大数据时代 > 国内新闻 >
花呗新版合同是想搞啥大事?
发布时间:2017-07-07 08:33    阅读次数:
本文关键字:大数据、个人信息、花呗

 
  仅仅开通使用了“蚂蚁花呗”,你的户籍信息、社保参保状态、公积金缴费情况、通话记录等个人数据都可能被收集。日前,“蚂蚁花呗”宣布改名为“花呗”,同时更新了用户服务合同,但新合同上的某些“细致”授权要求引起了网友的热切讨论。近日,花呗再次修改了服务合同并回应称,通过采集用户信息降低风险系行业的常规手法,并称实际采集的信息范围远小于此。
 
  6月1日《网络安全法》出台后,按照该法提出的要求,网络运营者需要明确披露搜集的信息内容。6月30日,蚂蚁金服旗下从事消费信贷业务的“花呗”发布了《花呗用户服务合同》条款调整公告,透露了之前网络运营商的搜集和使用个人信息的普遍做法。不到一周,花呗再次发布了调整公告,称为了更好地服务用户,《花呗用户服务合同》部分条款进行了优化。7月3日,新上线的《花呗用户服务合同》正式生效。
 
  花呗是蚂蚁金服推出的消费信贷产品,用户申请开通后,将获得500-50000元不等的消费额度,并在消费时享受“先消费,后付款”的购物体验。服务合同上要求用户授权收集有关个人信息,用以判断个人金融消费的履信能力,以更好地防控金融风险。这个出发点站在企业角度无可厚非,但要求授权收集的信息涉及到用户诸多重要的个人信息,如果用户同意授权,就意味着用户需要出让自己的个人信息安全利益。
 
  相关专家表示,如果目前业务不需要匹配这些数据而要求用户授权,则这一做法违背了信息收集的必要性原则。
 
  而此次花呗的新版用户授权书存在多种界定不清晰之处,收集的信息过于细致且部分毫无必要,在《网络安全法》出台的背景下,互联网企业到底应该如何合理且合法的搜集并使用用户个人信息呢?
 
  「网络安全法相关规定」
  第二十二条  网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
 
  第四十条  网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
 
  关于网络运营者应如何收集、使用个人信息,《网络安全法》给出明确的原则性指示。法律要求,网络运营者要公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
 
  此次,引起用户不解的主要是《花呗用户服务合同》第四条关于信息收集、使用和共享的内容,其中牵扯用户很多一般信息和敏感信息。
 
  具体而言,用户使用“花呗”,需要向服务商提供姓名、身份证号、联系电话、联系地址;“花呗”则要求得到用户授权,向关联公司、合作伙伴、部分政府机构、司法机构、公共事业单位(如公积金管理中心、中国互联网金融协会等机构)采集与本服务相关的必要信息,比如工商注册信息、诉讼信息、社保信息等。
 
  不少用户认为,同意这项协议意味着自己在“花呗”面前成了“透明人”。
 
  就消费信贷的风险而言,花呗属于小额的信贷服务,收集这些信息似乎超出了风控信用评价的需要。事实上,就连银行针对个人的金融信贷服务也不需要用户提供这么多信息,只需人行征信系统的金融信用记录即可。
 
  企业通过掌握这些信息来评价个人信用,了解个人家庭、财产、消费等方面的情况,但这不能排除这些信息是否会用于其他方面,而作为掌握这些信息的一方,数据越多,内容越具体,其泄露的可能和危害性也越大,万一出现意外情况,单纯依靠企业是无法控制的。
 
  目前,争议的焦点在于如何保证信用信息采集与公民个人信息安全的平衡。这点非常重要。信用采集与评价不必要求公民让渡出个人所有的信息安全方面的权利。
 
  比方说,社保、通讯、公积金等缴费信息可以判断一个人的履信能力,但信用采集时只需要相关机构提供有没有欠费的记录即可,无需提供缴费的清单。要消除此类争议,首先应该完善个人信用信息采集方面的法律法规,划清权利的边界。
 
  更重要的是,金融服务企业是否拥有用户个人信用信息采集的权利?个人信用信息采集与评价,因其中立性质所具有的公正与权威,只能由非盈利性机构行使。如果金融企业擅自自采自评自用,得不到良好的引导和管理,必然会导致权力的滥用。
 
  所以,信用信息采集不宜完全放权金融企业,只能由法定独立的第三方机构来行使,而金融服务企业只能拥有与业务相关公民信用记录与评价使用的权利,在相关服务合同只能对应获得信用查询的授权。
 
  司法实践中,服务商在处理个人信息时必须同时满足两个条件才算合法合规,一是保证第三方无法识别特定个人;二是数据不可以通过操作还原。“个人信息公示社会时要脱敏到这个程度才算干净。”相关律师表示。
 
  一位资深律师表示,他认为“花呗”明示自己的收集方式,坦诚这一点值得肯定。但是相关行政处罚的法规要赶紧出台,才能保证法律的严肃性。同时,还应该将事后处罚和事前手段结合起来,比如增加现场检查,从而保证用户个人信息的安全。
 
  “关键在于执法的力度和政策执行的力度。”该人士表示,要进一步防范个人信息滥用,公众和市场都在等待监管和司法体系就具体案例开出罚单,体会监管尺度。同时,保护个人信息的服务市场也应该逐步培育起来,让市场出现内生的制衡力量。
 
  有业内人士表示:“明示至少比偷偷摸摸地搜集信息好,以前都是笼统的用户授权协议,这次说明向行业治理迈出第一步。” 《网络安全法》偏向原则性要求,而且刚出台不久,需要其他部门的规章制度制定细则与其配套才能发挥作用,现阶段缺乏处罚法规,因此处境还比较尴尬。
分享按钮

近期文章

站内热点

友荐云推荐