移动支付时代催生了全新的支付方式,以聚合支付为主的新型支付方式改变了传统的支付生态格局。目前,聚合支付已在各行各业普及,在国内支付市场中占据核心地位。但是,聚合支付中个人信息泄露、过度市场利用等个人数据隐私安全问题凸显。
一方面是个人数据归属判定困难,聚合支付交易各方责权不清晰,各类APP对个人数据收集、处理界限不明确。另一方面,企业可“合法”利用个人数据,由于法律规定原则化,虽有用户知情同意权,但在实际中企业往往以“同意方可使用APP”的使用条款与技术壁垒强制用户进行个人数据使用授权。
随着我国数字经济飞速发展,个人数据已成为重要生产要素,成为21世纪的“黄金”“石油”,已具有财产化权益,个人数据对市场发展的促进作用与个人数据的隐私保护问题愈发突出,数据共享与保护的平衡已成为时代聚焦的新难题。
一、聚合支付体系
(一)聚合支付发展沿革
聚合支付,又称第四方平台支付,聚合多家第三方支付接口,通常以二维码形式为商家或者个人提供支付集成服务。聚合支付实际是使商户与数据主体法律关系产生或变更的一种技术手段,因此不进行资金清算,无需支付牌照,只是完成支付各环节的信息流转和商户操作的承载,集合了银联云闪付、支付宝、微信等主流支付方式。
聚合支付的产生,帮助商户降低接入成本,提高运营效率,具有中立性、灵活性、便捷性等特点。
2014年以来,随着移动支付与二维码技术的快速发展,在人们的衣、食、住、行等各个生活消费领域普及,传统的银行卡支付逐渐被聚合支付所取代。
现今应用聚合支付的互联网企业,如与微信、支付宝签约的各服务商或其他技术公司,凭借聚合支付技术的便捷性与微信、支付宝的红包、激励等优惠策略,与微信、支付宝相辅相成,一起积累了大量个人数据信息,形成了相对闭环的会员生态,同时也通过会员生态收集了海量的用户数据。
与此同时,为了争夺丰富的数据资源,支付行业中衍生出各类系统服务商和“一码多扫”的聚合支付产品,如收钱吧、扫呗、付呗等。这些系统服务商通常与收单机构签订合作协议,推广其应用软件,培养其独有的用户体系,通过用户下载APP,绑定银行卡等方式构建面向各类支付场景的生态,向部分银行和第三方机构提供服务。
图1 聚合支付中个人数据交互逻辑
(二)聚合支付系统
聚合支付的二维码运行于计算机应用层与网络层,其结构可分为由数字构成的二维码与存储信息资源的网络地址URL,两种结构均用于表达或者传递一定的结构化、非结构化的数据信息。聚合支付中的个人数据源于应用层,通过运输层为主机中的进程提供运输服务,在网络层提供的通讯服务下,将相关数据封装成包进行数据交互,如图1所示。
聚合支付系统主要由第三方APP、商户管理系统及支付系统三部分构成,个人数据通过加密形式封装后在三个系统间进行传输,其中参与数据支付交互的机构均可获得不同敏感度的用户个人数据。以最为常见的扫码支付(微信侧)为例,其业务逻辑详见图2。
图2 聚合支付体系中的微信支付业务逻辑
二、聚合支付的技术、政策及市场因素导致个人数据隐私保护问题凸显
聚合支付在支付领域给传统支付带来了一次巨大的革新,提升了线下实体门店支付效率,为消费者和商户带来全新的支付体验。但是,大部分用户由于不清楚相关技术原理,以致其中的个人数据隐私问题频频发生。本文技术、政策、市场三个方面对聚合支付中的个人数据隐私保护问题进行分析。
(一)技术层面:参与数据交互的机构可获得个人数据
聚合支付的主要载体是聚合二维码,其以数字形式存放着商家或个人收款账户的数据和信息,依托于第三方支付手机APP软件,进行“面对面”的收付款支付交易。
