陷入年度賬單風波的支付寶做錯了什么？

　　許可：支付寶年度賬單事件中，“默示勾選”——這一被互聯網行業采取的一種普遍做法并不正當，因為它不當利用了人的“不理性”。

　　來源：FT中文網

　　如果說2016年徐玉玉的死讓公眾對個人信息泄露的危害猛然警醒，那么2018年初的“支付寶年度賬單事件”則標志著一個新時代的來臨。這里的“新”不只意味著這是數字經濟勃興而至盛大的時代，更意味著這是一個主要矛盾發生重大變革的時代，一個從“人民日益增長的個人信息安全需要與落后保護水平的矛盾”，轉向“人民日益增長的個人信息權利需求與不平衡不充分保護的矛盾”的時代。盡管這個新時代當下僅僅初露端倪，但它必將給數字化生存的我們帶來深遠影響。

　　支付寶、芝麻信用究竟做錯了什么？

　　正如芝麻信用在官方微博所承認的那樣，這件事肯定做錯了，而且愚蠢至極。但問題是：他們究竟做錯了什么？

　　在約談支付寶、芝麻信用相關負責人后，網信辦網絡安全協調局最終認定：“支付寶、芝麻信用收集使用個人信息的方式，不符合剛剛發布的《個人信息安全規范》國家標準的精神，違背了其前不久簽署的《個人信息保護倡議》的承諾；應嚴格按照網絡安全法的要求，加強對支付寶平臺的全面排查，進行專項整頓，切實采取有效措施，防止類似事件再次發生。”

　　這段措辭嚴謹的結論釋放出明暗兩大信號：在明的一面，支付寶、芝麻信用有悖于《個人信息安全規范》國家標準和《個人信息保護倡議》；但在暗的一面，監管機構并未認定支付寶、芝麻信用違反了《網絡安全法》《消費者權益保護法》等法律。這樣的區隔并非無因。事實上，不論是《芝麻服務協議》的條款內容，還是其設置方式都沒有違法。即便是飽受詬病的默認勾選方式，也很難說侵犯了用戶的知情權和選擇權，因為其不但標明：“為了供您了解您這一年以來的信用成就，您同意下面的《芝麻服務協議》，并允許支付寶查詢您的芝麻分及信用履約記錄等信息，為您將其展示在年度賬單中。如果您已經是芝麻信用用戶，您無需重復簽訂《芝麻服務協議》”，而且用戶仍然可以通過點擊操作取消勾選。

　　但是，不違反擁有國家強制力的“硬法”（hard law），并不意味著不會違反具有自我規制性質的“軟法”（soft law）。正如不久前攜程捆綁銷售引發的風波那樣，默示勾選的關鍵不在于是否披露或如何披露信息，而在于它事先預設了“用戶同意”的框架，從而實質上限制了消費者的自由。2017年諾貝爾經濟學獎獲得者理查德?塞勒和法學家桑斯坦在《助推》一書告訴我們，由于“既來之，則安之”或被戲稱為四字魔咒的“來都來了”的態度，人們會不自覺地陷入一種“現狀偏見”；所謂“默認選項”有著強大的助推功能，它能夠吸引更多的眼球，并成為人們的最終選擇結果。所以，“默示勾選”——這一互聯網行業為追求便利性和用戶體驗所采取的一種普遍做法并不正當，因為它不當利用了人的“不理性”。為了填補法律的漏洞，中央網信辦、工信部、公安部、國家標準委在網絡產品、服務隱私條款評審中，特別要求必須存在用戶的書面聲明或主動做出點擊“同意”、“下一步”、“注冊”、“發送”、“撥打”的肯定性動作，才能對其個人信息進行特定處理，該要求被近日發布的《個人信息安全規范》第3.6條“明示同意”所確認。不過，由于該規范到2018年5月1日才正式生效，中央網信辦只是認定違反了《個人信息安全規范》的精神，而非直接違規。同時，螞蟻金服、騰訊、新浪、京東等10家企業于2017年9月簽署的《個人信息保護倡議書》亦聲明，不使用“一攬子協議”的方式強迫用戶打包授權收集個人信息。顯而易見，支付寶年度賬單不僅不符“明示同意”的規定，而且將“同意《芝麻服務協議》”“同意支付寶向芝麻信用調取數據”和“同意生成支付寶年度賬單”相捆綁，也違反了《個人信息保護倡議書》的承諾。

