事实上被滥用的情形。需要注意的是,《芝麻服务协议》不支持用户撤销对第三方信息查询的授权是以用户与第三方的业务关系尚未结束为前提的,一旦用户终止了第三方的服务,就具备了撤销相关授权的权利。
此外,《网安法》规定,未经被收集者同意,不得向他人提供个人信息。芝麻信用作为蚂蚁金服生态体系下的一家独立的第三方信用服务机构,支付宝要在个人年账单中使用芝麻信用的数据,必须先获得用户授权,否则就违背了《网安法》的要求,这也正是个人年账单首页中这行小字的由来。
三、信息与数据的留存

图片来自网络
《网络安全法》
第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
《征信业管理条例》
第十六条
征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。
《电信和互联网用户个人信息保护规定》
第九条
电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。
2014年,通过欧洲法院对冈萨雷斯诉谷歌案的判例以及《一般数据保护条例》(“GDPR”)第17条的规定,“被遗忘权”在欧盟正式作为法律渊源被确立下来。所谓“被遗忘权”,即指公民在其个人数据信息不再有合法之需时要求将其删除或不再使用的权利,其适用于三种情形(1)数据无需再存在;(2)数据主体不再同意;(3)数据留存期限届满。13年实施的《电信和互联网用户个人信息保护规定》第九条规定的用户账号注销权在某种程度上也属于被遗忘权的一种表现。
关于在终止服务后留存用户信息和数据的问题,《网安法》规定了用户对网络运营者违法违约收集信息的删除权和对错误信息的更正权,《征信业管理条例》也将个人不良信息的保存期限明确为不良行为终止之日起五年,但上述条文均对留存信息与数据的范围进行了一定的限制,前者限于网络运营者违法违约收集信息或收集信息出现错误的情形,后者则是个人征信的不良记录。因此,由于“被遗忘权”在我国尚未作为一项权利制度被确立下来,前述问题目前在法律保护上仍处是空白。从芝麻信用在《芝麻服务协议》中选择在服务终止后仍保留用户的信息数据且拒绝删除可看出,其对于用户行使“被遗忘权”是持否定态度的,且试图在公民有关“被遗忘权”的意识觉醒之前就将其扼倒。
根据13年实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下称“《指南》”)规定,收集阶段告知的个人信息使用目的达到后,个人信息获得者应立即删除个人信息,如需继续处理,要消除其中能够识别具体个人的内容;如需继续处理个人敏感信息,还应获得个人信息主体的明示同意。《指南》虽非强制性规定,但为网络运营者留存用户信息数据提供了指引,即在服务目的达成后,网络运营者应及时消除个人信息,有继续处理需求的还应进行数据脱敏与模糊化处理,对于敏感个人信息的留存处理必须征得信息主体明示同意。我们建议,芝麻信用应当尊重其用户的“被遗忘权”,同时在《芝麻服务协议》中进一步明确用户信息数据的脱敏留存,从而降低相关合规风险。
结语
本次支付宝个人年度账单事件的发生,既反映了社会公众对个人信息保护的重视程度空前提升,也考验着网络运营者的产品服务及隐私政策的制订。《网安法》及相关法规条例仍然存在许多亟待完善之处,诸如“被遗忘权”之类的国外相关权利制度均值得我国立法者借鉴与应用。对于广大网络运营者而言,仍需完善所收集的用户信息的合规政策与隐私条例,改进内控制度,及时做到明示用户收集、使用信息的目的、方式和范围,此外,还应尊重用户的“被遗忘权”,保证用户弃置账号后对其账号的注销权以及账号内留存个人信息和数据的删除权。我们相信,支付宝及蚂蚁信用是出于对《网安法》及相关法规的严格遵守才在发布个人年度账单时展示相关内容的,但默认勾选以及《芝麻服务协议》本身存在的瑕疵仍加深了公众的质疑,网络运营者在尽力确保服务协议合规之余,仍应尊重用户的选择权。
1月3日,支付宝发布个人年度账单,用户可查看全年花钱情况,包括网购总支出及各部分支出所占比重、全年出行次数、线下支付数额及次数、守信信息以及所参与的公益项目等。就在每个人的个人年度账单刷爆朋友圈的同时,有网友发现,个人年度账单首页入口处一行不起眼的小字“我同意《芝麻服务协议》”被支付宝设置为默认勾选,这一行为引发了社会不小的争议与讨论,很多网友质疑,支付宝是在变相收集用户信息,可能侵犯用户隐私。中国消费者报更是发布了《紧急!查看支付宝年度账单前,请先看这个》(点击查看原文),继支付宝账单后又被诸多网友转载,一时间各种评论层出不穷,大家纷纷表达对支付宝未经同意收集信息的担忧。
