|
|---|
|
|
|
|
|
|
m******r
发帖数: 6963 | 1 2018年01月04日 10:46 来源于 财新网
大数据公司需要重新审视操作的过程、公司的内部法务必须重新审阅商业模式和流程;
从商业的角度来说,虽然会大幅增加成本、降低效率,但网络安全环境的建立和维护势
在必行
【财新网】(记者 张宇哲 王琼慧)新年初始的第二个工作日,微信朋友圈刷屏最多的
是支付宝推出的用户个性化年度账单。一如支付宝以往的风格,这看上去原本是一个很
有创意很温馨的商业营销,不少人乐此不疲,未料涉及收集用户信息的用户授权协议漏
洞引发争议。
1月3日下午,北京市岳成律师事务所高级合伙人岳屾山律师首先在微博发文质疑,
支付宝年度账单首页的“我同意《芝麻服务协议》”,“不但字特别小,而且已经帮你
选择好‘同意’了。”
随着这一热点迅速发酵,亦引起监管关注。财新记者获悉,当日下午央行支付司亦
要求支付宝对此纠正并致歉。
就在芝麻信用和支付宝道歉之后,仍有用户发现新的问题。例如,当用户向芝麻信
用客服提问“如何关闭芝麻信用”时,在跳出页面上选择“B仍要关闭”之后,竟然要
求“上传身份证正反面和手机号码”,也就是说在收集相关个人信息后,才可关闭芝麻
信用。又是一个隐藏的套路……
接近央行征信局人士告诉财新记者,对于芝麻信用的这次营销活动,亦正密切关注。
二度刷屏
岳屾山在前述博文中称,这个账单的查看和《芝麻服务协议》没有关联性,所以当
用户选择“取消”同意,依然能够看到年度账单。“但如果你没注意到,就会直接同意
这个协议,允许支付宝收集你的信息包括在第三方保存的信息。”
岳屾山进一步解释称,根据《互联网交易管理办法》的规定,经营者应当采用显著
的方式提请消费者注意与消费者有重大利害关系的条款。同时对于信息收集,该规定要
求经营者需要明示收集、使用信息的目的、方式和范围,并经被收集者同意。而“芝麻
”这个根本不给你了解条款的机会,直接让你默认同意,稍不注意就进坑了。
“根据《消费者权益保护法》,消费者有选择权,而不是商家替消费者选择。或许
‘芝麻’会说,你可以选择不同意,可是“芝麻”你偷偷摸摸的帮我选好了“同意”,
还那么小的字,稍不留神就漏掉了,唬谁呢?”
他的质疑很快引起支付宝用户的响应,岳屾山的前述微博文章亦很快成为微信圈的
第二波刷屏热文。“这年头,每一次刷屏的背后,满满都是套路。我现在关心的是,怎
么取消刚才没注意就点了的那个‘同意’。”一位网友感慨道。
当晚深夜,芝麻信用管理公司发布“关于支付宝年账单首页《芝麻服务协议》的情
况说明”,向公众致歉,也同时对支付宝的年度账单小组表示歉意,称本来是希望充分
尊重用户的知情权,“初衷没错但用了非常傻逼的方式,愚蠢至极”,已调整页面,取
消默认勾选。“如果用户希望在自己的年度账单中看到信用免押的内容,可以手动勾选
该选项。”
支付宝随后转发该情况说明,并称“我也不知道该说什么,一起承担吧”。对于网
友最关心的如何取消授权,芝麻信用支招称,可以在【支付宝客户端-我的-芝麻信用-
信用管理-授权管理】中找到“支付宝”这个选项,然后取消这个授权。
芝麻信用同时表示,“很多用户担心自己的信息安全和隐私问题,这些问题同样是
芝麻信用的生命线。用户信息的获取、沉淀、使用和分享,都会在严格遵守相关法律法
规的前提下,做到用户知情和同意,做到不过度采集,更绝不会滥用数据。”
信息安全如何守卫
此前不久的2017年6月1日,《网络安全法》和最高人民法院、最高人民检察院首次
就《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称“两高”司
法解释)同日正式实施,借鉴国际经验,首次对侵犯公民个人信息的行为和适用法律进
行了进一步的明晰,均加强了对网络运营商在收集和使用个人信息的规范,包括要求明
确取得用户授权、不能笼统授权、明确披露信息用途、适用范围、时效等,并采取措施
确保个人信息的安全。
事实上,在大数据时代,这种搜集个人信息不规范的情况,在中国的各类APP中仍
都广泛存在。“目前,在中国,个人数据被大规模收集用于销售和交易、且未得到个人
适当同意的情况广泛存在,并且许多个人也可能尚未意识到存在的风险,” KrolL
Discovery 大中华区中国区经理 Han Lai 表示。KrolL Discovery是一家在电子发现、
信息管理与数据恢复领域的全球领先公司。
有法律界人士对财新记者表示,支付宝获取用户授权的方式涉嫌误导,还涉及到用
户的隐私权利和数据商业价值的权属问题,数据是否实际使用,有没有可靠的第三方监
督?这些问题无法回答。此外,一旦误点同意服务协议,用户的救济权利,即同意该数
据的无限使用,并没有任何授权使用年限,而用户也无法终止逆转该授权使用。
对于网络个人信息收集如何获得用户同意的问题,此前上海段和段律师事务所合伙
人刘春泉曾在财新发表专栏文章进行解释。他提出,对于手机应用软件的权限索取要求
,应当借鉴诉讼授权区分重大权利的思路,区分敏感个人信息权限和一般个人信息权限
:即对于一般个人信息,可以通过概括性授权予以同意,也就是通过用户协议点击合同
的方式予以同意;对于敏感类的个人信息,则不能通过概括性授权同意,而应当坚持“
个别告知、逐次告知,特别授权”同意的方式。如何平衡法律合规要求与用户体验,比
较理想的状态是企业在应用设置时应将信息收集设置为用户可以自行选择。“如果用户
选择了要求提供相关服务,却没有选择开通权限,用户调用服务时你需要开通权限,你
再去要求用户开通不迟。”
一位资深律师亦同时表示,类似事件如果发生在美国或中国香港,“就是一个侵犯
消费者个人隐私信息的大案件,是很危险的,很容易被监管机构重罚;而国内互联网企
业对收集个人信息的违规风险都不够重视。”
在Han Lai看来,在新的网络安全法出台后,大数据公司需要重新审视操作的过程
、公司的内部法务必须重新审阅商业模式和流程;从商业的角度来说,虽然会大幅增加
成本、降低效率,但网络安全环境的建立和维护势在必行。“做的越完善也就越有利于
降低今后的成本。现在不实施,以后的运行成本会越来越高。” |
|
|
|
|
|
|
