陷入年度账单风波的支付宝做错了什么?
来源:FT中文网
许可:支付宝年度账单事件中,“默示勾选”——这一被互联网行业采取的一种普遍做法并不正当,因为它不当利用了人的“不理性”。
如果说2016年徐玉玉的死让公众对个人信息泄露的危害猛然警醒,那么2018年初的“支付宝年度账单事件”则标志着一个新时代的来临。这里的“新”不只意味着这是数字经济勃兴而至盛大的时代,更意味着这是一个主要矛盾发生重大变革的时代,一个从“人民日益增长的个人信息安全需要与落后保护水平的矛盾”,转向“人民日益增长的个人信息权利需求与不平衡不充分保护的矛盾”的时代。尽管这个新时代当下仅仅初露端倪,但它必将给数字化生存的我们带来深远影响。
支付宝、芝麻信用究竟做错了什么?
正如芝麻信用在官方微博所承认的那样,这件事肯定做错了,而且愚蠢至极。但问题是:他们究竟做错了什么?
在约谈支付宝、芝麻信用相关负责人后,网信办网络安全协调局最终认定:“支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺;应严格按照网络安全法的要求,加强对支付宝平台的全面排查,进行专项整顿,切实采取有效措施,防止类似事件再次发生。”
这段措辞严谨的结论释放出明暗两大信号:在明的一面,支付宝、芝麻信用有悖于《个人信息安全规范》国家标准和《个人信息保护倡议》;但在暗的一面,监管机构并未认定支付宝、芝麻信用违反了《网络安全法》《消费者权益保护法》等法律。这样的区隔并非无因。事实上,不论是《芝麻服务协议》的条款内容,还是其设置方式都没有违法。即便是饱受诟病的默认勾选方式,也很难说侵犯了用户的知情权和选择权,因为其不但标明:“为了供您了解您这一年以来的信用成就,您同意下面的《芝麻服务协议》,并允许支付宝查询您的芝麻分及信用履约记录等信息,为您将其展示在年度账单中。如果您已经是芝麻信用用户,您无需重复签订《芝麻服务协议》”,而且用户仍然可以通过点击操作取消勾选。
但是,不违反拥有国家强制力的“硬法”(hard law),并不意味着不会违反具有自我规制性质的“软法”(soft law)。正如不久前携程捆绑销售引发的风波那样,默示勾选的关键不在于是否披露或如何披露信息,而在于它事先预设了“用户同意”的框架,从而实质上限制了消费者的自由。2017年诺贝尔经济学奖获得者理查德•塞勒和法学家桑斯坦在《助推》一书告诉我们,由于“既来之,则安之”或被戏称为四字魔咒的“来都来了”的态度,人们会不自觉地陷入一种“现状偏见”;所谓“默认选项”有着强大的助推功能,它能够吸引更多的眼球,并成为人们的最终选择结果。所以,“默示勾选”——这一互联网行业为追求便利性和用户体验所采取的一种普遍做法并不正当,因为它不当利用了人的“不理性”。为了填补法律的漏洞,中央网信办、工信部、公安部、国家标准委在网络产品、服务隐私条款评审中,特别要求必须存在用户的书面声明或主动做出点击“同意”、“下一步”、“注册”、“发送”、“拨打”的肯定性动作,才能对其个人信息进行特定处理,该要求被近日发布的《个人信息安全规范》第3.6条“明示同意”所确认。不过,由于该规范到2018年5月1日才正式生效,中央网信办只是认定违反了《个人信息安全规范》的精神,而非直接违规。同时,蚂蚁金服、腾讯、新浪、京东等10家企业于2017年9月签署的《个人信息保护倡议书》亦声明,不使用“一揽子协议”的方式强迫用户打包授权收集个人信息。显而易见,支付宝年度账单不仅不符“明示同意”的规定,而且将“同意《芝麻服务协议》”“同意支付宝向芝麻信用调取数据”和“同意生成支付宝年度账单”相捆绑,也违反了《个人信息保护倡议书》的承诺。
蚂蚁金服
“花呗”服务协议惹风波,信息收集是否越界?
