第三方支付客户个人信息风险与保护措施发布者：本站     时间：2020-05-02 15:05:36

随着互联网经济的快速发展与变更, 第三方支付从单一提供快捷支付功能与信用中介的定位一跃成为互联网经济的主角, 在推动电子商务发展与传统行业的互联网化方面起到重要作用。根据艾瑞咨询的《2017年中国第三方支付市场监测报告》, 2016年我国第三方支付交易规模达到近80万亿元, 同比增长率接近300%;2016年移动支付占第三方支付总交易规模的74.7%, 结构上向移动端迁移。由于第三方支付尤其是移动支付的火热, 个人信息泄露问题也渐渐占据了大众的视野。2013年3月, 支付巨头支付宝便爆出转账信息泄露事件, 有网友发现, 通过谷歌搜索特定关键词可以查到许多支付宝用户的详细转账信息, 尽管支付宝公司及时修复了漏洞, 但这一事件还是让公众对第三方支付公司的信息安全维护能力存疑。除了外部的攻击, 企业内部的管理不善, 或企业对个人信息的过度采集和使用, 同样可能侵犯用户的个人信息权利。今年1月, 支付宝发布了年度账单, 不同于以往, 今年的年度账单却因为以不明显的方式令用户被动授权其平台的《芝麻服务协议》而引起网友不满。尽管支付宝官方及时承认错误, 并提供了取消授权的方法程序, 但这也表明互联网企业对于个人信息趋之若鹜。由于第三方支付的账户一般包含可识别个人的身份信息, 银行卡信息和消费记录等, 同时, 第三方支付账户往往也储存了用户一定数量的金钱, 这使关注第三方支付中用户的个人信息安全尤为重要。

1、 第三方支付的概念、分类和主体

第三方支付是指具备一定实力和信誉保障的独立机构, 采用与各大银行签约的方式, 通过与银行支付结算系统接口对接而促成交易双方进行交易的网络支付模式。为了加强对支付企业的管理、稳定金融秩序, 中国人民银行制定了《非金融机构支付服务管理办法》 (以下简称《办法》) 并于2010年9月1日实施。根据《办法》, 仅有获得中国人民银行核发的非金融行业从业资格证书者可以开展支付服务。根据央行公布的第五批非银行支付机构《支付业务许可证》的续展结果, 截至2018年1月, 支付牌照剩余243张[1]。

当前学界对第三方支付的分类并未达成共识。中国人民银行发布的《非金融机构支付服务管理办法》将非金融机构支付服务分为网络支付、预付卡发行与受理、银行卡收单三类, 但有学者认为这一分类方法无法体现各种支付业务的本质特征和风险特点[2]。

若仅以企业支付业务为依据, 根据艾瑞咨询发布的《2017年中国第三方支付市场监测报告》, 第三方支付业务类型包括线上支付、线下支付、账户来往、经营辅助、跨境支付和借贷理财等几大类。一些国内大型支付企业———如支付宝、财付通和拉卡拉———的业务范围均涵盖以上几项。同时, 也有部分第三方支付企业以其中个别项目为主要业务。如汇付天下、联动优势、银联商务等以借贷理财为主, 其业务特点是以云计算和大数据为依托, 专注于为客户提供最佳理财策略;联迪商用和易宝支付则在经营辅助方面见长, 业务内容主要是为行业提供定制型支付解决方案;跨境支付企业有宝付和连连支付, 以为境内外企业或个人提供跨境支付及跨境支付解决方案为主。

作为互联网经济的引擎, 互联网支付企业也具有许多互联网企业的特点, 如具备较强的技术背景、扎根于大量用户数据等;此外, 由于第三方支付平台往往有资金沉淀、移动互联网不断普及, 第三方支付企业也往往将金融服务纳入自身的业务范围, 并向移动端进行业务布局。

