新年伊始，支付宝晒年度账单活动在朋友圈刷屏，当人们还在热议发现“隐形的土豪”时，有细心的网友发现，用户在晒账单过程中已不知不觉“被同意”了《芝麻服务协议》。协议中有多条个人信息被不当利用，而芝麻信用免责的条款，再度引发公众对自己隐私被泄露的担忧，面对质疑声，1月3日晚，芝麻信用在官方微博发布情况说明公开“认错”，并称其做法“愚蠢至极”。

青年报记者 孙琪 见习记者 钟雷

新年账单“默认勾选”同意协议引争议

1月3日，支付宝年度账单横空出世，在不少人的朋友圈“霸屏”。当人们热议各自的关键词时，一条针对支付宝晒年度账单疑似存在“授权漏洞”的消息引发用户关注。当天下午，新浪微博认证为岳成律师事务所合伙人的岳屾山在其微博发文称，在晒支付宝年度账单时发现了一行特别小的字：我同意《芝麻服务协议》。“不但字特别小，而且已经帮你选择好‘同意’了。这个账单的查看和《芝麻服务协议》没有关联性，所以你选择取消同意，依然能够看到年度账单。但如果你没注意到，就会直接同意这个协议，允许支付宝收集你的信息包括在第三方保存的信息。”

有网友认真阅读了这份3000余字的《芝麻服务协议》，表示多条粗体字服务条款颇为刺目。

比如“您已经认识到您（作为个人用户）的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息对于您而言是相当私密而重要的。您同意我们向第三方采集并在适用的法律法规许可的范围内向信息使用者依法提供这些信息时，您已经充分理解并知晓该等信息被提供和使用的风险。这些风险包括但不限于：纳入这些信息对您的信用评级（评分）、信用报告等结果可能产生的不利影响，该等信息被本公司依法提供给第三方后被他人不当利用的风险，因您的信用状况较好而造成您被第三方向您推销产品或服务等打扰的风险。”

在岳屾山该条微博下的评论中，网友意见分成多派。

有网友认为，芝麻信用本来就是支付宝旗下的，授权支付宝并无不妥。但也有网友指出，在《芝麻服务协议》中有提到同意平台向第三方收集并在适用的法律法规许可的范围内向信息使用者依法提供收入、存款、有价证券、商业保险等信息，同时允许平台将信息推送给合作机构。有网友担心，同意该协议或存在泄露个人信息的风险。“要授权就光明正大地要，讨厌的就是耍滑头钻空子的。”也有网友表示，不能接受平台方的做法。

面对质疑声，1月3日23时34分，芝麻信用在官方微博上发布情况说明。对于最初为何默认勾选，芝麻信用在说明中解释称：“本来是希望充分尊重用户的知情权，让用户知道，只有在自己同意的情况下，支付宝年度账单才可以展示他的信用免押内容。”对于该行为，芝麻信用方面承认默认勾选“初衷没错”，但是称该行为“愚蠢至极”。

在受到质疑后，1月3日晚间，支付宝方面已经调整了页面，取消默认勾选。如果用户希望在自己的年度账单中看到信用免押的内容，可以手动勾选该选项。如果用户不想在年度账单里显示自己的信用免押内容，但是又已经被默认勾选，可以在支付宝客户端内操作取消授权。1月4日0点07分支付宝官微也转发了该条微博。

专家：用户不知情时签订的协议理应解除

对于这些条款，记者昨日采访数位专家，他们的观点与岳屾山相似。

上海明庭律师事务所律师周铭指出，在提供格式合同时，合同提供方应解释说明、显著提示，同时不能违反公平原则，不可以免除自己义务加大另一方义务。而此次晒单过程中，格式合同提供方默认帮用户选择了同意协议的选项。尽管理论上用户不同意可以取消，但这种做法格式提供方本身没有尽到提示解释义务。此外，考虑到晒单与同意协议并非关联事项，周铭认为，可以认为支付宝使用者是在不知情的情况下签订《芝麻服务协议》，属于违法，合同理应解除。

他同时强调，很多情况下，合同是否解除应根据法律和事实来判定，但需要法院解除合同。企业在提供格式合同时，考虑到格式合同接受方的维权成本较高，也容易出现此类情况。

周铭指出，芝麻信用发布的声明，并未提到用户在晒年度账单过程中同意的协议合同是否自行解除，尤其是已经采集的数据是否会继续使用或是否已经使用。他表示，在目前状态下，支付宝不能使用和分析这批数据，否则，应该被认为违反网络安全法。

