¿Qué tiene de malo la casilla de verificación predeterminada en las facturas de Alipay?
Cuatro preguntas sobre el incidente de la “factura Alipay”
El 3 de enero, Alipay anunció su “factura personal” anual para usuarios. En la página de inicio de la factura, hay una línea de palabras muy pequeñas: "Acepto el "Acuerdo de servicio de Sesame" (en adelante, el "Acuerdo")", y hice clic en "Aceptar" de antemano. El contenido de este acuerdo implica que "usted permite que Sesame Credit recopile su información y la proporcione a terceros".
Después de que un abogado revelara esta situación en Weibo, despertó dudas y atención pública generalizada.
El 10 de enero, la Oficina de Coordinación de Ciberseguridad de la Oficina Estatal de Información de Internet entrevistó a personas relevantes a cargo de Alipay (China) Network Technology Co., Ltd. y Zhima Credit Management Co., Ltd. El día 11, la Oficina de Administración de Información y Comunicaciones del Ministerio de Industria y Tecnología de la Información entrevistó una vez más a Ant Financial Group Company (Alipay) y exigió a la empresa que realizara rectificaciones inmediatas basadas en el principio de proteger plenamente los derechos de los usuarios a saber y elegir. .
En respuesta a las cuestiones fácticas y legales involucradas en este incidente, nuestro reportero entrevistó a expertos e individuos relevantes de Ant Financial.
¿Por qué "verificar por defecto"?
Algunos internautas creen que cuanto más información personal tenga una agencia de servicios de crédito, más ventajosos serán los productos de crédito que ofrece y más podrá atraer a más demandantes "Sesame Credit está marcado en letras minúsculas por defecto. "No se puede dar marcha atrás. La forma de comprobarlo puede ser obtener la autorización de más personas".
"Este incidente causó insatisfacción principalmente por la forma en que se concluyó el contrato", dijo el Dr. Liu Ming, investigador asistente. En el Instituto de Derecho de la Academia China de Ciencias Sociales, el método de celebración es tan importante como el contenido del contrato. El comportamiento de Zhima Credit de utilizar caracteres pequeños para comprobarlo de forma predeterminada y no poder mirar hacia atrás hará que los consumidores se sientan "atrapados". Se sospecha que Alipay utiliza este método para atraer gente, pero en realidad es que todos autoricen Sesame Credit. Si un comerciante es injusto con los consumidores en el proceso de celebración del contrato, será difícil para los consumidores controlar el contenido del contrato y perderán sus ventajas e incluso oportunidades de competir con el comerciante. Aquí es donde los consumidores se sienten insatisfechos.
Según el "Aviso sobre preparación para negocios de informes crediticios personales" emitido por el Banco Popular de China el 5 de enero de 2015, Zhima Credit Management Co., Ltd. es uno de los ocho primeros informes crediticios comerciales. agencias en China. Según el sitio web oficial de Zhima Credit, Zhima Credit es una organización independiente de servicios de crédito de terceros y una parte importante del ecosistema Ant Financial. Desde tarjetas de crédito, financiación al consumo, arrendamiento financiero, préstamos hipotecarios, hasta hoteles, alquiler de casas, alquiler de coches, matrimonio y amor, información clasificada, servicios estudiantiles, servicios del sector público, etc., Sesame Credit ha brindado servicios de crédito a usuarios y comerciantes en cientos de escenarios. Xu Ting, experto senior en relaciones con el consumidor global de Ant Financial, dijo que desde su lanzamiento, Sesame Credit ha brindado servicios de crédito a más de una docena de industrias y tiene cientos de millones de usuarios de información personal.
“Este tipo de práctica de marcar la casilla por defecto ocurre principalmente en empresas que no tienen suficiente confianza en su crédito comercial e intentan acumular autorización de usuario. De hecho, Zhima Credit no pertenece a este tipo de empresas. ", Liu Xiaochun, director ejecutivo del Centro de Investigación sobre el Estado de Derecho en Internet de la Universidad de la Academia China de Ciencias Sociales, dijo a los periodistas: "Cuando investigamos la industria anteriormente, realizamos investigaciones y estudios sobre el sistema de protección de información personal de Zhima Credit, incluido el cumplimiento interno. , prevención de fuga de datos personales y seguridad de datos en cooperación externa. En términos de mantenimiento, las medidas de protección de Zhima Credit son impresionantes. Para una organización de este tipo, no creo que sea necesario utilizar el "truco" de la verificación predeterminada para obtener más autorización. ."
