在线亚洲男人的天堂a∨_中国毛片区免费区_伊人久久中文大香线蕉综合_久了精品国产99国产精

第三方支付客戶個人信息風險與保護措施發(fā)布者：本站     時間：2020-05-02 15:05:36

隨著互聯網經濟的快速發(fā)展與變更, 第三方支付從單一提供快捷支付功能與信用中介的定位一躍成為互聯網經濟的主角, 在推動電子商務發(fā)展與傳統(tǒng)行業(yè)的互聯網化方面起到重要作用。根據艾瑞咨詢的《2017年中國第三方支付市場監(jiān)測報告》, 2016年我國第三方支付交易規(guī)模達到近80萬億元, 同比增長率接近300%;2016年移動支付占第三方支付總交易規(guī)模的74.7%, 結構上向移動端遷移。由于第三方支付尤其是移動支付的火熱, 個人信息泄露問題也漸漸占據了大眾的視野。2013年3月, 支付巨頭支付寶便爆出轉賬信息泄露事件, 有網友發(fā)現, 通過谷歌搜索特定關鍵詞可以查到許多支付寶用戶的詳細轉賬信息, 盡管支付寶公司及時修復了漏洞, 但這一事件還是讓公眾對第三方支付公司的信息安全維護能力存疑。除了外部的攻擊, 企業(yè)內部的管理不善, 或企業(yè)對個人信息的過度采集和使用, 同樣可能侵犯用戶的個人信息權利。今年1月, 支付寶發(fā)布了年度賬單, 不同于以往, 今年的年度賬單卻因為以不明顯的方式令用戶被動授權其平臺的《芝麻服務協議》而引起網友不滿。盡管支付寶官方及時承認錯誤, 并提供了取消授權的方法程序, 但這也表明互聯網企業(yè)對于個人信息趨之若鶩。由于第三方支付的賬戶一般包含可識別個人的身份信息, 銀行卡信息和消費記錄等, 同時, 第三方支付賬戶往往也儲存了用戶一定數量的金錢, 這使關注第三方支付中用戶的個人信息安全尤為重要。

1、 第三方支付的概念、分類和主體

第三方支付是指具備一定實力和信譽保障的獨立機構, 采用與各大銀行簽約的方式, 通過與銀行支付結算系統(tǒng)接口對接而促成交易雙方進行交易的網絡支付模式。為了加強對支付企業(yè)的管理、穩(wěn)定金融秩序, 中國人民銀行制定了《非金融機構支付服務管理辦法》 (以下簡稱《辦法》) 并于2010年9月1日實施。根據《辦法》, 僅有獲得中國人民銀行核發(fā)的非金融行業(yè)從業(yè)資格證書者可以開展支付服務。根據央行公布的第五批非銀行支付機構《支付業(yè)務許可證》的續(xù)展結果, 截至2018年1月, 支付牌照剩余243張[1]。

當前學界對第三方支付的分類并未達成共識。中國人民銀行發(fā)布的《非金融機構支付服務管理辦法》將非金融機構支付服務分為網絡支付、預付卡發(fā)行與受理、銀行卡收單三類, 但有學者認為這一分類方法無法體現各種支付業(yè)務的本質特征和風險特點[2]。

若僅以企業(yè)支付業(yè)務為依據, 根據艾瑞咨詢發(fā)布的《2017年中國第三方支付市場監(jiān)測報告》, 第三方支付業(yè)務類型包括線上支付、線下支付、賬戶來往、經營輔助、跨境支付和借貸理財等幾大類。一些國內大型支付企業(yè)———如支付寶、財付通和拉卡拉———的業(yè)務范圍均涵蓋以上幾項。同時, 也有部分第三方支付企業(yè)以其中個別項目為主要業(yè)務。如匯付天下、聯動優(yōu)勢、銀聯商務等以借貸理財為主, 其業(yè)務特點是以云計算和大數據為依托, 專注于為客戶提供最佳理財策略;聯迪商用和易寶支付則在經營輔助方面見長, 業(yè)務內容主要是為行業(yè)提供定制型支付解決方案;跨境支付企業(yè)有寶付和連連支付, 以為境內外企業(yè)或個人提供跨境支付及跨境支付解決方案為主。

作為互聯網經濟的引擎, 互聯網支付企業(yè)也具有許多互聯網企業(yè)的特點, 如具備較強的技術背景、扎根于大量用戶數據等;此外, 由于第三方支付平臺往往有資金沉淀、移動互聯網不斷普及, 第三方支付企業(yè)也往往將金融服務納入自身的業(yè)務范圍, 并向移動端進行業(yè)務布局。