许可:个人信息权利和企业数据权利彼此联结又相互冲突。问题关键是如何在具体的场景下,妥善划定各自边界和责任。
个人信息保护的新矛盾
个人信息的“非法泄露”以及由此导致的电信诈骗、侵犯隐私、损害名誉等恶行,一直是公众对个人信息的最大担忧。据不完全统计,国内个人信息泄露数达55.3亿条左右,平均每人就有四条相关的个人信息泄露。中国青年政治学院互联网法研究中心与封面智库于2016年11月发布的《中国个人信息安全和隐私保护报告》充分证实这一点。在 104 万 8575 份调查问卷中,认为个人信息泄露问题“严重”或“非常严重”的比例高达72%。在徐玉玉案件的压力下,个人信息保护的重心始终放在如何治理黑色产业源头上,2017年5月,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》发布,便是对这一关切的有力回应。
世变时移,个人信息泄露与保密之间的矛盾还没有解决,新的矛盾又开始出现。2017年5月1日生效的《网络安全法》在传统侵权责任法的消极安全保障之外,另外赋予用户删除权、更正权的积极权利,并将“用户同意”纳入个人信息收集、使用的前提。对个人信息主动性权利的增长改变了政府的监管方向和公众的期待。2017年7月,中央网信办、工信部、公安部、国家标准委联合启动“个人信息保护提升行动”,对阿里巴巴、腾讯、新浪等国内领先的网络公司展开调查,重点则放在隐私条款的内容、展示形态、征得用户同意等三个方面。媒体亦把握到了这一新动向。在2017年末南方都市报发布的《2017个人信息保护年度报告》,就测评了10多个行业、1550个网站和APP,隐私协议不透明和APP过度获取用户信息成为首当其冲的问题。
如果说之前是“个人信息安全需要与落后保护水平”的矛盾,那么如今已转变为“日益增长的个人信息权利需求与不平衡不充分的保护”的矛盾。
“不平衡”主要体现为不同主体之间对个人信息保护的不平衡。据统计,截至2017年12月20日,全国公安机关2017年累计侦破侵犯公民个人信息案件4911起,涉案公司164家,其中,房地产公司、金融商贸类公司等线下行业达半数以上,线上行业中则以互联网金融企业为多。《2017个人信息保护年度报告》亦显示,隐私政策的透明度分布呈陡峭的金字塔型,即超过总数80%的得分很低,少数透明度高的产品往往为大型互联网企业所运营。此外,党政机关和教育、卫生、人社等事业单位个人信息安全防护缺位,也是公民个人信息泄露的重要原因之一。事实上,随着公众个人信息保护意识的提升,越来越多的网络企业已经越发将个人信息保护作为核心竞争优势,与之相反,游离于激烈的线上市场竞争之外的信息持有者,只追求短期利益、不考虑长远发展的互联网企业以及丝毫不顾及用户的数据黑产,才是个人信息的最大威胁。
“不充分”则表现为个人信息保护未能贯穿其生命周期的始终。所谓“个人信息生命周期”,即个人信息被收集、存储、利用、传输/分发/共享、删除的全周期。在实践中,信息持有者将大部分精力放在收集的合法性、必要性、准确性,存储的安全性以及利用的有效性上,而多少忽视了个人信息在传输/分发/共享和删除方面的正当性。在支付宝年度账单事件中,支付宝和芝麻信用的关联关系以及数据在两者中的共享问题,芝麻信用将其数据向第三方合作机构提供的流动问题,以及芝麻信用在服务终止后仍可继续保留用户信息的问题,都反映出公众对安全以外的新诉求。
从深层次观察,个人信息保护不平衡、不充分的背后,是现行个人信息保护法律的不平衡、不充分。《全国人大常委会关于加强网络信息保护的决定》《民法总则》对个人信息保护的规定过于宽泛,而只具有权利宣示的意义;《网络安全法》固然将个人信息保护单列一章,但受限于立法目,保护范围狭窄;而《个人信息安全规范》则因法律层级过低,难以完全发挥作用。因此,我们亟待汲取既有经验,反思过往教训,重塑我国个人信息保护制度。
个人信息保护法的形与实
