短短3天之内，《花呗用户服务合同》前后到底发生了什么？

　　2017年7月12日，中国人民大学金融科技与互联网安全研究中心副主任、法学博士许可在FT中文网发表具名文章称，触动大众神经的是《花呗用户服务合同》中有关用户信息收集的条款，以及信息收集是否越界。

　　专家：仍留有“后门”

　　根据修改前的《花呗用户服务合同》，其中，第4.2条的约定，花呗用户的如下信息均在服务商的掌握之下：

　　（1）所有身份信息；

　　（2）访问服务商网站及服务商关联公司网站、移动客户端时提供或形成的任何数据和信息；

　　（3）所有财产信息，如店铺/企业经营状况、财税信息、房产信息、车辆信息、基金、保险、股票、信托、债券等投资理财信息和负债信息等；

　　（4）在政府机构、行业自律组织留存的任何信息，如户籍信息、企业工商信息、诉讼信息、执行信息和违法犯罪信息等；

　　（5）信用信息，如征信记录和信用报告；

　　（6）社保和公积金信息、通讯号码和费用信息以及往来通讯号码、通话时长等通话详单信息；

　　（7）银行信息，如开卡银行、银行卡号、额度、还款情况等基本信息，刷卡时间、地点、金额等用卡信息。

　　此外，用户的“关联方”同样也要提供他/她在服务商及其关联公司、合作伙伴、阿里巴巴集团旗下公司处留存以及形成的任何数据和信息以及一条兜底条款，即“其他通过合法途径取得的与您接受服务有关的信息”。

　　7月3日，修改后的《合同》条款谨守“必要性原则”，将信息收集限定在“与服务相关的必要信息”上。

　　不过，许可认为，尽管这次修改看起来诚意十足，可仍留有“后门”。其中，第4.1.6条规定：“其他合法留存您信息的自然人、法人以及其他组织收集与本服务相关的必要信息。”

　　许可在文中表示，在现有的法律框架下，用户对服务商调取在他方存储个人信息的概括授权，可能带来两方面的风险：

　　一是可能违反他方就信息使用的“必要性”原则，毕竟花呗服务的“必要性”并非他方服务或管理的“必要性”；

　　二是在服务商间接收集，而非用户直接提供的场合，用户不可能预知哪些信息会被收集（违反“透明性原则”），也无法评估收集的后果，从而难以在知情的基础上同意（违反“实质同意原则”）。

　　官方：三点回应释疑

　　对此，针对花呗《用户服务合同》中关于“收集用户信息”的条款引发了一些用户的困惑和担忧，蚂蚁金服官方给出了三点回应，并进行了解释。

　　1、我们为什么要申请采集用户的一些信息？

　　把钱借给一个人前，人们通常的做法是，先去了解这个人有没有能力还钱、有没有意愿还钱。然后根据掌握到的信息，来决定是不是借给他/她，以及借多少。

　　这是降低风险的常规手法。个人是如此，机构也是如此。在信贷行业，信贷机构需要了解借贷人的财务状况、信用状况等信息，才能更好的做出是否借贷及借贷额度的判断。

　　在花呗，我们同样需要采集此类信息，以更好为用户提供服务，进行提额等操作。因此会申请用户授权我们来采集相关信息。

　　2、为什么要列举这些信息？

　　花呗的《用户服务合同》中列举了一些“收集用户信息”的条款，但事实上是，花呗实际采集的信息要远小于此。

　　我们找相关业务同学了解了情况，原来是他们觉得以后出于风控安全或优化服务的需要可能会扩大一些采集范围，为了避免将来再打扰用户，他们就事先把一些将来可能会采集的信息一起具体列出来了。

　　现在看来，这种方式反而会引发大家的困惑和误解。是我们考虑不周，抱歉。目前，我们已经对合同条款进行了相应优化。请您放心，我们不会在没有获得您同意的情况下收集您的信息。

　　3、会不会导致信息滥用或泄露？

　　采集了这些个人信息后，会不会导致滥用或泄露？我们特别理解有用户会有这种担忧。其实，数据的安全和个人信息的保护，一直是我们的生命线。

　　在操作上，我们严格遵循“个人同意”原则，会先进行公开告知，获得用户授权后，才进行采集。在处理中，程序会对这些信息进行分类、脱敏。

　　您授权花呗采集的相关信息，将且仅将用在您自己的花呗服务中，未经您授权，我们不会传递给第三方。

　　蚂蚁金服强调，“个人信息保护是我们非常重视的事情，不滥用信息也是我们最基本的原则。”

　　行业：法律体系薄弱

　　另据互金咖了解，随着信息技术的逐步成熟与广泛应用，我国征信业正面临着深刻性变革。不过，我国征信行业目前相关法律体系较薄弱，惩戒激励机制不完善，信息孤岛现象普遍，并且缺少有公信力的征信机构。

　　虽然目前各机构手中都有大量的数据，但是更“多维”的数据才会更有价值。而现状在于，各机构不愿意分享数据造成各机构难形成合力已成为现在征信行业主要痛点之一。

　　与此同时，我国传统征信监管策略和技术管理手段难以适应新形势下对征信行业监管的要求。

　　在互联网征信的条件下，虚拟化的信息搜索和整合以及数据库的生成是基本特点，而现场检查这一具体监管手段对此似乎缺乏着力点，非现场监管手段又缺乏时效性和连续性，难以达到监管机构预期效果。这就对我国征信业的日常监管体系、监管策略与水平等提出了更高的要求。

　　值得一提的是，《征信业管理条例》的出台，虽然解决了征信发展中无法可依的难题，社会各界对成立征信机构的热情也很高，但其中不乏很多非专业机构盲目跟风。

　　此外，从备案的企业征信机构来看，新兴机构居多，大部分征信机构规模普遍较小，有些私营征信机构存在采集数据困难、专业化水平低、信用产品质量差等问题。部分征信机构经营能力较弱，设立征信公司的目的仅是为了获取征信备案，并没有开展实质业务。

　　在互联网征信迅速发展的时代背景下，如何有效保护个人隐私权问题是摆在立法机构、监管者面前的重要课题。

　　同样，目前，我国并没有颁布单独的《个人信息保护法》，这将不利于对信息主体隐私权的司法保护，以及对权益受损害主体的补偿。

　　而且，我国相关法律法规对于征信机构在运营中收集、掌握的大量个人信用信息如何运用也没有进行必要的规范；对于侵犯个人信息权益问题承担怎样的法律责任等问题，亦没有作出严格且详实的规定。这也是导致目前个人征信牌照下发搁浅的一大诱因。

　　靠谱众投 kp899.com：您放心的投资理财平台，即将起航！