在此支付交易中,个人数据在APP、商户管理系统以及支付系统等多个系统间进行传输,虽然数据通过加密形式进行了封装,但是参与数据交互的机构,如商户、渠道方、清算机构、收单机构等,均可获得不同敏感度的用户个人数据,且不同机构获取的用户个人数据的侧重点也略有不同。
究其原因,一方面,在复杂的业务交互中,虽然平台采取银联通道标准的SSL技术和数字签名技术,但这仅能确保数据通信传输过程中的个人数据安全,而对于数据通信传输的存储点,部分企业规模不够大,人员流动性强,技术、安全等能力有限,以致在个人数据的保护上,往往存在一定的安全隐患,难以有效保护用户的合法权益。
另一方面,对个人数据的收集、处理是基于应用层操作系统的权限机制。在Android系统中,App在默认情况下不拥有任何系统权限,技术服务方为用户提供服务时,以“不开通则无法使用”的条款强制用户开通各类权限,并收集用户个人数据;其中Dangerous类型权限下的个人数据一般涉及用户“隐私”,属于可能对用户存储的数据或其他应用的操作产生影响的权限。
《百款常用App申请收集使用个人信息权限情况》表明:超过6成APP通过各类手段架空用户知情权,Dangerous数据权限申请占比超过90%,以致数据主体的合法权益难以得到保障。
(二)政策层面:缺乏有效行业自律机制与个人数据保护规则
近年,在支付场景中聚合支付最突出的问题主要集中在:一、用户“知情同意”原则被架空,导致出现大量人为泄露、贩卖及技术隐患导致泄露等问题;二、由于聚合支付在各行业中准入门槛不统一,在个人数据保护层面缺乏有效的行业自律机制与个人数据保护规则。
究其原因,一方面,虽然在我国在《网络安全法》《征信业管理条例》《电信和互联网用户个人信息保护规定》等法律法规中明确规定相关机构在采集用户个人信息时必须向用户明示并取得同意,即收集使用个人数据应当符合知情同意原则,但是绝大部分企业未明确采用“明示”或“默示”,并以“同意即可使用”的条款迫使用户通过签订一系列冗长的产品使用条款以获取相应的软件服务,并将获取的个人数据用于商业发展。
而移动互联网免费服务模式更是加剧了用户对技术类服务的依赖度,导致用户个人数据的敏感权限被迫打开,用户知情权进一步被架空。
另一方面,由于聚合支付在各行业中准入门槛不统一,比如聚合支付系统服务商的账户体系与银行卡体系存在差异,依据现行的《收单业务管理办法》,监管部门无法对其进行有效的管理,由此导致了大量的用户个人数据泄露现象。
同时,在支付场景中,数据处理方亦可通过大数据、云计算对个人数据进行二次利用,进一步加深了用户权益尤其是用户隐私权益受到侵害的风险。聚合支付的技术安全规范也有待落地,聚合支付服务商业务外包规范还需政策进一步说明,对于违规开展聚合支付机构的整治办法也有待细化。
(三)市场层面:难以界定个人数据的保护与使用范畴
个人数据是保护用户权益的核心概念。判定特定数据是否属于个人数据,是个人数据保护与商业使用的基石。虽然在我国《网络安全法》第76条中,以“识别说”对个人信息进行了界定。但是,随着云计算、云存储技术等新兴信息技术的全面使用,衍生出一些无法被直接识别特定主体的数据,需要进行详细数据分析,因此,对于界定个人数据的保护与使用范畴成为市场难点。
同时,由于存在会员体系,各平台可以通过用户注册使用APP时的直接授权与第三方应用服务时的间接授权获得用户数据,并对采集的用户大数据进行分析,向特定用户推送商业广告,从而获得更高的商业价值。对于技术服务方,用户个人数据的商业运用程度远高于对其的保护程度,导致数据主体的合法权益无法得到充分的保障。
三、聚合支付个人数据隐私保护与市场共享的联动策略
中国是世界第一大移动支付市场,移动支付大发展催生了聚合支付方式,改变了传统的支付生态格局。企业提供聚合支付的SaaS服务并通过微信支付与支付宝的Iaas服务,向各行业提供免费解决方案,收集了大量用户数据,一方面是催生出一系列个人数据保护的安全问题,另一方面是对采集的用户数据进行分析后获得更高的商业价值。
在聚合支付中的个人数据利用与保护问题上,虽可在技术层面进行补充,但仍缺乏一个有效的协同机制。基于此,提出数据保护与共享的联动机制,如图3,为解决聚合支付中的个人数据因素问题提供新思路。
图3 清算体系中个人数据保护与处理逻辑图
(一)制定个人数据隐私保护技术规范
对个人数据收集、处理权限最大的主体为应用软件服务提供方,其APP数据处理活动是“最小利用原则”适用的核心区域。
因此,建议在聚合支付中,支付服务APP应以最小利用原则收集、处理数据主体个人数据,并向用户阐明数据处理活动的本质;在对用户有重大影响的方面应做到特别提示,并能让数据主体按照意愿修改或删除相关数据;同时,参考《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》,支付服务App除CAMERA和STORAGE权限以外,其余均定义为非必须权限。
一方面,规范SDK(软件开发工具包)的开发使用。由于使用第三方SDK已经成为移动生态的重要组成部分,使用SDK可迅速获得第三方提供的广告、支付、统计、推送、社交网络、地图、定位等方面的功能,但SDK存在自身的安全性,以及在超范围收集使用个人数据等诸多问题。
建议加快研究制定我国SDK个人数据保护白皮书,以促进各行业SDK的使用规范性。同时,通过SDK的规范使用,提高各方相互协作、能力共享、信息互通的能力,提高个人数据的利用效率。
另一方面,加强App下载分发审核过程。目前,在国内移动端的应用商店中缺乏对APP个人数据用户隐私安全方面的审核标准。根据现有法律法规等相关要求,应用商店对其上架的APP应建立审核管理机制,对APP进行安全、内容、服务等方面的审核。
但由于应用商店之间存在激烈的市场竞争关系,在没有法律法规、国家标准等对应用商店上架的APP的审核提出详细、一致标准的情况下,应用商店出于竞争考虑,对APP的审核尺度不一,导致无法保证上架的APP在个人信息保护方面均达到一致的安全水平。
建议通过制定应用商店在个人数据隐私保护方面的上线审核、管理标准,强化对问题APP的筛查,避免问题APP被用户下载使用。
(二)建设个人数据共享数据库
个人数据在APP、商户管理系统以及支付系统等多个系统间进行传输,商户、渠道方、清算机构、收单机构等均可获得不同敏感度的用户个人数据。因此,建议由政府机构牵头,各银行共同出资建立聚合支付个人数据共享数据库,通过政府牵头建立共享联动机制,促进各主体的权益平衡,以此推动个人数据隐私保护与市场共享的平衡发展。
第一,确立数据库中个人数据共享的原则。首先,个人数据尤其是敏感个人数据往往涉及数据主体的隐私权益,因此,应基于其敏感特性对个人数据进行差异化共享,即可采取对敏感个人数据进行脱敏后列入共享,对非敏感个人数据直接进行共享的策略;
其次,明确何种敏感程度的个人数据在共享时需要数据主体授权同意,通过对原始数据与衍生数据敏感度的区分发现平衡点,进而充分保障数据主体权益;
然后,平台公司在用户授权同意的协议中应明确其数据采集与处理的条件与用途,在数据主体同意的前提下开展云端数据库数据共享;
再而,对不涉及数据主体的或其隐私的数据,可通过共享数据库进行合理的共享。
第二,制定数据库中原始数据和衍生数据的不同保护策略。对于非敏感个人数据,基于数据存储处理过程,可将数据区分为原始数据和衍生数据。