　　螞蟻金服

　　“花唄”服務協議惹風波，信息收集是否越界？

　　許可：個人信息權利和企業數據權利彼此聯結又相互沖突。問題關鍵是如何在具體的場景下，妥善劃定各自邊界和責任。

個人信息保護的新矛盾

　　個人信息的“非法泄露”以及由此導致的電信詐騙、侵犯隱私、損害名譽等惡行，一直是公眾對個人信息的最大擔憂。據不完全統計，國內個人信息泄露數達55.3億條左右，平均每人就有四條相關的個人信息泄露。中國青年政治學院互聯網法研究中心與封面智庫于2016年11月發布的《中國個人信息安全和隱私保護報告》充分證實這一點。在 104 萬 8575 份調查問卷中，認為個人信息泄露問題“嚴重”或“非常嚴重”的比例高達72%。在徐玉玉案件的壓力下，個人信息保護的重心始終放在如何治理黑色產業源頭上，2017年5月，《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》發布，便是對這一關切的有力回應。

　　世變時移，個人信息泄露與保密之間的矛盾還沒有解決，新的矛盾又開始出現。2017年5月1日生效的《網絡安全法》在傳統侵權責任法的消極安全保障之外，另外賦予用戶刪除權、更正權的積極權利，并將“用戶同意”納入個人信息收集、使用的前提。對個人信息主動性權利的增長改變了政府的監管方向和公眾的期待。2017年7月，中央網信辦、工信部、公安部、國家標準委聯合啟動“個人信息保護提升行動”，對阿里巴巴、騰訊、新浪等國內領先的網絡公司展開調查，重點則放在隱私條款的內容、展示形態、征得用戶同意等三個方面。媒體亦把握到了這一新動向。在2017年末南方都市報發布的《2017個人信息保護年度報告》，就測評了10多個行業、1550個網站和APP，隱私協議不透明和APP過度獲取用戶信息成為首當其沖的問題。

　　如果說之前是“個人信息安全需要與落后保護水平”的矛盾，那么如今已轉變為“日益增長的個人信息權利需求與不平衡不充分的保護”的矛盾。

　　“不平衡”主要體現為不同主體之間對個人信息保護的不平衡。據統計，截至2017年12月20日，全國公安機關2017年累計偵破侵犯公民個人信息案件4911起，涉案公司164家，其中，房地產公司、金融商貿類公司等線下行業達半數以上，線上行業中則以互聯網金融企業為多。《2017個人信息保護年度報告》亦顯示，隱私政策的透明度分布呈陡峭的金字塔型，即超過總數80%的得分很低，少數透明度高的產品往往為大型互聯網企業所運營。此外，黨政機關和教育、衛生、人社等事業單位個人信息安全防護缺位，也是公民個人信息泄露的重要原因之一。事實上，隨著公眾個人信息保護意識的提升，越來越多的網絡企業已經越發將個人信息保護作為核心競爭優勢，與之相反，游離于激烈的線上市場競爭之外的信息持有者，只追求短期利益、不考慮長遠發展的互聯網企業以及絲毫不顧及用戶的數據黑產，才是個人信息的最大威脅。

　　“不充分”則表現為個人信息保護未能貫穿其生命周期的始終。所謂“個人信息生命周期”，即個人信息被收集、存儲、利用、傳輸/分發/共享、刪除的全周期。在實踐中，信息持有者將大部分精力放在收集的合法性、必要性、準確性，存儲的安全性以及利用的有效性上，而多少忽視了個人信息在傳輸/分發/共享和刪除方面的正當性。在支付寶年度賬單事件中，支付寶和芝麻信用的關聯關系以及數據在兩者中的共享問題，芝麻信用將其數據向第三方合作機構提供的流動問題，以及芝麻信用在服務終止后仍可繼續保留用戶信息的問題，都反映出公眾對安全以外的新訴求。

　　從深層次觀察，個人信息保護不平衡、不充分的背后，是現行個人信息保護法律的不平衡、不充分。《全國人大常委會關于加強網絡信息保護的決定》《民法總則》對個人信息保護的規定過于寬泛，而只具有權利宣示的意義；《網絡安全法》固然將個人信息保護單列一章，但受限于立法目，保護范圍狹窄；而《個人信息安全規范》則因法律層級過低，難以完全發揮作用。因此，我們亟待汲取既有經驗，反思過往教訓，重塑我國個人信息保護制度。

