《第三方支付行業中個人信息權保護問題研究》

摘 要 近些年來，隨著互聯網技術的快速發展，網絡電子商務不斷普及，第三方支付平臺運營成為消費者日常生活必不可少的部分，其帶來便捷服務的同時，也因其特殊性使個人信息權利遭受到不法侵害。個人信息權包含著相當豐富的內容，我國對于個人信息的內涵以及保護已經有了不小的發展，但是結合現狀仍然存在問題亟待解決。本文針對當前第三方支付平臺與個人信息保護之間的問題進行原因分析，并提出針對性的建設意見，比如完善法律體系，明確責任原則，積極推行行業自律等，為我國消費者個人信息保護提供解決途徑。

關鍵詞 第三方支付 信息安全 信息保護 支付寶

作者簡介：壽寧靜，華東理工大學法學院，本科生。

中圖分類號：D920.4 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2018.06.261

隨著信息技術和電子商務的不斷發展，人們的消費方式從線下轉移到線上，同時交易方式逐漸由現金交易轉向更為便捷的網絡虛擬交易，不需要隨身攜帶大量的現金，不需要浪費腳力在各家商店徘徊，由此第三方支付平臺逐漸在人們的日常生活成為一個不可或缺的角色，在賬戶注冊、購物消費、支付交易、物流運輸、簽收商品的過程中，出于維護社會、公眾合法利益的需要，如何約束第三方支付企業的權利，如何確保企業的“數據權力”不超越個人的“數據權利”，對于第三方支付活動中消費者的各項個人信息進行妥善保管，合理使用，更好地促進人們在互聯網上的商品交易和買賣活動，保障人們的個人信息不受損害也就成為當今時代非常重要的一個命題。

一、事件回顧

當2018年將至，支付寶所推出的一項特色服務刷屏朋友圈，即支付寶用戶個性化年度賬單，支付寶平臺以大數據的形式統計了用戶2017年度使用支付寶進行交易、購物等活動的總體情況，同時對于數據進行分析和處理，并且預測了用戶們新一年的消費趨勢，給予個性的簽語，本來只是一項貼心的統計服務，在大數據的時代并不稀奇，但是支付寶平臺在進入年度賬單閱讀起始頁的并不起眼的地方，將“我同意《芝麻服務協議》”的選項進行了默認勾選，這就意味著支付寶平臺在此之后既可以“不支持撤銷對第三方的信息查詢授權”，也可以在沒有用戶許可的情況下“直接向第三方提供相關信息”。這個選項的設置極不顯眼，用戶在瀏覽時往往容易忽略，當用戶公開分享其賬單截圖時，支付寶平臺則在默默分享用戶數據，大大侵害了用戶們的個人信息權利。

該事件立馬在互聯網上引起了輿論熱議，用戶們為自己的信息安全惴惴不安，支付寶在事發之后立即作出反應，迅速作出了相應的整改，并且公開反省自身不尊重用戶知情權的愚蠢行為。而支付寶的這一事件，只是當今大數據時代下，個人信息受到威脅的一個縮影。人們在生活和生產的過程中，喜歡吃哪一種菜系，單曲循環百遍了哪首歌曲，比較偏愛哪種風格的衣物，大數據往往比人們自身記得更加清楚，所有碎片式的信息放大、拼湊在一起，常常可以具體精確到某一個個體，并將其透明化，而這些信息被各網絡運營者進行商業利用，則使人們更易受到損害，透明的生活使人們“細思極恐”，由此，《芝麻服務協議》的默認勾選并不是一件簡單小事而已。

二、個人信息權概述

2017年3月15日第十二屆全國人民代表大會通過了最新的《中華人民共和國民法總則》（以下簡稱《民法總則》），而其中的特色內容之一就是將“保護個人信息安全”寫入了《民法總則》當中，這是我國對于個人信息安全保護愈加重視的一個信號。《中華人民共和國網絡安全法》（以下簡稱《網安法》）也在2017年6月1日起正式施行，而《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）在2017年頒布了最新的草案。

在《個人信息保護法》（草案）當中對于個人信息的定義是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。也即可以同特定的個體產生聯系并且能夠表現出個人特點，具有一定可識別性的信息集合體，具有客觀存在性、可識別性、無形性、兼有人身與財產屬性。個人信息通常可以區分為敏感信息與一般信息，敏感信息是指帶有隱私性，人們通常不愿意公開且一旦公開就會對人們造成相當嚴重損害的一類信息，而一般信息基于支付活動產生的部分又可細分為個人基本信息和在支付交易中所產生的信息。個人基本信息包括賬戶名稱、地區、電子郵箱等，個人在支付交易中所產生的信息一般具體指每次支付對象、支付時間、支付金額等。