2、 第三方支付用戶個人信息風險分析

2.1、 第三方支付中涉及的個人信息內容

2.1.1、 個人身份信息

個人身份信息往往由用戶在注冊賬戶時提供。由于第三方支付企業(yè)支付活動需通過銀行開展, 支付賬戶一般需提供個人的姓名、身份證、手機號碼與銀行卡號碼等個人身份信息。

2.1.2、 設備信息

出于維護賬戶資金安全與支付安全的目的, 第三方支付需要收集用戶使用設備的信息, 以確認賬號登錄與使用者為本人。從支付寶、財付通和銀聯商務等第三方支付企業(yè)的隱私條款來看, 其所收集的設備信息大致包括硬件型號、設備MAC地址、操作系統(tǒng)類型、設備識別碼等。以上部分信息具有唯一性, 在一定條件下具備識別信息主體的可能。

2.1.3、 消費或產品使用記錄

第三方支付用戶在使用其支付賬號進行消費時, 必然產生一定的消費記錄或使用痕跡, 如消費內容、消費金額、消費習慣等。而各大第三方支付企業(yè)均在相關服務協議或隱私條款中明確表示將使用cookies追蹤用戶使用痕跡, 大多數企業(yè)允許用戶拒絕cookies, 并給出關閉cookies的程序, 但也提示拒絕該項功能將降低用戶體驗;也有部分企業(yè)排除用戶關閉cookies的權利, 如蘇寧支付在其隱私條款里表明其將使用cookies收集用戶信息, 且并未表明允許用戶拒絕該項功能。

此外, 由于占據了交易活動的關鍵環(huán)節(jié), 第三方支付企業(yè)往往以此構建第三方合作網絡。典型的第三方支付平臺, 如支付寶、財付通均在其平臺上連接眾多熱門第三方應用, 如滴滴打車、美團外賣、機票購買等;而諸如拉卡拉等為商戶提供POS機收款服務的支付企業(yè)也可能通過其系統(tǒng)接收到的支付指令獲取用戶的消費信息。當前, 關于支付用戶使用支付平臺或支付企業(yè)上第三方應用時產生的權利義務關系并沒有明確的規(guī)范, 眾多第三方支付企業(yè)均默認將一些用戶個人信息與平臺上第三方應用進行共享, 且未給用戶提供充分選擇權。

2.1.4、 生物特征

對用戶生物特征的收集是傳感技術日趨發(fā)達、企業(yè)為用戶提供快捷授權口令的結果。第三方支付中涉及的生物特征主要有指紋、瞳孔及臉部特征等, 支付企業(yè)企圖通過指紋技術或人臉識別技術讓用戶可以更快捷地完成授權與支付, 這一授權方式因具有高效性和安全性而可能成為主流, 但需以企業(yè)合理保護用戶個人信息為前提。當前, 支付寶、財付通、蘇寧支付等支付企業(yè)均有指紋支付和人臉識別支付;拉卡拉手環(huán)作為支付工具, 則具備心率識別等額外的信息收集手段。

2.2、 第三方支付中的用戶個人信息風險

2.2.1、 支付場景廣泛, 風險發(fā)生率高

隨著人們網絡支付習慣的養(yǎng)成和移動互聯網的普及, 支付場景也開始擴大其覆蓋面。主流支付企業(yè), 如支付寶、財付通、拉卡拉、快錢等均以生活或娛樂場景為依托, 構建全面支付場景, 具體包括醫(yī)療、交通、出行、餐飲、購物和旅游等。廣泛遍布的消費場景使第三方支付用戶個人信息“處處留痕”, 且不同場合網絡安全程度也有所差異, 一些公共場所Wi Fi安全級別不高, 容易給支付用戶造成個人信息被竊取的危險。

2.2.2、 隱私信息密集

從前述第三方支付涉及的個人信息內容來看, 第三方支付企業(yè)在運營過程中收集的個人信息內容多為隱私性較強的個人信息, 如個人身份信息、生物特征。此外, 無論是用戶的設備信息還是用戶使用相關互聯網產品產生的記錄, 均可在某種條件下識別用戶身份或推算用戶的消費習慣。這些隱私信息的集中使第三方支付賬戶具有一般網絡賬戶所不具備的價值, 聯系到支付賬戶的財產屬性, 第三方支付賬戶也更容易成為不法分子攻擊的目標。

