小心互聯網世界「隱藏套路」,謹防賬戶信息被盜用
2018年年初,我們都收到了來自支付寶的貼心小禮物——2017支付寶年賬單。在這份禮物的最後,還根據大家的2017年賬單預測出了2018年關鍵字。
我的關鍵字,是「當家」,but...我去年支付寶上有75%的錢都是敗家消費,支付寶竟然給了我「當家」這個詞,也是,畢竟,如果把「當家」換成「敗家」或「月光」,我可能就不會分享了...
好了,言歸正傳。相信有很多人,在積極的曬完2018年關鍵字之後,就緊接著通過各個渠道得知了一個消息:查看完支付寶年賬單之後,自己莫名其妙的就簽了一份《芝麻服務協議》。而且這份協議的內容,堪比賣身契...
為什麼說是賣身契呢?我專門聯繫了享法的辛小天律師來幫大家劃劃這份協議中的重點。
您的個人信息已授權芝麻信用使用:
? 信息的範圍包括個人信息、行為信息、交易信息、資產信息、設備信息,以及,您的收入、存款、有價證券、商業保險、不動產的信息和納稅數額信息。
? 芝麻信用對這些信息的使用方式包括保存、整理、分析、比對、演算、歸納及(或)加工等各項操作。
您的個人信息已經得以在協議約定的範圍內(芝麻信用及其合作方)自由流通:
? 您已授權芝麻信用管理有限公司(「芝麻信用」),從合法保存有您信息的第三方,收集和處理您的各類信息。
? 您已授權芝麻信用向這些第三方提供您的信息:金融機構、類金融機構、電子商務公司、電信運營商、政府公共信用信息平台(例如上海、杭州市信用中心)及事業單位等一切盈利性、非盈利性、公共、民間的機構及組織。
PS:大家經常會接到各種垃圾簡訊、推銷電話,比如問你需不需要買保險、買房子、辦貸款等,這都是個人信息被泄漏的表現。
? 您已授權芝麻信用在收到第三方提供的您的信息時,授權芝麻及其合作機構可對您的留存信息進行對比分析。
? 您已同意芝麻信用可以將您的全部信息進行分析並將結果推送給芝麻信用的合作或服務的機構,並且這種分析結果的輸出無須另行獲得您的授權。
您的授權難以撤銷
? 第三方(而不是芝麻信用)的信息查詢授權可以撤銷,但是,如果第三方業務正在存續期間,則芝麻信用有權拒絕您撤銷授權。
? 就算是服務終止,芝麻信用仍可繼續保留服務期間您因使用服務而形成的信息和數據。
從此您需要保證自身信息準確無誤
? 您需要保證所有信息的真實、完整和準確性,並且根據芝麻信用的需求隨時補全和更新。
有人會覺得:這協議里的內容早就了解過了,雖說初看時覺得很氣憤,感覺支付寶很不尊重用戶,但後來這份協議在頁面中被取消了呀。
是的,不管大家有沒有看過這份賬單,都知道這次支付寶的過分營銷行為侵害了用戶權益,也知道支付寶大大向用戶認錯了。芝麻信用明確表示:這次不管是被默認勾選還是主動同意,都不會因此成為芝麻信用的用戶,所以也就不存在芝麻信用會收集用戶信息的可能。這件事不是已經過去了么?然而事實到底是怎樣的,也就只有支付寶心裡有數了。
在這裡,我想提醒大家的是:支付寶選擇在這次營銷活動當中放入與查閱賬單完全沒有直接聯繫的《芝麻服務協議》,並替大家默認勾選了「我同意」,其背後的用意難道不是故意在這裡安插了授權入口,赤裸裸的違背法律規定中,需明確告知用戶的義務,想要利用大家的視覺盲點和法律盲點來獲取、搜集用戶個人信息?擺明了就是要明知故犯,性質極其惡劣。
查閱支付寶賬單,並非要求芝麻信用向用戶提供徵信服務的意思,我想大部分用戶也不會在查看賬單時,明確了解自己還有要求芝麻信用提供徵信服務的意思。並且,經過試用,這份協議即便點選取消,也同樣可以查閱賬單。
芝麻信用的這個用戶協議一旦勾選後授權範圍無限大,幾乎把用戶個人信息當作了芝麻信用自己的財產來玩耍,我給大家剖析一下授權範圍:
授權芝麻信用進行信息處理:
芝麻信用可以對收集到的用戶信息進行包括但不限於保存、整理、分析、比對、演算、歸納及(或)加工等各項操作,而且芝麻信用可以將結果推送給芝麻信用的合作或服務的機構;
授權芝麻信用向第三方提供用戶信息:
這裡的第三方包括了盈利性、非盈利性、公共、民間的機構及組織;
授權芝麻信用向第三方索要用戶信息:
芝麻信用可以索要各類用戶的信息,還能將這種索要的信息拿來做處理和分析比對;
即便用戶不再使用芝麻信用的服務,芝麻信用仍可以永久保留用戶在其上的使用信息和數據
上面的這無限大的許可權似乎和國家明確要求個人信息收集的「合理、正當」基礎相差較遠,更別提此次事件中的用戶信息收集是偷偷摸摸進行的了。
試想一下,如果大家一直對這種行為保持寬容,那麼今年,還會不會出現2018年支付寶年賬單里內含其他「隱藏內容」,套路用戶的情況呢?
