“支付寶賬單”事件的四個疑問

1月3日,，支付寶公布了一年一度的用戶“個人賬單”,。在賬單首頁，有一行特別小的字——“我同意《芝麻服務(wù)協(xié)議》(下稱《協(xié)議》)”,，并且已經(jīng)提前點選了“同意”,。這份協(xié)議的內(nèi)容,，涉及“你允許芝麻信用收集你的信息，并向第三方提供”,。

這一情況經(jīng)一位律師在微博上披露后,，引發(fā)輿論的廣泛關(guān)注和質(zhì)疑。

1月10日,，國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局約談了支付寶(中國)網(wǎng)絡(luò)技術(shù)有限公司,、芝麻信用管理有限公司的有關(guān)負(fù)責(zé)人。11日,，工信部信息通信管理局再次約談了螞蟻金服集團(tuán)公司(支付寶),，要求企業(yè)本著充分保障用戶知情權(quán)和選擇權(quán)的原則立即進(jìn)行整改。

針對這一事件所涉及的事實和法律問題,，本報記者采訪了相關(guān)專家以及螞蟻金服有關(guān)人士,。

為什么要“默認(rèn)勾選”？

有網(wǎng)友認(rèn)為,，信用服務(wù)機(jī)構(gòu)擁有的個人信息主體越多,，提供的信用產(chǎn)品越有優(yōu)勢，越能吸引更多的需求商,，“芝麻信用用小字默認(rèn)勾選并無法回頭查看的方式,，可能是想得到更多人的授權(quán)?！?/p>

“這次事件引起大家不滿,，主要是因為締約方式?！敝袊缈圃悍▽W(xué)所助理研究員劉明博士認(rèn)為,，合同締結(jié)的方式與合同的內(nèi)容同等重要，芝麻信用用小字默認(rèn)勾選并無法回頭查看的行為會讓消費者有“被下套”的感覺,，懷疑支付寶用這種方式把人吸引過去,，實際上是讓大家去給芝麻信用授權(quán)。如果商家在締約程序上對消費者不公平,，那么，消費者對合同內(nèi)容就很難控制,，喪失了和商家博弈的優(yōu)勢甚至機(jī)會,，這是消費者感到不滿的地方。

根據(jù)2015年1月5日中國人民銀行印發(fā)的《關(guān)于做好個人征信業(yè)務(wù)準(zhǔn)備工作的通知》,，芝麻信用管理有限公司是國內(nèi)首批8個商業(yè)征信機(jī)構(gòu)之一,。據(jù)芝麻信用官網(wǎng)介紹，芝麻信用是獨立的第三方信用服務(wù)機(jī)構(gòu),，是螞蟻金服生態(tài)體系內(nèi)的重要組成部分,。從信用卡,、消費金融、融資租賃,、抵押貸款,，到酒店、租房,、租車,、婚戀、分類信息,、學(xué)生服務(wù),、公共事業(yè)服務(wù)等，芝麻信用已經(jīng)在上百個場景為用戶,、商戶提供信用服務(wù),。螞蟻金服全球消費者關(guān)系高級專家徐婷介紹說，自上線以來,，芝麻信用已向十幾個行業(yè)提供信用服務(wù),，擁有的個人信息用戶量上億。

“默認(rèn)勾選這類做法,，主要發(fā)生在對自己的商業(yè)信用信心不足,、試圖以此累積用戶授權(quán)的企業(yè)。其實,，芝麻信用不屬于這種企業(yè),。”中國社會科學(xué)院大學(xué)互聯(lián)網(wǎng)法治研究中心執(zhí)行主任劉曉春對記者說,，“之前做行業(yè)調(diào)研的時候,，曾經(jīng)對芝麻信用的個人信息保護(hù)體系做過調(diào)查和研究，在內(nèi)部合規(guī),、防止個人數(shù)據(jù)外泄以及對外合作的數(shù)據(jù)安全維護(hù)方面,，芝麻信用保障措施讓人印象深刻。對于這樣一個機(jī)構(gòu),，我認(rèn)為它完全沒有采用默認(rèn)勾選這種‘雕蟲小技’來獲取更多授權(quán)的必要,。”

