個人信息權(quán)利和企業(yè)數(shù)據(jù)權(quán)利彼此聯(lián)結(jié)又相互沖突。問題關(guān)鍵是如何在具體的場景下,妥善劃定各自邊界和責(zé)任。
6月30日,螞蟻金服旗下用于淘寶、天貓的信用消費信貸產(chǎn)品——“花唄”的服務(wù)協(xié)議引發(fā)了軒然大波。對于實際閱讀比例不足5%的網(wǎng)絡(luò)用戶服務(wù)協(xié)議而言,這一事件堪稱異事,不免讓人“奇聞”共欣賞,“疑義”相與析。
《花唄用戶服務(wù)合同》:6月30日版VS. 7月3日版
觸動大眾神經(jīng)的是《花唄用戶服務(wù)合同》中有關(guān)用戶信息收集的條款。根據(jù)第4.2條的約定,花唄用戶的如下信息均在服務(wù)商的掌握之下:
(1)所有身份信息;
(2)訪問服務(wù)商網(wǎng)站及服務(wù)商關(guān)聯(lián)公司網(wǎng)站、移動客戶端時提供或形成的任何數(shù)據(jù)和信息;
(3)所有財產(chǎn)信息,如店鋪/企業(yè)經(jīng)營狀況、財稅信息、房產(chǎn)信息、車輛信息、基金、保險、股票、信托、債券等投資理財信息和負(fù)債信息等;
(4)在政府機構(gòu)、行業(yè)自律組織留存的任何信息,如戶籍信息、企業(yè)工商信息、訴訟信息、執(zhí)行信息和違法犯罪信息等;
(5)信用信息,如征信記錄和信用報告;
(6)社保和公積金信息、通訊號碼和費用信息以及往來通訊號碼、通話時長等通話詳單信息;
(7)銀行信息,如開卡銀行、銀行卡號、額度、還款情況等基本信息,刷卡時間、地點、金額等用卡信息。
此外,這還不是用戶一個人在戰(zhàn)斗,用戶的“關(guān)聯(lián)方”同樣也要提供他/她在服務(wù)商及其關(guān)聯(lián)公司、合作伙伴、阿里巴巴集團旗下公司處留存以及形成的任何數(shù)據(jù)和信息。如果這些都不足以讓你膽戰(zhàn)心驚的話,那么還有一條兜底條款——“其他通過合法途徑取得的與您接受服務(wù)有關(guān)的信息”。
上述信息收集條款因違反《網(wǎng)絡(luò)安全法》第41條和《電子商務(wù)法(草案)》第46條所明確規(guī)定的“必要性原則”受到批評。“必要性”即“必不可少”之意,香港站群服務(wù)器 美國服務(wù)器,它意味著服務(wù)商所收集的數(shù)據(jù)應(yīng)當(dāng)為服務(wù)提供所必需或相適應(yīng),收集的范圍和數(shù)量應(yīng)當(dāng)與用戶使用該服務(wù)的目的相匹配或成比例。在我國的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》中,這一“必要性原則”被更精確地稱為“最小夠用原則”——只處理與處理目有關(guān)的最少信息。以此反觀上述第4.2條,法網(wǎng)顯然過于“周嚴(yán)”,更將信息主體擴張到“關(guān)聯(lián)方”,不但違反了合同在簽署雙方之間有效的“合同相對性原則”,更與“最少信息”相反,邊界直到所有與服務(wù)“相關(guān)”卻不一定“必要”的“最多信息”。
迫于外界壓力和業(yè)務(wù)合規(guī)的要求,7月3日,新一版的《花唄用戶服務(wù)合同》火速出爐。在這一版中,上述巨細(xì)靡遺的條款幾乎被刪除殆盡,關(guān)聯(lián)方的要求自然也不復(fù)存在,修改后的條款謹(jǐn)守“必要性原則”,將信息收集限定在“與服務(wù)相關(guān)的必要信息”上。盡管這次修改看起來誠意十足,可仍留有后門——其4.1.6條規(guī)定:“其他合法留存您信息的自然人、法人以及其他組織收集與本服務(wù)相關(guān)的必要信息。”在現(xiàn)有的法律框架下,用戶對服務(wù)商調(diào)取在他方存儲個人信息的概括授權(quán),可能帶來兩方面的風(fēng)險:一是可能違反他方就信息使用的“必要性”原則,畢竟花唄服務(wù)的“必要性”并非他方服務(wù)或管理的“必要性”;二是在服務(wù)商間接收集,而非用戶直接提供的場合,用戶不可能預(yù)知哪些信息會被收集(違反“透明性原則”),也無法評估收集的后果,從而難以在知情的基礎(chǔ)上同意(違反“實質(zhì)同意原則”)。
總之,較諸6月30日版,7月3日版的《花唄用戶服務(wù)合同》已算浪子回頭,但仍留下未了的法律難題——對于運營商來說,怎樣做才對呢?其背后的制度癥結(jié)究竟在哪?
個人信息VS.數(shù)據(jù)
無論是個人信息,還是數(shù)據(jù),都是網(wǎng)絡(luò)時代帶給法律制度的新挑戰(zhàn)。作為回應(yīng),將于今年10月1日實施的《民法總則》第111條和第127條,分別規(guī)定了“個人信息”和“數(shù)據(jù)”。然而,對于“個人信息”和“數(shù)據(jù)”的法律定位、制度設(shè)計和保護方式,立法者均未形成共識,因而上述條款僅僅具有權(quán)利保障的宣示性質(zhì)——對于個人信息,不得“非法”收集、使用、加工、傳輸、買賣、提供或者公開;對于數(shù)據(jù),法律予以保護。但究竟何為“非法”?如何“保護”?均語焉不詳。這一立法模糊造成的問題有三:
