针对前员工倒卖超20G海量用户信息一事,1月4日,zhi付宝公司在其微博回应,数据不涉及用户隐私及安全。 尽管zhi付宝对此作了很多解释,但是还有律师说在这次泄密事件“zhi付宝即使没有刑事责任,也需要承担民事责任——用户在设置zhi付宝账户时,已经与zhi付宝公司签订用户协议,zhi付宝公司有义务和责任保护用户信息安全。”
如何看待zhi付宝公司在这起事件中的责任?我觉得得从两个层面进行理解:首先,公司在保护数据上有没有做到审慎义务?其次,那些被泄露的数据有没有对个人的隐私造成侵害?如果说zhi付宝在数据保护上已经合规尽责,那么它就不需要承担任何责任。 据业界专家介绍,对于用户的隐私保护,存在两个方面的规范:一是外部的监管要求。根据央行等监管机构的要求,相关公司必须对包括姓名、证件号等核心身份信息进行留存;同时还要对用户消费行为、历史交易记录等信息留存10年以上。监管部门之所以有这些要求,主要是为了交易安全——防止互联网上的非法交易损害社会公共利益。
除了来自政府监管部门的要求外,公司内部还会有着严格的风控体系。公司内部之所以要建立风控体系,一是因为用户在使用公司服务的时候往往和他签订了相关合同,公司承诺不使用这些信息从事有损用户利益的行为,一旦有此种行为发生,那么公司就要承担相关的违约责任,甚至是侵权责任;二是为了防止内部工作人员利用这些信息牟利,损害公司的利益。有人指出,业务类信息通过数据分析、加工和挖掘后可以实现精准营销,更具商业应用价值。不过无论是何种原因,一旦一个公司发生大面积的用户信息泄露,这对公司来说都不是一个好消息,它既可能让竞争对手从这些信息中获利,也有可能让公司的声誉遭受损失——安全对于第三方支付来说是其核心竞争力。
以zhi付宝公司的《隐私权规则》为例,zhi付宝承诺“努力采取各种合理的物理、电子和管理方面的安全措施来保护您的信息,使您的信息不会被泄露、毁损或者丢失,包括但不限于SSL、信息加密存储、数据中心的访问控制。”基于此,它表示,“对可能接触到您的信息的员工或外包人员也采取了严格管理,包括但不限于根据岗位的不同采取不同的权限控制,与他们签署保密协议,监控他们的操作情况等措施。”
对于zhi付宝公司而言,发生这样的泄密事件当然不是一个好消息,因为家贼泄密一是会让对手获利;二是这种行为从根本上来说是损害zhi付宝公司的利益,如果一家号称“知托付”的公司发生大规模的用户信息泄露,今后谁还愿意在你这里接受服务? 那么,目前的zhi付宝泄露用户信息事件是不是意味着zhi付宝公司要承担如很多律师所说的民事责任?那倒未必。在我看来,首先,要衡量其是否承担民事责任的关键点在于公司是否尽了“审慎”义务,比如说风控体系是否合理,是不是存在单个员工就可以“监守自盗”的制度环境?假如说制度中存在着类似漏洞,那么zhi付宝公司就难辞其咎。正如zhi付宝公司在其《隐私权规则》中所说的“zhi付宝会按现有技术提供相应的安全措施来保护您的信息,提供合理的安全保障,zhi付宝将在任何时候尽力做到使您的信息不被泄露、毁损或丢失”,因为任何公司都无法确保其风控不存在漏洞:就像多年前大家一直抱怨微软公司的不断更新,之所以需要更新就是因为其目前的服务存在漏洞。
从目前来看,zhi付宝在风控上可能存在着致命的弊病。像zhi付宝这样一家大公司,其员工居然能够轻松下载容量达到20G的交易信息,这实在是匪夷所思。从这个角度而言,zhi付宝公司需要为其内部的风控制度埋单。但民事责任是不是一个好形式?在我看来,可能需要商榷。
按照我国的法律,目前的民事责任主要有两个方面,一是违约责任,二是侵权责任。违约责任是指zhi付宝未按照约定保护使用者的个人信息;而侵权责任则是因为zhi付宝的不当保护使得这些信息被滥用而导致使用者的各种损失。在我看来,要追究侵权责任确实很难,因为目前并没有任何用户因为这些信息泄露而遭受的其他损失。违约责任倒是可能存在,因为zhi付宝确实未按照约定保护好这些信息,将这些信息泄露给使用者所可能不愿意透露的其他公司。但是如何衡量违约责任的大小,该如何赔偿,在现有的法律框架下,可能并没有一个确定的数据。更为重要的是,目前还不确定是哪些zhi付宝用户的信息遭受泄露,而且这些被泄露的信息也不可能让用户知晓。原告都无法追寻,当然也就无法请求违约责任。
那是不是意味着没有其他办法让zhi付宝承担信息保护不善的责任?那倒未必,相关监管机构可以以zhi付宝公司未尽到妥善保管用户信息为由向zhi付宝公司开出行政处罚。比如《网络商品交易及有关服务行为管理暂行办法》第25条规定,“提供网络交易平台服务的经营者应当采取必要措施保护涉及经营者商业秘密或者消费者个人信息的数据资料信息的安全。非经交易当事人同意,不得向任何第三方披露、转让、出租或者出售交易当事人名单、交易记录等涉及经营者商业秘密或者消费者个人信息的数据。”不过缺陷是处罚额度太低,即便违反也只需要接受1万元以下罚款,这样的结果对于zhi付宝这样的大公司来说实在是九牛一毛,不值一提。
尽管行政处罚的额度太低,这并不意味着公司就不会改善其风控水平。因为市场自然会存在着制约机制,如果公司不能合理保护消费者的信息——这也是它的商业机密,那么客户就会远离它而去。从这个意义而言,zhi付宝泄密最大的受害者可能是zhi付宝公司本身,如果用户信息得不到保护,谁还敢在这里消费?
|