“支付宝账单”事件4个疑问:“默认勾选”错在哪?
“支付宝账单”事件的四个疑问
1月3日,支付宝公布了一年一度的用户“个人账单”。在账单首页,有一行特别小的字——“我同意《芝麻服务协议》(下称《协议》)”,并且已经提前点选了“同意”。这份协议的内容,涉及“你允许芝麻信用收集你的信息,并向第三方提供”。
这一情况经一位律师在微博上披露后,引发舆论的广泛关注和质疑。
1月10日,国家互联网信息办公室网络安全协调局约谈了支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人。11日,工信部信息通信管理局再次约谈了蚂蚁金服集团公司(支付宝),要求企业本着充分保障用户知情权和选择权的原则立即进行整改。
|
针对这一事件所涉及的事实和法律问题,本报记者采访了相关专家以及蚂蚁金服有关人士。
为什么要“默认勾选”?
有网友认为,信用服务机构拥有的个人信息主体越多,提供的信用产品越有优势,越能吸引更多的需求商,“芝麻信用用小字默认勾选并无法回头查看的方式,可能是想得到更多人的授权。”
“这次事件引起大家不满,主要是因为缔约方式。”中国社科院法学所助理研究员刘明博士认为,合同缔结的方式与合同的内容同等重要,芝麻信用用小字默认勾选并无法回头查看的行为会让消费者有“被下套”的感觉,怀疑支付宝用这种方式把人吸引过去,实际上是让大家去给芝麻信用授权。如果商家在缔约程序上对消费者不公平,那么,消费者对合同内容就很难控制,丧失了和商家博弈的优势甚至机会,这是消费者感到不满的地方。
根据2015年1月5日中国人民银行印发的《关于做好个人征信业务准备工作的通知》,芝麻信用管理有限公司是国内首批8个商业征信机构之一。据芝麻信用官网介绍,芝麻信用是独立的第三方信用服务机构,是蚂蚁金服生态体系内的重要组成部分。从信用卡、消费金融、融资租赁、抵押贷款,到酒店、租房、租车、婚恋、分类信息、学生服务、公共事业服务等,芝麻信用已经在上百个场景为用户、商户提供信用服务。蚂蚁金服全球消费者关系高级专家徐婷介绍说,自上线以来,芝麻信用已向十几个行业提供信用服务,拥有的个人信息用户量上亿。
“默认勾选这类做法,主要发生在对自己的商业信用信心不足、试图以此累积用户授权的企业。其实,芝麻信用不属于这种企业。”中国社会科学院大学互联网法治研究中心执行主任刘晓春对记者说,“之前做行业调研的时候,曾经对芝麻信用的个人信息保护体系做过调查和研究,在内部合规、防止个人数据外泄以及对外合作的数据安全维护方面,芝麻信用保障措施让人印象深刻。对于这样一个机构,我认为它完全没有采用默认勾选这种‘雕虫小技’来获取更多授权的必要。”
“对默认勾选做了改正后,我们自己多次复盘,发现问题可能首先出在互联网产品设计的惯性思维上。”徐婷向记者介绍了事后公司内部调查的情况,“互联网产品经理在设计产品时,倾向于关注让产品使用起来,体验上尽量快速、顺滑。这样一种思维,导致互联网推出产品时,会直接把很多东西给用户选好了,在用户使用时最后看一眼没有问题,就确认了。这种思维不正确地认为,很多操作、交互对于用户来讲,都是一次体验上的摩擦。”
“默认勾选”错在哪里?
