大数据频道 频道

花呗服务协议惹风波,信息收集是否越界?

  【IT168 评论】个人信息权利和企业数据权利彼此联结又相互冲突。问题关键是如何在具体的场景下,妥善划定各自边界和责任。

  6月30日,蚂蚁金服旗下用于淘宝、天猫的信用消费信贷产品——“花呗”的服务协议引发了轩然大波。对于实际阅读比例不足5%的网络用户服务协议而言,这一事件堪称异事,不免让人“奇闻”共欣赏,“疑义”相与析。

花呗服务协议惹风波,信息收集是否越界?

  《花呗用户服务合同》:6月30日版VS. 7月3日版

  触动大众神经的是《花呗用户服务合同》中有关用户信息收集的条款。根据第4.2条的约定,花呗用户的如下信息均在服务商的掌握之下:

  (1)所有身份信息;(2)访问服务商网站及服务商关联公司网站、移动客户端时提供或形成的任何数据和信息;(3)所有财产信息,如店铺/企业经营状况、财税信息、房产信息、车辆信息、基金、保险、股票、信托、债券等投资理财信息和负债信息等;(4)在政府机构、行业自律组织留存的任何信息,如户籍信息、企业工商信息、诉讼信息、执行信息和违法犯罪信息等;(5)信用信息,如征信记录和信用报告;(6)社保和公积金信息、通讯号码和费用信息以及往来通讯号码、通话时长等通话详单信息;(7)银行信息,如开卡银行、银行卡号、额度、还款情况等基本信息,刷卡时间、地点、金额等用卡信息。

  此外,这还不是用户一个人在战斗,用户的“关联方”同样也要提供他/她在服务商及其关联公司、合作伙伴、阿里巴巴集团旗下公司处留存以及形成的任何数据和信息。如果这些都不足以让你胆战心惊的话,那么还有一条兜底条款——“其他通过合法途径取得的与您接受服务有关的信息”。

  上述信息收集条款因违反《网络安全法》第41条和《电子商务法(草案)》第46条所明确规定的“必要性原则”受到批评。“必要性”即“必不可少”之意,它意味着服务商所收集的数据应当为服务提供所必需或相适应,收集的范围和数量应当与用户使用该服务的目的相匹配或成比例。在我国的《信息安全技术公共及商用服务信息系统个人信息保护指南》中,这一“必要性原则”被更精确地称为“最小够用原则”——只处理与处理目有关的最少信息。以此反观上述第4.2条,法网显然过于“周严”,更将信息主体扩张到“关联方”,不但违反了合同在签署双方之间有效的“合同相对性原则”,更与“最少信息”相反,边界直到所有与服务“相关”却不一定“必要”的“最多信息”。

  迫于外界压力和业务合规的要求,7月3日,新一版的《花呗用户服务合同》火速出炉。在这一版中,上述巨细靡遗的条款几乎被删除殆尽,关联方的要求自然也不复存在,修改后的条款谨守“必要性原则”,将信息收集限定在“与服务相关的必要信息”上。尽管这次修改看起来诚意十足,可仍留有后门——其4.1.6条规定:“其他合法留存您信息的自然人、法人以及其他组织收集与本服务相关的必要信息。”在现有的法律框架下,用户对服务商调取在他方存储个人信息的概括授权,可能带来两方面的风险:一是可能违反他方就信息使用的“必要性”原则,毕竟花呗服务的“必要性”并非他方服务或管理的“必要性”;二是在服务商间接收集,而非用户直接提供的场合,用户不可能预知哪些信息会被收集(违反“透明性原则”),也无法评估收集的后果,从而难以在知情的基础上同意(违反“实质同意原则”)。

  总之,较诸6月30日版,7月3日版的《花呗用户服务合同》已算浪子回头,但仍留下未了的法律难题——对于运营商来说,怎样做才对呢?其背后的制度症结究竟在哪?