“對默認(rèn)勾選做了改正后,，我們自己多次復(fù)盤,，發(fā)現(xiàn)問題可能首先出在互聯(lián)網(wǎng)產(chǎn)品設(shè)計的慣性思維上?！毙戽孟蛴浾呓榻B了事后公司內(nèi)部調(diào)查的情況,，“互聯(lián)網(wǎng)產(chǎn)品經(jīng)理在設(shè)計產(chǎn)品時，傾向于關(guān)注讓產(chǎn)品使用起來,，體驗上盡量快速,、順滑,。這樣一種思維，導(dǎo)致互聯(lián)網(wǎng)推出產(chǎn)品時,，會直接把很多東西給用戶選好了,，在用戶使用時最后看一眼沒有問題，就確認(rèn)了,。這種思維不正確地認(rèn)為,，很多操作、交互對于用戶來講,，都是一次體驗上的摩擦,。”

“默認(rèn)勾選”錯在哪里,？

“默認(rèn)打鉤的做法有違契約精神,，特別是契約自由、契約正義,?！敝袊嗣翊髮W(xué)商法研究所所長劉俊海教授說，“契約自由是契約雙方真實的意思表示,，然后達(dá)成合意,，這樣才能對雙方都有拘束力。默認(rèn)打鉤,，就是你還沒有讓大家看到合同條款,，就默認(rèn)同意了，作為企業(yè)單方起草的格式條款,，沒有征求消費者同意,，就把它作為對消費者和企業(yè)雙方都有拘束力的契約條款，有違契約自由的精神,。契約自由不是單邊的,，是雙邊的契約自由。按理說,，任何企業(yè)制定的格式條款,，是企業(yè)受消費者之托，代表消費者起草的格式條款,。但問題是,，很多格式條款塞進(jìn)‘私貨’，往往排斥消費者的核心權(quán)力和利益訴求,，增加消費者的義務(wù)、責(zé)任和風(fēng)險,，單方擺脫或排除商家對消費者承擔(dān)義務(wù)和責(zé)任,，單方為企業(yè)創(chuàng)設(shè)權(quán)利和主要的利益,，只要存在上述一種情況，即有悖契約自由,，有悖契約正義,。契約正義要求雙方的權(quán)利義務(wù)是對等的，放在天平上稱一稱,，你的權(quán)利跟我的權(quán)利是對等的,，你的義務(wù)和我的義務(wù)也是對等的?！?/p>

“默認(rèn)勾選是不合規(guī)的,，我們國家雖然沒有個人數(shù)據(jù)保護(hù)法，但消費者權(quán)益保護(hù)法明確規(guī)定,，消費者有知情權(quán)和自由選擇權(quán),，如果用戶沒有注意到這個協(xié)議，然后就默認(rèn)達(dá)成了,，個人信息就被‘賣’掉了,，這首先侵害了用戶的知情權(quán)和自由選擇權(quán)?！敝袊ù髮W(xué)傳播法研究中心副主任朱巍說,。

“從消費者權(quán)益保護(hù)的角度看，默認(rèn)勾選不僅侵害了消費者的知情權(quán),、選擇權(quán),，也侵害了其個人信息安全權(quán)”。北京市律師協(xié)會消費者權(quán)益保護(hù)專業(yè)委員會主任邱寶昌律師認(rèn)為,，用小字默認(rèn)勾選項,，容易一帶而過，不是消費者自己選的,，個人信息會怎么被處理不受自己真實意思支配,，有安全隱患?！斑@還涉及到隱私權(quán),、財產(chǎn)安全、人身安全,，如果信息被泄露了,，比如家庭經(jīng)濟(jì)條件相關(guān)的信息，也有可能引發(fā)盜竊,、搶劫等案件,。”

關(guān)于隱私權(quán),，朱巍提出,，隱私權(quán)是侵權(quán)責(zé)任法第2條規(guī)定的一項重要權(quán)利,。從侵權(quán)責(zé)任法上說，只要用戶同意,，作為民事權(quán)利,，部分隱私權(quán)可以讓渡。但這種同意不能是以欺騙的方式取得,?！霸谟脩舨恢榈那闆r下，默認(rèn)打鉤,，規(guī)定他同意或‘騙’他同意,，以這種方式獲得信息，侵害了隱私權(quán),?！?/p>