"De forma predeterminada, después de verificar y hacer correcciones, revisamos el problema muchas veces y descubrimos que el problema puede radicar primero en el pensamiento inercial del diseño de productos de Internet ", presentó Xu Ting en la investigación interna de la empresa. Posteriormente, dijo a los periodistas: "El gerente de productos de Internet estaba diseñando el producto. , tienden a centrarse en hacer que el producto sea utilizable y que la experiencia sea lo más rápida y fluida posible. Este tipo de pensamiento lleva a Internet a seleccionar directamente muchas cosas para los usuarios cuando úsalos. Confirmado. Este tipo de pensamiento cree incorrectamente que muchas operaciones e interacciones son una experiencia de fricción para los usuarios.
¿Qué hay de malo en la “verificación predeterminada”?
“La práctica de marcar tácitamente la casilla va en contra del espíritu del contrato, especialmente de la libertad de contratación y la justicia del contrato”. Profesor Liu Junhai, director del Instituto de Derecho Comercial de la Universidad Renmin. de China, dijo: “La libertad de contratación es la verdadera expresión de la intención de ambas partes en el contrato, para luego llegar a un acuerdo de modo que sea vinculante para ambas partes.
La verificación predeterminada significa que usted ha aceptado los términos del contrato de forma predeterminada antes de que todos lo vean. Como cláusula estándar redactada unilateralmente por la empresa, se considera una cláusula contractual vinculante tanto para los consumidores como para la empresa sin buscarlo. el consentimiento del consumidor, contrario al espíritu de libertad de contratación. La libertad de contratación no es unilateral, sino bilateral. Es lógico que cualquier condición estándar formulada por una empresa sea confiada por los consumidores y redactada en nombre de los consumidores. Pero el problema es que muchas cláusulas estándar están metidas en "bienes privados", que a menudo excluyen los derechos fundamentales y las demandas de intereses de los consumidores, aumentan las obligaciones, responsabilidades y riesgos de los consumidores, eliminan o excluyen unilateralmente a los comerciantes de asumir obligaciones y responsabilidades para con los consumidores. , y unilateralmente Las empresas crean derechos e intereses principales, y mientras exista una de las situaciones anteriores, es contraria a la libertad de contratación y contraria a la justicia contractual. La justicia contractual requiere que los derechos y obligaciones de ambas partes sean iguales y ponderados en una balanza. Tus derechos son iguales a mis derechos y tus obligaciones son iguales a mis obligaciones. ”
“El control por defecto es ilegal. Aunque nuestro país no cuenta con una ley de protección de datos personales, la Ley de Protección de los Derechos del Consumidor estipula claramente que los consumidores tienen derecho a saber y a elegir libremente. El usuario no presta atención. Después de llegar a este acuerdo, se llega por defecto y se 'vende' información personal. Esto primero infringe el derecho del usuario a saber y elegir. " dijo Zhu Wei, subdirector del Centro de Investigación de Derecho de la Comunicación de la Universidad de Ciencias Políticas y Derecho de China.
