个人信息权的内涵
个人信息权是“自然人依法对其个人信息进行控制和支配并排除他人干涉的权利。”个人信息权与隐私权密切关联,二者的内容上有许多重合,因此有的学者认为个人信息权应称为信息隐私权,即个人信息权是广义隐私权的一部分。本文认为,个人信息权的保护范围更为广泛,隐私权更加强调信息的隐私性和敏感性,只要与公民个人相关的一切信息,都应纳入信息权的范围,受到法律保护。
我国《消费者权益保护法》并没有明文规定消费者个人信息权。对于消费者个人信息权,近年来有不少研究者提出了颇具建树的观点。本文认为,在第三方支付活动中,账户注册及资金支付中涉及消费者各项个人信息,妥善保管、定期持有、合理使用这些信息以确保这些信息不被不正当利用,是第三方支付平台的重要义务。国家工商总局颁行的《网络商品交易及有关服务行为管理暂行办法》也要求网络交易平台服务经营者应采取措施确保消费者个人信息的数据资料信息的安全。在没有法律法规规定或当事人同意的情况下不得向任何第三方披露、转让、出租或者出售交易当事人名单、交易记录等消费者个人信息的数据。
第三方支付行业对消费者
个人信息权保护的现状及问题《非金融机构支付服务管理办法》规定第三方支付机构有权利要求消费者提供有效身份信息并核对客户的有效身份证件或其他有效身份证明文件,同时对客户身份基本信息进行登记保留;也有义务安全、妥善保管客户身份基本信息、支付业务信息、会计档案等资料。
(一)个人信息权的对象及内容
简单地说,个人信息权保护对象是个人信息,所有基于支付活动中产生的信息都属于个人信息的范畴,主要涉及两方面的信息:个人基本信息和支付交易中产生的信息。消费者注册需要提供地区、电子邮箱、登录密码、支付密码并填写真实姓名和身份证号码等信息;消费者支付会产生每次支付额度、支付对象、支付时间等信息。
个人信息权的内容非常丰富,包括“信息决定权、信息查询权、信息更正权、信息封锁权、信息删除权、信息保密权和报酬请求权。”
(二) 当前第三方支付对信息保护的现状及问题
1.信息决定权。消费者在第三方支付平台注册了自己的信息,是为了证明自己身份的合法性,也便于第三方支付平台甄别消费者,并不意味着这些个人信息已经属于第三方支付平台。个人信息的决定权仍然属于消费者个人,尤其是那些与消费者个人人身密切关联的信息,消费者有不可剥夺的决定权,是否授权他人使用、授权他人以何种方式使用、授权是否需要支付对价等问题都应由个人根据其意愿自主决定。第三方支付企业基于商业目的,强迫消费者将个人信息数据供其使用,剥夺了消费者的信息决定权。如某产品服务协议规定,平台公司会对用户的身份数据进行综合统计,并可以为了销售和奖励使用或披露消费者的身份信息。这属于典型的为了自身商业利益而使用消费者个人信息,非但不支付对价,反而未经消费者同意,进行内部使用和对外披露。这些行为都是对消费者信息决定权的侵害。
2.信息查询权。信息查询权是得以查询其个人信息及有关的处理情况,并要求答复的权利。在第三方支付中,以支付宝为例,消费者可以在登陆后查询账户余额,查询历史收支明细、充值记录、提现记录、交易评价、代扣管理记录等详细信息。此外,通过电子对账单可以详细分析消费趋势、消费习惯、消费商品的种类。这些信息可以帮助消费者认识自我,改进消费习惯,养成良好的购物、支付习惯,合理规划自己的生活,提高生活品质。支付款项的记录,也是与交易对象发生争议时主要的证据来源,是争议双方证明是否付款、付款时间等问题的主要方式。
3.信息删除权。信息删除权是指在法定或约定的事由出现时,客户得以请求信息处理主体删除其个人信息的权利。美国1990年的 《联邦数据信息保护法》对其他大陆法系国家的立法产生了积极的影响,其中关于数据主体个人数据信息删除权等原则和权利的规定被各国广泛借鉴。就第三方支付平台而言,消费者如果认为某些信息没有存在的必要或者继续存在会损害其合法权益,有权自主决定按照相应的步骤删除。第三方支付平台不得违背消费者指令继续保存或者随意恢复已删除的信息。信息删除权体现了消费者对个人信息的支配处分,支付信息因消费者而产生,消费者就有权决定将其删除销毁。如果基于公共利益的需要,经过严格的程序,第三方支付机构可以对已经删除信息进行恢复,如为查清利用第三方支付平台进行洗钱等犯罪行为,侦查机关可以按照法定程序要求第三方支付企业恢复已经被犯罪嫌疑人删除的信息,从而查清犯罪事实,追究犯罪责任。
如某产品服务协议规定,消费者必须不可撤销地授权平台公司在担保支付服务期间或者终止后可以保留服务期间的信息数据。协议还规定,消费者注销账户需要经过公司审核同意,注销账户后公司仍然可以保有消费者个人信息,属于典型侵犯消费者信息删除权的行为。消费者注销账户,表示终结与公司的服务合同关系,双方的权利义务关系终止,公司应该履行基于法律规定的根据诚实信用原则和交易习惯应当履行的以维护给付效果及协助相对人处理善后事务为目的的义务,而不是继续掌握消费者的个人信息,让消费者在服务合同关系终止后继续面临个人信息可能被泄露的风险。另一方面,协议中规定账户一旦注销成功,将不再予以恢复。也就是说对个人信息注销后消费者想恢复控制已然不可能,所有的信息被平台公司独占性享有。