2、 第三方支付用户个人信息风险分析

2.1、 第三方支付中涉及的个人信息内容

2.1.1、 个人身份信息

个人身份信息往往由用户在注册账户时提供。由于第三方支付企业支付活动需通过银行开展, 支付账户一般需提供个人的姓名、身份证、手机号码与银行卡号码等个人身份信息。

2.1.2、 设备信息

出于维护账户资金安全与支付安全的目的, 第三方支付需要收集用户使用设备的信息, 以确认账号登录与使用者为本人。从支付宝、财付通和银联商务等第三方支付企业的隐私条款来看, 其所收集的设备信息大致包括硬件型号、设备MAC地址、操作系统类型、设备识别码等。以上部分信息具有唯一性, 在一定条件下具备识别信息主体的可能。

2.1.3、 消费或产品使用记录

第三方支付用户在使用其支付账号进行消费时, 必然产生一定的消费记录或使用痕迹, 如消费内容、消费金额、消费习惯等。而各大第三方支付企业均在相关服务协议或隐私条款中明确表示将使用cookies追踪用户使用痕迹, 大多数企业允许用户拒绝cookies, 并给出关闭cookies的程序, 但也提示拒绝该项功能将降低用户体验;也有部分企业排除用户关闭cookies的权利, 如苏宁支付在其隐私条款里表明其将使用cookies收集用户信息, 且并未表明允许用户拒绝该项功能。

此外, 由于占据了交易活动的关键环节, 第三方支付企业往往以此构建第三方合作网络。典型的第三方支付平台, 如支付宝、财付通均在其平台上连接众多热门第三方应用, 如滴滴打车、美团外卖、机票购买等;而诸如拉卡拉等为商户提供POS机收款服务的支付企业也可能通过其系统接收到的支付指令获取用户的消费信息。当前, 关于支付用户使用支付平台或支付企业上第三方应用时产生的权利义务关系并没有明确的规范, 众多第三方支付企业均默认将一些用户个人信息与平台上第三方应用进行共享, 且未给用户提供充分选择权。

2.1.4、 生物特征

对用户生物特征的收集是传感技术日趋发达、企业为用户提供快捷授权口令的结果。第三方支付中涉及的生物特征主要有指纹、瞳孔及脸部特征等, 支付企业企图通过指纹技术或人脸识别技术让用户可以更快捷地完成授权与支付, 这一授权方式因具有高效性和安全性而可能成为主流, 但需以企业合理保护用户个人信息为前提。当前, 支付宝、财付通、苏宁支付等支付企业均有指纹支付和人脸识别支付;拉卡拉手环作为支付工具, 则具备心率识别等额外的信息收集手段。

2.2、 第三方支付中的用户个人信息风险

2.2.1、 支付场景广泛, 风险发生率高

随着人们网络支付习惯的养成和移动互联网的普及, 支付场景也开始扩大其覆盖面。主流支付企业, 如支付宝、财付通、拉卡拉、快钱等均以生活或娱乐场景为依托, 构建全面支付场景, 具体包括医疗、交通、出行、餐饮、购物和旅游等。广泛遍布的消费场景使第三方支付用户个人信息“处处留痕”, 且不同场合网络安全程度也有所差异, 一些公共场所Wi Fi安全级别不高, 容易给支付用户造成个人信息被窃取的危险。

2.2.2、 隐私信息密集

从前述第三方支付涉及的个人信息内容来看, 第三方支付企业在运营过程中收集的个人信息内容多为隐私性较强的个人信息, 如个人身份信息、生物特征。此外, 无论是用户的设备信息还是用户使用相关互联网产品产生的记录, 均可在某种条件下识别用户身份或推算用户的消费习惯。这些隐私信息的集中使第三方支付账户具有一般网络账户所不具备的价值, 联系到支付账户的财产属性, 第三方支付账户也更容易成为不法分子攻击的目标。

2.2.3、 支付终端安全性不足

由于移动支付的便捷, 第三方支付在结构上向移动端迁移。普遍的移动支付是通过用户的个人智能手机, 通过扫描二维码完成支付。这一支付方式因其便捷性受到广大用户的认可。但智能手机的防火墙无法跟PC端相媲美, 也没有支付机构那么强大的后台作安全支撑, 这使智能手机更容易成为网络犯罪的突破口。针对智能手机的入侵犯罪主要包括提供虚假二维码、利用社会工程学盗取验证码等。

