最近筆者朋友圈被來自V2EX網站的《支付寶新版合同, 讓人不寒而慄, 都要搜集”手機通話分鐘數了”》刷屏[1], 各位朋友驚訝于“花唄”搜集資料之細密、角度之“刁鑽”。
它們在搜集什麼資料?
先來說一下V2EX上的這份支付寶新版合同吧。 關注焦點是資訊收集部分:
您同意並授權服務商收集的您的如下資訊:
4.2.1您及您的關聯方的身份資訊, 如姓名/名稱、證件號碼、證件類型、住所地、職業、電話號碼、支付寶、餘額寶或網商銀行帳戶認證資訊、電子郵箱位址以及其他身份資訊;
4.2.2您訪問服務商網站及服務商關聯公司網站(若有)、移動設備用戶端時, 或使用服務商及服務商關聯公司提供的服務時的操作日誌, 如您的電腦IP位址、設備識別字、硬體型號、作業系統版本、您的位置以及與本服務相關的日誌資訊;
4.2.3您在申請、使用服務商提供的服務時所提供、形成的任何資料和資訊,
4.2.4您及您的關聯方在服務商的關聯公司、合作夥伴、阿裡巴巴集團旗下公司處留存以及形成的任何資料和資訊, 如您的支付寶、網商銀行帳戶和/或基金、證券帳戶和/或其他銀行帳戶資訊、您在淘寶網及天貓網站上形成的消費、物流等資訊和資料、您的行為資料、您與服務商的關聯公司、阿裡巴巴集團旗下公司和服務商合作夥伴之間存在的任何合同及您在該等合同項下的履約情況;
4.2.5您的信用資訊, 如您的征信記錄和信用報告;
4.2.6您的財產資訊, 如您的店鋪/企業經營狀況、財稅資訊、房產資訊、車輛資訊、基金、保險、股票、信託、債券等投資理財資訊和負債資訊等;您同意並確認, 您在將前述資訊提供給服務商之前已清楚知曉可能帶來的不利後果,
4.2.7您在行政機關、事業單位、司法機關、監管部門、中國互聯網金融協會等行業自律組織或其他合法有權機構留存的任何資訊, 如戶籍資訊、您作為法定代表人或實際控制人的企業工商資訊、訴訟資訊、執行資訊和違法犯罪資訊等;
4.2.8您通過服務商與任何協力廠商封緘合作協定、服務協定等法律檔的相關資訊;
4.2.9您的社保參保狀態、繳費額度、繳費年限、繳費單位等;您的公積金基本資訊、繳存狀態、繳存支用額度流水, 繳存年限, 繳費單位, 貸款資訊等;您的通訊號碼、入網時間、聯繫位址等基本資訊, 帳戶餘額、消費記錄、欠費情況等通訊費用資訊以及往來通訊號碼、通話時長等通話詳單資訊;您的銀行資訊,
4.2.10其他通過合法途徑取得的與您接受服務有關的資訊;
如此密集的資訊採集點, 恐怕不管何時公佈, 都會引發熱議。
不過, 筆者7月4日前往支付寶查看時, 現有的版本與上面的不同, 是這樣的:
4.1您理解, 如果不收集您的一些必要資訊, 服務商將無法客觀判斷您的履約能力和意願, 也無法履行法律或監管要求服務商必須履行的一些法定義務(如反洗錢等)。 為了依法合規地向您提供更好的服務, 您理解和同意服務商可能需要按照以下方式獲取您的資訊:
4.1.1您在申請或使用本服務時向服務商提供的資訊, 如姓名、身份證號、聯繫電話、聯繫位址等;
4.1.2收集您在服務商的關聯公司和(或)阿裡巴巴集團旗下公司留存或形成的與本服務相關的必要資訊, 如您的資產資訊、履約資訊、日誌資訊等;
4.1.3收集您在服務商的合作夥伴處留存或形成的與本服務相關的必要資訊。 如您通過服務商與協力廠商封緘服務協定的相關內容等;
4.1.4向芝麻信用管理有限公司、資信評估機構或有關法律、監管機構許可的類似機構(以下統稱“信用服務機構”)採集您的信用資訊和(或)信用報告;
4.1.5向部分政府機構、司法機關及公共事業單位(如人力資源和社會保障部門、公積金管理中心、中國互聯網金融協會等機構)採集與本服務相關的必要資訊, 如您的工商註冊資訊、訴訟資訊、社保資訊等;
4.1.6向其他合法留存您資訊的自然人、法人以及其他組織收集與本服務相關的必要資訊。
筆者已經無從驗證V2EX版本的真實性,亦無從得知支付寶方面是否迫於輿論壓力更改了合同措辭。僅就文本而言,現有的合同相較於V2EX的而言,模糊很多。
請看51信用卡管家跟使用者的《授權服務協定》。
筆者也思考不出這些與我個人的信用狀況有什麼關係。可能它們的大資料風控系統發現用真人頭像的信用好,不用真人頭像的信用不好?或許是為了催收?
