个人信息权利和企业数据权利彼此联结又相互冲突。问题关键是如何在具体的场景下,妥善划定各自边界和责任。
6月30日,蚂蚁金服旗下用于淘宝、天猫的信用消费信贷产品——“花呗”的服务协议引发了轩然大波。对于实际阅读比例不足5%的网络用户服务协议而言,这一事件堪称异事,不免让人“奇闻”共欣赏,“疑义”相与析。
《花呗用户服务合同》:6月30日版VS. 7月3日版
触动大众神经的是《花呗用户服务合同》中有关用户信息收集的条款。根据第4.2条的约定,花呗用户的如下信息均在服务商的掌握之下:
(1)所有身份信息;
(2)访问服务商网站及服务商关联公司网站、移动客户端时提供或形成的任何数据和信息;
(3)所有财产信息,如店铺/企业经营状况、财税信息、房产信息、车辆信息、基金、保险、股票、信托、债券等投资理财信息和负债信息等;
(4)在政府机构、行业自律组织留存的任何信息,如户籍信息、企业工商信息、诉讼信息、执行信息和违法犯罪信息等;
(5)信用信息,如征信记录和信用报告;
(6)社保和公积金信息、通讯号码和费用信息以及往来通讯号码、通话时长等通话详单信息;
(7)银行信息,如开卡银行、银行卡号、额度、还款情况等基本信息,刷卡时间、地点、金额等用卡信息。
此外,这还不是用户一个人在战斗,用户的“关联方”同样也要提供他/她在服务商及其关联公司、合作伙伴、阿里巴巴集团旗下公司处留存以及形成的任何数据和信息。如果这些都不足以让你胆战心惊的话,那么还有一条兜底条款——“其他通过合法途径取得的与您接受服务有关的信息”。
上述信息收集条款因违反《网络安全法》第41条和《电子商务法(草案)》第46条所明确规定的“必要性原则”受到批评。“必要性”即“必不可少”之意,它意味着服务商所收集的数据应当为服务提供所必需或相适应,收集的范围和数量应当与用户使用该服务的目的相匹配或成比例。在我国的《信息安全技术公共及商用服务信息系统个人信息保护指南》中,这一“必要性原则”被更精确地称为“最小够用原则”——只处理与处理目有关的最少信息。以此反观上述第4.2条,法网显然过于“周严”,更将信息主体扩张到“关联方”,不但违反了合同在签署双方之间有效的“合同相对性原则”,更与“最少信息”相反,边界直到所有与服务“相关”却不一定“必要”的“最多信息”。
迫于外界压力和业务合规的要求,7月3日,新一版的《花呗用户服务合同》火速出炉。在这一版中,上述巨细靡遗的条款几乎被删除殆尽,关联方的要求自然也不复存在,修改后的条款谨守“必要性原则”,将信息收集限定在“与服务相关的必要信息”上。尽管这次修改看起来诚意十足,可仍留有后门——其4.1.6条规定:“其他合法留存您信息的自然人、法人以及其他组织收集与本服务相关的必要信息。”在现有的法律框架下,用户对服务商调取在他方存储个人信息的概括授权,可能带来两方面的风险:一是可能违反他方就信息使用的“必要性”原则,毕竟花呗服务的“必要性”并非他方服务或管理的“必要性”;二是在服务商间接收集,而非用户直接提供的场合,用户不可能预知哪些信息会被收集(违反“透明性原则”),也无法评估收集的后果,从而难以在知情的基础上同意(违反“实质同意原则”)。
总之,较诸6月30日版,7月3日版的《花呗用户服务合同》已算浪子回头,但仍留下未了的法律难题——对于运营商来说,怎样做才对呢?其背后的制度症结究竟在哪?
个人信息VS.数据
无论是个人信息,还是数据,都是网络时代带给法律制度的新挑战。作为回应,将于今年10月1日实施的《民法总则》第111条和第127条,分别规定了“个人信息”和“数据”。然而,对于“个人信息”和“数据”的法律定位、制度设计和保护方式,立法者均未形成共识,因而上述条款仅仅具有权利保障的宣示性质——对于个人信息,不得“非法”收集、使用、加工、传输、买卖、提供或者公开;对于数据,法律予以保护。但究竟何为“非法”?如何“保护”?均语焉不详。这一立法模糊造成的问题有三: