正文
具体而言,用户使用花呗的时候,需要向服务商提供姓名、身份证号、联系电话、联系地址;花呗则要求得到用户授权,向关联公司、合作伙伴、部分政府机构、司法机构、公共事业单位(如公积金管理中心、中国互联网金融协会等机构)采集与本服务相关的必要信息,比如工商注册信息、诉讼信息、社保信息等。
对此,美国三大征信机构之一的益博睿(Experian)的一位人士表示,
“以花呗的授权书来看,存在多种界定不清晰的地方,例如授权的时效、用途的具体定义、转授权的有效性等。”这位人士说,很期待看到国内司法实践中对“花呗”这样的授权书如何界定。
面对这一事件,蚂蚁金服近日公开回应,相关部门出于未来风控安全或优化服务的需要,自行扩大了可能采集的信息范围,没想到引发了争议。
蚂蚁金服表示,该公司非常重视个人信息保护,不滥用信息是基本原则。在操作上,严格遵循”个人同意“原则,在先行公开告知后,获得用户授权后才能采集,在处理中,由程序对这些信息分类、脱敏后才能使用。目前已经对相关争议合同条款进行了优化。
明示收集信息之后
花呗披露相关信息是为了符合《网络安全法》和相关司法解释的要求。
6月1日,《网络安全法》和最高人民法院、最高人民检察院首次就《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称“两高”司法解释)同日正式实施,首次对侵犯公民个人信息的行为和适用法律进行了进一步的明晰,加强了对网络运营商在收集和使用个人信息之前需获得其客户同意的要求,包括要求明确披露信息用途、适用范围、时效等,并采取措施确保个人信息的安全。
“两高”司法解释还首次明确了“公民个人信息”的范围,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
另外,《网络安全法》要求网络运营者不得收集与其提供的服务无关的个人信息。
关于网络运营者应如何收集、使用个人信息,《网络安全法》已经给出明确的原则性指示。该法律要求网络运营者要公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
我国首个个人信息保护的国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》(下称指南),对于如何收集、使用个人信息等提出详细的要求,业内反映,国内许多机构包括黑客和互联网机构的风控都是参照该《指南》制定与用户的协议。
“明示至少比偷偷摸摸地搜集信息好,以前都是笼统的用户授权协议,这次说明向行业治理迈出第一步。”业内人士表示。
超范围搜集信息
有资深律师认为,花呗的合同存在涉嫌违反网络安全法的地方,也即关于“不得收集与其提供的服务无关的个人信息”。
业内将处置个人信息的行为分为收集、加工、转移和删除。花呗的合同里明示了信息收集的内容方式,也指出了信息使用、分享的方式,但是网友认为其收集范围太大令人“咋舌”,质疑超出必要范围并且有安全隐患。根据《网络安全法》的要求,网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定,收集、使用、处理、保存其个人信息。
在业内看来,“花呗”作为蚂蚁金服旗下的一款消费贷款产品,其《产品合同》所列举的搜集信息的范围已远远超过贷款范围。前述资深律师认为,花呗在这里的规定实际上使用了“概括授权”的方式,即要求用户一次性授权服务商可以帮用户做一堆事儿。但实际上,用户的主观意识往往想不到这么多情况,却稀里糊涂地授权了。
