65438+10月3日,支付寶公布了用戶年度“個人賬單”。在賬單首頁,有壹行很小的字——“我同意芝麻服務協議”(以下簡稱“協議”),已經提前點擊了“同意”。本協議內容涉及“您允許芝麻信用收集您的信息並提供給第三方”。
這壹情況被壹位律師在微博中披露後,引起了輿論的廣泛關註和質疑。
6月65438+10月10,國家互聯網信息辦公室網絡安全協調局約談支付寶(中國)網絡技術有限公司、芝麻信用管理有限公司相關負責人11,工信部信息通信管理局再次約談螞蟻金服集團(支付寶),要求企業本著充分保障用戶知情權和選擇權的原則,立即整改。
針對這壹事件涉及的事實和法律問題,本報記者采訪了相關專家和螞蟻金服相關人士。
為什麽會“默認勾選”?
有網民認為,信用服務機構掌握的個人信息主體越多,提供的信用產品就越有優勢,就越能吸引更多的需求者。“芝麻信用默認勾選小字且無法回頭的方式,可能是為了得到更多人的授權。”
“這件事引起大家的不滿,主要是因為承包的方式。”中國社會科學院法學研究所助理研究員劉明博士認為,合同訂立的方式和合同的內容壹樣重要。芝麻信用默認勾選小字且無法回頭的行為,會讓消費者有“上當”的感覺。疑似支付寶這樣吸引人,其實是給大家授權芝麻信用。如果商家在締約程序上對消費者不公平,那麽消費者就很難控制合同的內容,失去優勢,甚至失去與商家博弈的機會,這就是消費者不滿的地方。
根據2015年10月5日中國人民銀行發布的《關於做好個人征信業務準備工作的通知》,芝麻信用管理有限公司是全國首批八家商業征信機構之壹。芝麻信用官網介紹,芝麻信用是獨立的第三方信用服務機構,是螞蟻金服生態圈的重要組成部分。從信用卡、消費金融、融資租賃、按揭貸款,到酒店、租房、租車、婚戀、分類信息、學生服務、公共服務,芝麻信用已經為用戶和商戶提供了上百個場景的信用服務。螞蟻金服全球消費者關系高級專家徐婷表示,自推出以來,芝麻信用已經為十幾個行業提供了信用服務,擁有數億用戶的個人信息。
“這種做法是默認勾選,主要發生在對自身商業信用信心不足,試圖積累用戶授權的企業。實際上,芝麻信用不屬於這類企業。”中國社科院互聯網法治研究中心執行主任劉曉春告訴記者,“在做行業調研之前,我對芝麻信用的個人信息保護制度做了調研和研究。在內部合規、防止個人數據泄露、對外合作的數據安全維護方面,芝麻信用擔保措施令人印象深刻。對於這樣的機構,我認為沒有必要默認勾選這個‘雕技’來獲得更多授權。”
“糾正默認勾選後,我們多次重復自己的優惠,發現問題可能首先在於互聯網產品設計的慣性思維。”事後,徐婷向記者介紹了公司內部的調查情況。“互聯網產品經理在設計產品時,往往註重讓產品好用,體驗越快越好,越流暢越好。這種思維導致互聯網在推出產品的時候,會直接給用戶挑選很多東西,用戶使用的時候,最後確認沒有問題。這種思維錯誤地認為很多操作和交互對於用戶來說是壹種體驗摩擦。”
“默認勾選”有什麽問題?