朱巍還指出，從網(wǎng)絡(luò)安全法角度考慮,，公民個人信息也是網(wǎng)絡(luò)安全重要組成方面,，從2012年12月28日，全國人大常委會審議通過《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,，到2016年網(wǎng)絡(luò)安全法通過,，立法上把商家對用戶個人信息的使用歸納為9個字“合法性、正當(dāng)性,、必要性”,，就是必須要在完全征求用戶同意的基礎(chǔ)上，才能使用用戶信息,，不能違規(guī)或違約地使用,。其中第43條規(guī)定，當(dāng)用戶發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)提供者違規(guī)或違約使用個人信息時,，有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者把這部分信息予以刪除,，給了用戶刪除權(quán)。所以,，如果用戶不知情,，何來違約？因此,，默認(rèn)勾選方式很不妥當(dāng),，用戶可以要求芝麻信用把所有信息予以刪除。

北京化工大學(xué)文法學(xué)院副教授岳業(yè)鵬則指出,，根據(jù)消費者權(quán)益保護(hù)法第26條規(guī)定,，經(jīng)營者在經(jīng)營活動中使用格式條款的，不得利用格式條款并借助技術(shù)手段強(qiáng)制交易。有這種情況的格式條款,，內(nèi)容無效,。“默認(rèn)勾選限制了消費者對個人信息利用進(jìn)行決定和控制的權(quán)利,，而且，芝麻信用沒有采用‘合理的方式’進(jìn)行提示,，即使消費者點擊同意,，該條款也應(yīng)當(dāng)認(rèn)定無效?！?/p>

徐婷也坦承,，默認(rèn)勾選的確錯了，確實不應(yīng)該這樣做,?！半S著事件的發(fā)酵，我們愈發(fā)認(rèn)識到自己工作上的失誤給公眾和用戶帶來的困擾,。公司非常重視,，管理層認(rèn)為不能就事論事來討論這次事件，要從根源上全面反思,?！?/p>

如何保障用戶的知情權(quán)、選擇權(quán),？

那么,，如果不默認(rèn)勾選，而是讓用戶自主“點擊確認(rèn)”,，是不是就算保障了用戶的知情權(quán),、選擇權(quán)了呢？對此,，劉明認(rèn)為,，互聯(lián)網(wǎng)合同締結(jié)方式主要分兩種，一是瀏覽合同締結(jié),，二是注冊用戶時點擊確認(rèn)締結(jié),。后者有一個點擊同意的過程，給用戶意思表示的機(jī)會,，這恰恰是“默認(rèn)勾選”難以做到的,。“其實,，讓用戶在根本不知情的情況下達(dá)成協(xié)議,，正是《協(xié)議》不被認(rèn)可的關(guān)鍵所在。而點擊確認(rèn)，這種互聯(lián)網(wǎng)合同締結(jié)方式的效力在理論和實踐上確實已經(jīng)被認(rèn)可,。被認(rèn)可的關(guān)鍵,，還是在于涉及消費者權(quán)利和義務(wù)的核心內(nèi)容，是不是讓消費者有機(jī)會,、明確地看到,。有的互聯(lián)網(wǎng)協(xié)議雖然也采取了點擊確認(rèn)方式，但合同內(nèi)容過多,，理解起來困難,，又用了格式條款方式，也有可能形成對消費者不公平的效果,?！?/p>

中國人民大學(xué)博士后孔德超認(rèn)為，《協(xié)議》中概括性授權(quán)范圍過于寬泛,，信息主體無法知曉哪些被采集的個人信息被用于評價個人信用,，更無法行使《征信業(yè)管理條例》所規(guī)定的信息主體對個人錯誤或不準(zhǔn)確的個人信息所享有的異議權(quán)、更正權(quán),。