2.2.3、 支付終端安全性不足

由于移動支付的便捷, 第三方支付在結構上向移動端遷移。普遍的移動支付是通過用戶的個人智能手機, 通過掃描二維碼完成支付。這一支付方式因其便捷性受到廣大用戶的認可。但智能手機的防火墻無法跟PC端相媲美, 也沒有支付機構那么強大的后臺作安全支撐, 這使智能手機更容易成為網絡犯罪的突破口。針對智能手機的入侵犯罪主要包括提供虛假二維碼、利用社會工程學盜取驗證碼等。

2.2.4、 數據跨境流通的風險

一方面, 在持續(xù)深化改革開放、加強一帶一路建設的背景下, 我國眾多電商平臺走上了跨境電商的道路。如天貓的天貓國際, 京東的全球購以及洋碼頭和全球購等。根據支付寶和財付通的隱私政策, 跨境業(yè)務將產生數據的境外傳輸。另一方面, 境外交易數據將直接存儲在境外, 或根據當地法律進行存儲。這對數據的加密和儲存安全提出了更高的要求, 也給數據主權提出了一定的挑戰(zhàn)。

2.2.5、 第三方不當利用

從第三方支付企業(yè)的發(fā)展趨勢來看, 第三方應用已然成為支付企業(yè)的“標配”。國內占據市場份額最高的兩大支付企業(yè)———支付寶與財付通———均在其平臺上連接了手機充值、滴滴出行、餓了么、美團外賣、京東、淘寶等涵蓋生活消費內容的熱門第三方應用;而其他金融型支付企業(yè)或行業(yè)解決方案提供者也都有較多合作伙伴。第三方支付用戶在使用其中一些第三方應用時將不可避免地在第三方應用和支付平臺上產生相應數據, 內容大致包括身份信息、賬戶信息、消費記錄等。而由于當前缺少對第三方權利義務關系的規(guī)范, 各大支付企業(yè)均默認將用戶的部分個人信息與第三方合作企業(yè)共享, 并明確表示用戶在使用平臺第三方應用時受第三方的隱私政策約束。此種做法既有變相交換用戶個人數據的嫌疑, 也讓用戶個人信息面對更多傳輸、存儲的風險。

2.3、 第三方用戶個人信息風險成因

2.3.1、 企業(yè)利益追求與自我約束不足

在這個大數據時代, 數據就意味著價值, 以至于有人將數據比喻為“金礦”, 而企業(yè), 無疑就是這個礦產的挖掘者。像煤礦資源一樣, 當這個挖掘者貪得無厭時, “礦產”的挖掘就將給擁有者和開發(fā)者帶來災難。以第三方支付企業(yè)的締約行為和隱私條款設置為例, 當前第三方支付企業(yè)有以下行為可能給用戶造成個人信息安全風險:

首先, 隱私政策設置不合理。以國內第三方支付市場份額最高的支付寶和財付通的隱私政策為例, 其隱私政策的設置對消費者存在的不利主要有:保存時效問題、用戶權利受限、平臺第三方不受平臺隱私政策約束和未成年人保護條款缺乏可執(zhí)行性。

保存時效問題是指企業(yè)對其所收集用戶個人數據保存時間的規(guī)定不充分或不合理?！吨Ц秾氹[私政策》與《財付通隱私政策》均未表明用戶個人信息的具體保存時限。齊愛民認為, 保存時限原則是指為任何目的處理的個人資料都不得超過該目的所需要的時間而繼續(xù)保存[3]。而根據支付寶與財付通的隱私政策, 平臺對個人信息收集的主要目的為身份驗證和業(yè)務開展, 因此, 平臺應在完成相應的驗證目的之后, 根據法律規(guī)定保存日志相應的期限, 并在期限后將數據刪除。

用戶權利受限指用戶應有的個人信息自決權并未得到充分落實。個人信息自決權, 是指網絡用戶決定自己的個人信息是否被收集、被如何收集以及被如何處理使用。但在大多數網絡服務協議中, 用戶必須完全同意網絡服務提供商的服務協議與隱私條款才能使用其產品或服務, 用戶不具有協商的余地, 不得不讓步并授權。從當今網絡服務定制化、個性化的發(fā)展趨勢來看, 互聯網企業(yè)具備為用戶提供差異化選擇的能力。因此, 傳統(tǒng)上“使用即授權”以及以網絡格式條款簡單粗暴地“和諧”用戶權利的網絡締約方式值得重新考量。

平臺第三方不受平臺隱私政策約束。從支付寶、財付通和銀聯商務等支付企業(yè)的隱私政策來看, 其支付平臺上第三方應用不受支付平臺隱私政策約束, 前文已述, 此類做法可能將用戶權利置于真空狀態(tài), 不利于用戶個人信息的保護。