"Desde la perspectiva de la protección de los derechos del consumidor, el control predeterminado no sólo infringe el derecho de los consumidores a saber y elegir, pero también infringe sus derechos "Derecho a la seguridad de la información personal". El abogado Qiu Baochang, director del Comité Profesional de Protección de los Derechos del Consumidor de la Asociación de Abogados de Beijing, cree que es fácil pasar por alto el uso de caracteres pequeños para verificar las opciones predeterminadas. No es elección del consumidor. La forma en que se procesará la información personal no depende de su verdadera intención, existen riesgos de seguridad. “Esto también implica privacidad, seguridad de la propiedad y seguridad personal. al igual que información relacionada con las condiciones económicas familiares, también puede dar lugar a casos como hurto y hurto. ”
En cuanto al derecho a la privacidad, Zhu Wei señaló que el derecho a la privacidad es un derecho importante estipulado en el artículo 2 de la Ley de Responsabilidad Civil, siempre y cuando. el usuario acepta, como derecho civil, que algunos derechos de privacidad pueden ser transferidos. Pero este consentimiento no puede obtenerse mediante engaño "realizando una verificación predeterminada sin el conocimiento del usuario, estipulando su consentimiento o 'engañando' para que dé su consentimiento, y obteniendo información en De esta manera se viola el derecho a la privacidad." ”
Zhu Wei también señaló que desde la perspectiva de la ley de seguridad de la red, la información personal de los ciudadanos también es un componente importante de la seguridad de la red. El 28 de diciembre de 2012, el Comité Permanente del Congreso Nacional del Pueblo revisó. y aprobó la Decisión "Fortalecimiento de la Protección de la Información de la Red", con la aprobación de la Ley de Ciberseguridad en 2016, la legislación resumió el uso de la información personal de los usuarios por parte de las empresas en nueve palabras: "legalidad, legitimidad y necesidad", lo que significa que el uso de la información personal de los usuarios debe obtenerse en su totalidad con base en el consentimiento del usuario. La información del usuario no debe usarse en violación de las regulaciones o violaciones. El artículo 43 estipula que cuando los usuarios descubren que los proveedores de servicios de red usan información personal en violación de las regulaciones o violaciones. , tienen derecho a solicitar al proveedor de servicios de red que elimine esta parte de la información, y el usuario tiene derecho a eliminarla. Por tanto, si el usuario no lo sabe, ¿cómo puede incumplir el contrato? El método de verificación es inapropiado. Los usuarios pueden pedirle a Zhima Credit que elimine toda la información
, señaló Yue Yipeng, profesor asociado de la Escuela de Artes Liberales de la Universidad de Tecnología Química de Beijing. Según la Ley de Protección de Derechos, los operadores que utilizan cláusulas de formato en actividades comerciales no pueden utilizar cláusulas de formato ni utilizar medios técnicos para forzar transacciones. En este caso, el contenido de las cláusulas de formato no es válido. Los consumidores tienen derecho a decidir y controlar el uso. Además, Zhima Credit no utilizó un "método razonable" para proporcionar indicaciones. Incluso si los consumidores hacen clic para aceptar, la cláusula debería considerarse inválida. "
Xu Ting también admitió que la verificación predeterminada fue realmente incorrecta y no debería realizarse. "A medida que se desarrolló el incidente, nos volvimos cada vez más conscientes de las consecuencias que nuestros errores de trabajo habían traído al público y Usuarios preocupados. La empresa se lo toma muy en serio. La dirección cree que este incidente no se puede discutir caso por caso y debe reflexionarse exhaustivamente sobre la causa raíz. ”
¿Cómo proteger el derecho del usuario a saber y elegir?
Entonces, si el usuario no está marcado de forma predeterminada, pero le permite “hacer clic para confirmar” de forma independiente, ¿Eso significa que el derecho del usuario está protegido? ¿Qué pasa con el derecho a saber y el derecho a elegir? En este sentido, Liu Ming cree que hay dos formas principales de celebrar un contrato de Internet: una es celebrar un contrato de navegación y la otra. es hacer clic para confirmar la conclusión al registrar un usuario.
Este último tiene un proceso de hacer clic para aceptar, lo que brinda a los usuarios la oportunidad de expresar sus intenciones, que es precisamente lo que la "verificación predeterminada" es difícil de lograr. "De hecho, permitir a los usuarios llegar a un acuerdo sin saber nada es la clave de por qué no se reconoce el Acuerdo. Y al hacer clic para confirmar, la eficacia de este método de celebrar contratos de Internet ha sido reconocida en la teoría y en la práctica. La clave para el reconocimiento radica en si los consumidores tienen la oportunidad de ver claramente el contenido principal que involucra los derechos y obligaciones de los consumidores. Aunque algunos protocolos de Internet también adoptan un método de hacer clic para confirmar, el contrato contiene demasiado contenido y es difícil de entender. y el uso de cláusulas estándar también puede tener efectos injustos sobre los consumidores".
Kong Dechao, becario postdoctoral de la Universidad Renmin de China, cree que el alcance general de la autorización en el "Acuerdo" es demasiado amplio y el titular de la información no puede saber qué es. La información personal recopilada se utiliza para evaluar el crédito personal, y no es posible ejercer los derechos de objeción y corrección que tienen los titulares de la información contra información personal errónea o inexacta según lo estipulado en la "Industria de Crédito". Reglamento de Gestión".
