▲支付宝年度账单。图片来自支付宝截图

  突然之间,一条《小心!支付宝年度账单可能让你不知不觉签了个服务协议》的信息刷爆朋友圈。不看不知道,一看吓一跳。原来支付宝年度账单的下面,隐藏着一个《芝麻服务协议》,并且默认勾选了同意。此事发酵后,芝麻信用管理公司很快发布情况说明,@支付宝转发,向公众致歉并表示已调整页面,取消默认勾选。

  不过,进一步细看这个协议,我沉默了。我相信,之前很多人签过这个协议,但实际上根本没真正看过,即使看过,也未必知晓意味着什么。

  ▲芝麻服务协议。图片来自支付宝截图

  默认勾选仅从形式上就涉嫌违规

  在手机支付已经逐渐取代现金支付的年代,年末看看自己过去一年的支付账单,是很多人不假思索的选择。从法律角度看,这些支付信息是用户自己消费、支付留下的记录,包含大量的个人隐私,属于受法律保护的公民个人信息。

  支付宝只是代为存储这些信息,但并非这些信息的权利主体。因此,用户查看自己的这些信息是其天然的权利,不需要经过支付宝同意,更不需要附加任何额外的条件。而支付宝之外的第三方如果需要获得并使用这些信息,必须要经过用户的同意和授权。

  大数据时代,用户的这些支付信息具有极其重要的商业价值,几乎每个互联网公司都求之若渴。问题是,芝麻信用没有循正常途径获得用户授权,而是将《芝麻服务协议》作为一个附件内置在支付宝年度账单的首页,放置在极不起眼的位置并且使用小号字体,使得一般的消费者难以察觉。它默认勾选同意,但协议内容必须点击才能展开,只要用户稍不留神或者稍有疏忽,轻滑指尖,就可以造成用户授权的既成事实。

  这种做法,毫无疑问违反了《民法总则》确立的诚实信用原则。我国《消费者权益保护法》更是明文规定,经营者不得借助技术手段强制交易。经营者收集、使用消费者个人信息,应当明示收集、使用信息的目的、方式和范围,并经消费者同意。此处的“同意”,应当是消费者在充分知情的基础上,做出的真实、自主的意思表示。

  类似《芝麻服务协议》这样借助技术手段,让客户在不知情、不经意的情况下自动“同意”,且不论协议内容如何,仅从形式上看,就涉嫌违反了国家工商总局《侵害消费者权益行为处罚办法》的规定。

  ▲芝麻服务协议。图片来自支付宝截图

  《协议》签署的前提就已对消费者构成强制

  其实,任何一个仔细看过《芝麻服务协议》条款的人,估计都不会轻易去签署。根据《协议》,使用蚂蚁金服的服务就等于接受协议全部内容。但使用蚂蚁金服的服务,跟无条件授权芝麻信用获取和使用个人信息并无必然关联,前提就已经对消费者构成了强制。

  根据《协议》,芝麻信用可以直接向第三方提供用户信息,且用户无权撤销第三方的信息查询授权。未来的协议变更,芝麻信用只需以公布的形式进行通知。不用找用户反复确认,一次授权等于终身授权。哪怕是服务终止后,芝麻信用仍可继续保留和使用用户信息。

  这哪里是什么协议,分明就是一份个人信息的“卖身契”。仅从契约伦理上来讲,这种排除消费者权利、免除自身责任的格式条款,不论是根据《消费者权益保护法》,还是《合同法》,都涉嫌违法且无效。

  此外,在国家工商行政管理总局发布的《侵害消费者权益行为处罚办法》中,第六条规定,经营者向消费者提供有关商品或者服务的信息应当真实、全面、准确,不得有虚假或者引人误解的宣传行为,其中第(8)项即为夸大或隐瞒所提供的商品或者服务的数量、质量、性能等与消费者有重大利害关系的信息误导消费者。

  ▲芝麻服务协议。图片来自支付宝截图

  立法和执法都要跟得上时代变化

  在过去,个人隐私主要集中在住宅之内,主要以物理形式存储。是故,非经法律授权或者当事人同意,任何人不得侵入住宅被上升为宪法规定。现如今,个人隐私主要以数据、信息的方式存储,其产生、传播和使用都变得网络化、商业化。

  然而,我们的立法和执法,显然还没有跟上这样的变化。虽然很多立法都有保护公民个人信息的立场宣示,但在具体的保护方式、保护手段方面却往往付之阙如,相关职能部门也鲜有主动执法。这导致的现实困境是,公民个人信息保护更多的依赖像阿里、腾讯这样的互联网巨头的道德自觉。

  其实除了支付宝,其他的APP和网站很多也同样存在类似的问题。大数据时代,要想摆脱信息裸奔的命运,除了靠商家的道德自觉,更重要的是靠消费者的权利觉醒和监管部门的强力执法。消费者并不傻,所以奉劝“芝麻信用们”,还是别再给人也给自己挖坑了。

  □邓学平(京衡律师上海事务所)