“默认打钩的做法有违契约精神,特别是契约自由、契约正义。”中国人民大学商法研究所所长刘俊海教授说,“契约自由是契约双方真实的意思表示,然后达成合意,这样才能对双方都有拘束力。默认打钩,就是你还没有让大家看到合同条款,就默认同意了,作为企业单方起草的格式条款,没有征求消费者同意,就把它作为对消费者和企业双方都有拘束力的契约条款,有违契约自由的精神。契约自由不是单边的,是双边的契约自由。按理说,任何企业制定的格式条款,是企业受消费者之托,代表消费者起草的格式条款。但问题是,很多格式条款塞进‘私货’,往往排斥消费者的核心权力和利益诉求,增加消费者的义务、责任和风险,单方摆脱或排除商家对消费者承担义务和责任,单方为企业创设权利和主要的利益,只要存在上述一种情况,即有悖契约自由,有悖契约正义。契约正义要求双方的权利义务是对等的,放在天平上称一称,你的权利跟我的权利是对等的,你的义务和我的义务也是对等的。”
“默认勾选是不合规的,我们国家虽然没有个人数据保护法,但消费者权益保护法明确规定,消费者有知情权和自由选择权,如果用户没有注意到这个协议,然后就默认达成了,个人信息就被‘卖’掉了,这首先侵害了用户的知情权和自由选择权。”中国政法大学传播法研究中心副主任朱巍说。
“从消费者权益保护的角度看,默认勾选不仅侵害了消费者的知情权、选择权,也侵害了其个人信息安全权”。北京市律师协会消费者权益保护专业委员会主任邱宝昌律师认为,用小字默认勾选项,容易一带而过,不是消费者自己选的,个人信息会怎么被处理不受自己真实意思支配,有安全隐患。“这还涉及到隐私权、财产安全、人身安全,如果信息被泄露了,比如家庭经济条件相关的信息,也有可能引发盗窃、抢劫等案件。”
关于隐私权,朱巍提出,隐私权是侵权责任法第2条规定的一项重要权利。从侵权责任法上说,只要用户同意,作为民事权利,部分隐私权可以让渡。但这种同意不能是以欺骗的方式取得。“在用户不知情的情况下,默认打钩,规定他同意或‘骗’他同意,以这种方式获得信息,侵害了隐私权。”
朱巍还指出,从网络安全法角度考虑,公民个人信息也是网络安全重要组成方面,从2012年12月28日,全国人大常委会审议通过《加强网络信息保护的决定》,到2016年网络安全法通过,立法上把商家对用户个人信息的使用归纳为9个字“合法性、正当性、必要性”,就是必须要在完全征求用户同意的基础上,才能使用用户信息,不能违规或违约地使用。其中第43条规定,当用户发现网络服务提供者违规或违约使用个人信息时,有权要求网络服务提供者把这部分信息予以删除,给了用户删除权。所以,如果用户不知情,何来违约?因此,默认勾选方式很不妥当,用户可以要求芝麻信用把所有信息予以删除。
北京化工大学文法学院副教授岳业鹏则指出,根据消费者权益保护法第26条规定,经营者在经营活动中使用格式条款的,不得利用格式条款并借助技术手段强制交易。有这种情况的格式条款,内容无效。“默认勾选限制了消费者对个人信息利用进行决定和控制的权利,而且,芝麻信用没有采用‘合理的方式’进行提示,即使消费者点击同意,该条款也应当认定无效。”
徐婷也坦承,默认勾选的确错了,确实不应该这样做。“随着事件的发酵,我们愈发认识到自己工作上的失误给公众和用户带来的困扰。公司非常重视,管理层认为不能就事论事来讨论这次事件,要从根源上全面反思。”
如何保障用户的知情权、选择权?
那么,如果不默认勾选,而是让用户自主“点击确认”,是不是就算保障了用户的知情权、选择权了呢?对此,刘明认为,互联网合同缔结方式主要分两种,一是浏览合同缔结,二是注册用户时点击确认缔结。后者有一个点击同意的过程,给用户意思表示的机会,这恰恰是“默认勾选”难以做到的。“其实,让用户在根本不知情的情况下达成协议,正是《协议》不被认可的关键所在。而点击确认,这种互联网合同缔结方式的效力在理论和实践上确实已经被认可。被认可的关键,还是在于涉及消费者权利和义务的核心内容,是不是让消费者有机会、明确地看到。有的互联网协议虽然也采取了点击确认方式,但合同内容过多,理解起来困难,又用了格式条款方式,也有可能形成对消费者不公平的效果。”
中国人民大学博士后孔德超认为,《协议》中概括性授权范围过于宽泛,信息主体无法知晓哪些被采集的个人信息被用于评价个人信用,更无法行使《征信业管理条例》所规定的信息主体对个人错误或不准确的个人信息所享有的异议权、更正权。
朱巍也认为,从《协议》的内容看,消费者并不能了解芝麻信用收集和使用个人信息的范围、方式、目的、用途,也不知道提供了自己的信息后,芝麻会提供什么样的服务。条款界定模糊,授权说明比较笼统。而明确告知信息主体采集使用信息的范围、方式、目的等事项,是网络安全法和《电信和互联网用户个人信息保护规定》等多部法律法规的要求。他指出,关于隐私信息使用的条款,应该更多地凸显给用户,让用户特别注意。“建议芝麻信用下一步把这个协议做大一点,特别是把用户个人信息谁来用、怎么用、能不能转让、怎么转让等,都明确告知用户。不能默认勾选同意,要默认勾选不同意,让用户阅读之后变成同意,才能跳到下一步。”
徐婷回应称,出于对个人信息保护的考虑,下一步他们将准备从产品设计理念入手进行改进。“我们反思,后来协议更改了提醒的方式和位置,增加一个点击的过程,可能是更优的用户体验。老实讲,查看账单的过程出现一个点击,对于用户来讲,是会增加一点成本的,但可以让他更清晰,不会有误解。而且用户感觉到有一个自己选择的过程,虽然麻烦点,但却是容易被接受的。所以以后在产品设计的时候,不能总想着减少产品体验的摩擦,减少不必要的交互,更多地要结合法律,结合用户需求综合地考虑,和用户有良性的互动。”
徐婷告诉记者,“从意见和观点的反馈中,我们也发现,有一些质疑其实是源于用户对《协议》条款内容的误解。正是因为大家不了解信用服务是怎么回事,才会有信息可能被泄露的担心。通过这些误解的产生,我们也反思,如果我们能清晰地让大家了解到,我们是如何与合作伙伴开展合作的,信用评价是如何影响用户生活的;如果我们能用更准确、更通俗易懂同时又符合法律条款严谨性的语言表达出协议条款的含义,可能就不会有这些误解了。我们现在正在想办法,已经在着手研究了。”
“另外,我们将在组织结构上,保障这次改进工作的落实。公司决定在客户中心下面单设一个部门,专门负责消费者权益保护和个人信息保护,落实到一个非常具体的部门和责任人身上。他会直接向总经理汇报,相当于单辟出一支队伍来专门落实,对这个部门也会有明确的考核和追责制度,从现在开始,整个公司把消费者信息保护工作重视起来,我们计划对全员进行个人信息保护的文化建设和培训教育,脑子里绷着信息保护这根弦。我们有信心用实际的努力来做好用户的信息保护。”徐婷表示。
大数据时代个人信息如何保护?