Zhu Wei también cree que, a partir del contenido del Acuerdo, los consumidores no pueden comprender el alcance, el método, el propósito y el uso de la información personal recopilada y utilizada por Zhima Credit, ni saben qué sucederá después de proporcionar su propia información, ¿qué tipo de servicios proporcionará Sesame? Los términos están vagamente definidos y la descripción de la autorización es relativamente general. Informar claramente a los sujetos de información sobre el alcance, método, propósito y otros aspectos de la recolección y uso de la información es un requisito de muchas leyes y regulaciones como la Ley de Ciberseguridad y el “Reglamento sobre Protección de Datos Personales de los Usuarios de Telecomunicaciones e Internet”. Señaló que se deben resaltar más los términos referentes al uso de información privada para que los usuarios presten especial atención. "Se recomienda que Sesame Credit amplíe este acuerdo en el siguiente paso, informando especialmente claramente a los usuarios quién usará su información personal, cómo se usará, si se puede transferir, cómo se puede transferir, etc. No se puede "Está marcado de forma predeterminada para estar de acuerdo, pero debe estar marcado de forma predeterminada para no estar de acuerdo, permita que el usuario esté de acuerdo después de leerlo antes de pasar al siguiente paso".
Xu Ting respondió que por consideración a la protección de la privacidad información, se prepararán para mejorar el concepto de diseño del producto en el siguiente paso. "Reflexionamos que el protocolo luego cambió el método y la ubicación de los recordatorios y agregó un proceso de clic, que puede ser una mejor experiencia para el usuario. Para ser honesto, si hay un clic en el proceso de verificar la factura, aumentará el costo. para el usuario, pero puede hacerlo más claro y no habrá malentendidos. Además, los usuarios sienten que existe un proceso de su propia elección, aunque es problemático, pero es fácil de aceptar, por lo que al diseñar productos en el futuro. ", No siempre pueden pensar en reducir la fricción de los productos, reducir las interacciones innecesarias y considerar de manera más integral la ley y las necesidades de los usuarios, y tener interacciones positivas con los usuarios".
Xu Ting dijo a los periodistas: "Desde la perspectiva. En los comentarios y perspectivas, también encontramos que algunas dudas en realidad surgen de malentendidos de los usuarios sobre los términos del Acuerdo. Precisamente porque las personas no entienden de qué se trata el servicio de crédito, les preocupa que se pueda filtrar información. También reflexionamos sobre el surgimiento de la evaluación crediticia, si podemos dejar que todos comprendan claramente cómo cooperamos con los socios y cómo la evaluación crediticia afecta la vida de los usuarios si podemos utilizar términos legales más precisos, fáciles de entender y consistentes; Expresar el significado del acuerdo en términos estrictos, no puede haber malentendidos. Ahora estamos pensando en cómo hacerlo y ya lo estamos estudiando."
"Además, trabajaremos en la estructura organizativa. Para garantizar la implementación de este trabajo de mejora, la empresa decidió crear un departamento separado bajo el centro de atención al cliente para que sea responsable de la protección de los derechos del consumidor y la información personal, y asignarlo a un departamento muy específico y a una persona responsable que reportará directamente a El informe del gerente general equivale a crear un equipo separado para implementarlo específicamente. También habrá un sistema claro de evaluación y responsabilidad para este departamento. A partir de ahora, toda la empresa concederá gran importancia a la protección de la información del consumidor. "Realizar inspecciones individuales para todos los empleados. La construcción cultural y la capacitación en protección de la información tienen en mente la protección de la información. Confiamos en que haremos esfuerzos prácticos para proteger la información de los usuarios", dijo Xu Ting.
¿Cómo proteger la información personal en la era del big data?
El incidente de la "factura Alipay" ha despertado la preocupación pública por la seguridad de la información personal.
“La verificación por defecto no debería ser sólo una práctica de Alipay. Es una práctica común dentro de la industria de Internet y es casi una regla explícita”. Zhu Wei dijo que esto se debe a que nuestro país no tiene una. Ley de protección de datos personales, existen más de 150 leyes, reglamentos, documentos de políticas y documentos pelirrojos relacionados con la protección de la privacidad, pero la legislación es demasiado general y no lo suficientemente detallada.
