支付宝账单默认勾选有什么问题？

65438+10月3日，支付宝公布了用户年度“个人账单”。在账单首页，有一行很小的字——“我同意芝麻服务协议”(以下简称“协议”)，已经提前点击了“同意”。本协议内容涉及“您允许芝麻信用收集您的信息并提供给第三方”。

这一情况被一位律师在微博中披露后，引起了舆论的广泛关注和质疑。

6月65438+10月10，国家互联网信息办公室网络安全协调局约谈支付宝(中国)网络技术有限公司、芝麻信用管理有限公司相关负责人11，工信部信息通信管理局再次约谈蚂蚁金服集团(支付宝)，要求企业本着充分保障用户知情权和选择权的原则，立即整改。

针对这一事件涉及的事实和法律问题，本报记者采访了相关专家和蚂蚁金服相关人士。

为什么会“默认勾选”？

有网民认为，信用服务机构掌握的个人信息主体越多，提供的信用产品就越有优势，就越能吸引更多的需求者。“芝麻信用默认勾选小字且无法回头的方式，可能是为了得到更多人的授权。”

“这件事引起大家的不满，主要是因为承包的方式。”中国社会科学院法学研究所助理研究员刘明博士认为，合同订立的方式和合同的内容一样重要。芝麻信用默认勾选小字且无法回头的行为，会让消费者有“上当”的感觉。疑似支付宝这样吸引人，其实是给大家授权芝麻信用。如果商家在缔约程序上对消费者不公平，那么消费者就很难控制合同的内容，失去优势，甚至失去与商家博弈的机会，这就是消费者不满的地方。

根据2015年10月5日中国人民银行发布的《关于做好个人征信业务准备工作的通知》，芝麻信用管理有限公司是全国首批八家商业征信机构之一。芝麻信用官网介绍，芝麻信用是独立的第三方信用服务机构，是蚂蚁金服生态圈的重要组成部分。从信用卡、消费金融、融资租赁、按揭贷款，到酒店、租房、租车、婚恋、分类信息、学生服务、公共服务，芝麻信用已经为用户和商户提供了上百个场景的信用服务。蚂蚁金服全球消费者关系高级专家徐婷表示，自推出以来，芝麻信用已经为十几个行业提供了信用服务，拥有数亿用户的个人信息。

“这种做法是默认勾选，主要发生在对自身商业信用信心不足，试图积累用户授权的企业。实际上，芝麻信用不属于这类企业。”中国社科院互联网法治研究中心执行主任刘晓春告诉记者，“在做行业调研之前，我对芝麻信用的个人信息保护制度做了调研和研究。在内部合规、防止个人数据泄露、对外合作的数据安全维护方面，芝麻信用担保措施令人印象深刻。对于这样的机构，我认为没有必要默认勾选这个‘雕技’来获得更多授权。”

“纠正默认勾选后，我们多次重复自己的优惠，发现问题可能首先在于互联网产品设计的惯性思维。”事后，徐婷向记者介绍了公司内部的调查情况。“互联网产品经理在设计产品时，往往注重让产品好用，体验越快越好，越流畅越好。这种思维导致互联网在推出产品的时候，会直接给用户挑选很多东西，用户使用的时候，最后确认没有问题。这种思维错误地认为很多操作和交互对于用户来说是一种体验摩擦。”

“默认勾选”有什么问题？

"违约行为违背了契约精神，尤其是契约的自由和公正."中国人民大学商法研究所所长刘俊海教授说，“合同自由是合同双方真实意思的表达，然后达成协议，从而对双方具有约束力。默认勾选是指在让所有人看到合同条款之前，你默认同意。作为企业单方面拟定的格式条款，在未征求消费者同意的情况下，被视为对消费者和企业双方都有约束力的合同条款，违背了契约自由的精神。契约自由不是单方面的，而是双边的。按理说，任何企业制定的格式条款都是企业代表消费者起草的格式条款。但问题是，很多格式条款被塞进‘私货’，往往排斥消费者的核心权益，增加消费者的义务、责任和风险，单方面摆脱或排斥商家对消费者承担义务和责任，单方面为企业创造权利和重大利益。只要有上述情况之一，就是违背契约自由和契约正义的。契约正义要求双方权利义务对等。在尺度上，你的权利等于我的权利，你的义务等于我的义务。”

默认检查不符合要求。虽然我国没有个人数据保护法，但《消费者权益保护法》明确规定，消费者享有知情权和自由选择权。如果用户没有注意到这个约定，就默认达成了，个人信息就被‘出售’了，这首先侵犯了用户的知情权和自由选择权。"中国政法大学传播法研究中心副主任朱伟说。