未成年人保護條款缺乏可執(zhí)行性?！吨Ц峨[私政策》與《財付通隱私政策》均有獨立的針對未成年人隱私保護的聲明, 但二者的聲明均僅限于提醒未成年人用戶在監(jiān)護人的監(jiān)督下使用該產品, 此外, 沒有相應的措施保障未成年人權益。由于未成年人認知能力、社會經驗與自制能力的不足, 其在使用互聯網產品服務與消費時可能缺乏明確的認識, 不能充分保護自身權益、行使自身權利, 所以, 未成年人權利應受到特別的保護。在保護未成年人信息方面, 企業(yè)應承諾對未成年個人信息做最小范圍的合理合法的應用;同時, 應充分明確未成年人權利、提請對方及其監(jiān)護人的關注, 采取一定的技術手段, 在使用中過濾未成年人個人信息, 防止未成年人個人信息被同等使用。

雖然以上存在的問題均是從支付寶與財付通隱私政策所提取, 但通過檢視其他支付企業(yè)的隱私政策或服務協議可以發(fā)現, 其他第三方支付企業(yè)也存在類似問題。以上問題也可算第三方支付企業(yè)的典型問題。

其次, 隱私條款提示不明顯。隱私條款提示不明顯早已有之, 并非支付企業(yè)的“專利”, 但第三方支付企業(yè)似有將其“發(fā)揚光大”之勢。一些企業(yè)采取以縮小字體、放置在邊緣位置、淺色顯示和默認勾選的方式讓用戶在注冊賬戶時易于忽略隱私條款。此外, 隱私條款內容繁瑣、語言生澀也是用戶避開隱私條款的主要原因之一。前文所述《芝麻服務協議》便是此類典型。從支付寶《芝麻服務協議》的隱形默認勾選事件可以看出, 企業(yè)對個人信息資源趨之若鶩, 且未充分規(guī)范與用戶達成合意的形式。

2.3.2、 法律規(guī)范與監(jiān)管不足

法律規(guī)范的不足主要表現在個人信息保護立法不足以及針對第三方支付等具有傳統(tǒng)行業(yè)或一般互聯網服務所不具備的特殊性的行業(yè)的針對性規(guī)范不足。一方面, 由于國內學界對個人信息的研究起步較晚, 我國對個人信息保護的立法明顯滯后于時代的發(fā)展。直接保護個人信息的法律較少, 有關條款也分散在《憲法》、《民法總則》中, 專門的《個人信息保護法》尚未出臺[4], 盡管在2017年正式出臺了《網絡安全法》, 但個人信息的保護還未落到實處, 個人信息泄露、個人信息被買賣的現象仍時有發(fā)生;而在互聯網經濟紅利兌現后, 不少學者也主張采用寬松的個人信息立法規(guī)范, 以促進數據自由流通, 充分發(fā)揮大數據技術的經濟驅動力。個人信息權益和經濟發(fā)展利益的沖突, 也成了個人信息保護難以和經濟發(fā)展進行平衡的重要原因。另一方面, 第三方支付領域的針對性立法也較少。除前述法律對個人信息保護制定了統(tǒng)一標準外, 僅有《銀行法》、央行發(fā)布的《非金融機構支付服務管理辦法》等有少量對個人信息保護要求, 但總體上仍以規(guī)范金融秩序和資金安全為主, 對個人信息保護的專門規(guī)定較少。法律規(guī)范的不足在第三方支付實踐中有明顯體現, 前述第三方應用對個人信息的收集和應用得不到規(guī)范和限制便是其中之一;除此之外, 企業(yè)過多收集用戶信息、使用途徑和目的不明、用戶自決權得不到具體落實均是法律規(guī)范不足的表現。

除法律規(guī)范不足外, 監(jiān)管不力也是互聯網企業(yè)敢于“越界”或“打擦邊球”的主要原因之一。盡管個人信息安全問題日漸引起人們的重視, 相關法律法規(guī)和執(zhí)行辦法也相繼出臺, 但個人信息泄露問題仍時有發(fā)生, 究其原因, 主要有: (1) 相關執(zhí)法部門缺乏內在動力, 往往僅在引起社會關注的重大侵權案件發(fā)生時才開展執(zhí)法行動; (2) 執(zhí)法部門過多, 執(zhí)行標準不一[5]。當前, 涉及個人信息保護的部門包括公安部、工信部、中宣部等[6]。在缺乏統(tǒng)一立法領導的背景下, 多部門管理不僅沒有形成多邊合作, 全方位遏制個人信息侵權行為, 還導致了執(zhí)法權限不明、執(zhí)法過程推諉的現象, 使侵犯個人信息的違法犯罪活動甚囂塵上。