根據《個人信息保護法》（草案）和《網安法》，并結合實務當中對于個人信息的使用可知，個人信息權包含著相當廣泛且豐富的具體內容，由信息決定權、信息保密權、信息訪問權、信息更正權、信息可攜權、信息封鎖權、信息刪除權和被遺忘權等組成。

三、第三方支付行業中個人信息保護現狀

客觀來講，在這個萬物互聯的大時代里，數據在各平臺和各主體之間廣泛共享是無法阻止的大勢所趨，這既可以為用戶提供更加精確周到的服務，也可以降低各平臺的交易成本，但不可以將便捷取代安全。當前第三方支付行業已經有了非常大的完善與發展，針對信息更正權，為用戶提供自主更新資料服務，針對信息封鎖權提供相應的請求暫時凍結等服務，以保證個人信息的準確與安全，但是在某些權利的保護上仍然存在問題，亟待解決：

（一）信息決定權和信息可攜權

信息決定權所保護的是個人對于信息是否被收集、處理、利用的控制和支配權，根據《網安法》規定：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。”而信息可攜權指的是“信息主體有權就其被收集處理的個人信息獲得對應的副本，并可以在技術可行時直接要求信息控制者將這些個人信息傳輸給另一控制者。”也即個人信息被傳輸分享，應當是出于個人信息權人的主動允許，而不是被強迫選擇分享。用戶確實在注冊時向第三方支付平臺提供了其相關的個人信息，這些信息僅僅是為第三方支付平臺用于甄別用戶，并不代表用戶將信息的控制支配權授予平臺，因此第三方支付平臺不能夠基于商業目的，強迫用戶向其提供并選擇共享個人信息。如在用戶注冊支付寶時，會提示用戶注冊即表示同意《支付寶服務協議》、《支付寶隱私政策》和《淘寶服務協議》，而在《支付寶服務協議》中規定：當消費者在支付寶平臺注冊后，即授權支付寶公司與支付寶關聯公司、其他阿里網站、阿里巴巴集團旗下其他公司共享，支付寶公司可以將信息儲存到其他阿里網站及阿里巴巴集團旗下的其他公司的服務器上或傳送位于別國的服務器上。這樣的授權帶有強迫性質，如若不同意該服務協議則無法進行支付寶注冊，也即剝奪了用戶的信息決定權和信息可攜權。同樣的在《財付通隱私保護聲明》中也對用戶保證，不會將消費者登錄和使用本服務的相關信息提供給關聯公司之外的主體，也即用戶在注冊時同意該聲明，由此用戶被強迫同意財付通將其個人信息與財付通的關聯公司共享。可以預見，隨著時代不停進步，第三方支付平臺必將不斷拓展其業務，也就是說其關聯業務公司將會不斷增加，消費者將被迫共享其個人信息于更大的互聯網絡，此對消費者的信息安全造成更嚴重的威脅。

（二）信息保密權

該權利是指個人得以請求保證其信息的隱秘性，而第三方支付平臺有義務在未經許可的情況下，不得將用戶的賬戶名稱、姓名、身份證號、地區、財產余額等信息進行外泄或者公開，應當嚴格維持其保密狀態，使用戶免受損失。但像是在《支付寶服務協議》中存在著用戶必須被迫接受銀行或第三者對其進行身份和資格的相關審核，并支付寶平臺可通過阿里網站或其他合作方取得消費者使用本服務過程中所產生的相關資料的有關規定，這樣的強迫性規定使用戶的個人信息往往存在隱患。2018年1月，騰訊公司發現支付寶錢包存在漏洞，并在發布會上演示了怎樣對于漏洞進行攻擊，該事件正是說明支付寶仍舊可能存在被攻擊的風險，一旦發生技術故障或者被惡意攻擊時，就容易造成用戶個人信息大范圍泄露，從而給用戶帶來極大的財產損失。

（三）信息訪問權

信息訪問權的存在使個人信息權人能夠對于其個人信息以及相關的處理情況進行查詢、訪問并得到信息控制者的相應答復，主要包括的是查詢相關內容的詳細信息以及相關信息的趨勢分析，正如支付寶年度賬單當中對于用戶一年度的總結以及來年消費趨勢的分析，但是在實務過程中，消費者有時會遇到信息控制者對于信息不公開，或者客服質量較差，反應較慢，產生的問題無法及時得到解決，增加消費者時間成本的同時也可能對于消費者造成損害，這要求著第三方支付平臺提高其服務質量，為用戶帶來更加人性化和便捷化的服務。

