“平台未经许可向内置支付软件提供用户信息,被判违法!”
不久前,杭州互联网法院审理了一起关于某大型电商平台非法处理公民个人信息的案件。该法院认定两家被告公司的信息处理行为侵害个人信息权益,责令立即删除原告吴某个人信息,以书面道歉信方式向其赔礼道歉,并赔偿合理维权损失2000元。
据了解,被告公司分别为拼多多运营主体上海寻梦信息技术有限公司及其关联第三方支付机构上海付费通信息服务有限公司(以下简称“付费通”)。看完案件详情,移动支付网认为有两大重点值得关注。
支付平台“一键绑卡”属于向银行泄露信息?
按照吴某说法,当他在拼多多使用多多钱包提供的“免输卡号添加银行卡”功能时,原本打算选择自己已有的银行卡进行绑定,却误触了列表中的“民生银行”选项,并得到了“暂无银行卡可以绑定”的反馈。吴某认为,该反馈出现的原因在于被告向银行泄露相关信息。
在移动支付网实际测试中,多多钱包确实可以“检测”到用户有无某个银行的账户。当然,在选择“免输卡号添加银行卡”之前,用户需要同意《拼多多用户服务协议》《拼多多支付隐私政策》《快捷支付服务协议》《拼多多支付付款授权服务协议》等内容。
所谓“免输卡号添加银行卡”是目前许多支付平台都会提供的一键绑卡服务,在微信、支付宝、云闪付以及各大银行App都能找到类似功能。简单来理解,这是支付机构、商业银行、清算机构等支付服务主体,在进行充分信息交互基础上出现的产物。对用户而言是个十分便捷的功能,毕竟不是谁都能背下银行卡号,更多人也不止拥有一张银行卡。
吴某对此困惑,或许是由于提示信息不够明显所致。多多钱包实际提供者,即被告付费通认为,向银行共享身份信息的做法系基于选择该服务所必需,且已经事先明确同意。
对此小编建议各大支付平台,将授权请求字体做大。关于这点,云闪付显然做得更好。
网络商业平台与支付机构能否“互通有无”?
除了“免输卡号添加银行卡”问题外,吴某在查阅用户协议后方才发现,电商平台与其内置支付软件的运营主体并不一致,于是打算注销该支付账号,却发现无法注销。于是吴某还认为,拼多多在未经其同意的情况下,将其真实身份信息传输给付费通,侵害其个人信息权益等合法权益。
对此,拼多多认为案件所涉个人信息处理行为,“征得同意”并非必要条件,吴某主张“未获得有效同意”前提并不成立。相关用户协议对其收集信息的行为、目的有明确约定,且相关界面清晰载明用途,吴某亦主动输入身份信息、自行点击确认按钮,该行为系基于帮助吴某开通支付账户所需,具有充分合法性基础。
付费通则认为获取吴某身份信息是实名认证、开通第三方支付账户所必需,亦属于履行法定义务需要,同时取得了吴某授权,相关信息亦是由其主动提供,具有充分的合法性基础。注销账号也并非吴某的法定权利内容,与其个人信息权益没有任何关系。
最终法院在判定表示,根据《App违法违规收集使用个人信息行为认定方法》《个人信息安全规范》等相关规定,处理敏感个人信息应获得个人的单独同意,且平台内相关协议也对此作出明确约定。然而拼多多未以任何形式明确或单独告知吴某并取得其同意,仅在相关隐私政策中作出模糊说明,故拼多多的信息处理行为不符合个人信息处理的知情同意原则。
法院认为,根据知情同意规则,若未取得个人同意,即便信息处理者进行了充分、清晰的告知,拼多多处理个人信息的行为也侵害了个人信息权益。付费通收集原告个人信息,不仅未以任何形式告知,更未取得原告同意。在付费通收集原告个人信息的时间点,双方之间还未签订任何协议,甚至在开通服务时令用户误认为收集信息的主体是拼多多,不存在为履行合同必须进行信息处理的情形,有违诚信原则。
最后法院还特别指出,拼多多、付费通在开发、设计产品之初,应知其产品存在违法处理用户个人信息的问题,然而为追求商业利益仍上线经营,存在主观过错,故作出上述判决。
个人信息保护环境变化,利空支付后来者?
在支付行业,大型网络商业平台控制或关联支付机构并不是什么新鲜事。比如阿里与支付宝、腾讯与财付通、京东与网银在线、美团与钱袋宝、字节跳动与合众易宝、小米与捷付瑞通、苏宁和易付宝等等。
当然还有这次的主角拼多多和付费通。2020年1月,上海易翼信息科技有限公司认缴出资6083.99万元,将其付费通股权提升至50.01%,成为最大股东。而该控股公司的的法定代表人、实际控制人正是拼多多联合创始人陈磊。
资料显示,付费通成立于2003年,并在2011年就取得第三方支付牌照,与支付宝、财付通均为首批获得牌照的支付机构。付费通业务资质涵盖互联网支付、移动电话支付、固定电话支付、银行卡收单业务等,可以说是第三方支付里“全牌照”的存在,资质相当优秀。
通过这种控制关系,去年下半年开始,拼多多陆续对更多用户提供其专属支付服务,即由付费通实际提供服务的多多钱包。官方介绍也明确表示,多多钱包是拼多多推出的支付服务,并且通过该钱包支付还可享受随机立减或返现等特有优惠活动。
纵观这些背靠大型网络商业平台的支付机构,目前除了用户资源已十分巨大的支付宝与财付通(微信支付),其他支付机构获客运营仍然非常有赖于关联平台的影响力,这是常规且有效的方法。特别是美团支付(钱袋宝)、抖音支付(合众易宝)以及多多钱包等较后入局,且有意在此领域大展拳脚的角色而言,尤为如是。
然而外部环境已悄然改变,本月初《中华人民共和国个人信息保护法》已正式施行,作为个人信息处理者的网络商业平台比以往任何时候,都应该更全面审查网络产品及服务协议中涉及个人信息的内容。同时可根据新的规范要求,及时调整平台规则,促使平台及关联方的商业运作合法合规。
总而言之,大型网络商业平台更应当认识到个人信息权益及信息安全的重要性,最大限度实现用户权益和商业利益的平衡。此次杭州互联网法院关于拼多多、付费通的判决,对众多关联着支付机构并且有意经营支付业务的平台来说,是个提醒。司法机关某种程度上发挥了裁判指引的作用,是个人信息保护理念的落实。
用户体量遥遥领先,没有太多获客烦恼的支付宝和财付通或许不太关心这个问题。但不得不说个人信息保护环境的变化,显然利空这些支付的后来者。