　　個人信息保護法的形與實

　　新的時代需要新的規則。依循我國成文法傳統，個人信息保護的新規則必然依托于一部體系完整的專門性法律。在2017年兩會期間，吳曉靈、周學東等全國人大代表提出議案，呼吁盡快制定《個人信息保護法》。2017年12月24日，全國人大常委會副委員長王勝俊在關于檢查《中華人民共和國網絡安全法》《全國人民代表大會常務委員會關于加強網絡信息保護的決定》實施情況的報告中表示，當前用戶個人信息保護工作形勢嚴峻，建議加快個人信息保護法立法進程，進一步加大對個人信息保護力度。學界的努力也從未停止，分別由中國人民大學張新寶教授和中國社會科學院周漢華研究員領銜起草的兩部《個人信息保護法》（專家建議稿）業已出爐。

　　不過，法律只是規則的形式，制度變遷的實質是從眾多觀念中擇取少數進而將其固化為制度的過程。恰如經濟學家凱恩斯所言：“經濟學家以及政治學家之思想，其力量之大，往往出乎常人意料。事實上統治世界者，就只是這些思想而已。許多實行家自以為不受任何學理之影響，卻往往當了某個已故經濟學家之奴隸。”正因如此，個人信息保護觀念的革新可能比其法律制定更為重要。

　　讓我們先來看上述新矛盾中用戶的一面。支付寶年度賬單事件凸顯出個人信息保護意識的勃興。這種勃興一方面根植于這個“隱私不保”的網絡時代，另一方面則因為作為極易讓人產生恐懼感的詞語，“隱私”觸動了公眾敏感的神經。但個人信息并非隱私。個人信息為直接或間接識別個人身份的各種信息，如姓名、出生日期、身份證號等等，它是客觀的和中性的。隱私則指個人生活最隱秘、直接涉及個人人格尊嚴與自由的部分，如健康生理信息、生物識別信息、性生活信息等敏感信息。它是主觀的和負面的，因為一旦侵入，就會給人帶來精神損害。概括地說，隱私相關信息屬于個人信息范疇，而個人信息不一定都是隱私。個人信息和隱私的區分，不但被《民法總則》所認可，也成為《個人信息安全規范》中“敏感信息”和“非敏感信息”的理論依據。

　　事實上，人們并不太在意隱私以外的個人信息。北京尚普信息咨詢公司的調查顯示，在北京街頭攔截調查中，價值15元的禮品就足以吸引行人停下腳步，填完2張A4紙的選擇題，附帶獲取他們的姓名、聯系方式、職業及年收入區間。而當禮品價值提升至50元左右時，行人甚至愿意跟隨調查者到一個固定地點，花更長的時間來泄露自己更多的信息。無獨有偶，2014年3月，德國學者尼古拉?嚴奇做了一個實驗，讓443名學生到網站上購買兩家影院提供的電影票，在票價一致的情況下，其中一家聲稱需獲取用戶的電子郵箱以發送廣告，于是另一家獲得了62%的銷售額，但當后者提升票價后，前者立馬獲得87%的銷售額，即使它依舊發送廣告。要知道，后者提價只不過區區50歐分。

　　人們對隱私以外個人信息的態度在另一個側面體現出個人信息及其權利的性質。與隱私不同，作為身份、形象、信用的標志，個人信息的主要使用者并非“個人”，而是與之聯系的其他利益相關者。我們每一個人在社會交往、市場交易和政治參與中，都必須提供個人的姓名、性別、愛好、性格等零零總總的個人信息，除非我們把自己變成一個“裝在套子里的人”。因此，有異于隱私權從個體出發為個體提供單一向度的權利保護，個人信息需要從保護和利用兩個角度兼得的視角加以考量，以平衡個人和社會、企業、國家之間的利益。有鑒于此，我國《民法總則》第111條并沒有賦予個人對個人信息的絕對控制權，而只有他人采取“違反法律”的手段“收集、使用、加工、傳輸”時，才予以保護。

　　而支付寶年度賬單事件中，大家對個人信息權利也有所誤讀。例如，不論是《芝麻服務協議》中對用戶和第三方關系尚未終止的情形下，用戶不能撤銷對相關第三方信息查詢授權的規定，還是在第三方拒絕服務時的免責條款，都是基于第三方是貸款機構的考慮，從而在用戶權益與機構利益之間的平衡處理。服務終止后的信息留存更是出于公共利益的要求，其不僅與《網絡安全法》第21條第3款對網絡日志留存不少于六個月的規定相吻合，還和《征信業管理條例》對個人不良信息應保存5年的要求一致。

