登录×
电子邮件/用户名
密码
记住我
蚂蚁金服

“花呗”服务协议惹风波,信息收集是否越界?

许可:个人信息权利和企业数据权利彼此联结又相互冲突。问题关键是如何在具体的场景下,妥善划定各自边界和责任。

6月30日,蚂蚁金服旗下用于淘宝、天猫的信用消费信贷产品——“花呗”的服务协议引发了轩然大波。对于实际阅读比例不足5%的网络用户服务协议而言,这一事件堪称异事,不免让人“奇闻”共欣赏,“疑义”相与析。

《花呗用户服务合同》:6月30日版VS. 7月3日版

触动大众神经的是《花呗用户服务合同》中有关用户信息收集的条款。根据第4.2条的约定,花呗用户的如下信息均在服务商的掌握之下:(1)所有身份信息;(2)访问服务商网站及服务商关联公司网站、移动客户端时提供或形成的任何数据和信息;(3)所有财产信息,如店铺/企业经营状况、财税信息、房产信息、车辆信息、基金、保险、股票、信托、债券等投资理财信息和负债信息等;(4)在政府机构、行业自律组织留存的任何信息,如户籍信息、企业工商信息、诉讼信息、执行信息和违法犯罪信息等;(5)信用信息,如征信记录和信用报告;(6)社保和公积金信息、通讯号码和费用信息以及往来通讯号码、通话时长等通话详单信息;(7)银行信息,如开卡银行、银行卡号、额度、还款情况等基本信息,刷卡时间、地点、金额等用卡信息。此外,这还不是用户一个人在战斗,用户的“关联方”同样也要提供他/她在服务商及其关联公司、合作伙伴、阿里巴巴集团旗下公司处留存以及形成的任何数据和信息。如果这些都不足以让你胆战心惊的话,那么还有一条兜底条款——“其他通过合法途径取得的与您接受服务有关的信息”。

上述信息收集条款因违反《网络安全法》第41条和《电子商务法(草案)》第46条所明确规定的“必要性原则”受到批评。“必要性”即“必不可少”之意,它意味着服务商所收集的数据应当为服务提供所必需或相适应,收集的范围和数量应当与用户使用该服务的目的相匹配或成比例。在我国的《信息安全技术公共及商用服务信息系统个人信息保护指南》中,这一“必要性原则”被更精确地称为“最小够用原则”——只处理与处理目有关的最少信息。以此反观上述第4.2条,法网显然过于“周严”,更将信息主体扩张到“关联方”,不但违反了合同在签署双方之间有效的“合同相对性原则”,更与“最少信息”相反,边界直到所有与服务“相关”却不一定“必要”的“最多信息”。

迫于外界压力和业务合规的要求,7月3日,新一版的《花呗用户服务合同》火速出炉。在这一版中,上述巨细靡遗的条款几乎被删除殆尽,关联方的要求自然也不复存在,修改后的条款谨守“必要性原则”,将信息收集限定在“与服务相关的必要信息”上。尽管这次修改看起来诚意十足,可仍留有后门——其4.1.6条规定:“其他合法留存您信息的自然人、法人以及其他组织收集与本服务相关的必要信息。”在现有的法律框架下,用户对服务商调取在他方存储个人信息的概括授权,可能带来两方面的风险:一是可能违反他方就信息使用的“必要性”原则,毕竟花呗服务的“必要性”并非他方服务或管理的“必要性”;二是在服务商间接收集,而非用户直接提供的场合,用户不可能预知哪些信息会被收集(违反“透明性原则”),也无法评估收集的后果,从而难以在知情的基础上同意(违反“实质同意原则”)。

读者评论

FT中文网欢迎读者发表评论,部分评论会被选进《读者有话说》栏目。我们保留编辑与出版的权利。
用户名
密码

相关文章

相关话题

FT中文网客户端
点击或扫描下载
FT中文网微信
扫描关注
FT中文网全球财经精粹,中英对照
设置字号×
最小
较小
默认
较大
最大
分享×