"違約行為違背了契約精神,尤其是契約的自由和公正."中國人民大學商法研究所所長劉俊海教授說,“合同自由是合同雙方真實意思的表達,然後達成協議,從而對雙方具有約束力。默認勾選是指在讓所有人看到合同條款之前,妳默認同意。作為企業單方面擬定的格式條款,在未征求消費者同意的情況下,被視為對消費者和企業雙方都有約束力的合同條款,違背了契約自由的精神。契約自由不是單方面的,而是雙邊的。按理說,任何企業制定的格式條款都是企業代表消費者起草的格式條款。但問題是,很多格式條款被塞進‘私貨’,往往排斥消費者的核心權益,增加消費者的義務、責任和風險,單方面擺脫或排斥商家對消費者承擔義務和責任,單方面為企業創造權利和重大利益。只要有上述情況之壹,就是違背契約自由和契約正義的。契約正義要求雙方權利義務對等。在尺度上,妳的權利等於我的權利,妳的義務等於我的義務。”
默認檢查不符合要求。雖然我國沒有個人數據保護法,但《消費者權益保護法》明確規定,消費者享有知情權和自由選擇權。如果用戶沒有註意到這個約定,就默認達成了,個人信息就被‘出售’了,這首先侵犯了用戶的知情權和自由選擇權。"中國政法大學傳播法研究中心副主任朱偉說。
“從消費者維權的角度來看,默認支票不僅侵犯了消費者的知情權和選擇權,也侵犯了其個人信息安全權”。北京市律師協會消費者權益保護專業委員會主任邱律師認為,容易把小字作為默認勾選選項,不是消費者自己選擇的。個人信息會如何處理,不受其真實意思控制,存在安全隱患。”這也涉及到隱私、財產安全和人身安全。如果信息泄露,比如家庭經濟條件相關的信息,還可能引發盜竊、搶劫等案件。"
關於隱私權,朱偉指出,隱私權是《侵權責任法》第二條規定的壹項重要權利。從《侵權責任法》來看,作為壹項民事權利,只要使用者同意,隱私權的壹部分是可以轉讓的。但這種同意是不能靠欺騙獲得的。“在用戶不知情的情況下,默認復選框規定其同意或者‘欺騙’其同意,通過這種方式獲取信息,侵犯了隱私權。”
朱偉還指出,從網絡安全法的角度來看,公民個人信息也是網絡安全的重要組成部分。從2012 12 28全國人大常委會審議通過《關於加強網絡信息保護的決定》,到2016年網絡安全法的通過,商家使用用戶個人信息被概括為“合法、正當、必要”九個字。第四十三條規定,用戶發現互聯網服務提供者違反規定或者合同約定使用個人信息時,有權要求互聯網服務提供者刪除該信息,賦予用戶刪除權。那麽,如果用戶不知道,怎麽會違約呢?所以默認的核對模式是不合適的,用戶可以要求芝麻信用刪除所有信息。
北京化工大學文理學院副教授嶽指出,根據《消費者權益保護法》第二十六條規定,經營者在經營活動中使用格式條款的,不得利用格式條款和利用技術手段強迫交易。這種情況的格式條款無效。“默認復選框限制了消費者決定和控制個人信息使用的權利。而且芝麻信用沒有使用‘合理的方式’進行提示,即使消費者點擊同意,也應認定該條款無效。”
徐婷也承認,默認檢查確實是錯誤的,不應該這樣做。“隨著事件的發酵,我們越來越意識到我們的工作失誤給公眾和用戶帶來的困擾。公司非常重視。管理層認為這件事不能就事論事,要充分反思其根源。”
如何保障用戶的知情權和選擇權?
那麽,如果不默認勾選,而是讓用戶自主“點擊確認”,是否保證了用戶的知情權和選擇權?對此,劉明認為,互聯網合同的訂立方式主要有兩種。壹種是瀏覽合同的訂立,另壹種是註冊用戶時點擊確定。後者有壹個點擊同意的過程,給用戶壹個表達意思的機會,這正是“默認勾選”很難做到的。“其實讓用戶在完全不知情的情況下達成協議,才是協議不被認可的關鍵。並點擊確定,確認這種互聯網合同訂立方式的效力在理論和實踐中確實得到了認可。被認可的關鍵還是在於消費者權利義務的核心內容,消費者是否有機會看清楚。雖然有些互聯網協議也采用點擊確認的方式,但是合同內容過多,難以理解,並且采用了格式條款的方式,也可能對消費者產生不公平的效果。"
中國人民大學博士後孔德超認為,協議中壹般授權的範圍過於寬泛,使得信息主體無法知道所收集的個人信息是用於評估個人信用的,無法行使《征信業管理條例》規定的對個人錯誤或不準確的個人信息提出異議和更正的權利。
朱偉也認為,從協議內容來看,消費者無法了解芝麻信用收集和使用個人信息的範圍、方式、目的和用途,也不知道芝麻信用提供自己的信息後會提供什麽樣的服務。術語定義模糊,授權聲明更籠統。明確告知信息主體收集、使用信息的範圍、方式和目的,是《網絡安全法》、《電信和互聯網用戶個人信息保護條例》等諸多法律法規的要求。他指出,關於私人信息使用的條款應該更突出地呈現給用戶,讓用戶特別註意。“建議芝麻信用下壹步把這個協議做大,特別是明確告知用戶誰來用,怎麽用,能不能轉讓,如何轉讓用戶的個人信息。不能默認勾選同意,但要默認勾選不同意,讓用戶看完變成同意,才能跳轉到下壹步。”
徐婷回應說,為了保護個人信息,他們下壹步將準備改進產品設計理念。“我們反映,後來協議改變了提醒的方式和位置,增加了點擊過程,可能是更好的用戶體驗。說實話,在查看賬單的過程中點擊壹下,對於用戶來說會增加成本,但是會讓他更清楚,不會被誤解。而且用戶覺得有壹個自己選擇的過程。雖然麻煩,但是很容易接受。所以以後在設計產品的時候,不能總想著減少產品體驗的摩擦,減少不必要的交互。我們應該把法律和用戶的需求結合起來,和用戶良性互動。”
徐婷告訴記者,“從意見和看法的反饋中,我們也發現壹些質疑其實源於用戶對協議內容的誤解。正是因為人們不了解信貸服務是怎麽回事,才會有信息可能被泄露的擔心。通過這些誤解,我們也反思,如果能清晰的讓大家知道我們是如何與合作夥伴合作的,信用評價是如何影響用戶生活的;如果能把協議條款的意思用更準確、通俗易懂、嚴謹的語言表達出來,可能就不會有這些誤解了。我們現在正試圖找到壹種方法,並且已經在努力了。”
“此外,我們將確保在組織結構方面實施這項改進工作。公司決定在客戶中心下單獨成立壹個部門,專門負責消費者權益和個人信息的保護,並放到非常具體的部門和負責人。他會直接向總經理匯報,相當於成立了壹個團隊來執行,對這個部門會有壹個明確的考核和問責制度。從現在開始,全公司將關註消費者信息的保護,我們計劃對所有員工進行個人信息保護的文化建設和培訓教育,牢記信息保護這壹串。我們有信心為保護用戶信息做出切實努力。”徐婷說道。
大數據時代如何保護個人信息?