朱巍也認(rèn)為,，從《協(xié)議》的內(nèi)容看，消費者并不能了解芝麻信用收集和使用個人信息的范圍,、方式,、目的、用途,，也不知道提供了自己的信息后,，芝麻會提供什么樣的服務(wù)。條款界定模糊,，授權(quán)說明比較籠統(tǒng),。而明確告知信息主體采集使用信息的范圍、方式,、目的等事項,，是網(wǎng)絡(luò)安全法和《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》等多部法律法規(guī)的要求。他指出,，關(guān)于隱私信息使用的條款,，應(yīng)該更多地凸顯給用戶，讓用戶特別注意,?！敖ㄗh芝麻信用下一步把這個協(xié)議做大一點，特別是把用戶個人信息誰來用,、怎么用,、能不能轉(zhuǎn)讓,、怎么轉(zhuǎn)讓等，都明確告知用戶,。不能默認(rèn)勾選同意,，要默認(rèn)勾選不同意，讓用戶閱讀之后變成同意,，才能跳到下一步,。”

徐婷回應(yīng)稱,，出于對個人信息保護(hù)的考慮,，下一步他們將準(zhǔn)備從產(chǎn)品設(shè)計理念入手進(jìn)行改進(jìn)?！拔覀兎此迹髞韰f(xié)議更改了提醒的方式和位置,，增加一個點擊的過程,，可能是更優(yōu)的用戶體驗。老實講,，查看賬單的過程出現(xiàn)一個點擊,，對于用戶來講，是會增加一點成本的,，但可以讓他更清晰,，不會有誤解。而且用戶感覺到有一個自己選擇的過程,，雖然麻煩點,，但卻是容易被接受的。所以以后在產(chǎn)品設(shè)計的時候,，不能總想著減少產(chǎn)品體驗的摩擦,，減少不必要的交互，更多地要結(jié)合法律,，結(jié)合用戶需求綜合地考慮,，和用戶有良性的互動?！?/p>

徐婷告訴記者,，“從意見和觀點的反饋中，我們也發(fā)現(xiàn),，有一些質(zhì)疑其實是源于用戶對《協(xié)議》條款內(nèi)容的誤解,。正是因為大家不了解信用服務(wù)是怎么回事，才會有信息可能被泄露的擔(dān)心,。通過這些誤解的產(chǎn)生,，我們也反思，如果我們能清晰地讓大家了解到，我們是如何與合作伙伴開展合作的,，信用評價是如何影響用戶生活的,；如果我們能用更準(zhǔn)確、更通俗易懂同時又符合法律條款嚴(yán)謹(jǐn)性的語言表達(dá)出協(xié)議條款的含義,，可能就不會有這些誤解了,。我們現(xiàn)在正在想辦法，已經(jīng)在著手研究了,?！?/p>

“另外，我們將在組織結(jié)構(gòu)上,，保障這次改進(jìn)工作的落實,。公司決定在客戶中心下面單設(shè)一個部門，專門負(fù)責(zé)消費者權(quán)益保護(hù)和個人信息保護(hù),，落實到一個非常具體的部門和責(zé)任人身上,。他會直接向總經(jīng)理匯報，相當(dāng)于單辟出一支隊伍來專門落實,，對這個部門也會有明確的考核和追責(zé)制度,，從現(xiàn)在開始，整個公司把消費者信息保護(hù)工作重視起來,，我們計劃對全員進(jìn)行個人信息保護(hù)的文化建設(shè)和培訓(xùn)教育,，腦子里繃著信息保護(hù)這根弦。我們有信心用實際的努力來做好用戶的信息保護(hù),?！毙戽帽硎尽?/p>

大數(shù)據(jù)時代個人信息如何保護(hù),？

“支付寶賬單”事件,，引發(fā)公眾對個人信息安全的關(guān)注。

“默認(rèn)勾選,，應(yīng)該不只是支付寶一家的做法,，它是互聯(lián)網(wǎng)行業(yè)內(nèi)部通行做法，幾乎是一個明規(guī)則,?！敝煳≌f，這是因為,，我們國家沒有個人數(shù)據(jù)保護(hù)法,，涉及到隱私保護(hù)的法律法規(guī)、政策性文件,、紅頭文件,，有150多部,，但立法上太籠統(tǒng)，不夠詳細(xì),。沒有把個人信息和大數(shù)據(jù)進(jìn)行區(qū)分,。可識別的信息屬于個人信息,，屬于隱私權(quán)范疇,；不可識別的信息屬于大數(shù)據(jù)，屬于知識產(chǎn)權(quán)范疇,，商家可以隨便拿來用沒有問題,。“比如瀏覽了什么頁面,，瀏覽次數(shù)多少,，這些不可識別到個人的信息，不需要征求用戶個人同意,；但是,，到底是誰瀏覽了，叫什么名字,，這些信息必須要事先告知用戶，征求用戶同意之后才可以用,。而個人信息和大數(shù)據(jù)之間的界限,，我們國家實際上是非常模糊的。正是因為模糊,，所以很多網(wǎng)絡(luò)服務(wù)提供者把隨意收集信息當(dāng)作商業(yè)慣例,，根本就不說清楚，自己用的是個人信息還是大數(shù)據(jù),，混為一談對商家是極為有利的,。”