“从消费者维权的角度来看，默认支票不仅侵犯了消费者的知情权和选择权，也侵犯了其个人信息安全权”。北京市律师协会消费者权益保护专业委员会主任邱律师认为，容易把小字作为默认勾选选项，不是消费者自己选择的。个人信息会如何处理，不受其真实意思控制，存在安全隐患。”这也涉及到隐私、财产安全和人身安全。如果信息泄露，比如家庭经济条件相关的信息，还可能引发盗窃、抢劫等案件。"

关于隐私权，朱伟指出，隐私权是《侵权责任法》第二条规定的一项重要权利。从《侵权责任法》来看，作为一项民事权利，只要使用者同意，隐私权的一部分是可以转让的。但这种同意是不能靠欺骗获得的。“在用户不知情的情况下，默认复选框规定其同意或者‘欺骗’其同意，通过这种方式获取信息，侵犯了隐私权。”

朱伟还指出，从网络安全法的角度来看，公民个人信息也是网络安全的重要组成部分。从2012 12 28全国人大常委会审议通过《关于加强网络信息保护的决定》，到2016年网络安全法的通过，商家使用用户个人信息被概括为“合法、正当、必要”九个字。第四十三条规定，用户发现互联网服务提供者违反规定或者合同约定使用个人信息时，有权要求互联网服务提供者删除该信息，赋予用户删除权。那么，如果用户不知道，怎么会违约呢？所以默认的核对模式是不合适的，用户可以要求芝麻信用删除所有信息。

北京化工大学文理学院副教授岳指出，根据《消费者权益保护法》第二十六条规定，经营者在经营活动中使用格式条款的，不得利用格式条款和利用技术手段强迫交易。这种情况的格式条款无效。“默认复选框限制了消费者决定和控制个人信息使用的权利。而且芝麻信用没有使用‘合理的方式’进行提示，即使消费者点击同意，也应认定该条款无效。”

徐婷也承认，默认检查确实是错误的，不应该这样做。“随着事件的发酵，我们越来越意识到我们的工作失误给公众和用户带来的困扰。公司非常重视。管理层认为这件事不能就事论事，要充分反思其根源。”

如何保障用户的知情权和选择权？

那么，如果不默认勾选，而是让用户自主“点击确认”，是否保证了用户的知情权和选择权？对此，刘明认为，互联网合同的订立方式主要有两种。一种是浏览合同的订立，另一种是注册用户时点击确定。后者有一个点击同意的过程，给用户一个表达意思的机会，这正是“默认勾选”很难做到的。“其实让用户在完全不知情的情况下达成协议，才是协议不被认可的关键。并点击确定，确认这种互联网合同订立方式的效力在理论和实践中确实得到了认可。被认可的关键还是在于消费者权利义务的核心内容，消费者是否有机会看清楚。虽然有些互联网协议也采用点击确认的方式，但是合同内容过多，难以理解，并且采用了格式条款的方式，也可能对消费者产生不公平的效果。"

中国人民大学博士后孔德超认为，协议中一般授权的范围过于宽泛，使得信息主体无法知道所收集的个人信息是用于评估个人信用的，无法行使《征信业管理条例》规定的对个人错误或不准确的个人信息提出异议和更正的权利。

朱伟也认为，从协议内容来看，消费者无法了解芝麻信用收集和使用个人信息的范围、方式、目的和用途，也不知道芝麻信用提供自己的信息后会提供什么样的服务。术语定义模糊，授权声明更笼统。明确告知信息主体收集、使用信息的范围、方式和目的，是《网络安全法》、《电信和互联网用户个人信息保护条例》等诸多法律法规的要求。他指出，关于私人信息使用的条款应该更突出地呈现给用户，让用户特别注意。“建议芝麻信用下一步把这个协议做大，特别是明确告知用户谁来用，怎么用，能不能转让，如何转让用户的个人信息。不能默认勾选同意，但要默认勾选不同意，让用户看完变成同意，才能跳转到下一步。”

徐婷回应说，为了保护个人信息，下一步他们将准备改进产品设计理念。“我们反映，后来协议改变了提醒的方式和位置，增加了点击过程，可能是更好的用户体验。说实话，在查看账单的过程中点击一下，对于用户来说会增加成本，但是会让他更清楚，不会被误解。而且用户觉得有一个自己选择的过程。虽然麻烦，但是很容易接受。所以以后在设计产品的时候，不能总想着减少产品体验的摩擦，减少不必要的交互。我们应该把法律和用户的需求结合起来，和用户良性互动。”

