《第三方支付行业中个人信息权保护问题研究》

2018-08-03 09:20寿宁静
法制与社会 2018年18期
关键词:第三方支付支付宝信息安全

摘 要 近些年来,随着互联网技术的快速发展,网络电子商务不断普及,第三方支付平台运营成为消费者日常生活必不可少的部分,其带来便捷服务的同时,也因其特殊性使个人信息权利遭受到不法侵害。个人信息权包含着相当丰富的内容,我国对于个人信息的内涵以及保护已经有了不小的发展,但是结合现状仍然存在问题亟待解决。本文针对当前第三方支付平台与个人信息保护之间的问题进行原因分析,并提出针对性的建设意见,比如完善法律体系,明确责任原则,积极推行行业自律等,为我国消费者个人信息保护提供解决途径。

关键词 第三方支付 信息安全 信息保护 支付宝

作者简介:寿宁静,华东理工大学法学院,本科生。

中图分类号:D920.4 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2018.06.261

随着信息技术和电子商务的不断发展,人们的消费方式从线下转移到线上,同时交易方式逐渐由现金交易转向更为便捷的网络虚拟交易,不需要随身携带大量的现金,不需要浪费脚力在各家商店徘徊,由此第三方支付平台逐渐在人们的日常生活成为一个不可或缺的角色,在账户注册、购物消费、支付交易、物流运输、签收商品的过程中,出于维护社会、公众合法利益的需要,如何约束第三方支付企业的权利,如何确保企业的“数据权力”不超越个人的“数据权利”,对于第三方支付活动中消费者的各项个人信息进行妥善保管,合理使用,更好地促进人们在互联网上的商品交易和买卖活动,保障人们的个人信息不受损害也就成为当今时代非常重要的一个命题。

一、事件回顾

当2018年将至,支付宝所推出的一项特色服务刷屏朋友圈,即支付宝用户个性化年度账单,支付宝平台以大数据的形式统计了用户2017年度使用支付宝进行交易、购物等活动的总体情况,同时对于数据进行分析和处理,并且预测了用户们新一年的消费趋势,给予个性的签语,本来只是一项贴心的统计服务,在大数据的时代并不稀奇,但是支付宝平台在进入年度账单阅读起始页的并不起眼的地方,将“我同意《芝麻服务协议》”的选项进行了默认勾选,这就意味着支付宝平台在此之后既可以“不支持撤销对第三方的信息查询授权”,也可以在没有用户许可的情况下“直接向第三方提供相关信息”。这个选项的设置极不显眼,用户在浏览时往往容易忽略,当用户公开分享其账单截图时,支付宝平台则在默默分享用户数据,大大侵害了用户们的个人信息权利。

该事件立马在互联网上引起了舆论热议,用户们为自己的信息安全惴惴不安,支付宝在事发之后立即作出反应,迅速作出了相应的整改,并且公开反省自身不尊重用户知情权的愚蠢行为。而支付宝的这一事件,只是当今大数据时代下,个人信息受到威胁的一个缩影。人们在生活和生产的过程中,喜欢吃哪一种菜系,单曲循环百遍了哪首歌曲,比较偏爱哪种风格的衣物,大数据往往比人们自身记得更加清楚,所有碎片式的信息放大、拼凑在一起,常常可以具体精确到某一个个体,并将其透明化,而这些信息被各网络运营者进行商业利用,则使人们更易受到损害,透明的生活使人们“细思极恐”,由此,《芝麻服务协议》的默认勾选并不是一件简单小事而已。

二、个人信息权概述

2017年3月15日第十二届全国人民代表大会通过了最新的《中华人民共和国民法总则》(以下简称《民法总则》),而其中的特色內容之一就是将“保护个人信息安全”写入了《民法总则》当中,这是我国对于个人信息安全保护愈加重视的一个信号。《中华人民共和国网络安全法》(以下简称《网安法》)也在2017年6月1日起正式施行,而《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)在2017年颁布了最新的草案。

在《个人信息保护法》(草案)当中对于个人信息的定义是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。也即可以同特定的个体产生联系并且能够表现出个人特点,具有一定可识别性的信息集合体,具有客观存在性、可识别性、无形性、兼有人身与财产属性。个人信息通常可以区分为敏感信息与一般信息,敏感信息是指带有隐私性,人们通常不愿意公开且一旦公开就会对人们造成相当严重损害的一类信息,而一般信息基于支付活动产生的部分又可细分为个人基本信息和在支付交易中所产生的信息。个人基本信息包括账户名称、地区、电子邮箱等,个人在支付交易中所产生的信息一般具体指每次支付对象、支付时间、支付金额等。

根据《个人信息保护法》(草案)和《网安法》,并结合实务当中对于个人信息的使用可知,个人信息权包含着相当广泛且丰富的具体内容,由信息决定权、信息保密权、信息访问权、信息更正权、信息可携权、信息封锁权、信息删除权和被遗忘权等组成。

三、第三方支付行业中个人信息保护现状

客观来讲,在这个万物互联的大时代里,数据在各平台和各主体之间广泛共享是无法阻止的大势所趋,这既可以为用户提供更加精确周到的服务,也可以降低各平台的交易成本,但不可以将便捷取代安全。当前第三方支付行业已经有了非常大的完善与发展,针对信息更正权,为用户提供自主更新资料服务,针对信息封锁权提供相应的请求暂时冻结等服务,以保证个人信息的准确与安全,但是在某些权利的保护上仍然存在问题,亟待解决:

(一)信息决定权和信息可携权

信息决定权所保护的是个人对于信息是否被收集、处理、利用的控制和支配权,根据《网安法》规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”而信息可携权指的是“信息主体有权就其被收集处理的个人信息获得对应的副本,并可以在技术可行时直接要求信息控制者将这些个人信息传输给另一控制者。”也即个人信息被传输分享,应当是出于个人信息权人的主动允许,而不是被强迫选择分享。用户确实在注册时向第三方支付平台提供了其相关的个人信息,这些信息仅仅是为第三方支付平台用于甄别用户,并不代表用户将信息的控制支配权授予平台,因此第三方支付平台不能够基于商业目的,强迫用户向其提供并选择共享个人信息。如在用户注册支付宝时,会提示用户注册即表示同意《支付宝服务协议》、《支付宝隐私政策》和《淘宝服务协议》,而在《支付宝服务协议》中规定:当消费者在支付宝平台注册后,即授权支付宝公司与支付宝关联公司、其他阿里网站、阿里巴巴集团旗下其他公司共享,支付宝公司可以将信息储存到其他阿里网站及阿里巴巴集团旗下的其他公司的服务器上或传送位于别国的服务器上。这样的授权带有强迫性质,如若不同意该服务协议则无法进行支付宝注册,也即剥夺了用户的信息决定权和信息可携权。同样的在《财付通隐私保护声明》中也对用户保证,不会将消费者登录和使用本服务的相关信息提供给关联公司之外的主体,也即用户在注册时同意该声明,由此用户被强迫同意财付通将其个人信息与财付通的关联公司共享。可以预见,随着时代不停进步,第三方支付平台必将不断拓展其业务,也就是说其关联业务公司将会不断增加,消费者将被迫共享其个人信息于更大的互联网络,此对消费者的信息安全造成更严重的威胁。

(二)信息保密权

该权利是指个人得以请求保证其信息的隐秘性,而第三方支付平台有义务在未经许可的情况下,不得将用户的账户名称、姓名、身份证号、地区、财产余额等信息进行外泄或者公开,应当严格维持其保密状态,使用户免受损失。但像是在《支付宝服务协议》中存在着用户必须被迫接受银行或第三者对其进行身份和资格的相关审核,并支付宝平台可通过阿里网站或其他合作方取得消费者使用本服务过程中所产生的相关资料的有关规定,这样的强迫性规定使用户的个人信息往往存在隐患。2018年1月,腾讯公司发现支付宝钱包存在漏洞,并在发布会上演示了怎样对于漏洞进行攻击,该事件正是说明支付宝仍旧可能存在被攻击的风险,一旦发生技术故障或者被恶意攻击时,就容易造成用户个人信息大范围泄露,从而给用户带来极大的财产损失。

(三)信息访问权

信息访问权的存在使个人信息权人能够对于其个人信息以及相关的处理情况进行查询、访问并得到信息控制者的相应答复,主要包括的是查询相关内容的详细信息以及相关信息的趋势分析,正如支付宝年度账单当中对于用户一年度的总结以及来年消费趋势的分析,但是在实务过程中,消费者有时会遇到信息控制者对于信息不公开,或者客服质量较差,反应较慢,产生的问题无法及时得到解决,增加消费者时间成本的同时也可能对于消费者造成损害,这要求着第三方支付平台提高其服务质量,为用户带来更加人性化和便捷化的服务。