說起來這幾年互聯網消費信貸大火,憑什麼?打互聯網那邊來了個人借錢,是什麼給了公司放貸的自信?這是以個人讓渡自己的資訊為代價的。
資訊,可以搜集,但請披露
根據6月1日起施行的《網路安全法》,
個人資訊,是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別自然人個人身份的各種資訊,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別資訊、住址、電話號碼等。
網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。
網路運營者不得收集與其提供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人資訊。
這裡存在諸多模糊地帶,舉例來講,誰能證明被網路運營者收集去的個人資訊與它提供的服務無關?恐怕相關公司都會用“正在探索大資料風控”來證明搜集個人資訊與自身業務的相關性吧。
這幾年筆者聽說過許多公司講的大資料風控“故事”:上傳照片時微笑的申請人欺詐概率低、輸入自己證件號碼快的申請人欺詐概率低、女性比男性欺詐概率低……
公司如何做風控,合法合規即無可厚非。商業契約,願打願挨,不願意被搜集相關資訊,拒絕此類公司的服務即可。真正可怕的是,搜集了,還不告訴你。
顯然51信用卡管家不是唯一一家會搜集個人資訊的公司,筆者沒有針對某一家公司的意思。只希望提醒各位在使用金融服務時,一定要仔細看清合同,按照自己的真實意願享受金融服務。
央行征信管理局局長萬存知曾在回應“央行在2015年同意8家社會機構進行個人征信開業準備,但迄今仍未下發個人牌照”時提到一個原因:二是未想到社會公眾個人資訊保護意識空前高漲,監管部門秉持審慎審批的原則,對8家進入開業準備階段的機構提出了更高的要求。現在看來,民眾對個人資訊保護的意識仍在高漲中。
如何界定個人資訊的邊界,如何有效讓渡個人資訊,如何規範公司採集、保存、整理、加工和使用個人資訊,仍然任重而道遠。
[1]https://www.v2ex.com/t/372462?p=1&from=timeline&isappinstalled=0
如您的工商註冊資訊、訴訟資訊、社保資訊等;4.1.6向其他合法留存您資訊的自然人、法人以及其他組織收集與本服務相關的必要資訊。
筆者已經無從驗證V2EX版本的真實性,亦無從得知支付寶方面是否迫於輿論壓力更改了合同措辭。僅就文本而言,現有的合同相較於V2EX的而言,模糊很多。
請看51信用卡管家跟使用者的《授權服務協定》。
筆者也思考不出這些與我個人的信用狀況有什麼關係。可能它們的大資料風控系統發現用真人頭像的信用好,不用真人頭像的信用不好?或許是為了催收?
說起來這幾年互聯網消費信貸大火,憑什麼?打互聯網那邊來了個人借錢,是什麼給了公司放貸的自信?這是以個人讓渡自己的資訊為代價的。
資訊,可以搜集,但請披露
根據6月1日起施行的《網路安全法》,
個人資訊,是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別自然人個人身份的各種資訊,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別資訊、住址、電話號碼等。
網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。
網路運營者不得收集與其提供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人資訊。
這裡存在諸多模糊地帶,舉例來講,誰能證明被網路運營者收集去的個人資訊與它提供的服務無關?恐怕相關公司都會用“正在探索大資料風控”來證明搜集個人資訊與自身業務的相關性吧。
這幾年筆者聽說過許多公司講的大資料風控“故事”:上傳照片時微笑的申請人欺詐概率低、輸入自己證件號碼快的申請人欺詐概率低、女性比男性欺詐概率低……
公司如何做風控,合法合規即無可厚非。商業契約,願打願挨,不願意被搜集相關資訊,拒絕此類公司的服務即可。真正可怕的是,搜集了,還不告訴你。
顯然51信用卡管家不是唯一一家會搜集個人資訊的公司,筆者沒有針對某一家公司的意思。只希望提醒各位在使用金融服務時,一定要仔細看清合同,按照自己的真實意願享受金融服務。
央行征信管理局局長萬存知曾在回應“央行在2015年同意8家社會機構進行個人征信開業準備,但迄今仍未下發個人牌照”時提到一個原因:二是未想到社會公眾個人資訊保護意識空前高漲,監管部門秉持審慎審批的原則,對8家進入開業準備階段的機構提出了更高的要求。現在看來,民眾對個人資訊保護的意識仍在高漲中。
如何界定個人資訊的邊界,如何有效讓渡個人資訊,如何規範公司採集、保存、整理、加工和使用個人資訊,仍然任重而道遠。
[1]https://www.v2ex.com/t/372462?p=1&from=timeline&isappinstalled=0