从支付宝年度账单查询事件看公民个人信息的保护
文 | 魏景峰
新年后的第二个工作日,朋友圈被支付宝推出的个性化年度账单刷屏。
点击支付宝里面的“2017年账单来啦”可查询的内容包括2017年网购支出以及与上一年支出的比较、为他人手机充值的次数出行次数、线下支付的次数(包括最常光顾的具体地点)、获得奖励金的次数、全年总消费额以及用户所在地区的消费排名等等。
最后,还有对2018年的预测等,包括能干、远方、自由、温暖、柔软、颜值正义、当家、爱、才华、小确幸、值得、潮、品味、范、坚持、快乐、懂得、纯真、成就、旺等。
虽然支付宝官方没有公布如何得出的预测,但笔者认为无非是根据2017年用户的信息进行综合分析得知。
当大家抱着娱乐的心态纷纷晒出自己的清单和预测时,殊不知我们的大量信息已经被支付宝所收集。
如果仅仅是因为上述内容,也不会引起大家的关注。支付宝年度账单首页的“我同意《芝麻服务协议》”,不但字特别小,而且已经帮您选择好“同意”了。
紧接着该细节被发现后遭到了质疑,随后芝麻信用在官方微博做出了道歉,承认该做法“愚蠢至极”,而支付宝官微也作出了回应“我也不知道该说什么,一起承担吧”。支付宝最初将默认的“同意”改成了选填项,之后支付宝干脆将该选项去掉。现在的用户如果再查询账单的话,将不会显示与芝麻信用有关的内容。
这个芝麻信用是做什么的呢?
根据澎湃新闻的内容显示,芝麻信用是蚂蚁金服旗下独立的第三方信用服务机构,2015年1月,成为央行首批允许开展个人征信业务准备工作的8家机构之一。
所谓“芝麻分”,是蚂蚁金融服务集团旗下子公司芝麻信用推出的个人征信产品,是由个人用户信息进行加工、整理、计算后得出的信用评分,包含了信用历史、行为偏好、履约能力、身份特质、人脉关系五个维度,分数范围在350到950,越高代表信用水平越好。通过信用分值可以得出用户在账单中的免押金记录。
通过分析芝麻服务协议内容,其包括六个特征:
1、使用服务就等于接受协议;
2、根据协议,他们可以直接向第三方提供您的相关信息;
3、根据协议,可以将您的全部信息进行分析并推送给合作机构,还有,有权不支持您撤销第三方的信息查询授权;
4、哪怕是服务终止后,他们仍然可继续保留您的信息和数据;
5、当然,他们是免责的。当提供给第三方信息产生不良后果时,也是一样不用担责;
6、不用找您反复确认,产生的风险,也由您承担。
看到这里大家肯定会大吃一惊,发现自己已经掉到了坑里!
是的,如果您没有发现那行已经默认同意的小字,您就已经和芝麻信用签订了上述协议,上述协议的风险您也将跟着一起承担。很显然,您已经掉进了事先挖好的一个大坑里!
虽然,芝麻信用在官方微博中进行了说明:“如果你之前并没有开通芝麻信用,那么这次不管是被默认勾选还是主动同意,都不会因此而成为芝麻信用的用户,所以也就不存在芝麻信用因此会收集相关信息的可能。”根据说明可以反推,对于已经开通的用户来说,用户的相关信息就会被收集。
不可否认,无论是支付宝还是芝麻信用对处理该事的态度是积极诚恳的,而且迅速作出了回应。然而,通过该事件暴露出来的公民个人信息安全问题却是不容忽视的。
我们现在处在信息爆炸的时代,也是处在一个大数据的时代,我们的各种信息通过各种途径被收集,而这些信息被一些公司或者个人所掌握。而且我们的信息还面临着被低价出卖的风险,诸如我们会经常接到各种商家的电话,甚至我们的手机会受到敲诈勒索的短信,对方能够清楚知道你的姓名、工作单位甚至家庭住址。
我们很困惑,因为我们经常因各种需要填写一些个人信息,我们不知道到底是谁出卖了我们的信息。举国瞩目的徐玉玉被电信诈骗案,正是犯罪嫌疑人杜某利用网络信息技术攻击“山东省2016高考网上报名信息系统”,并植入木马病毒。
陈某从杜某手中以每条0.5元的价格购买了1800条高中毕业生资料,随后陈某雇郑某、黄某等人拨打诈骗电话。徐玉玉汇款后,陈某操控郑某等人取走赃款。徐玉玉得知被骗后伤心欲绝,导致突然晕厥,虽经医院全力抢救,但仍没能挽回她18岁的生命。
无独有偶,山东省临沂市临沭县的大二学生宋振宁,接到一个来自山东济南的陌生电话,对方声称自己是公安局人员,通知宋振宁,他的银行卡号被人透支了六万多元。随后,宋振宁按对方指示,将大量现金存入指定的银行卡。得知被骗后,宋振宁心情一直低落。不久的一天凌晨,宋振宁的家属发现他心脏骤停,不幸离世。两条花季般年轻的生命因此消失。
两条花季般年轻的生命因此消失。互联网暴露的网络安全、个人信息保护问题受到前所未有的关注。
我国法律并非对上述侵权行为没有规定。
根据《互联网交易管理办法》的规定,经营者应当采用显著的方式提请消费者注意与消费者有重大利害关系的条款。同时对于信息收集、该规定要求经营者需要明确收集、使用信息的目的、方式和范围,并经被收集者同意。支付宝和芝麻信用的上述做法显然没有按照上述规定进行,因此违法了上述法律的规定。
此外,为保护公民个人信息,2017年6月1日起实施的网络安全法规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。”“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
与此同时,我国刑法也对加大了对侵犯公民个人信息犯罪的处罚力度。2015年11月1日生效的《刑法修正案九》将原罪名“非法获取公民个人信息罪”、“出售、非法提供公民信息罪”整合为“侵犯公民个人信息罪”,不仅扩大了犯罪主体的范围,将任何单位和个人违反国家规定,获取、出售、提供公民个人信息,情节严重的,构成本罪,而且加重了法定刑。
此外,2017年6月1日生效的《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》更加明确了公民个人信息的范围、非法获取、提供、出售公民个人信息的认定标准以及定罪量刑情况。
随着大数据、云计算等科学技术的迅猛发展,人们的生活确实更加便利了很多,然而带来的公民个人信息安全问题也摆在了突出的问题。为营造良好的网络法治环境,对于触犯相关法律规定的网络主体,行政执法机关和司法机关都应高举法律之利器,还被害人以正义。此外,为确保个人信息安全,广大用户在填写个人信息或者从事相关网络活动时,也要擦亮自己的双眼,拒绝“被同意”。