新的时代需要新的规则。依循我国成文法传统,个人信息保护的新规则必然依托于一部体系完整的专门性法律。在2017年两会期间,吴晓灵、周学东等全国人大代表提出议案,呼吁尽快制定《个人信息保护法》。2017年12月24日,全国人大常委会副委员长王胜俊在关于检查《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》实施情况的报告中表示,当前用户个人信息保护工作形势严峻,建议加快个人信息保护法立法进程,进一步加大对个人信息保护力度。学界的努力也从未停止,分别由中国人民大学张新宝教授和中国社会科学院周汉华研究员领衔起草的两部《个人信息保护法》(专家建议稿)业已出炉。
不过,法律只是规则的形式,制度变迁的实质是从众多观念中择取少数进而将其固化为制度的过程。恰如经济学家凯恩斯所言:“经济学家以及政治学家之思想,其力量之大,往往出乎常人意料。事实上统治世界者,就只是这些思想而已。许多实行家自以为不受任何学理之影响,却往往当了某个已故经济学家之奴隶。”正因如此,个人信息保护观念的革新可能比其法律制定更为重要。
让我们先来看上述新矛盾中用户的一面。支付宝年度账单事件凸显出个人信息保护意识的勃兴。这种勃兴一方面根植于这个“隐私不保”的网络时代,另一方面则因为作为极易让人产生恐惧感的词语,“隐私”触动了公众敏感的神经。但个人信息并非隐私。个人信息为直接或间接识别个人身份的各种信息,如姓名、出生日期、身份证号等等,它是客观的和中性的。隐私则指个人生活最隐秘、直接涉及个人人格尊严与自由的部分,如健康生理信息、生物识别信息、性生活信息等敏感信息。它是主观的和负面的,因为一旦侵入,就会给人带来精神损害。概括地说,隐私相关信息属于个人信息范畴,而个人信息不一定都是隐私。个人信息和隐私的区分,不但被《民法总则》所认可,也成为《个人信息安全规范》中“敏感信息”和“非敏感信息”的理论依据。
事实上,人们并不太在意隐私以外的个人信息。北京尚普信息咨询公司的调查显示,在北京街头拦截调查中,价值15元的礼品就足以吸引行人停下脚步,填完2张A4纸的选择题,附带获取他们的姓名、联系方式、职业及年收入区间。而当礼品价值提升至50元左右时,行人甚至愿意跟随调查者到一个固定地点,花更长的时间来泄露自己更多的信息。无独有偶,2014年3月,德国学者尼古拉•严奇做了一个实验,让443名学生到网站上购买两家影院提供的电影票,在票价一致的情况下,其中一家声称需获取用户的电子邮箱以发送广告,于是另一家获得了62%的销售额,但当后者提升票价后,前者立马获得87%的销售额,即使它依旧发送广告。要知道,后者提价只不过区区50欧分。
人们对隐私以外个人信息的态度在另一个侧面体现出个人信息及其权利的性质。与隐私不同,作为身份、形象、信用的标志,个人信息的主要使用者并非“个人”,而是与之联系的其他利益相关者。我们每一个人在社会交往、市场交易和政治参与中,都必须提供个人的姓名、性别、爱好、性格等零零总总的个人信息,除非我们把自己变成一个“装在套子里的人”。因此,有异于隐私权从个体出发为个体提供单一向度的权利保护,个人信息需要从保护和利用两个角度兼得的视角加以考量,以平衡个人和社会、企业、国家之间的利益。有鉴于此,我国《民法总则》第111条并没有赋予个人对个人信息的绝对控制权,而只有他人采取“违反法律”的手段“收集、使用、加工、传输”时,才予以保护。
而支付宝年度账单事件中,大家对个人信息权利也有所误读。例如,不论是《芝麻服务协议》中对用户和第三方关系尚未终止的情形下,用户不能撤销对相关第三方信息查询授权的规定,还是在第三方拒绝服务时的免责条款,都是基于第三方是贷款机构的考虑,从而在用户权益与机构利益之间的平衡处理。服务终止后的信息留存更是出于公共利益的要求,其不仅与《网络安全法》第21条第3款对网络日志留存不少于六个月的规定相吻合,还和《征信业管理条例》对个人不良信息应保存5年的要求一致。