(四)信息删除权

信息删除权指的是当法定或约定的事由出现,用户可以请求信息处理主体无条件地删除其个人相关信息的权利,《网安法》中规定:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。”当然在用户认为信息没有存在必要时,也可以对于信息进行删除,而第三方支付平台不得在未经允许的情况下,擅自恢复用户已删除的个人信息。同时该项权利也应受到相关的限制,当涉及公共利益时,比如遇到金融犯罪的情况,侦查机关可以按照法定程序要求第三方支付平台恢复用户的相关信息以助案件的顺利告破。但是许多的第三方支付产品会在其《服务协议》中规定“消费者必须不可撤销地授权平台公司在担保支付服务期间或者终止后可以保留服务期间的信息数据”或者“注销后仍可以保留相关信息”等等,都是对于用户信息删除权的侵害。

(五)被遗忘权

被遗忘权引起极大争议与关注是来源于2014年欧盟最高法院对于“谷歌案”作出了终审裁决,将被遗忘权引入了人们的视野。 被遗忘权是指“在法定或约定事由出现时,信息主体得以请求信息处理主体无条件断开与该个人信息的任何链接,销毁该个人信息的副本或复制件”的权利。每个人都有一些不希望被留存的信息,盡管可能一时间被删除了,但是并不能使这些信息真正消失,从而变成一个“潜伏的炸弹”,在当今中国,被遗忘权尚未拥有法律依据,人们个人信息的保护仍旧岌岌可危。

四、问题原因分析

(一)社会角度:网络安全技术的发展滞后于经济发展

当今中国经济已经进入稳健发展阶段,消费、交易成为日常生活必不可少的部分,然而伴随着互联网技术和虚拟交易的不断发展,网络病毒样本也日渐多样化,国家信息中心信息与网络安全部与瑞星于2018年1月30日联合发布了《2017年中国网络安全报告》,在报告中提到病毒总数较2016年同期上涨15.62%,同时来自中国地区的网络扫描对数据库服务更感兴趣,根据数据显示,对MySQL、MSSQL的扫描次数、源IP个数,中国都位于全球第一。 面对这样的网络现状,我国所掌握的网络安全技术尚且不能进行针对性解决,而“扫描者”对于数据库的强烈渴望,正威胁着我国民众的个人信息安全。

(二)法律角度:个人信息权利相关法律制度尚未完善健全

2017年我国在个人信息安全保护的法律机制建设方面确实取得了不小的进展,《网安法》的颁布施行和《民法总则》对于个人信息安全的更加重视,无不为消费者提供了更好的保护个人信息权的法律武器,但是人们的信息决定权、信息保密权和被遗忘权等仍然缺少法律的强大依靠,消费者们仍处在抗争无门的状态,寻求法律救济的道路上也存在着多种阻碍,如责任认定原则、举证责任、赔偿方式等,这些问题的解决还有待《个人信息安全保护法》的出台以及相关配套措施的进一步完善。

(三)第三方支付平台角度:自我管理不规范

第三方支付平台的经营者仍需要参与商业竞争,获得商业利益,由于完善信息安全方面的工作需要较大笔的资金技术的投入,出于盈利目的,支付平台的经营者很可能会选择采取压缩信息管理方面的支出的方式。在管理不善与技术落后的情况下,往往会造成信息管理上一些不易察觉的漏洞,从而导致个人信息的泄露,即使是支付宝钱包与微信钱包此类已经拥有较完善技术和管理制度的支付平台也无法避免信息管理上漏洞的存在,因此第三方支付平台在信息管理上仍有更多的进步空间。

(四)个人角度:消费者的个人信息权利意识不强

随着经济不断发展和大数据在日常生产生活中的广泛应用,使人们从仅仅关注隐私权也就是敏感个人信息部分到重视个人信息的整体权利,由于是一个相对较新的概念,往往并没有在人们的脑海中形成与之相关的权利意识,客观来讲,对于各款第三方支付平台的产品服务协议可能99%的人都不会对其进行仔细浏览,而是直接点击同意接受,并没有意识到自己的个人信息可能因为这样一个简单的行为随时存在着被侵害的危险。消费者们淡薄的个人信息权利意识,给“有心者”们提供了更多的可趁之机。

五、相关完善建议

对于当前第三方支付行业中个人信息受到侵害的问题应当对症下药,多个方面,各个环节相互配合,共同进步,使消费者的个人信息能够得到更加完善周到的保护,为此,本文提出下列建议:

(一)健全相关法律法规,划定处分权限,明确责任归属

第三方支付行业对于个人信息的利用和消费者对于个人信息的控制支配权利之间存在一定的冲突,但是应当以保护消费者个人信息权利为先,任何人都不能够随意对其进行剥夺和侵害。消费者在注册时所填写的相关信息以及在支付活动中所产生的信息,第三方支付企业都无权在未经消费者许可的情况下对其进行处分,同时对于消费者不应收集与其服务无关的信息,如《网安法》中已有相关规定:“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”。对于具体的信息收集、利用、处理的范围、方式和手段都需要相关法律法规的进一步明确。

除了事前保障的完善以外,也要重视对消费者的事后救济,先下对于个人信息权利的侵害只能按照《侵权责任法》的过错责任原则进行处理,当消费者的个人信息权受到侵害时,需要对于一般侵权构成要件进行相关举证,但由于消费者和第三方企业相比处在弱势地位,对于相关证据的收集存在种种障碍,因此应当根据保护个人信息权利的特殊性建立具有倾斜性的责任认定原则和举证机制,降低救济成本,完善消费者维权的法律救济途径,如美国通过立法确定当个人获取细信息受阻时,可以向法院寻求救济等。对于严重侵害个人信息权利者应当加大其惩罚性赔偿力度,甚至追究其刑事责任。

(二)第三方支付行业加强行业自律,提高技术水平

首先第三方支付行业在运营和管理的过程中,应当清楚地认识到自身对于消费者个人信息有妥善保管、合理使用的义务,不能在未经用户同意的情况下,滥用消费者个人信息,剥夺消费者选择的权利,为自身谋取商业利益。美国对于个人信息的保护采取的是分散立法和行业自律相互配合的方式, 其中相当重视发挥行业自律的作用,从行业本身出发主动维护民众的个人信息不受侵害。由于多方面原因的综合,我国行业自律总是处于停滞不前的状态,为更好规范第三方支付行业,应当借鉴发达国家的先进经验,结合自身积极推行行业自律,遵循相关法律法规和企业内部机制,配合政府有关部门的有效监督,使第三方支付企业发挥“活水”作用,更具责任意识,有效地保护个人信息安全。

第三方支付行业除了加强行业自律以外,应当对于自身的技术质量提出更高的要求,现代信息技术日益发达,恶性软件及技术的形式愈加多样化,是企业信息管理的极大隐患。因此第三方支付企业应当做到魔高一尺道高一丈,吸收先进技术和经验,定期进行安全检查,弥补自身可能存在的漏洞,更好地为消费者提供支付服务。

(三)提高消费者的个人信息权保护意识

无论是不仔细浏览便同意产品服务协议,还是对含有个人信息的垃圾短信视若无睹,都体现着当下消费者个人信息权利保护意识的淡薄,对此应当及时采取相关措施进行积极宣传和科普个人信息权的内涵以及相关法律规定,使消费者意识到保护个人信息权利的重要性,并当个人信息权受损时,能拿起法律武器,积极寻求法律救济,维护自身合法权益。

六、结语

虚拟交易和电子商务的不断发展,第三方支付平台在日常生活中的广泛使用,提醒我们,互联网的产品设计需要“以用户为中心”,第三方支付平台对于个人信息的安全保护更加需要“以用户为中心”。对于第三方支付平台的管理不仅要靠企业自身严于律己和不断提高,也要靠政府相关部门政策扶持和有效监督,要靠相关法律机制的不断完善健全,对于个人信息权利的保护不单单对于消费者个体至关重要,更影响到网络环境的稳定和社会民生的良性发展。消费者应当积极运用法律武器,使个人信息能够免受不法侵害。

注释:

马永保.第三方支付行业消费者个人信息权保护探讨.甘肅金融.2014(4).45-47.

《中华人民共和国个人信息安全保护法》(2017年草案):http://www.sohu.com/a/20390 2011_500652.

朱凯超.论“被遗忘权”的证成——以信息权利保护的视角.知识经济.2015(4).24-25,27.

《2017年中国网络安全报告》:http://it.rising.com.cn/dongtai/18940.html.

蒋超.电子商务中个人信息权的民法保护研究.山东大学.2016.

赵玉军.浅谈第三方支付信息安全保护.首届银行和第三方支付行业信息安全等级保护技术大会论文集.2013.

猜你喜欢
第三方支付支付宝信息安全
保护信息安全要滴水不漏
奇客巴士支付宝旗舰店
第三方支付风险管理研究
论互联网金融创新
第三方支付平台对国有商业银行业务的影响
保护个人信息安全刻不容缓
我的支付宝
支付宝这样进医院
支付宝进医院:好还是不好?
信息安全