“支付寶賬單”事件引起了公眾對個人信息安全的關註。
“默認勾選不應該只是支付寶的做法,這是互聯網行業內部的普遍做法,幾乎是明確的規則。”朱偉說,這是因為我國沒有個人數據保護法,涉及隱私保護的法律法規、政策文件、紅頭文件有150多部,但立法過於籠統,不夠詳細。個人信息和大數據沒有區別。可識別信息屬於個人信息,屬於隱私範疇;無法識別的信息屬於大數據,屬於知識產權範疇,商家可以隨便使用,沒有任何問題。“比如瀏覽了哪些頁面,瀏覽了多少次?這些無法識別的個人信息不需要尋求用戶的個人同意;然而,誰瀏覽了它,它叫什麽名字?這些信息必須事先告知用戶,在征得用戶同意後才能使用。個人信息和大數據的界限在我們國家其實是非常模糊的。正是因為模糊性,很多網絡服務商把隨機收集信息當成壹種商業行為,根本就沒說清楚到底是用個人信息還是大數據。對商家來說混淆視聽是極其有利的。”
為什麽默認打勾可以成為互聯網行業的明確規則?劉俊海認為,“這在壹定程度上反映了監管漏洞和盲區的存在,應該督促相關執法機構和監管部門在市場失靈時勇於監管。監管者應當運用行政指導、市場準入、行政處罰等手段,維護消費者與企業之間的公平交易秩序,維護企業之間的公平競爭秩序。監管的目標不是讓企業賺不到錢,而是構建壹個消費者有幸福感、獲得感、安全感的消費友好型社會。營造共贏、誠信、公平、包容的互聯網市場生態環境,促進互聯網企業可持續發展。個人認為,以犧牲消費者為代價構建商業盈利模式是短視的,不是明智的企業。聰明的企業應該主動與消費者站在壹起,積極尊重和保障消費者的知情權、隱私權和個人信息保護,積極履行安全保障義務。"
邱認為,政府有關部門確實需要加強行政監管,規範經營者的行為。同時,消費者發現後需要及時向市場監管部門和行業主管部門投訴,然後政府部門及時查處,形成消費者個人信息保護的社會治理。
朱偉表示,在大數據和互聯網時代,其實每個人的觀念都需要改變和適應。現在已經不可能把他們的個人信息當做隱私,不可觸碰,提取很多個人信息,可能更多的是從大數據的角度。另外,現在還是信用社會。不久前,芝麻信用等八家市場機構和中國互聯網金融協會,壹家市場化的個人征信機構,名為百興征信,壹起成立。征信的基礎是個人信息,個人征信離不開個人信息。在這個過程中,用戶必須讓渡壹些隱私權,但前提是要告訴用戶如何使用這些信息。如果用戶想註銷賬戶,征信機構必須保證相關信息全部刪除,不能非法使用,只要保證這部分權利就沒有問題。
“這壹事件進壹步增強了大數據時代人們對個人信息和隱私的自我保護意識,詮釋了個人信息和隱私的被動保護從傳統意義上的‘披露’到現代信息社會的‘主動控制’的轉變。”孔德超建議,完善個人信息和隱私的立法保護制度,首先要加強頂層設計,同時完善個人信息收集和利用的技術規則體系,也要從技術層面落實信息主體享有的權利。
不管賬單是什麽,利用用戶都是不對的。