　　最后，讓我們再來看上述一對矛盾中企業的一面。毋庸諱言，個人信息保護“不平衡、不充分”，企業難辭其咎。可要解決“不平衡”問題，就不能依賴于個別企業單打獨斗，而應凝聚領先企業的技術能力、主管部門治理網絡工作、行業協會的自治監管等不同力量，建立個人信息安全共同體，通過協作共治、疏堵結合，在壓縮黑色產業生存空間的同時，提升整個行業的個人信息保護水平。而要解決“不充分”問題，企業就必須深刻認識到用戶對個人信息安全需求的轉變，將個人信息安全和隱私保護作為企業的立身和發展之本。事實上，在以用戶注意力為主要目標的互聯網產業中，能否以及如何獲得用戶信任至關重要。正如美國網絡法權威學者吳修銘（Tim Wu）所言：“一旦你失去了對Google的信任，那就它的末日。”只有那些對用戶秉持“信義義務”（fiduciary duty），即優先保護用戶利益，之后實現自身價值的企業，才能贏到最后。為此，企業不應將企業發展和個人信息保護相對立，而應化被動為主動，引入并踐行“數據治理”（data governance）和“經規劃的隱私”（Privacy by Design）的觀念。

　　“數據治理”要求企業在組織、流程、科技三個層面建立個人信息保護的戰略、標準、評估、交流和突發事件管理機制，通過數據質量和安全管理，實現戰略一致、風險可控、運營合規和價值實現的治理目標。在治理過程中，個人信息保護的主管部門和企業業務部門應各司其職，并建立制度化溝通協調機制。主管部門需要根據企業的實際情況建立數據治理戰略，同時根據業務部門的反饋和意見共同制定數據策略，并通過監督活動，了解數據管理的控制和過程是否滿足數據策略和戰略的需要。“經規劃的隱私”則要求將個人信息保護主動地嵌入數據開發與挖掘技術、商業操作、網絡架構中，貫穿于產品和服務的整個生命周期，從最初的設計到產品和服務的實施、運用直至最后終止。為彌補當前重視收集和存儲，忽視傳輸/分發/共享和刪除的不足，企業有必要分別引入“個人信息安全影響評估”和“到期日”設計。

　　其中，“個人信息安全影響評估”或稱“隱私影響評估”（Privacy impact assessment），是眾多國家個人信息保護監管機構所共同推行的重要制度，意指通過檢驗個人信息傳輸/分發/共享對個人信息主體合法權益造成損害的各種風險，評估用于保護個人信息主體的各項措施有效性。《個人信息安全規范》第8.3條a）款特別規定，在“個人信息共享、轉讓”前，必須開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施。

　　最早洞見大數據發展趨勢的維克托?邁爾?舍恩伯格在《刪除》一書詳細描述了“到期日”設計。由于“任何一位擁有資料庫的人，都會希望得到消費者數據運用的次數愈多愈好。畢竟與可能的收入相比，后續的成本增加實在是微不足道”，個人信息一旦被存儲于政府或企業的數據庫中就幾乎難以被刪除。而“到期日”設計就是通過技術手段來強制性設定留存期限，這與個人信息的目的限定原則相一致，這是由于如果是因某特殊原因而需要將個人信息委托給他人，在目的實現之后，不再有允許使用該個人信息的條件，自然就該刪除。到期日的設定并非整齊劃一，相反，它應當根據個人信息的內容和目的而做靈活安排，它甚至允許隨著時間的流逝，個人信息不斷“分解”或“銹蝕”。例如，對于百度上的搜索行為信息，可借鑒谷歌的聲明，將到期日設定在服務終止或授權結束后9個月；而對于借款違約信息等不良信息，應延長保存時間，以保護潛在的交易方免受損失。因為正如法學家波斯納所言，人們總想隱藏有關自己的事實來誤導他人。當然，為了給人自新的機會，保存時間不宜過長，《征信業管理條例》規定的5年時間是合適的選擇。

　　支付寶年度賬單事件已經結束，但對它的反思才剛剛開始。在數字經濟的浪潮中，個人信息以及與之相關的數據是直接的財富和社會資源，借助大數據、人工智能、云計算等新技術的應用，它已成為知識、經濟和國家治理的創新之源。我們要理性看待個人信息利益的所得與所失，擁抱個人信息保護與利用多贏的新思維，從用戶、企業、國家多維度重塑我國個人信息保護制度，最終回應這個以“日益增長的個人信息權利需求與不平衡不充分保護的矛盾”為特色的新時代。

　　（本文僅代表作者本人觀點，作者系法學博士、中國人民大學金融科技與互聯網安全研究中心副主任）

責任編輯：郭一晨 SF160