2.2.4、 数据跨境流通的风险

一方面, 在持续深化改革开放、加强一带一路建设的背景下, 我国众多电商平台走上了跨境电商的道路。如天猫的天猫国际, 京东的全球购以及洋码头和全球购等。根据支付宝和财付通的隐私政策, 跨境业务将产生数据的境外传输。另一方面, 境外交易数据将直接存储在境外, 或根据当地法律进行存储。这对数据的加密和储存安全提出了更高的要求, 也给数据主权提出了一定的挑战。

2.2.5、 第三方不当利用

从第三方支付企业的发展趋势来看, 第三方应用已然成为支付企业的“标配”。国内占据市场份额最高的两大支付企业———支付宝与财付通———均在其平台上连接了手机充值、滴滴出行、饿了么、美团外卖、京东、淘宝等涵盖生活消费内容的热门第三方应用;而其他金融型支付企业或行业解决方案提供者也都有较多合作伙伴。第三方支付用户在使用其中一些第三方应用时将不可避免地在第三方应用和支付平台上产生相应数据, 内容大致包括身份信息、账户信息、消费记录等。而由于当前缺少对第三方权利义务关系的规范, 各大支付企业均默认将用户的部分个人信息与第三方合作企业共享, 并明确表示用户在使用平台第三方应用时受第三方的隐私政策约束。此种做法既有变相交换用户个人数据的嫌疑, 也让用户个人信息面对更多传输、存储的风险。

2.3、 第三方用户个人信息风险成因

2.3.1、 企业利益追求与自我约束不足

在这个大数据时代, 数据就意味着价值, 以至于有人将数据比喻为“金矿”, 而企业, 无疑就是这个矿产的挖掘者。像煤矿资源一样, 当这个挖掘者贪得无厌时, “矿产”的挖掘就将给拥有者和开发者带来灾难。以第三方支付企业的缔约行为和隐私条款设置为例, 当前第三方支付企业有以下行为可能给用户造成个人信息安全风险:

首先, 隐私政策设置不合理。以国内第三方支付市场份额最高的支付宝和财付通的隐私政策为例, 其隐私政策的设置对消费者存在的不利主要有:保存时效问题、用户权利受限、平台第三方不受平台隐私政策约束和未成年人保护条款缺乏可执行性。

保存时效问题是指企业对其所收集用户个人数据保存时间的规定不充分或不合理。《支付宝隐私政策》与《财付通隐私政策》均未表明用户个人信息的具体保存时限。齐爱民认为, 保存时限原则是指为任何目的处理的个人资料都不得超过该目的所需要的时间而继续保存[3]。而根据支付宝与财付通的隐私政策, 平台对个人信息收集的主要目的为身份验证和业务开展, 因此, 平台应在完成相应的验证目的之后, 根据法律规定保存日志相应的期限, 并在期限后将数据删除。

用户权利受限指用户应有的个人信息自决权并未得到充分落实。个人信息自决权, 是指网络用户决定自己的个人信息是否被收集、被如何收集以及被如何处理使用。但在大多数网络服务协议中, 用户必须完全同意网络服务提供商的服务协议与隐私条款才能使用其产品或服务, 用户不具有协商的余地, 不得不让步并授权。从当今网络服务定制化、个性化的发展趋势来看, 互联网企业具备为用户提供差异化选择的能力。因此, 传统上“使用即授权”以及以网络格式条款简单粗暴地“和谐”用户权利的网络缔约方式值得重新考量。

平台第三方不受平台隐私政策约束。从支付宝、财付通和银联商务等支付企业的隐私政策来看, 其支付平台上第三方应用不受支付平台隐私政策约束, 前文已述, 此类做法可能将用户权利置于真空状态, 不利于用户个人信息的保护。

未成年人保护条款缺乏可执行性。《支付隐私政策》与《财付通隐私政策》均有独立的针对未成年人隐私保护的声明, 但二者的声明均仅限于提醒未成年人用户在监护人的监督下使用该产品, 此外, 没有相应的措施保障未成年人权益。由于未成年人认知能力、社会经验与自制能力的不足, 其在使用互联网产品服务与消费时可能缺乏明确的认识, 不能充分保护自身权益、行使自身权利, 所以, 未成年人权利应受到特别的保护。在保护未成年人信息方面, 企业应承诺对未成年个人信息做最小范围的合理合法的应用;同时, 应充分明确未成年人权利、提请对方及其监护人的关注, 采取一定的技术手段, 在使用中过滤未成年人个人信息, 防止未成年人个人信息被同等使用。

虽然以上存在的问题均是从支付宝与财付通隐私政策所提取, 但通过检视其他支付企业的隐私政策或服务协议可以发现, 其他第三方支付企业也存在类似问题。以上问题也可算第三方支付企业的典型问题。

其次, 隐私条款提示不明显。隐私条款提示不明显早已有之, 并非支付企业的“专利”, 但第三方支付企业似有将其“发扬光大”之势。一些企业采取以缩小字体、放置在边缘位置、浅色显示和默认勾选的方式让用户在注册账户时易于忽略隐私条款。此外, 隐私条款内容繁琐、语言生涩也是用户避开隐私条款的主要原因之一。前文所述《芝麻服务协议》便是此类典型。从支付宝《芝麻服务协议》的隐形默认勾选事件可以看出, 企业对个人信息资源趋之若鹜, 且未充分规范与用户达成合意的形式。

2.3.2、 法律规范与监管不足

法律规范的不足主要表现在个人信息保护立法不足以及针对第三方支付等具有传统行业或一般互联网服务所不具备的特殊性的行业的针对性规范不足。一方面, 由于国内学界对个人信息的研究起步较晚, 我国对个人信息保护的立法明显滞后于时代的发展。直接保护个人信息的法律较少, 有关条款也分散在《宪法》、《民法总则》中, 专门的《个人信息保护法》尚未出台[4], 尽管在2017年正式出台了《网络安全法》, 但个人信息的保护还未落到实处, 个人信息泄露、个人信息被买卖的现象仍时有发生;而在互联网经济红利兑现后, 不少学者也主张采用宽松的个人信息立法规范, 以促进数据自由流通, 充分发挥大数据技术的经济驱动力。个人信息权益和经济发展利益的冲突, 也成了个人信息保护难以和经济发展进行平衡的重要原因。另一方面, 第三方支付领域的针对性立法也较少。除前述法律对个人信息保护制定了统一标准外, 仅有《银行法》、央行发布的《非金融机构支付服务管理办法》等有少量对个人信息保护要求, 但总体上仍以规范金融秩序和资金安全为主, 对个人信息保护的专门规定较少。法律规范的不足在第三方支付实践中有明显体现, 前述第三方应用对个人信息的收集和应用得不到规范和限制便是其中之一;除此之外, 企业过多收集用户信息、使用途径和目的不明、用户自决权得不到具体落实均是法律规范不足的表现。

除法律规范不足外, 监管不力也是互联网企业敢于“越界”或“打擦边球”的主要原因之一。尽管个人信息安全问题日渐引起人们的重视, 相关法律法规和执行办法也相继出台, 但个人信息泄露问题仍时有发生, 究其原因, 主要有: (1) 相关执法部门缺乏内在动力, 往往仅在引起社会关注的重大侵权案件发生时才开展执法行动; (2) 执法部门过多, 执行标准不一[5]。当前, 涉及个人信息保护的部门包括公安部、工信部、中宣部等[6]。在缺乏统一立法领导的背景下, 多部门管理不仅没有形成多边合作, 全方位遏制个人信息侵权行为, 还导致了执法权限不明、执法过程推诿的现象, 使侵犯个人信息的违法犯罪活动甚嚣尘上。