  个人信息VS.数据

  无论是个人信息,还是数据,都是网络时代带给法律制度的新挑战。作为回应,将于今年10月1日实施的《民法总则》第111条和第127条,分别规定了“个人信息”和“数据”。然而,对于“个人信息”和“数据”的法律定位、制度设计和保护方式,立法者均未形成共识,因而上述条款仅仅具有权利保障的宣示性质——对于个人信息,不得“非法”收集、使用、加工、传输、买卖、提供或者公开;对于数据,法律予以保护。但究竟何为“非法”?如何“保护”?均语焉不详。这一立法模糊造成的问题有三:

  首先,将个人信息保护的重任交由分散的法律法规,在当前中央网信办、工信部、公安部等不同部委交叉共管的局势下,不可避免地出现法律的矛盾。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对《网络安全法》中“个人信息”范围的扩大解释便是一例。

  其次,数据的保护方式难以明确,徒增诉讼成本。例如,2016年末“新浪微博诉脉脉反不正当竞争案”,只能大费周章地援引《反不正当竞争法》的一般条款,来保护新浪微博的海量数据;同时,还会引发企业之间本可避免的数据战争。例如,由于数据权利不明,顺丰和菜鸟因关闭数据接口引发的纠纷,通过常规的市场谈判几乎无解,结果不得不依靠行政力量达成和解。

  最后,个人信息权利和数据权利的冲突难以协调。前者是信息社会中新型人格权,在“永远在线”和“万物互联”的今天,其对个人的意义日益凸显;后者是数字经济中的新型财产权,作为21世纪的核心生产资料,数据的挖掘、利用和流动是支撑互联网企业的坚固基石。然而,正如“个人信息”(personal information)在很多国家也被称为“个人数据”(personal data)一样,个人信息权利和企业数据权利不可避免地彼此联结,可又相互冲突。因而,问题的关键并不是“东风压倒西风”,还是“西风压倒东风”,而是如何在具体的场景下,妥善划定各自的边界和责任——要知道小有小的难处,大也有大的难处,而这正是《花呗用户服务合同》风波背后的法律纠结。

  一般信息VS.信用信息

  与一般的网络服务不同,花呗运营商提供的消费信贷服务,因此其所收集的信息,是能够反映用户信用状况,判断其信用度及信用能力的个人信息,即“信用信息”。亦与一般信息不同,对于信用数据,用户更愿意“有选择的披露”,而非一概不披露。这里的道理浅显易懂。为了获得信贷,用户必须让运营商充分了解、乃至信任自己,因此他们会竭尽所能地展现自己好的一面,而隐瞒不好的一面。正如美国法学家波斯纳所尖锐指出的,这种“隐瞒”其实就是欺诈,因为他们的隐瞒行为,在微观上将增加调查、核实的交易成本,在宏观上还可能因信息不对称造成道德风险和逆向选择,从而社会投资不足。正是出于这一考虑,在美国,个人信用信息的采集无需征得信息主体的同意。美国学者F. H. Gate对此十分赞赏:“我们的征信体系之所以能够运作,最重要的原因是信息的采集不需征得消费者事先同意,只有这样,才能掌握他们的真正的信用历史,如果我们必须事先征得每一位消费者的同意,那么整个制度就会垮掉。”

  美国并非孤例,我国《征信业管理条例》亦规定,对于信用信息,信息主体的同意为原则,法律、法规规定公开为例外。不过,应当公开的信用信息一般系负面不良信息,并不包括收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息等“正面信息”。然而,在互联网的环境中,这种对信用信息的限制已不合时宜。事实上,通过大数据、云计算和人工智能技术的运用,一个全面的信息库,可以更妥善地管理信贷业务,更加鼓励负责任的借贷行为。正因如此,2011年4月1日,香港修订了《个人信贷资料实务守则》,将个人信息的收录拓展到相关正面信息。

  在本文的结尾,让我们从制度的逻辑出发,再次回到7月3日版的《花呗用户服务合同》。面对遗留下的法律难题,非常好的解决之道就是在将收集范围严格限定在信用信息(敏感信息除外)的基础上,不再将用户同意作为唯一前提,而依据《征信业管理条例》的规定,在特定情形下依法公开必要信息,从而不但遵守了“合法、正当、必要”的收集原则,还实现了个人信息权利和企业数据权利的动态平衡。而要做的这一点,就要完善《征信机构管理办法》,培育和发展个人征信市场,使得运营商从他方轻松获得信用信息,而无庸自行费力收集,其法律难题自然消于无形。

  (作者系中国人民大学金融科技与互联网安全研究中心副主任、法学博士,本文仅代表作者本人观点)

0
相关文章