一方面,重点关注对原始数据主体的隐私保障。由于数据采集行为下用户个人数据以及用户网络交互行为产生的cookies数据具有分散性和无序性的特点,此时数据蕴涵的商业价值处于待开发状态,数据本身很难形成交易壁垒,在聚合支付中,业务参与方均可获取最原始的个人数据,此时的个人数据保护需要加强。
另一方面,以共享数据库推进衍生数据的商业使用。衍生数据是对原始数据进行再加工与再挖掘后产生的,更具商业使用价值,且各方均存在数据采集与分析的需求。为此建议由政府授权,通过相关金融机构建立共享数据库,降低各方成本,保障数据安全,同时激发各方进行数据分析的积极性。
同时,由于衍生数据源于原始数据,在数据共享中,一方面,需要在用户授权协议中,明确注明数据用途,获得数据主体授权;另一方面,在用户授权的基础上,需通过对个人数据进行脱敏,进而保障数据主体合法权益。
(三)明确数据共享机构市场准入规则
目前,我国的支付领域在中国人民银行的指导下采取持牌经营方式,要求开展金融业务的第三方支付公司持有支付牌照。但在聚合支付领域,因为起源于银行卡支付体系,涉及主体多、体系结构复杂,导致数据源复杂,既可为各平台公司,也可以为第三方支付机构或银行。
各银行风险管理能力、数据安全保障能力都相对较高。体量较大、运营时间较长的第三方机构经过市场检验,其实力与可靠程度也不亚于银行。但对于平台类的公司而言,其数据安全保障水平,公司信誉等参差不齐,故对数据共享的机构准入必须进行规范。
苏宁金融于2018年上线了“区块链黑名单共享”系统,其系统依靠区块链技术,提供了黑名单功能。通过“白名单+黑名单”准入机制对机构进行准入规制。目前,国内各银行数据独立,各商业银行自发组建共享数据库并设置共享机构准入机制显得更具发展意义。
由此,建议共享准入机制应具有添加、查询、删除、投诉等功能。同时,各银行在业务开展过程中,针对其内部数据库中已认证过的拥有技术开发能力的科技公司,通过政府相关机构与多家银行审核并通过后,将其录入进入共享白名单库中,对风险较高的平台公司,以同种方式录入黑名单库中,从而实现多方协作的联防联控机制。
而对其他公司,银行可以采用传统的“申请-审核—再审核”的方式加以确定,其审核标准,除了考虑机构本身传统的要素外,还可以从用户数量、市场占有率、行业敏感度等方面进行动态调整。
(四)完善政府监督与行业自律机制
在数据共享上,不仅需要对准入机构进行把控,还要对内部管理进行规定,需建立完善内部监督与管理机制与行业自律机制。
在政府监督与管理上,在德国《联邦数据保护法》中设立了“联邦数据保护与信息自由专员”,我国香港设立了“香港个人资料私隐专员公署”,其职能便是采取推广、监督及督导措施,促使民众遵守《个人资料(隐私)条例》,确保数据主体的隐私权益,在GDPR中,也同样设定了数据保护专员制度。
目前,我国虽有互联网监管机构,但其职能主要是保护网络安全、国家数据主权、个人数据保护等范围,关于个人数据收集、处理,虽有明确最小利用原则,但大部分企业未设立专门的数据保护专员进行个人数据保护。由此,建议由政府相关部门牵头、联合各方,并在共享数据上,明确相关机构的数据保护责任,细化各行业个人数据保护标准与其数字经济应用策略。
在行业自律上,建议可以通过中国支付清算协会牵头,各方配合,完善行业自律机制。
一方面,在现有外包服务机构的合作模式中,完善第三方支付公司外包协议,细化服务商管理体系,区分传统外包服务机构与技术服务机构,在流程上统一监督、管理,明确服务方的个人数据收集、处理范围与个人数据保护职责。
另一方面,在政府机构的指导下,建立对外包服务方的个人数据保护的评级管理机制,进一步完善二维码支付业务行业自律模式中的机构管理与业务管理,保障数据主体的合法权益。