近日,支付宝旗下蚂蚁花呗更新了《花呗用户服务合同》,并正式宣布“蚂蚁花呗”更名为“花呗”,新合同已于日前正式上线生效。据媒体报道,花呗合同更新对于信息收集有大幅修改。对于媒体报道的花呗合同版本,有观点认为违反了合同相对性原则,将用户的关联方纳入信息收集对象;违反了必要性和目的性原则,收集信息过于宽泛,存在较大的瑕疵。但是,在最新公布的合同官方版本中,消除了之前版本存在的信息收集的违法内容,总体而言,符合法律规范与相关行业惯例。
比较媒体报道和最近官方版的合同条款,差异主要体现为以下方面:一是受影响主体,前者将关联方纳入其中,并且未界定关联方的范围;二是信息直接收集,大幅删除前者所列举出的信息内容,如银行卡信息、财产信息、政府机关信息等;三是信息间接收集,尽管后者已经将相关信息内容删除,但仍有间接收集的途径。
媒体报道版本合同中,详细罗列了花呗对个人信息收集范围,包括“被收集人以及关联方的身份信息”、“访问服务商网站及服务商关联公司网站(若有)、移动设备客户端时,或使用服务商及服务商关联公司提供的服务时的操作日志”、“申请、使用服务商提供的服务时所提供、形成的任何数据和信息”等,这虽然有效保障了用户知情权,但是,收集信息较为宽泛,如不是用于花呗授信的风险管理,则违反了必要性和目的性原则。
最新官方版的合同条款大幅删除了上述列举的信息内容,如银行卡信息、财产信息、政府机关信息等,从而将信息收集限制在必要的身份信息以及在花呗服务商和阿里巴巴集团中所获得的信息,消除了直接收集信息的违法性。
媒体报道版本合同中,有“为建立信用体系,您同意并授权服务商向芝麻信用管理有限公司等征信机构、中国互联网金融协会等行业自律组织或其他合法有权机构发送您的信息(包括不良记录信息)并无需另行通知您”的表述,这是为了预先获取用户的授权,未来采集时不再征求用户授权。
不过,最新官方版的合同条款中删去了这部分内容,体现了对于收集信息授权更加谨慎。
目前,我国法律法规提出了用户同意的原则性要求,但对于授权的形式暂未作出具体规定。互联网产品与老百姓生活密切相关,产品创新日新月异。要求网络运营者在每次新增采集信息类别时,再逐一取得用户授权不现实。一方面会大幅增加授权成本,另一方面对用户也会造成频繁的打扰。既不经济,效率也低下。此外,“一次授权多次采集”是互联网行业的通行做法,笔者认为,花呗此前媒体报道合同版本中的相关表述并没有特别之处。
此外,笔者认为,兜底性条款并不违反法律规定与行业惯例。在官方版合同中,“获得您的同意或授权的其他情形”设定了兜底合同,如果不用兜底性条款,而将所有信息源进行罗列,且在变更时再与用户达成一致,实际上可能无法实现,效率低、成本高。这可能是包括网络经营领域在内的各行各业需要面临的共性问题。所以,兜底条款并不违反法律规定与行业惯例。
此外,还有争议来自于官方版合同中的这一条款:“当您违反与服务商的约定时,为维护服务商的合法权益,在您的同意下可向与服务商合作的律师事务所、催收公司,及服务商认为可向您传达信息的亲戚朋友、联系人等披露您的违约信息;若服务商与您的亲戚朋友、联系人等关联方存在纠纷未能协商解决的,服务商可能会自行或通过催收公司、律师事务所、法院、仲裁委员会和其他有权机关与您联系,请您帮助服务商或上述机构向您的关联方转达相关诉求,上述转达以您自愿为基础,并不会让您承担任何额外的法律义务或责任。”
需要注意的是,这里不是说要采集用户关联方的信息,而是当用户逾期时,可能会通过用户的关联方通知用户及时还款,但不会给用户和关联方增加任何额外的义务和责任。从法律角度而言,也不存在问题。
笔者认为,较之于信息采集,信息的使用和对外提供的管控更加重要。民法总则第111条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
采集用户信息,使用及对外提供前并不会对用户造成任何侵害。因此,笔者建议,在互联网高度发展的今天,应适当降低采集的门槛,而更加关注或提高网络运营者的数据安全保障能力、内控制度、对外提供授权等门槛。只有如此,才能真正保护用户的个人信息权利。
转载请注明出处。