（四）信息刪除權

信息刪除權指的是當法定或約定的事由出現，用戶可以請求信息處理主體無條件地刪除其個人相關信息的權利，《網安法》中規定：“個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息。”當然在用戶認為信息沒有存在必要時，也可以對于信息進行刪除，而第三方支付平臺不得在未經允許的情況下，擅自恢復用戶已刪除的個人信息。同時該項權利也應受到相關的限制，當涉及公共利益時，比如遇到金融犯罪的情況，偵查機關可以按照法定程序要求第三方支付平臺恢復用戶的相關信息以助案件的順利告破。但是許多的第三方支付產品會在其《服務協議》中規定“消費者必須不可撤銷地授權平臺公司在擔保支付服務期間或者終止后可以保留服務期間的信息數據”或者“注銷后仍可以保留相關信息”等等，都是對于用戶信息刪除權的侵害。

（五）被遺忘權

被遺忘權引起極大爭議與關注是來源于2014年歐盟最高法院對于“谷歌案”作出了終審裁決，將被遺忘權引入了人們的視野。 被遺忘權是指“在法定或約定事由出現時，信息主體得以請求信息處理主體無條件斷開與該個人信息的任何鏈接，銷毀該個人信息的副本或復制件”的權利。每個人都有一些不希望被留存的信息，盡管可能一時間被刪除了，但是并不能使這些信息真正消失，從而變成一個“潛伏的炸彈”，在當今中國，被遺忘權尚未擁有法律依據，人們個人信息的保護仍舊岌岌可危。

四、問題原因分析

（一）社會角度：網絡安全技術的發展滯后于經濟發展

當今中國經濟已經進入穩健發展階段，消費、交易成為日常生活必不可少的部分，然而伴隨著互聯網技術和虛擬交易的不斷發展，網絡病毒樣本也日漸多樣化，國家信息中心信息與網絡安全部與瑞星于2018年1月30日聯合發布了《2017年中國網絡安全報告》，在報告中提到病毒總數較2016年同期上漲15.62%，同時來自中國地區的網絡掃描對數據庫服務更感興趣，根據數據顯示，對MySQL、MSSQL的掃描次數、源IP個數，中國都位于全球第一。 面對這樣的網絡現狀，我國所掌握的網絡安全技術尚且不能進行針對性解決，而“掃描者”對于數據庫的強烈渴望，正威脅著我國民眾的個人信息安全。

（二）法律角度：個人信息權利相關法律制度尚未完善健全

2017年我國在個人信息安全保護的法律機制建設方面確實取得了不小的進展，《網安法》的頒布施行和《民法總則》對于個人信息安全的更加重視，無不為消費者提供了更好的保護個人信息權的法律武器，但是人們的信息決定權、信息保密權和被遺忘權等仍然缺少法律的強大依靠，消費者們仍處在抗爭無門的狀態，尋求法律救濟的道路上也存在著多種阻礙，如責任認定原則、舉證責任、賠償方式等，這些問題的解決還有待《個人信息安全保護法》的出臺以及相關配套措施的進一步完善。

（三）第三方支付平臺角度：自我管理不規范

第三方支付平臺的經營者仍需要參與商業競爭，獲得商業利益，由于完善信息安全方面的工作需要較大筆的資金技術的投入，出于盈利目的，支付平臺的經營者很可能會選擇采取壓縮信息管理方面的支出的方式。在管理不善與技術落后的情況下，往往會造成信息管理上一些不易察覺的漏洞，從而導致個人信息的泄露，即使是支付寶錢包與微信錢包此類已經擁有較完善技術和管理制度的支付平臺也無法避免信息管理上漏洞的存在，因此第三方支付平臺在信息管理上仍有更多的進步空間。

（四）個人角度：消費者的個人信息權利意識不強

隨著經濟不斷發展和大數據在日常生產生活中的廣泛應用，使人們從僅僅關注隱私權也就是敏感個人信息部分到重視個人信息的整體權利，由于是一個相對較新的概念，往往并沒有在人們的腦海中形成與之相關的權利意識，客觀來講，對于各款第三方支付平臺的產品服務協議可能99%的人都不會對其進行仔細瀏覽，而是直接點擊同意接受，并沒有意識到自己的個人信息可能因為這樣一個簡單的行為隨時存在著被侵害的危險。消費者們淡薄的個人信息權利意識，給“有心者”們提供了更多的可趁之機。

五、相關完善建議

對于當前第三方支付行業中個人信息受到侵害的問題應當對癥下藥，多個方面，各個環節相互配合，共同進步，使消費者的個人信息能夠得到更加完善周到的保護，為此，本文提出下列建議：