“支付宝账单”事件,引发公众对个人信息安全的关注。
“默认勾选,应该不只是支付宝一家的做法,它是互联网行业内部通行做法,几乎是一个明规则。”朱巍说,这是因为,我们国家没有个人数据保护法,涉及到隐私保护的法律法规、政策性文件、红头文件,有150多部,但立法上太笼统,不够详细。没有把个人信息和大数据进行区分。可识别的信息属于个人信息,属于隐私权范畴;不可识别的信息属于大数据,属于知识产权范畴,商家可以随便拿来用没有问题。“比如浏览了什么页面,浏览次数多少,这些不可识别到个人的信息,不需要征求用户个人同意;但是,到底是谁浏览了,叫什么名字,这些信息必须要事先告知用户,征求用户同意之后才可以用。而个人信息和大数据之间的界限,我们国家实际上是非常模糊的。正是因为模糊,所以很多网络服务提供者把随意收集信息当作商业惯例,根本就不说清楚,自己用的是个人信息还是大数据,混为一谈对商家是极为有利的。”
默认打钩的做法为什么在互联网行业能成为明规则?刘俊海认为,“这反映出在一定程度上存在着监管漏洞和盲区,应敦促相关执法机构、监管部门在市场失灵的时候勇于监管。监管者应当用行政指导、市场准入、行政处罚等各种手段维护消费者与企业之间的公平交易秩序,维护企业之间的公平竞争秩序。监管目标不是让企业挣不到钱,而是打造一个消费者有幸福感、获得感和安全感的消费友好型社会。打造一个多赢共享,诚实信用,公平公正,相互包容的互联网市场生态环境,促进互联网企业可持续发展。个人觉得,以损害消费者利益来打造商业盈利模式,是短视的,不是睿智的企业,聪明的企业应该主动与消费者站在一起,主动尊重和保护消费者知情权、隐私权、个人信息保护权,主动履行企业的安全保障义务。”
邱宝昌认为,政府相关部门的确需要加大行政监管,规范经营者的行为,同时也需要消费者发现之后,及时向市场监管部门和行业主管部门投诉,之后政府部门要及时查处,形成对消费者个人信息保护的社会共治。
朱巍说,在大数据、互联网时代,其实每个人的观念也需要有所改变和适应,现在不可能跟从前一样,把自己的个人信息都看作是隐私不能碰触,很多个人信息被提取,可能更多地要从大数据角度考虑。另外,现在还是信用社会,前不久,芝麻信用等8家市场机构和市场自律组织中国互联网金融协会共同组建了一家市场化个人征信机构叫百行征信。征信的基础是个人信息,没有个人信息是做不了个人征信的。在这个过程中,用户肯定要让渡一部分隐私权,但前提条件是要告诉用户,这个信息怎么用,如果用户要注销自己账号,征信机构要保证相关信息都删掉,不能违规使用,只要保证这部分权利,就没有问题。
“此次事件进一步提升了大数据时代人们对个人信息及隐私的自我保护意识,诠释了对个人信息和隐私保护从传统意义上‘免于披露’的被动保护,向现代信息社会‘主动控制’的转变。”孔德超建议,完善个人信息及隐私立法保护体系,首先要强化顶层设计,同时要完善个人信息采集与利用的技术规则体系,从技术层面,还要落实信息主体享有的各项权利。王心禾
- 2018-01-11国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业负责人
- 2018-01-05支付宝账单失误要以有心对无心
- 2017-12-13德国超市推广使用支付宝