徐婷告诉记者，“从意见和看法的反馈中，我们也发现一些质疑其实源于用户对协议内容的误解。正是因为人们不了解信贷服务是怎么回事，才会有信息可能被泄露的担心。通过这些误解，我们也反思，如果能清晰的让大家知道我们是如何与合作伙伴合作的，信用评价是如何影响用户生活的；如果能把协议条款的意思用更准确、通俗易懂、严谨的语言表达出来，可能就不会有这些误解了。我们现在正试图找到一种方法，并且已经在努力了。”

“此外，我们将确保在组织结构方面实施这项改进工作。公司决定在客户中心下单独成立一个部门，专门负责消费者权益和个人信息的保护，并放到非常具体的部门和负责人。他会直接向总经理汇报，相当于成立了一个团队来执行，对这个部门会有一个明确的考核和问责制度。从现在开始，全公司将关注消费者信息的保护，我们计划对所有员工进行个人信息保护的文化建设和培训教育，牢记信息保护这一串。我们有信心为保护用户信息做出切实努力。”徐婷说道。

大数据时代如何保护个人信息？

“支付宝账单”事件引起了公众对个人信息安全的关注。

“默认勾选不应该只是支付宝的做法，这是互联网行业内部的普遍做法，几乎是明确的规则。”朱伟说，这是因为我国没有个人数据保护法，涉及隐私保护的法律法规、政策文件、红头文件有150多部，但立法过于笼统，不够详细。个人信息和大数据没有区别。可识别信息属于个人信息，属于隐私范畴；无法识别的信息属于大数据，属于知识产权范畴，商家可以随便使用，没有任何问题。“比如浏览了哪些页面，浏览了多少次？这些无法识别的个人信息不需要寻求用户的个人同意；然而，谁浏览了它，它叫什么名字？这些信息必须事先告知用户，在征得用户同意后才能使用。个人信息和大数据的界限在我们国家其实是非常模糊的。正是因为模糊性，很多网络服务商把随机收集信息当成一种商业行为，根本就没说清楚到底是用个人信息还是大数据。对商家来说混淆视听是极其有利的。”

为什么默认打勾可以成为互联网行业的明确规则？刘俊海认为，“这在一定程度上反映了监管漏洞和盲区的存在，应该督促相关执法机构和监管部门在市场失灵时勇于监管。监管者应当运用行政指导、市场准入、行政处罚等手段，维护消费者与企业之间的公平交易秩序，维护企业之间的公平竞争秩序。监管的目标不是让企业赚不到钱，而是构建一个消费者有幸福感、获得感、安全感的消费友好型社会。营造共赢、诚信、公平、包容的互联网市场生态环境，促进互联网企业可持续发展。个人认为，以牺牲消费者为代价构建商业盈利模式是短视的，不是明智的企业。聪明的企业应该主动与消费者站在一起，积极尊重和保障消费者的知情权、隐私权和个人信息保护，积极履行安全保障义务。"

邱认为，政府有关部门确实需要加强行政监管，规范经营者的行为。同时，消费者发现后需要及时向市场监管部门和行业主管部门投诉，然后政府部门及时查处，形成消费者个人信息保护的社会治理。

朱伟表示，在大数据和互联网时代，其实每个人的观念都需要改变和适应。现在已经不可能把他们的个人信息当做隐私，不可触碰，提取很多个人信息，可能更多的是从大数据的角度。另外，现在还是信用社会。不久前，芝麻信用等八家市场机构和中国互联网金融协会，一家市场化的个人征信机构，名为百兴征信，一起成立。征信的基础是个人信息，个人征信离不开个人信息。在这个过程中，用户必须让渡一些隐私权，但前提是要告诉用户如何使用这些信息。如果用户想注销账户，征信机构必须保证相关信息全部删除，不能非法使用，只要保证这部分权利就没有问题。

“这一事件进一步增强了大数据时代人们对个人信息和隐私的自我保护意识，诠释了个人信息和隐私的被动保护从传统意义上的‘披露’到现代信息社会的‘主动控制’的转变。”孔德超建议，完善个人信息和隐私的立法保护制度，首先要加强顶层设计，同时完善个人信息收集和利用的技术规则体系，也要从技术层面落实信息主体享有的权利。

不管账单是什么，利用用户都是不对的。