个人网络隐私泄露成大数据时代隐忧

移动互联网时代，公众一边享受着移动互联网、大数据带来的便利，一边陷入隐私可能被滥用的空前恐惧中。

昨日，有网友直言：“要说默认勾选这种事，腾讯、360、金山、百度这几大厂商一个也跑不了，整个互联网到处都是默认勾选。”众多互联网机构通过一个个默认授权，精确地掌握数亿用户的家庭地址、工作单位、行走轨迹、消费习惯、地理定位、亲友关系……有媒体感叹互联网公司甚至比你的家人更能了解你的一举一动。

中国政法大学知识产权中心特约研究员赵占领指出，在实际操作中，许多企业在获取用户信息时，会采取和支付宝相似的手法，“要么是默认勾选，要么是虽然让你主动勾选，但协议内容存在超范围收集个人信息，没有明确提示用户，同时对于具体条款没有专门加粗。”

“这次事件对其他企业也是一个警醒，此前网信办也曾经对知名电商网站信息保护的规则进行专项执法检查，并要求整改，对于互联网企业来说，也需要反省自查。”他认为，企业首先要确保是用户主动勾选，而非默认勾选同意协议。其次，用户协议中，涉及到用户的个人信息的关键条款，应当通过特殊方式加粗显示。他同时建议，在更高要求下，在对用户数据收集的过程中还应实时弹出提示框提醒，用户勾选同意后再进行收集，从而更好地保护用户的知情权。   

[对策]

国家级的个人征信机构将出炉

对于公众的担忧，监管层也有深刻认识。

2015年1月，人民银行印发《关于做好个人征信业务准备工作的通知》，允许8家公司开展第一批个人征信试点业务。首批获得试点资格的8家公司，分别是芝麻信用管理有限公司、腾讯征信有限公司、深圳前海征信中心股份有限公司、鹏元征信有限公司、中诚信征信有限公司、中智诚征信有限公司、拉卡拉信用管理有限公司和北京华道征信有限公司。当年《通知》中明确准备时间为6个月，这八家公司均依托自身业务开发了征信产品，其中就有普通用户熟悉的芝麻信用，但三年过去，8家获得试点资格的公司未有一家获得个人征信牌照。

去年4月，央行征信局高管在某论坛公开表示，8家开展个人征信业务准备的机构到现在还没有拿到牌照主要是因“几个没想到”。

其一便是发完通知对8家机构进行个人征信业务准备，刚起步就碰上互联网金融整顿，互联网金融整顿到现在还没结束；第二个没想到的是社会公众对个人信息保护的意识空前高涨，这对8家机构要求更高了；第三个没想到的是这8家机构实际开业准备的情况离市场需求、监管要求差距很大，这是监管始料不及的。

值得注意的是，1月4日，由央行牵头组建的国家级网络金融个人信用基础数据库——“信联”有新进展，正式定名“百行征信”。并在官网将百行征信有限公司（筹）相关情况予以公示，公示时间为2018年1月4日-2018年1月13日。而信联被业内人士认为是在监管与行业的博弈中诞生的机构。

据了解，信联将把央行征信中心未能覆盖到的个人客户金融信用数据纳入，构建一个国家级的基础数据库，并实现行业的信息共享，打破征信市场的“数据孤岛”现象，减少“多头借贷”现象，有效降低行业风险。

公开资料显示，信联由中国互联网金融协会牵头，与芝麻信用、腾讯征信等8家市场机构共同出资成立。信而富CEO王征宇认为，由中国互联网金融协会牵头，由八家个人征信企业及相关企业入股，采用商业化的经营方式组建的“信联”，既有望解决这一机构的权威性问题，也有可能引入市场因素，活跃市场参与，并以企业的标准优化治理和改善经营。

个人信息保护将是个人征信监管的核心内容之一，上述人士认为目前众多平台根据各自掌握的有限信息从事信用评分，误采误用现象严重，伴随着“信联”的出台，不符合个人征信机构标准的企业将不得不退出金融信用市场，回到数据服务商的身份或转而进入社会信用领域。