4.信息保密权。信息保密权是指“主体具有请求信息形成与处理主体保持个人信息内容隐秘性的权利。”在第三方支付中产生的信息,消费者作为权利主体有权决定信息状态是公开还是保密。如果消费者选择将信息保密,则第三方支付平台有义务维持保密状态,未经许可不得将信息公开。第三方支付过程中涉及的信息,如消费者的姓名、身份证号码、财产情况等,如果随意公开,会给消费者正常生活造成很大影响,甚至很可能会危及财产乃至生命安全。因此必需要严格保密,不能外泄。第三方支付平台应该提高技术水平,避免由于平台漏洞遭受黑客攻击而导致个人信息被泄露的风险。对于擅自将支付账户中信息泄露给他人特别是以营利为目的泄露信息的,应追究民事责任。
第三方支付企业未尽保密义务
主要表现为不经消费者同意就共享信息。如《支付宝服务协议》中规定消费者在支付宝平台注册后,即强迫性授权支付宝公司与支付宝关联公司、其他阿里网站、阿里巴巴集团旗下其他公司共享,支付宝公司可以将信息储存到其他阿里网站及阿里巴巴集团旗下的其他公司的服务器上或传送位于别国的服务器上。同时,支付宝消费者必须被迫接受支付宝公司通过银行或向第三者审核消费者的身份和资格,并通过阿里网站或其他合作方取得关于消费者使用本服务的相关资料。这种不经消费者同意的强迫性授权,在信息分享和传递过程中一旦出现技术故障或被攻击窃取,就有可能造成消费者信息的严重泄密,损害消费者正当利益。《财付通隐私保护声明》也承诺不会将消费者登录和使用本服务的相关信息提供给关联公司之外的主体,表明财付通也会将相关信息共享给其关联公司。财付通公司依附的腾讯公司是中国最大的互联网综合服务提供商之一,关联公司众多,可能的风险和隐患难以预料。第三方支付行业消费者个人信息权保护的重点。
(一) 正确定位消费者与第三方支付企业在消费者个人信息处分上的权限
对第三方支付企业来说,消费者的个人信息是宝贵的资源,对消费者而言,个人信息权是隐私权的变形,是消费者生存所必须具备的应有权利,不可随意剥夺。在二者的冲突中,应该注重对消费者的优位利益进行保护。即使个人信息产生于消费者使用支付平台过程中,是使用支付服务所必须的基本条件,也并不意味着第三方支付平台可以占有、使用或者处分。第三方支付企业的支付服务不能作为换取处分个人信息权的对价。
欧盟1995年通过的 《个人数据保护指令》 规定个人对信息加工拥有知情权、介入权、异议权和不受约束权。我国法律也对相关问题加以规定,若非基于法律规定或者消费者许可,第三方支付企业不得随意加工或者使用消费者个人信息;对于加工、使用过程、方式,消费者有权知晓,并对于不当的加工、利用提出异议,要求第三方支付企业改进或者终止,还可以进行修改。
(二) 限制第三方支付平台信息收集的范围
目前注册第三方支付平台需要提供的信息种类繁多,以某产品为例,消费者需要填写的信息包括所在区域、个人电子邮箱或者手机号码、姓名、身份证号码、银行卡卡号、职业、住址、身份证使用期限;按照相关规定,发起支付指令,必须要包含的信息有付款人名称、确定的金额、收款人名称、付款人的开户银行名称或支付机构名称、收款人的开户银行名称或支付机构名称、支付指令的发起日期等,但个人所在区域、地址、职业、身份证使用期限等信息,根本与支付账户、支付过程无关。
第三方支付平台要求消费者填写,更多是处于商业上考虑,为了统计、分析消费者习惯,制定营销策略,更多地吸引消费者。对于这类信息,《网络商品交易及有关服务行为管理暂行办法》 规定网络服务经营者不得收集与服务无关的信息,因此应当禁止第三方支付企业再要求消费者填写。
(三)民事责任机制的完善
第三方支付企业侵害消费者个人信息权,全国人大常委会做出的 《关于加强网络信息保护的决定》 中对十种侵权行为进行了规定,包括非法获取、非法出售、非法向他人提供、非法泄露、非法篡改、非法毁损、丢失、违法发送、对泄露公民个人电子信息或侵扰他人的电子信息未及时采取补救措施、其他行为等。这些行为可能被追究民事责任、行政责任和刑事责任,民事责任如何追究,上述 《决定》 只有原则性规定,目前还只能依据 《侵权责任法》 的规定,按照过错责任原则,依据一般构成要件进行分析。由于消费者在证据收集方面存在种种障碍,想要证明所有的构成要件,几乎是不可能完成的任务。作为一种特殊侵权行为,应该在今后的法律制定或修改中在责任认定原则、举证责任等方面做出倾斜性规定,对处于弱势地位的消费者进行特殊保护。
此外,民事责任可能构成侵权责任与违约责任的竞合,可以以立法形式要求第三方支付企业在服务协议中约定违约损害赔偿条款。例如事前设定一定数额的违约金,可以带有惩罚性质,而非同质赔偿。在民事责任形式方面,损害赔偿固然重要,及时停止损害或者采取补救措施更有现实意义。《决定》要求网络服务提供者对于发生或者可能发生信息泄露、毁损、丢失立即采取补救措施,应当增加赋权消费者向司法机构申请要求第三方支付企业即刻停止侵权和主张救济的相关规定。