No hay distinción entre información personal y big data. La información identificable pertenece a la información personal y pertenece a la categoría de derechos de privacidad; la información no identificable pertenece a big data y pertenece a la categoría de derechos de propiedad intelectual. Los comerciantes pueden utilizarla casualmente sin ningún problema. "Por ejemplo, qué páginas se han visto y cuántas veces se han visto. Esta información de identificación no personal no requiere el consentimiento personal del usuario; sin embargo, quién ha navegado y cuál es su nombre, esta información debe ser informada al El límite entre la información personal y los big data es realmente muy borroso en nuestro país, y es precisamente por esta confusión que muchos proveedores de servicios de red consideran la recopilación aleatoria de información como una forma de utilizarlo. práctica comercial y no lo deja claro en absoluto, ya sea que esté utilizando información personal o big data, es extremadamente beneficioso para las empresas mezclarlos".
¿Por qué la verificación predeterminada puede convertirse en una regla clara en? la industria de Internet? Liu Junhai cree que “esto refleja, hasta cierto punto, la existencia de lagunas regulatorias y puntos ciegos. Se debe instar a los organismos encargados de hacer cumplir la ley y a las autoridades regulatorias pertinentes a tener el coraje de regular cuando el mercado falla. Los reguladores deben utilizar diversos métodos, como la orientación administrativa. , acceso al mercado y sanciones administrativas para Medios para mantener el orden de las transacciones justas entre consumidores y empresas y el orden de la competencia leal entre empresas El objetivo de la supervisión no es impedir que las empresas ganen dinero, sino crear un entorno favorable al consumidor. donde los consumidores tengan una sensación de felicidad, ganancia y seguridad en la sociedad. Crear un entorno ecológico de mercado de Internet compartido, honesto, justo e inclusivo para promover el desarrollo sostenible de las empresas de Internet. para crear un modelo de ganancias comerciales que perjudique los intereses de los consumidores, las empresas inteligentes no deben tomar la iniciativa de apoyar a los consumidores, respetar y proteger de manera proactiva los derechos de los consumidores al conocimiento, la privacidad y la protección de la información personal, y cumplir de manera proactiva. las obligaciones de seguridad de la empresa”.
Qiu Baochang cree que los departamentos gubernamentales pertinentes deben aumentar la supervisión administrativa y estandarizar el comportamiento de los operadores. Al mismo tiempo, los consumidores también deben presentar quejas de inmediato ante el departamento de supervisión del mercado y. Las autoridades de la industria después de descubrirlo, los departamentos gubernamentales deben investigarlo y abordarlo de manera oportuna para generar un impacto negativo en la gobernanza social de la protección de la información personal.
Zhu Wei dijo que en la era del big data e Internet, los conceptos de todos realmente necesitan cambiar y adaptarse. Ahora es imposible tratar la información personal como privacidad y no tocarla como antes. En este caso, se extrae mucha información personal, que puede que deba considerarse más desde la perspectiva del big data. Además, todavía somos una sociedad de crédito, no hace mucho, ocho instituciones de mercado, entre ellas Sesame Credit y la Asociación China de Finanzas de Internet, una organización autorreguladora del mercado, establecieron conjuntamente una agencia de crédito personal orientada al mercado llamada Baihang Credit Information. La base de los informes crediticios es la información personal, y los informes crediticios personales no se pueden realizar sin información personal. En este proceso, los usuarios deben renunciar a parte de sus derechos de privacidad, pero el requisito previo es decirles cómo usar esta información. Si los usuarios desean cancelar sus cuentas, la agencia de informes crediticios debe asegurarse de que toda la información relevante se elimine y no pueda ser eliminada. utilizado en violación de las regulaciones Mientras estos derechos estén garantizados, no habrá ningún problema.
“Este incidente ha mejorado aún más la conciencia de las personas sobre la autoprotección de la información personal y la privacidad en la era del big data, y explicó la protección pasiva de la información personal y la privacidad frente a la divulgación en el sentido tradicional. del 'control activo' en la sociedad de la información moderna "Kong Dechao sugirió que para mejorar el sistema legislativo de protección de la información personal y la privacidad, primero debemos fortalecer el diseño de alto nivel y, al mismo tiempo, mejorar el sistema de reglas técnicas para la información personal. recopilación y utilización desde el nivel técnico, también debemos implementar los derechos de información que disfruta el sujeto.
No importa cuál sea la factura, está mal aprovecharse de los usuarios.