花呗用户服务合同火速变更发生了啥?专家称仍留“后路“

2019-07-11 06:13:15

  7月3日,新一版《花呗用户服务合同》(以下简称《合同》)火速出炉。此前于6月30日,蚂蚁金服旗下用于淘宝、天猫的信用消费信贷产品——“花呗”服务协议刚一出炉便引发轩然大波。

  短短3天之内,《花呗用户服务合同》前后到底发生了什么?

2017年7月12日,中国人民大学金融科技与网络安全研究中心副主任、博士以及信息收集是否跨境。

  专家:仍留有“后门”

  根据修改前的《花呗用户服务合同》,其中,第4.2条的约定,花呗用户的如下信息均在服务商的掌握之下:

(I)所有身分资料;

  (2)访问服务商网站及服务商关联公司网站、移动客户端时提供或形成的任何数据和信息;

  (3)所有财产信息,如店铺/企业经营状况、财税信息、房产信息、车辆信息、基金、保险、股票、信托、债券等投资理财信息和负债信息等;

  (4)在政府机构、行业自律组织留存的任何信息,如户籍信息、企业工商信息、诉讼信息、执行信息和违法犯罪信息等;

  (5)信用信息,如征信记录和信用报告;

(六)社会保障公积金信息、通信号码和费用信息,以及通信号码、通话时间等通话细节信息;

  (7)银行信息,如开卡银行、银行卡号、额度、还款情况等基本信息,刷卡时间、地点、金额等用卡信息。

  此外,用户的“关联方”同样也要提供他/她在服务商及其关联公司、合作伙伴、阿里巴巴集团旗下公司处留存以及形成的任何数据和信息以及一条兜底条款,即“其他通过合法途径取得的与您接受服务有关的信息”。

7月3日,修改后的“合同”条款保留了“必要性原则”,并在“与服务有关的必要信息”的基础上对信息收集进行了界定。

  不过,许可认为,尽管这次修改看起来诚意十足,可仍留有“后门”。其中,第4.1.6条规定:“其他合法留存您信息的自然人、法人以及其他组织收集与本服务相关的必要信息。”

在本条中,许可证规定,在现有法律框架下,用户在访问将个人信息存储在另一方的一般授权时,可能会给服务提供商带来两种风险:

  一是可能违反他方就信息使用的“必要性”原则,毕竟花呗服务的“必要性”并非他方服务或管理的“必要性”;

第二,在服务提供者间接收集而不是由用户直接提供的情况下,用户无法预测将收集哪些信息(违反透明度原则)或评估收集的后果,从而难以在知情的基础上达成协议(违反实质性同意原则)。

官员:回答问题的三个要点

针对部分用户在用户服务合同“收集用户信息”方面的困惑和关注,蚂蚁金服集团给出了三个答复,并对其进行了解释。

  1、我们为什么要申请采集用户的一些信息?

  把钱借给一个人前,人们通常的做法是,先去了解这个人有没有能力还钱、有没有意愿还钱。然后根据掌握到的信息,来决定是不是借给他/她,以及借多少。

  这是降低风险的常规手法。个人是如此,机构也是如此。在信贷行业,信贷机构需要了解借贷人的财务状况、信用状况等信息,才能更好的做出是否借贷及借贷额度的判断。

  在花呗,我们同样需要采集此类信息,以更好为用户提供服务,进行提额等操作。因此会申请用户授权我们来采集相关信息。

  2、为什么要列举这些信息?

用户服务合同列出了一些"收集用户信息,"条款,但实际上,实际的信息收集要小得多。

我们寻找相关的商学院学生了解情况,原来的是他们认为在未来由于风险控制安全的需要或优化服务可能会扩大一些收集范围,为了避免将来干扰用户,他们会列出一些将来可能收集的信息。

  现在看来,这种方式反而会引发大家的困惑和误解。是我们考虑不周,抱歉。目前,我们已经对合同条款进行了相应优化。请您放心,我们不会在没有获得您同意的情况下收集您的信息。

3.信息是否会被滥用或泄露?

收集这些个人资料会否导致滥用或披露?事实上,数据安全和个人信息保护一直是我们的生命线。

  在操作上,我们严格遵循“个人同意”原则,会先进行公开告知,获得用户授权后,才进行采集。在处理中,程序会对这些信息进行分类、脱敏。

您有权获取所收集的信息,并将只用于您自己的服务成本服务,我们将不会被转移到第三方未经您的授权。

  蚂蚁金服强调,“个人信息保护是我们非常重视的事情,不滥用信息也是我们最基本的原则。”

所属行业:法制薄弱

众所周知,随着信息技术的逐渐成熟和广泛应用,我国的信用工业正面临着深刻的变化。然而,我国信用体系的现行法律制度薄弱,惩戒激励机制不完善,信息孤岛普遍存在,缺乏可信的信用体系。

  虽然目前各机构手中都有大量的数据,但是更“多维”的数据才会更有价值。而现状在于,各机构不愿意分享数据造成各机构难形成合力已成为现在征信行业主要痛点之一。

同时,我国传统的信用信息监管策略和技术管理手段已难以适应新形势下信用行业监管的要求。

  在互联网征信的条件下,虚拟化的信息搜索和整合以及数据库的生成是基本特点,而现场检查这一具体监管手段对此似乎缺乏着力点,非现场监管手段又缺乏时效性和连续性,难以达到监管机构预期效果。这就对我国征信业的日常监管体系、监管策略与水平等提出了更高的要求。

值得一提的是,信用报告行业管理条例的出台,解决了信用报告发展中的难题,社会各界对建立信用中介机构的热情也很高,但也有许多非专业机构盲目跟风。

此外,从档案企业信用机构的角度来看,大多数新兴机构大多规模较小,部分民营信贷机构存在数据难以收集、专业化程度低、信贷产品质量差等问题。一些信贷机构的经营能力较弱。设立信用公司的目的只是为了获得信用记录,而没有开展真正的业务。

在互联网信用信息迅猛发展的背景下,如何有效保护个人隐私权是摆在立法和监管机构面前的一个重要课题。

同样,目前,中国没有颁布单独的“个人信息保护法”,不利于对信息主体的隐私权的司法保护和对权利受到损害者的赔偿。

此外,我国的相关法律法规对于如何在信用机构的运作中使用大量的个人信用信息没有必要的规定,也没有对侵犯个人信息权益的法律责任作出严格而详细的规定。这也是目前发放个人信贷许可证的主要诱因。