“支付宝年度账单”有“授权漏洞”?对默认勾选你可长点心
- 来源:雷锋网
- 2018/1/8 11:08:2636400
【中国安防展览网 企业关注】 晒18、晒歌单、晒账单……元旦前后,大家纷纷以这样的方式来对过去的自己做总结,有人调侃,一不小心就打开了某人的相亲文件夹,分分钟暴露你的颜值、品味、收入~
比如,这位经常吃烧饼还非要晒出来的济南汉子,烧饼到底是有多好吃?你真是不想找女朋友了吗?
律师:账单存在“授权漏洞” 支付宝:我错了
在骚动的朋友圈背后,雷锋网发现,微博有位名叫“岳屾山”的律师冷静的指出了其中存在的“授权漏洞”。
他在微博中明确指出以下三点:
·这个账单的查看和《芝麻服务协议》没有关联性,所以你选择取消同意,依然能够看到年度账单。但如果你没注意到,就会直接同意这个协议,允许支付宝收集你的信息包括在第三方保存的信息。
·根据《消费者权益保护法》,消费者有选择权,而不是商家替消费者选择。或许“芝麻”会说,你可以选择不同意,可是“芝麻”你偷偷摸摸的帮我选好了“同意”,还那么小的字,稍不留神就漏掉了,唬谁呢?
· 根据《互联网交易管理办法》的规定,经营者应当采用显著的方式提请消费者注意与消费者有重大利害关系的条款。
这条微博一经发出,迅速引发关注,当晚 23 点,芝麻信用团队针对此事也承认错误,并取消了默认勾选。对于已经勾选了的用户,可以在【支付宝客户端-我的-芝麻信用-信用管理-授权管理】中找到“支付宝”的这个选项,取消授权。
半年前,花呗被质疑过度获取用户信息
其实,有关支付宝的“授权漏洞”,可以追寻到半年前的“花呗”事件。
2017 年 6 月30日,“蚂蚁花呗”宣布改名为“花呗”,并更新了用户服务合同。新合同规定,用户同意并授权花呗收集户籍信息、社保参保状态、公积金缴费情况、通话记录等个人数据。
此举引起了网友热议,有人称“吓得赶紧关闭了花呗”。
针对质疑,7月3日,花呗修改了服务合同,之后在微博回应,通过采集用户信息降低风险系行业的常规手法,并称实际采集的信息范围远小于此。
当时,就有来自南都的报道指出,较此前版本,新服务合同表述相对笼统。
比如,6月30日生效版本的4.2.9条详细列出收集信息类型为“社保参保状态、缴费额度、缴费年限、缴费单位等”,而现有版本的4.1.5条则用“社保信息”概括。
在新版本中,雷锋网(公众号:雷锋网)发现花呗没有再提及旧版中需要收集的用户财产信息、户籍信息和通话信息等,并在第四条“信息收集、使用、共享”的开头写道:“请您理解,如果不收集您的一些必要信息,服务商将无法客观判断您的履约能力和意愿,也无法履行法律或监管要求服务商必须履行的一些法定义务。”
一天后,也就是7月4日,花呗就此事作出长文回应。
法律规定,搜集信息要遵循必要性原则
根据6月1日施行的《网络安全法》规定,收集和使用个人信息需要遵守合法、正当、必要性原则。其中必要性原则是指,收集个人信息与所要提供的服务相关,或是为了改进服务。
那此次芝麻信用是不是违法了?
雷锋网发现,虽然岳屾山律师指出,不授权依然可以查看年度账单,但对于账单中信用免押金的这部分内容,则不能查看。所以,也不能说其所搜集的个人信息与所提供的服务无关。
但是,岳屾山微博中所指出的这点,也许应当引起我们的注意。
根据《互联网交易管理办法》的规定,对于信息收集,要求经营者需要明示收集、使用信息的目的、方式和范围,并经被收集者同意。而“芝麻”这个根本不给你了解条款的机会,直接让你默认同意,稍不注意就进坑了。
在微博的评论中,也有网友指出:芝麻信用本来就是支付宝的,授权支付宝有什么问题?
岳屾山回应:自己的权利只能自己保护,如果你不在意自己的信息被收集当然可以随意,如果你不在意自己的选择权被忽略当然可以随意。
说到“授权漏洞”,今天大家把矛头都指向了支付宝,但有问题又何止这一家,连谷歌前段时间都对安卓系的 APP 下达警告,如果你的 APP 在搜集用户信息的时候没有进行相应的提醒,那么你将成为谷歌的重点打击对象。
通过对用户信息的搜集,进行大数据分析,可能真的有利于提升用户体验。但侵犯隐私的界限在哪里?有些厂商就是想打擦边球搜集你的信息怎么办?