想到這裡,反正我已經是遍體生寒了,雖然不能在互聯網世界中太過草木皆兵。但一些「有人氣」「有信譽度」「有口碑」的企業,竟然會通過各種營銷手段獲取我的個人信息,提供給不知道哪裡?幾個?第三方機構,這樣的行為讓我不得不在互聯網世界中多加防範,時刻保持警惕,以免在不知不覺中「被出賣」了個人信息。
而對於企業來說,部分企業的過分營銷活動取得了成功,在前期獲得了大量用戶支持,在後期通過道歉、填坑等一系列挽救行為得到用戶的原諒。這種惡性循環如果一直存在,那麼,就會有無數企業紛紛效仿,長此以往不僅會消耗掉用戶的信任值,再難以取得用戶的信任,還會對企業的口碑、品牌形象、甚至公司經營方面都造成不可預估的損失。
因此,作為在互聯網世界中穿行的用戶,我們應該有意識、有能力找到那些被居心叵測的企業隱藏起來的套路,保護我們的個人隱私。如果發現被套取個人信息,也應該懂得如何拿起法律武器對這類企業發起抵制和抗議,讓他們的小心思無所遁形。
而作為互聯網企業需要注意,各種營銷活動是在互聯網世界中獲取流量和用戶信息的有效途徑,但萬不可利用用戶的信任和盲點,通過觸及法律紅線的方式,來套取和不合理使用用戶的個人信息。
講真,這次支付寶利用營銷手段套取用戶信息,在互聯網企業中並不是個例。我之所以要以此為切入點跟大家講的原因,是因為我之前跟大家一樣,並沒有意識到個人隱私的重要性,以及被不合理使用個人信息會造成什麼樣的後果。
但是,自從認識享法辛律師之後,我開始了解到很多互聯網協議當中,其實都是暗藏門道的,也知道了,使用軟體、參與這類營銷活動,並在不經意間默認簽訂了一些「暗藏套路」的協議之後,對我產生了哪些不良影響。
有了這些了解之後,我不僅意識到要謹慎行事,避免個人信息被盜用,也對之前好感度極高的許多企業感到失望,下定決心不再助長歪風邪氣。
在這裡,我要特別感謝提供專業分析、給予我幫助的享法辛律師。
律師 辛小天
最後,我們還請辛律師為我們解答了一些互聯網法律問題:關於利用技術手段抓取網路數據,哪些做法是符合規定的呢?
大米:開展大數據交易的第三方平台業務,應取得何種許可?
辛小天律師:根據現行法律規定,並沒有對大數據交易平台有特別規定,而是按照企業運營第三方電子商務交易平台業務資質要求,應向運營主體所在地的省、自治區、直轄市電信管理機構辦理增值電信經營業務( B21類在線數據處理與交易業務 )許可證,並應當在平台官網主頁顯著位置標明許可證編號。且企業應及時(已運營信息系統的安全保護等級確定/新建信息系統投入運行後的30日內)到所在地設區的市級以上公安機關辦理信息系統安全保護等級備案手續。
大米:利用技術手段抓取一些網路數據,怎麼做才是合規的呢?
辛小天律師:企業在通過爬蟲規則收集第三方數據時,應注意遵守Robots協議(爬蟲協議); 同時,應注意,通過爬蟲規則取得的數據不應包含個人信息數據及商業秘密、國家秘密等信息,否則,極易觸發刑事犯罪風險,具體應以所抓取數據的性質為基礎進行分析。
例如 ,若所抓取數據為個人信息的,則可能構成侵犯公民個人信息罪;若所抓取數據為商業秘密的,則可能構成侵犯商業秘密罪;若所抓取數據涉及國家秘密的,則可能構成非法獲取國家秘密罪。
大米:大數據企業使用合作方自主傳送的數據應注意什麼?
大數據企業也可能會從第三方以購買或其他數據共享方式獲取數據。此時,企業應注意如下事項:
(1)數據來源方應為無違法違規記錄的合法組織或自然人;
(2)要求數據來源方書面保證數據的真實合法性,對於該等數據的共享和使用已獲得相應數據主體的知悉和同意,保證公司/產品(數據獲取方)享有對這些含有用戶數據的信息的加工處理和後期使用的權利或數據來源方已經對該等數據進行匿名化處理。
(3)明知或應知數據來源方的信息存在權利瑕疵的,應避免購買或以其他方式共享。
大米:總是聽說,匿名化技術,什麼是匿名化技術呢?
辛小天律師:匿名化技術是目前大數據行業保護個人信息數據的一種常用手段。數據的匿名化又稱數據的去識別化,指的是將要使用的數據以某種方式更改或處理,通過數據轉換技術使人們無法將數據與個人身份等聯繫起來,即通過對數據的有效處理,讓所有能揭示個人情況的信息都不出現在數據集里,比方說名字、生日、住址、信用卡號或者社會保險號等。這樣一來,這些數據就可以在被分析和共享的同時,儘可能不會侵害到任何人的個人信息或隱私。
大米:為什麼要做匿名化處理呢?
辛小天律師:根據現行法律規定,國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。網路運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但經過處理無法識別特定個人且不能復原的除外。這是因為經過匿名化處理的數據,人們已無法將其與個人身份等聯繫起來,即公眾已無法通過該等數據識別公民個人身份,因此該等數據不再屬於個人信息的範疇,對該等數據的使用也不再受個人信息保護規定的限制。因此,該等匿名化的數據更受企業的青睞。同時,對數據進行匿名化處理後再進行使用、加工、處理也有利於企業更好的實現保護其用戶個人信息及隱私的目的。
推薦閱讀: