第三方支付隐私政策中个人信息保护的缺失与完善

　　用户对个人信息安全的焦虑和担心，伴随着互联网的发展如影随形。隐私政策，又称隐私权政策、隐私声明、个人信息保护政策、隐私保护，本文为了行文方便，统称为隐私政策。隐私政策是网站、平台对自身在收集、使用、分享用户个人信息行为中如何保护用户个人信息的申明、告示。

　　隐私政策是对法律法规的落实，其水平的高低体现了平台对法律规范的遵从程度。隐私政策是法律之下的规范，其效力来自平台自身的承诺，也源自古老的约定必守原则。第三方支付应用场景广泛，有需要支付的地方，都可以使用。

　　隐私政策既是对法律关于个人信息保护规定的迎合，也是支付平台对自身采取的用户信息保护措施的说明与解释，是与用户的约定，展现了平台说服用户积极配合提供信息的努力，帮助第三方支付平台给客户留下其注重用户个人信息保护的良好印象。

　　由于隐私政策能约束网络服务提供商收集个人信息的内容与途径、控制被收集信息的使用方法、掌握被收集信息的使用情况等，并据此对个人隐私进行保护，因此，隐私政策能够消除用户的疑虑和顾忌，增强其向平台提供个人信息的意愿，防止个人的情绪和忧虑成为行业发展的掣肘。

　　本文研究第三方支付行业隐私政策视角下用户个人信息保护，主要选择支付宝和微信支付的隐私政策文本作为分析对象，尽管可能存在研究对象狭窄、没有着眼于实效等问题，但隐私政策文本毕竟是网站平台对自身如何保护用户个人信息最直接、全面和明确的陈述和阐释，是后续行动的指引，也是用户了解情况的直接窗口，因此具有很高的研究价值。

　　本文之所以选择支付宝和微信支付，主要考虑二者规模庞大，且背后分别依托于互联网巨头阿里巴巴和腾讯公司，相关制度较为健全和规范。更为重要的是，二者的行业份额优势非常明显，占据绝对的主导地位。易观的数据显示，在2018年第三季度移动支付市场中，支付宝的份额为53.71%，微信支付以38.82%居第二，两者份额合计达92.53%。

　　因此，研究支付宝和微信支付的隐私政策文本具有很强的代表性。2018年1月，国家网信办网络安全协调局还曾就用户个人信息收集、使用等问题约谈了支付宝，导火线是支付宝年度账单存在变相收集用户个人信息的情况，这也说明支付宝在用户个人信息保护方面还存在不少的问题。

　　需要说明的是，由于支付宝和微信支付隐私政策版本更新较快，本文的研究对象为《支付宝隐私权政策》2019年1月24日版本和《微信隐私保护指引》2018年12月21日版本。

　　一、主要内容梳理

　　从法律规范来看，涉及用户网络个人信息的主要是《中华人民共和国网络安全法》，此外还有行业标准，其中具有代表性的是2017年12月国家标准化管理委员会发布的《信息安全技术个人信息安全规范》（以下简称《个人信息安全规范》）。

　　《个人信息安全规范》已于2018年5月1日起正式实施，并于2019年2月1日开始修订并公布了修订版的征求意见稿。《个人信息安全规范》是互联网企业执行隐私政策的最直接依据，也是判断其隐私政策水平的直接标准。

　　支付宝和微信都发布了具体的隐私政策，前者名为《支付宝隐私权政策》，后者名为《微信隐私保护指引》。二者内容非常丰富，都包含了用户在使用支付平台时可能涉及的用户信息。从结构来看，两者都包含10个部分，其中相当大部分从标题上看都是相同或者类似的。都包含信息的收集、使用、存储、对外提供、对未成年人信息的特殊保护，以及对术语的解释等。

　　从区别来看，《支付宝隐私权政策》的内容更加具体丰富，主要体现在具体内容上的差异。例如，同样是关于信息的对外提供，《支付宝隐私权政策》分为共享、转让、公开披露、委托处理等5种具体情形，每种情形下都有详细细节。

　　二、隐私政策中个人信息保护的缺失

　　第三方支付机构隐私政策涉及内容众多，规定繁杂，导致用户不愿意、没有兴趣去阅读具体内容，即使阅读也只能是一知半解，无法完全了解其真实意思。

　　（一）内容繁杂，用户难以了解隐私政策的实质内容

　　多年前的国外研究表明，即使用户对自己的个人信息很关注，他们仍然不能读懂隐私政策。隐私政策的概念来自域外，不少内容直接翻译自国外的规定，不少术语、词汇乃至语句与汉语的遣词造句习惯存在差异。

　　为了保证内容的涵盖范围广泛，必然要求使用很多模糊的词汇，但繁杂的内容会导致用户失去阅读、了解隐私政策的兴趣和耐心。国内第三方支付行业的情况亦类似。

　　1. 使用专业术语却不做有效的解释说明，用户无法知晓内涵。

　　专业术语含义特殊，非专业人士往往难以知晓。例如《支付宝隐私权政策》中阐述了如何使用Cookie,Beacon,Proxy等技术，但只在行文中简单界定了Cookie,Beacon,Proxy等技术的中文名称，并未详细解释这些技术的具体含义。

　　在这种情况下，普通用户很难清楚地知悉这些概念的基本含义，更不要说理解隐私政策中所欲阐述的Cookie,Beacon,Proxy等技术的使用及其对用户个人信息的影响，关于如何使用Cookie,Beacon,Proxy等技术的介绍说明无法实现预期的目的。

　　《微信隐私保护指引》中使用的SSL,ISO27001、国际信息安全管理体系、TRUSTArc、崩溃数据等专业术语及简称，普通用户无法理解。为了保证隐私政策的准确性，大量使用专业性术语本无可非议，但不考虑用户的感受和理解能力，也不对有关术语进行适应用户理解能力的解释说明，显然与隐私政策的定位和公布目的不合。

　　2. 范围广泛授权，用户知情同意权被实质剥夺。

　　用户的同意，是支付平台收集、使用、共享信息的前提，是支付平台权利的来源。要求第三方支付平台必须取得用户的同意，是为了满足用户的知情权，亦是为了尊重用户的信息自决权。

　　第三方支付机构的隐私政策，表面上尊重用户的同意权，却又设下了种种例外规定，实际上剥夺了用户的同意权。如关于个人信息共享问题，《支付宝隐私权政策》规定支付宝可以在特定情形下不经用户同意即能够将用户的个人信息与第三方共享。这里的第三方范围广泛，包括支付宝的关联公司、合作金融机构以及其他合作伙伴。

　　《支付宝隐私权政策》同时对关联公司的范围以及关联的含义进行了说明，其中关联公司的具体范围主要包括三大体系的诸多公司，分别是：浙江蚂蚁小微金融服务集团股份有限公司，浙江蚂蚁小微金融服务集团股份有限公司直接或间接控股的公司，浙江蚂蚁小微金融服务集团股份有限公司参股或形成经营、协作的且具有关联关系的企业。

　　《支付宝隐私权政策》规定的“关联”，指的是一方现在或将来控制、受控制或与其处于共同控制下的任何公司、合法机构以及前述公司、合法机构的合法继承人。根据公司法第216条的规定，关联关系，是指公司控股股东、实际控制人、董事、监事、高级管理人员与其直接或者间接控制的企业之间的关系，以及可能导致公司利益转移的其他关系。

　　相比较《公司法》的规定，《支付宝隐私权政策》所规定的关联关系显然范围更大，体现在其不限于现实存在的关联关系，还包括将来的关联关系；不仅包括已有的主体，还包括其合法继承人。

　　可见，无论是对关联含义的解释，还是对关联公司范围的列举，都是十分宽泛的，鉴于支付宝以及阿里巴巴庞大的规模，其关联公司数量必然是巨大的。

　　至于合作金融机构，尽管《支付宝隐私权政策》没有详细列明，但支付宝网站列明的境内合作银行就包括国有商业银行7家、全国性股份制商业银行12家、外资银行2家、区域性银行143家、清算组织2家、合计166家。其他合作伙伴的数量也是非常庞大。

　　如此庞大的合作范围，意味着用户的个人信息可能会在未经同意的情况下被第三方支付机构不经同意的情况下被转交给无数的第三方。

　　此外，《支付宝隐私权政策》并未说清楚支付宝会共享哪些个人信息，是全部信息还是部分信息，是普通信息还是敏感信息。这就意味着第三方支付机构可以不受限制地分享其收集的全部信息。

　　（二）信息收集、处理等程序不透明

　　尽管隐私政策看似列明了平台获取用户个人信息的过程，但实际上用户对信息的收集、利用缺乏认识，更加缺乏直观的感性认知，更不用说整体的理性认识。

　　1. 规定模糊，可以回旋余地过广，用户不清楚个人信息如何得到保护。

　　隐私政策语言规定的模糊性毁坏了隐私政策的根基，缺乏明确的肯定性陈述，会导致隐私政策在实施效果上毫无意义。网站为了自身方便，在隐私政策中大量使用语义抽象模糊的词汇和句子，因此第三方支付平台可以任意作出对自己有利的解释，限制了用户的个人信息权。

　　可见，在隐私政策中就信息收集、使用、共享等阶段，赋予了网站过大的自由决定权，将瓦解第三方支付平台对用户的承诺和保证，等于变相侵犯了用户的自决权。而网站如何使用这些决定权，并不会向用户公开，用户对此知之甚少。

　　如《支付宝隐私权政策》申明，支付宝可以在特定情形下不需要经过用户同意就能收集用户个人信息，这些情形具体包括与国家安全、国防安全直接相关的，与公共安全、公共卫生、重大公共利益直接相关的，与犯罪侦查、起诉、审判和判决执行等直接相关的，出于维护用户个人或他人的生命、财产等重大合法权益但又很难得到用户本人同意的，个人信息是用户自行向社会公众公开的，从合法公开披露的信息中收集的个人信息，根据用户要求签订和履行合同所必需的，用于维护所提供服务的安全稳定运行所必需的，法律法规规定的其他情形。

　　这些情形的范围都是异常模糊且非常广泛的。如“与犯罪侦查、起诉、审判和判决执行等直接相关的”，这里的用语就非常不明确，何为直接相关，是用户为案件的一方当事人，还是其他情况并未说明。“出于维护用户个人或他人的生命、财产等重大合法权益但又很难得到用户本人同意的”亦是如此。

　　什么情况下才属于“出于维护用户个人或他人的生命、财产等重大合法权益”，谁有权对“属于维护用户或他人的生命、财产等重大合法权益但又很难得到您本人同意”的情形作出判断，这里的他人范围有无限制，是仅限于与用户有利害关系的他人，还是所有的其他人，什么情况下构成“难以取得用户的同意”等等。

　　这实际上就是网站的自我授权，非常自由地不经用户授权同意就肆意收集用户个人信息，甚至是敏感隐私信息。而且支付网站内部判断这些情形的标准不公开不透明，用户也就不清楚支付网站是如何在收集信息时考虑保护用户个人信息的。《微信隐私政策》中也有类似的内容。

　　2. 随意改动内容，导致用户无法及时知晓变动。

　　虽然网站在努力提升对用户个人信息的保护水平，但过于频繁修改隐私政策的内容，又无法及时有效地通知用户，导致用户根本无法了解隐私政策的更新。网站实际上也很难将变动的隐私政策迅速落实。《支付宝隐私权政策》规定在7种重大变化情形下，会更新隐私政策。

　　这7种情形范围广泛，包括支付基本情况，收集、存储、使用个人信息的范围、目的、规则，对外提供个人信息的对象、范围、目的发生变化，访问和管理个人信息的方式，数据安全能力、信息安全风险，用户询问、投诉的渠道和机制，以及外部纠纷解决机构及联络方式等。

　　《微信隐私保护指引》仅提出会适时修订，但没有说明在何种情况下会作出修改，也没有介绍修订的程序、修订遵循的基本原则等问题。

　　如关于用户个人信息保护的期限问题，《支付宝隐私权政策》规定，其仅在该政策所述目的所必需期间和法律法规及监管规定的时限内保存用户的个人信息。没有规定具体的保护期限，而是由支付宝任意决定用户个人信息的保护时间，这对用户而言是极端不利的。

　　《微信隐私保护指引》尽管用专门的章节规定了信息储存的期限，但也只是模糊规定为“在实现目的所必需的时间保留用户的个人信息”，至于何谓“实现目的所必需的时间”则语焉不详，这意味着微信几乎可以不受限制地在任何时间内储存用户的个人信息。

　　（三）权利义务失衡，逃避己方义务、责任

　　表明上看，隐私政策是第三方支付平台就自己如何收集、储存、分享、保护用户个人信息的保证，似乎仅仅设定了平台的义务，或者主要规定平台应该采取的保护用户个人信息的责任。但从实体内容来看，隐私政策的内在动机更加倾向于绑架用户，为自己收集、利用客户信息获取正当性与合法性基础。

　　1. 强制授权，用户无法真正行使权利。

　　不考虑用户的实际意愿，强制要求用户必须统一，实质上变相剥夺了用户的同意权、选择权。

　　《支付宝隐私政策》规定，如用户选择不提供前述信息，则可能无法使用某项或某部分服务。《微信隐私保护指引》也多次言明某些信息属于敏感信息，拒绝提供该信息会使用户无法使用相关功能。

　　如不同意提供姓名、银行卡类型及卡号、有效期及银行预留手机号和相关支付记录等敏感信息，则不能使用微信支付功能。在第三方支付全方位渗透到日常生活背景下，选择不用会造成极大的不便。用户为了生活的方便，迫不得已只能牺牲个人信息利益。

　　2. 第三方支付平台不能真正恪守隐私政策。

　　尽管网站制定了详细的隐私政策，但对于如何落实并无保障对策，用户并不知晓网站是否违反隐私政策，也很难了解网站行为给其造成的损害。网站也并未承诺承担何种责任，更没有告知责任的实现路径。

　　目前尚无直接关于隐私政策的法律法规，只有零星的关于个人信息、隐私保护等方面的规定。至于什么样的机构或者人员能够监督隐私政策的落实情况，如何才能有效督促、检查隐私政策的落实情况，如果不遵守隐私政策应该承担什么责任，以及责任如何落实等问题，尚未明确。

　　隐私政策的出发点应该是平台宣示自己对用户信息保护的义务，而非平台的免责申明，现实情况却变成平台肆意侵犯用户隐私的保护伞。如此一来本末倒置，隐私政策存在的基本价值就会荡然无存。

　　三、完善隐私政策，促进用户个人信息保护

　　隐私政策中存在的诸多问题，最终会消解用户的信任，导致隐私政策的目标无法实现，受害的不仅仅是用户，也包括第三方支付平台本身。规范隐私政策，符合用户与第三方支付平台的共同利益。

　　（一）准确界定隐私政策的性质

　　关于隐私政策的性质，有学者将其定位为格式合同，理由是隐私政策大都体现为网站与使用者之间的协议。隐私政策是由网站制订的，用户并没有和网站协商的余地，属于格式条款。也有人认为隐私政策是规制工具，是企业以隐私政策进行自我规制，“行政机关的监督和审查便作为后盾”。这些观点有一定的道理，理论上也有相当的合理性。

　　但本文倾向于将隐私政策定性为平台的单方允诺，理由如下。隐私政策，顾名思义，乃是平台颁布的针对用户信息收集、处理、应用的解释说明，之所以使用“政策”这一称谓，因政策乃是“国家和政党为了实现一定的总目标而确定的行动准则”。

　　第三方支付平台的隐私政策就是其处理用户隐私、个人信息的行为准则，隐私政策的内容基本上是为用户隐私设定各种保险措施，用户主要享受权利，网站平台为自己设定行为边界，承担相应的义务。但在实际执行过程中，第三方支付平台的隐私政策本身并不需要用户的同意，用户在使用支付服务时，往往并不知晓隐私政策的存在，更不用说同意其内容。

　　即使在服务协议中提及隐私政策，也不意味着隐私政策属于合同条款。支付宝服务协议提及个人用户的个人信息依《支付宝隐私权政策》受到保护与规范。该条款强调支付宝隐私政策对用户个人信息的保护，但并没有《支付宝隐私权政策》属于服务协议组成部分的意思表示，不能由此得出《支付宝隐私权政策》属于用户与平台之间协议的结论。

　　把隐私政策定性为网站单方允诺，剔除用户的意思表示，更有利于最大化地保护用户的利益。用户没有参与隐私政策的形成，当然就不能为其设定义务，当出现损害用户权利的情况时，网站必须履行自己的承诺，且不能强加网站承担义务和责任。此外，隐私政策变动快，网站会定期或不定期改动隐私政策，如果将隐私政策界定为合同，则难以合理解释每次变动均未经用户同意，隐私政策的效力从何而来。

　　在实际中，也没有将隐私政策界定为网站与用户的协议的必要性。用户在一开始使用网站、平台、App时不得不被迫接受隐私协议，不能选择“不同意”，否则就无法使用相关服务。在这种形式上的同意中，用户实际上并未与网站达成意思一致的合意。

　　如在微信i OS 6.5.16、Android 6.5.14版本中，微信以新的《微信隐私保护指引》取代之前的腾讯隐私政策，但用户只能点击同意按钮，不然就无法使用微信。

　　支付宝《支付宝隐私权政策》则言明，会及时通知隐私政策内容的变更，无论是否实际收到变更后的隐私政策，也无论是否理解变更后的内容，只要继续使用支付宝，即视为用户已充分阅读、理解并接受更新后的政策并愿意受更新后的政策约束，这时候连形式上的用户同意都免了，用户被直接强制性推定与网站合意。

　　当然，将隐私政策定性为第三方支付平台的单方允诺，并不是反对用户对隐私政策的参与权，而是为了强调第三方支付平台不能以用户的参与推卸免除己方的义务和法律责任。用户知情同意是第三方支付平台收集、处理、使用用户个人信息的权利源泉，平台应该在整个流程中持续地获得用户的授权，而不能寄希望于以隐私政策一劳永逸。

　　（二）规范用户动态化参与权

　　1. 尊重用户的同意权。

　　用户的同意是第三方支付机构获得对用户信息收集、处理的前提和基础，用户同意的重要性不言而喻。首先，用户的同意应当是明示的，是肯定明确的同意，而非默示的，更加不能是推定的。

　　其次，同意必须是用户自愿的，不能以要挟的方式强迫用户同意。尊重用户的选择权，不能简单粗暴地选择不同意就不能使用的模式，而应提供多样化的模式供用户选择。

　　再次，同意应当是具体的，也就是说用户的同意应当是针对具体的事项，如对信息的收集需要明确收集的途径、具体内容，对信息使用的同意应当具体的使用用途、目的，对信息的分享则应该将分享对象具体、固定。

　　2. 满足用户的知情权。

　　知情权的满足是用户行使其他权利的基础，所以应该考虑进一步提高平台收集、使用用户信息的透明度。充足的信息披露是保证，提高信息收集、使用、分享整个流程的透明度，让用户知晓、理解其信息被使用的流程，方便其作出对自己最有利的决策。

　　3. 尊重用户的参与权。

　　在隐私政策中加入相关条款，设定用户在动态化的信息收集、使用、分享程序中的参与权。听取用户的反馈，建立有效的协商沟通机制，让用户在尊重中体会到平台隐私保护的真诚。隐私政策的变动和调整，不能仅仅体现第三方支付平台的意愿，更应不断听取用户的反馈信息，在更新的隐私政策版本中反映用户不断变化的诉求。

　　需要及时履行有效通知义务，让用户及时、准确、完整地了解隐私政策的变化，特别是重大、实质性变化，方便用户就此作出新的判断和选择。提供用户撤销授权选项，允许用户根据形势的发展和个人意愿的变化，取消原有授权，作出新的授权决定，删除有关数据信息。

　　将网络运营商请求获取的用户信息与用户的隐私偏好进行比较与商讨，满足用户个性化个人信息保护需求。

　　（三）落实隐私政策，强化平台义务

　　要让用户感受到第三方支付平台在保护用户个人信息方面的努力，将隐私政策落到实处是关键一步。

　　1. 强化对平台的约束。

　　隐私政策虽然是平台单方制定，但其核心内容是限制平台对用户个人信息的获取利用、分享，而决不能成为平台逃避责任的幌子。网站既然以隐私政策自愿承担保护用户个人信息的义务，自然不能规避义务、推脱责任。因此，需要细化平台的义务，强化其责任。

　　2. 监督网站对法律的遵守。

　　现有立法中涉及个人信息安全的规定并不少，《刑法》《民法总则》分别对刑事责任、民事权利进行了规范。《网络安全法》对网络上个人信息保护则有专章的规定，特别是规定了网络运营商在保障用户个人信息安全方面的强制性义务。

　　此外，《消费者权益保护法》等从保护消费者个人信息等角度规范了信息安全保护，《互联网信息服务管理办法》等行政法规、规章的规定更为具体。

　　为了将诸多法律规定落到实处，防止网站规避义务、责任，或者利用其强大的影响力逃避责任，考虑由监管机构定期对网站在用户个人信息保护方面的情况开展检查监督，并对检查结果进行公开，满足网站用户知情权；亦可以考虑由专业公益性社会中介机构、科研单位、新闻媒体定期发布网站用户个人信息保护评价报告，或者是消费者、儿童权利保护机构就网站在特定群体用户个人信息保护方面的进展情况发布评价报告。

　　3. 注重平台法律责任的承担。

　　隐私政策作为平台的承诺，公布后即与用户形成了信赖利益，若平台拒不履行承诺，则应承担相应的法律后果。应明确违反隐私政策的法律后果，以提高隐私政策的遵从度。

　　（四）改进隐私政策的表现形式

　　1. 文本简约、流畅。

　　避免使用普通民众不易理解的专业性词汇，在不得不使用专业词汇时，应当对专业性词汇做出直白的解释，便于用户理解、阅读。避免使用结构复杂、字数繁多的长句子，否则会让用户失去阅读全文的兴趣。文法避免繁杂，行文应平铺直叙，不要使用转折多过的语句。

　　2. 用词明确、易懂。

　　隐私政策仍然是用户学习企业如何收集、使用和分享数据最重要的信息来源，因此，减少模糊词语、语句的使用，选择易于理解且意思明确的词汇和语句，避免专家、普通用户、专业人士等不同主体对同样的词汇、语句会产生不同的理解。行文力求通俗易懂，在满足向用户传达意思的同时，使用最常见的词汇。

　　3. 多样化载体呈现。

　　第三方支付行业现有的隐私政基本都以文字形式向用户呈现，文字形式的优点是明了、确定，但缺点是不够直观和通俗易懂。以文字形式呈现，具体表现形式也可以多样化，如采用问答等更加灵活的方式，避免一大堆长长的文字给用户造成压迫感。除了文字形式外，还可以考虑借助视频、动漫等形式，帮助用户特别是文化程度不高、理解能力相对较弱的用户理解隐私政策的内容。

　　4. 隐私政策模板问题。

　　关于是否需要公布标准隐私政策模板，殊值得讨论。模板化的益处在于能够统一第三方支付行业的隐私政策，让各家平台能够在短时间内迅速（至少在形式上）将隐私政策提升到较高的水准，同时也便于评价各平台是否公布并适用统一的隐私政策，是否符合法定的最大要求。

　　不过，模板化亦可能会导致隐私政策流于形式，第三方支付平台没有制定的承诺，用户也没有兴趣去探究每个网站在保护用户个人信息方面所做出的不同努力，难以有效区分良币与劣币，可能会导致劣币驱逐良币现象的产生。

　　结合目前第三方支付行业隐私政策的整体水平，可以考虑由监管机构或者行业协会发布示范版本的隐私政策，供各家平台选择，示范版本的隐私政策应当包括能够满足用户个人信息保护的基本框架和核心内容。同时鼓励各平台在示范版本的基础之上增加更多的内容，承担更加多样化、细致的义务，提高保护水准。