默認(rèn)打鉤的做法為什么在互聯(lián)網(wǎng)行業(yè)能成為明規(guī)則,？劉俊海認(rèn)為,，“這反映出在一定程度上存在著監(jiān)管漏洞和盲區(qū)，應(yīng)敦促相關(guān)執(zhí)法機(jī)構(gòu),、監(jiān)管部門在市場失靈的時候勇于監(jiān)管,。監(jiān)管者應(yīng)當(dāng)用行政指導(dǎo)、市場準(zhǔn)入,、行政處罰等各種手段維護(hù)消費者與企業(yè)之間的公平交易秩序,，維護(hù)企業(yè)之間的公平競爭秩序。監(jiān)管目標(biāo)不是讓企業(yè)掙不到錢,，而是打造一個消費者有幸福感,、獲得感和安全感的消費友好型社會,。打造一個多贏共享，誠實信用,，公平公正,，相互包容的互聯(lián)網(wǎng)市場生態(tài)環(huán)境，促進(jìn)互聯(lián)網(wǎng)企業(yè)可持續(xù)發(fā)展,。個人覺得,，以損害消費者利益來打造商業(yè)盈利模式，是短視的,，不是睿智的企業(yè),，聰明的企業(yè)應(yīng)該主動與消費者站在一起，主動尊重和保護(hù)消費者知情權(quán),、隱私權(quán),、個人信息保護(hù)權(quán)，主動履行企業(yè)的安全保障義務(wù),?！?/p>

邱寶昌認(rèn)為，政府相關(guān)部門的確需要加大行政監(jiān)管,，規(guī)范經(jīng)營者的行為,，同時也需要消費者發(fā)現(xiàn)之后，及時向市場監(jiān)管部門和行業(yè)主管部門投訴,，之后政府部門要及時查處,，形成對消費者個人信息保護(hù)的社會共治。

朱巍說,，在大數(shù)據(jù),、互聯(lián)網(wǎng)時代，其實每個人的觀念也需要有所改變和適應(yīng),，現(xiàn)在不可能跟從前一樣,，把自己的個人信息都看作是隱私不能碰觸，很多個人信息被提取,，可能更多地要從大數(shù)據(jù)角度考慮,。另外，現(xiàn)在還是信用社會,，前不久,，芝麻信用等8家市場機(jī)構(gòu)和市場自律組織中國互聯(lián)網(wǎng)金融協(xié)會共同組建了一家市場化個人征信機(jī)構(gòu)叫百行征信。征信的基礎(chǔ)是個人信息,，沒有個人信息是做不了個人征信的,。在這個過程中，用戶肯定要讓渡一部分隱私權(quán),，但前提條件是要告訴用戶,，這個信息怎么用,，如果用戶要注銷自己賬號，征信機(jī)構(gòu)要保證相關(guān)信息都刪掉,，不能違規(guī)使用,，只要保證這部分權(quán)利，就沒有問題,。

“此次事件進(jìn)一步提升了大數(shù)據(jù)時代人們對個人信息及隱私的自我保護(hù)意識,，詮釋了對個人信息和隱私保護(hù)從傳統(tǒng)意義上‘免于披露’的被動保護(hù)，向現(xiàn)代信息社會‘主動控制’的轉(zhuǎn)變,?！笨椎鲁ㄗh，完善個人信息及隱私立法保護(hù)體系,，首先要強(qiáng)化頂層設(shè)計,，同時要完善個人信息采集與利用的技術(shù)規(guī)則體系，從技術(shù)層面,，還要落實信息主體享有的各項權(quán)利,。王心禾