（一）健全相關法律法規，劃定處分權限，明確責任歸屬

第三方支付行業對于個人信息的利用和消費者對于個人信息的控制支配權利之間存在一定的沖突，但是應當以保護消費者個人信息權利為先，任何人都不能夠隨意對其進行剝奪和侵害。消費者在注冊時所填寫的相關信息以及在支付活動中所產生的信息，第三方支付企業都無權在未經消費者許可的情況下對其進行處分，同時對于消費者不應收集與其服務無關的信息，如《網安法》中已有相關規定：“網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息”。對于具體的信息收集、利用、處理的范圍、方式和手段都需要相關法律法規的進一步明確。

除了事前保障的完善以外，也要重視對消費者的事后救濟，先下對于個人信息權利的侵害只能按照《侵權責任法》的過錯責任原則進行處理，當消費者的個人信息權受到侵害時，需要對于一般侵權構成要件進行相關舉證，但由于消費者和第三方企業相比處在弱勢地位，對于相關證據的收集存在種種障礙，因此應當根據保護個人信息權利的特殊性建立具有傾斜性的責任認定原則和舉證機制，降低救濟成本，完善消費者維權的法律救濟途徑，如美國通過立法確定當個人獲取細信息受阻時，可以向法院尋求救濟等。對于嚴重侵害個人信息權利者應當加大其懲罰性賠償力度，甚至追究其刑事責任。

（二）第三方支付行業加強行業自律，提高技術水平

首先第三方支付行業在運營和管理的過程中，應當清楚地認識到自身對于消費者個人信息有妥善保管、合理使用的義務，不能在未經用戶同意的情況下，濫用消費者個人信息，剝奪消費者選擇的權利，為自身謀取商業利益。美國對于個人信息的保護采取的是分散立法和行業自律相互配合的方式， 其中相當重視發揮行業自律的作用，從行業本身出發主動維護民眾的個人信息不受侵害。由于多方面原因的綜合，我國行業自律總是處于停滯不前的狀態，為更好規范第三方支付行業，應當借鑒發達國家的先進經驗，結合自身積極推行行業自律，遵循相關法律法規和企業內部機制，配合政府有關部門的有效監督，使第三方支付企業發揮“活水”作用，更具責任意識，有效地保護個人信息安全。

第三方支付行業除了加強行業自律以外，應當對于自身的技術質量提出更高的要求，現代信息技術日益發達，惡性軟件及技術的形式愈加多樣化，是企業信息管理的極大隱患。因此第三方支付企業應當做到魔高一尺道高一丈，吸收先進技術和經驗，定期進行安全檢查，彌補自身可能存在的漏洞，更好地為消費者提供支付服務。

（三）提高消費者的個人信息權保護意識

無論是不仔細瀏覽便同意產品服務協議，還是對含有個人信息的垃圾短信視若無睹，都體現著當下消費者個人信息權利保護意識的淡薄，對此應當及時采取相關措施進行積極宣傳和科普個人信息權的內涵以及相關法律規定，使消費者意識到保護個人信息權利的重要性，并當個人信息權受損時，能拿起法律武器，積極尋求法律救濟，維護自身合法權益。

六、結語

虛擬交易和電子商務的不斷發展，第三方支付平臺在日常生活中的廣泛使用，提醒我們，互聯網的產品設計需要“以用戶為中心”，第三方支付平臺對于個人信息的安全保護更加需要“以用戶為中心”。對于第三方支付平臺的管理不僅要靠企業自身嚴于律己和不斷提高，也要靠政府相關部門政策扶持和有效監督，要靠相關法律機制的不斷完善健全，對于個人信息權利的保護不單單對于消費者個體至關重要，更影響到網絡環境的穩定和社會民生的良性發展。消費者應當積極運用法律武器，使個人信息能夠免受不法侵害。

注釋：

馬永保.第三方支付行業消費者個人信息權保護探討.甘肅金融.2014（4）.45-47.

《中華人民共和國個人信息安全保護法》（2017年草案）：http：//www.sohu.com/a/20390 2011_500652.

朱凱超.論“被遺忘權”的證成——以信息權利保護的視角.知識經濟.2015（4）.24-25，27.

《2017年中國網絡安全報告》：http：//it.rising.com.cn/dongtai/18940.html.

蔣超.電子商務中個人信息權的民法保護研究.山東大學.2016.

趙玉軍.淺談第三方支付信息安全保護.首屆銀行和第三方支付行業信息安全等級保護技術大會論文集.2013.