支付宝回应
1月3日晚间23:34,芝麻信用官方微博发布《关于查看支付宝年度账单时“被同意芝麻服务协议”的情况说明》(以下称《情况说明》)进行回应并认错,《情况说明》表示,承认默认勾选的设置“肯定是错了”,在首页展示这行小字的本来是希望充分尊重用户的知情权,让用户知道,只有在自己同意的情况下,支付宝年账单才可以展示用户的信用免押内容,“初衷没错但用了非常傻逼的方式,愚蠢至极”,“对于这次事件给大家带来的恐慌和误解,我们向大家表示深深的歉意”。
目前,支付宝已经调整了页面,取消了默认勾选,若用户希望在自己的年度账单中看到信用免押的内容,可以手动勾选。此外,对于并不想在年度账单里展示自己的信用免押内容,但又已经被默认勾选的用户,可在【支付宝客户端-我的-芝麻信用-信用管理-授权管理】中找到“支付宝”选项并取消授权。
那么《芝麻服务协议》是否存在变相收集用户信息、侵犯用户隐私的情形呢?下面我们来详细解读一下《芝麻服务协议》并看看我国现行个人信息保护以及网络安全相关的法律法规对此是如何规定的。
关于《芝麻服务协议》
一、服务的使用与接受

图片来自网络
《网络安全法》
第二十二条网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
《消费者权益保护法》
第二十九条经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。
鉴于《网络安全法》(以下称“《网安法》”)自去年6月1日出台后,国家网信办及有关部门加大监管处罚力度,8月份四部委联合开展网络产品和服务隐私条款评审活动,各大网络运营者相继更新了自身隐私政策,在登陆相关网络产品和服务APP时,很多网络运营者已经做到了《网安法》第二十二条规定的向用户明示的义务,本次支付宝个人年度账单事件的发酵归根结底在于《芝麻信用服务协议》并未在用户进入账单首页时即明确弹出提示注意,而仅以默认勾选和小字的方式则造成了大众的忽略。此外,《消费者权益保护法》同样明确了经营者在收集、使用个人信息时应当向消费者明示收集使用目的、方式和范围并经其同意。
二、信息的收集与提供


图片来自网络
《征信业管理条例》
第十四条
禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。
征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外。
关于收集个人信息的范围,根据《芝麻服务协议》,采集的信息包括但不限于用户的个人信息、行为信息、交易信息、资产信息、设备信息等,同时排除了宗教信仰、基因、指纹、血型、疾病和病史等个人敏感信息。值得注意的是,芝麻信用还将个人用户的收入、存款、有价证券、商业保险、不动产信息和纳税数额等对于用户而言较为私密和重要的信息纳入收集范围,从而引起了部分网友的疑虑。虽然现行《征信业管理条例》明确规定征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产和纳税数额信息,但若征信机构明确告知用户提供上述信息的不利后果,且用户书面同意的,应作为例外情形。因此,我们提醒广大用户,在开通芝麻信用服务时仍需高度重视《芝麻服务协议》中提到的信用评级、第三方不当利用以及被动接受产品营销等不利后果,在充分衡量相关利弊后再做决定。
《网络安全法》
第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
《征信业管理条例》
第十八条向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外。
征信机构不得违反前款规定提供个人信息。
第十九条征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中作出足以引起信息主体注意的提示,并按照信息主体的要求作出明确说明。
