《网络安全法》开始对网络运营者收集用户信息立规,这使得一些互联网企业违规搜集用户信息的行为一定程度上曝光。
由于《网络安全法》要求运营者明确披露搜集的信息内容,6月30日,蚂蚁金服旗下从事消费信贷业务的“花呗”发布了《花呗用户服务合同》条款调整公告,透露了之前网络运营商的搜集和使用个人信息的普遍做法。
引起公众不解的主要是《花呗用户服务合同》第四条关于信息收集、使用和共享的内容,其中牵扯用户很多一般信息和敏感信息。此举增强了有关行为透明度的同时,互联网企业搜集信息范围之广泛也引发不少质疑和争议。很多用户认为,自己在“花呗”面前成了“透明人”。
具体而言,用户使用“花呗”的时候,需要向服务商提供姓名、身份证号、联系电话、联系地址;“花呗”则要求得到用户授权,向关联公司、合作伙伴、部分政府机构、司法机构、公共事业单位(如公积金管理中心、中国互联网金融协会等机构)采集与本服务相关的必要信息,比如工商注册信息、诉讼信息、社保信息等。
对此,美国三大征信机构之一的益博睿(Experian)的一位人士表示, “以‘花呗’的授权书来看,存在多种界定不清晰的地方,例如授权的时效、用途的具体定义、转授权的有效性等。”这位人士说,很期待看到国内司法实践中对“花呗”这样的授权书如何界定。
面对这一事件,蚂蚁金服近日公开回应,相关部门出于未来风控安全或优化服务的需要,自行扩大了可能采集的信息范围,没想到引发了争议。
蚂蚁金服表示,该公司非常重视个人信息保护,不滥用信息是基本原则。在操作上,严格遵循“个人同意”原则,在先行公开告知后,获得用户授权后才能采集,在处理中,由程序对这些信息分类、脱敏后才能使用。目前已经对相关争议合同条款进行了优化。
明示收集信息之后
“花呗”披露相关信息是为了符合《网络安全法》和相关司法解释的要求。
6月1日,《网络安全法》和最高人民法院、最高人民检察院首次就《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称“两高”司法解释)同日正式实施,首次对侵犯公民个人信息的行为和适用法律进行了进一步的明晰,加强了对网络运营商在收集和使用个人信息之前需获得其客户同意的要求,包括要求明确披露信息用途、适用范围、时效等,并采取措施确保个人信息的安全。
“两高”司法解释还首次明确了“公民个人信息”的范围,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
另外,《网络安全法》要求网络运营者不得收集与其提供的服务无关的个人信息。
关于网络运营者应如何收集、使用个人信息,《网络安全法》已经给出明确的原则性指示。该法律要求网络运营者要公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
我国首个个人信息保护的国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》(下称《指南》),对于如何收集、使用个人信息等提出详细的要求。业内反映,国内许多机构包括黑客和互联网机构的风控都是参照该《指南》制定与用户的协议。
“明示至少比偷偷摸摸地搜集信息好,以前都是笼统的用户授权协议,这次说明向行业治理迈出第一步。”业内人士表示。
超范围搜集信息
有资深律师认为,“花呗”的合同存在涉嫌违反《网络安全法》的地方,也即关于“不得收集与其提供的服务无关的个人信息”。
业内将处置个人信息的行为分为收集、加工、转移和删除。“花呗”的合同里明示了信息收集的内容方式,也指出了信息使用、分享的方式,但是网友认为其收集范围太大令人“咋舌”,质疑超出必要范围并且有安全隐患。根据《网络安全法》的要求,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定,收集、使用、处理、保存其个人信息。
在业内看来,“花呗”作为蚂蚁金服旗下的一款消费贷款产品,其《产品合同》所列举的搜集信息的范围已远远超过贷款范围。前述资深律师认为,“花呗”在这里的规定实际上使用了“概括授权”的方式,即要求用户一次性授权服务商可以帮用户做一堆事儿。但实际上,用户的主观意识往往想不到这么多情况,却稀里糊涂地授权了。
“比如你搜集60条个人信息,其实可能用于‘花呗’放贷6个信息就够用了;剩下这 54个,你可能提供给关联公司使用了,是否向消费者明示了?如果按照前述法律,‘花呗’有越界之嫌。”一位资深律师对此质疑。
他认为,在司法判断里面,会把一些习惯常识作为法律依据作为证据的依据。也就是说,我作为一名智力正常的用户,如果根据常识判断,对方收集的信息跟其提供的服务没有关系的话,用户有权拒绝。
值得注意的是,合同在一开始特别提醒,一旦用户签署本合同,即意味着用户同意与本合同其他方以数据电文形式订立本合同并接受本合同约束。
也就是说,一旦用户接受该合同,也就同意了向其他一些关联方授权,不同意则无法享受“花呗”服务。有律师认为,此举涉嫌违反了不正当竞争法,损害了用户的选择权。
用户最担心的是个人信息被泄露、丢失、篡改、用于不良商业用途等。按照“花呗”的合同要求,假如用户违反与服务商约定,若与用户的亲戚朋友、联系人等关联方未能协商解决,服务商可能会自行或通过催收公司、律师事务所、法院、仲裁委员会和其他有权机关与用户联系。
2015年9月,“花呗”通过关联人催收淘宝用户还款的追债方式就因为涉嫌侵犯用户隐私引起争议。(相关报道详见“蚂蚁花呗催账事件涉嫌侵犯用户隐私”)
有律师表示,用户需要明确授权的指向到底是谁,可能用户虽然相信阿里巴巴这样的大公司会遵纪守法,却担心催债公司获取个人信息后不会依法使用信息甚至泄露信息。
一位资深律师向财新记者表示,司法实践中,服务商在处理个人信息时必须同时满足两个条件才算合法合规,一是保证第三方无法识别特定个人;二是数据不可以通过操作还原。“个人信息公示社会时要脱敏到这个程度才算干净。”该律师表示。
普通老百姓即使可以通过《指南》等规定了解国家标准,但缺乏判断能力。前述资深律师表示,通常研究信息安全、信息技术的人或者警方才掌握标准,普通用户与数据收集方之间是不对称的关系,用户也无法判断服务提供商是否越权。
“个人数据被大规模收集用于销售和交易、且未得到个人适当同意的情况在中国广泛存在,并且许多个人也可能尚未意识到存在的风险。” 电子数据取证和调查领域专家 KrolL Discovery大中华区中国区经理 Han Lai 表示。
信息收集越界了怎么办
益博睿人士认为,“花呗”的行动反映出监管的作为刚开始起效果。但从企业利益角度而言,合规投入从来只是满足60分的最低要求。
一位资深律师表示,他认为“花呗”明示自己的收集方式,坦诚这一点值得肯定。但是相关行政处罚的法规要赶紧出台,才能保证法律的严肃性。同时,还应该将事后处罚和事前手段结合起来,比如增加现场检查,从而保证用户个人信息的安全。
“关键在于执法的力度和政策执行的力度。”该人士表示,要进一步防范个人信息滥用,公众和市场都在等待监管和司法体系就具体案例开出罚单,体会监管尺度。同时,保护个人信息的服务市场也应该逐步培育起来,让市场出现内生的制衡力量。
一位资深律师认为,《网络安全法》偏向原则性要求,刚出台不久,需要其他部门的规章制度制定细则与其配套才能发挥作用,现阶段缺乏处罚法规还比较尴尬。