最后,让我们再来看上述一对矛盾中企业的一面。毋庸讳言,个人信息保护“不平衡、不充分”,企业难辞其咎。可要解决“不平衡”问题,就不能依赖于个别企业单打独斗,而应凝聚领先企业的技术能力、主管部门治理网络工作、行业协会的自治监管等不同力量,建立个人信息安全共同体,通过协作共治、疏堵结合,在压缩黑色产业生存空间的同时,提升整个行业的个人信息保护水平。而要解决“不充分”问题,企业就必须深刻认识到用户对个人信息安全需求的转变,将个人信息安全和隐私保护作为企业的立身和发展之本。事实上,在以用户注意力为主要目标的互联网产业中,能否以及如何获得用户信任至关重要。正如美国网络法权威学者吴修铭(Tim Wu)所言:“一旦你失去了对Google的信任,那就它的末日。”只有那些对用户秉持“信义义务”(fiduciary duty),即优先保护用户利益,之后实现自身价值的企业,才能赢到最后。为此,企业不应将企业发展和个人信息保护相对立,而应化被动为主动,引入并践行“数据治理”(data governance)和“经规划的隐私”(Privacy by Design)的观念。
“数据治理”要求企业在组织、流程、科技三个层面建立个人信息保护的战略、标准、评估、交流和突发事件管理机制,通过数据质量和安全管理,实现战略一致、风险可控、运营合规和价值实现的治理目标。在治理过程中,个人信息保护的主管部门和企业业务部门应各司其职,并建立制度化沟通协调机制。主管部门需要根据企业的实际情况建立数据治理战略,同时根据业务部门的反馈和意见共同制定数据策略,并通过监督活动,了解数据管理的控制和过程是否满足数据策略和战略的需要。“经规划的隐私”则要求将个人信息保护主动地嵌入数据开发与挖掘技术、商业操作、网络架构中,贯穿于产品和服务的整个生命周期,从最初的设计到产品和服务的实施、运用直至最后终止。为弥补当前重视收集和存储,忽视传输/分发/共享和删除的不足,企业有必要分别引入“个人信息安全影响评估”和“到期日”设计。
其中,“个人信息安全影响评估”或称“隐私影响评估”(Privacy impact assessment),是众多国家个人信息保护监管机构所共同推行的重要制度,意指通过检验个人信息传输/分发/共享对个人信息主体合法权益造成损害的各种风险,评估用于保护个人信息主体的各项措施有效性。《个人信息安全规范》第8.3条a)款特别规定,在“个人信息共享、转让”前,必须开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施。
最早洞见大数据发展趋势的维克托•迈尔•舍恩伯格在《删除》一书详细描述了“到期日”设计。由于“任何一位拥有资料库的人,都会希望得到消费者数据运用的次数愈多愈好。毕竟与可能的收入相比,后续的成本增加实在是微不足道”,个人信息一旦被存储于政府或企业的数据库中就几乎难以被删除。而“到期日”设计就是通过技术手段来强制性设定留存期限,这与个人信息的目的限定原则相一致,这是由于如果是因某特殊原因而需要将个人信息委托给他人,在目的实现之后,不再有允许使用该个人信息的条件,自然就该删除。到期日的设定并非整齐划一,相反,它应当根据个人信息的内容和目的而做灵活安排,它甚至允许随着时间的流逝,个人信息不断“分解”或“锈蚀”。例如,对于百度上的搜索行为信息,可借鉴谷歌的声明,将到期日设定在服务终止或授权结束后9个月;而对于借款违约信息等不良信息,应延长保存时间,以保护潜在的交易方免受损失。因为正如法学家波斯纳所言,人们总想隐藏有关自己的事实来误导他人。当然,为了给人自新的机会,保存时间不宜过长,《征信业管理条例》规定的5年时间是合适的选择。
支付宝年度账单事件已经结束,但对它的反思才刚刚开始。在数字经济的浪潮中,个人信息以及与之相关的数据是直接的财富和社会资源,借助大数据、人工智能、云计算等新技术的应用,它已成为知识、经济和国家治理的创新之源。我们要理性看待个人信息利益的所得与所失,拥抱个人信息保护与利用多赢的新思维,从用户、企业、国家多维度重塑我国个人信息保护制度,最终回应这个以“日益增长的个人信息权利需求与不平衡不充分保护的矛盾”为特色的新时代。
(本文仅代表作者本人观点,作者系法学博士、中国人民大学金融科技与互联网安全研究中心副主任)