关于向第三方提供个人信息的问题,《征信业管理条例》中要求第三方查询个人信息时需取得信息主体本人的书面同意,而《芝麻服务协议》在“二、服务规则”第二项第一段中已经清楚阐释了上述内容,可以直接向第三方提供的仅为除贷款类和涉及商业秘密以外的其他信息。因此,鉴于第三方向用户收集个人信息需另经用户书面明示同意并在约定范围使用,广大用户在向第三方授权后,更应该追踪关注的是个人信息是否事实上被滥用的情形。需要注意的是,《芝麻服务协议》不支持用户撤销对第三方信息查询的授权是以用户与第三方的业务关系尚未结束为前提的,一旦用户终止了第三方的服务,就具备了撤销相关授权的权利。
此外,《网安法》规定,未经被收集者同意,不得向他人提供个人信息。芝麻信用作为蚂蚁金服生态体系下的一家独立的第三方信用服务机构,支付宝要在个人年账单中使用芝麻信用的数据,必须先获得用户授权,否则就违背了《网安法》的要求,这也正是个人年账单首页中这行小字的由来。
三、信息与数据的留存

图片来自网络
《网络安全法》
第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
《征信业管理条例》
第十六条
征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除。
《电信和互联网用户个人信息保护规定》
第九条
电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。
2014年,通过欧洲法院对冈萨雷斯诉谷歌案的判例以及《一般数据保护条例》(“GDPR”)第17条的规定,“被遗忘权”在欧盟正式作为法律渊源被确立下来。所谓“被遗忘权”,即指公民在其个人数据信息不再有合法之需时要求将其删除或不再使用的权利,其适用于三种情形(1)数据无需再存在;(2)数据主体不再同意;(3)数据留存期限届满。13年实施的《电信和互联网用户个人信息保护规定》第九条规定的用户账号注销权在某种程度上也属于被遗忘权的一种表现。
关于在终止服务后留存用户信息和数据的问题,《网安法》规定了用户对网络运营者违法违约收集信息的删除权和对错误信息的更正权,《征信业管理条例》也将个人不良信息的保存期限明确为不良行为终止之日起五年,但上述条文均对留存信息与数据的范围进行了一定的限制,前者限于网络运营者违法违约收集信息或收集信息出现错误的情形,后者则是个人征信的不良记录。因此,由于“被遗忘权”在我国尚未作为一项权利制度被确立下来,前述问题目前在法律保护上仍处是空白。从芝麻信用在《芝麻服务协议》中选择在服务终止后仍保留用户的信息数据且拒绝删除可看出,其对于用户行使“被遗忘权”是持否定态度的,且试图在公民有关“被遗忘权”的意识觉醒之前就将其扼倒。
根据13年实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下称“《指南》”)规定,收集阶段告知的个人信息使用目的达到后,个人信息获得者应立即删除个人信息,如需继续处理,要消除其中能够识别具体个人的内容;如需继续处理个人敏感信息,还应获得个人信息主体的明示同意。《指南》虽非强制性规定,但为网络运营者留存用户信息数据提供了指引,即在服务目的达成后,网络运营者应及时消除个人信息,有继续处理需求的还应进行数据脱敏与模糊化处理,对于敏感个人信息的留存处理必须征得信息主体明示同意。我们建议,芝麻信用应当尊重其用户的“被遗忘权”,同时在《芝麻服务协议》中进一步明确用户信息数据的脱敏留存,从而降低相关合规风险。
结语
本次支付宝个人年度账单事件的发生,既反映了社会公众对个人信息保护的重视程度空前提升,也考验着网络运营者的产品服务及隐私政策的制订。《网安法》及相关法规条例仍然存在许多亟待完善之处,诸如“被遗忘权”之类的国外相关权利制度均值得我国立法者借鉴与应用。对于广大网络运营者而言,仍需完善所收集的用户信息的合规政策与隐私条例,改进内控制度,及时做到明示用户收集、使用信息的目的、方式和范围,此外,还应尊重用户的“被遗忘权”,保证用户弃置账号后对其账号的注销权以及账号内留存个人信息和数据的删除权。我们相信,支付宝及蚂蚁信用是出于对《网安法》及相关法规的严格遵守才在发布个人年度账单时展示相关内容的,但默认勾选以及《芝麻服务协议》本身存在的瑕疵仍加深了公众的质疑,网络运营者在尽力确保服务协议合规之余,仍应尊重用户的选择权。
