第三方支付公司作为买卖双方在交易过程中资金的“中间平台”,是提供货币资金转移服务的非金融支付中介机构。根据央行发布的《非金融机构支付服务管理办法》三十一规定:“支付机构应当按规定核对客户的有效身份证件或其他有效身份证明文件,并登记客户身份基本信息”。据此,支付公司依法有权获取消费者或投资者的个人信息,这也是开展支付业务的前提要素。
“有权不可任性”,个人认为支付公司在使用个人信息时也应遵从,谨慎合法使用。
一、 支付公司获取了哪些个人信息
从目前支付业务形式来看,主要包括以下信息:
第一类,身份基本信息。消费者(投资者)在开设账户、绑定银行卡及实名认证时:需要提供如:姓名、邮箱、身份证号码、银行卡账号、开户行、通讯地址等。
第二类,支付业务信息。消费者(投资者)在充值、取现、交易过程中:充值金额、取现金额、交易明细(包括卖家、购买产品种类、购买时间、金额等)、账户内资金余额等。
二、 对个人信息保护的有哪些相关规制
首先,央行颁布的《非金融机构支付服务管理办法》第三十四条规定:“支付机构应当按规定妥善保管客户身份基本信息、支付业务信息、会计档案等资料。”
其次,国家工商总局颁发的《网络交易管理办法》第十八条规定:“网络商品经营者、有关服务经营者在经营活动中收集、使用消费者或者经营者信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息或者经营者商业秘密的数据信息必须严格保密,不得泄露、出售或者非法向他人提供。
再有,全国人大常委会《关于加强网络信息保护的决定》第十一条规定:“对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。”
上述规定,对个人信息的收集,保管,使用,保密做了原则规定,同时也规定违反需要承担民事赔偿责任,行政处罚(如关闭网站,吊销支付牌照等)甚至刑事责任。
三、支付公司既做托管又做P2P业务,个人信息使用是否违规?
个人认为违规。原因有二:
其一、存在道德风险
据相关统计,目前P2P平台获客平均成本达250元,并且注册用户成为有效投资者的转化率仅30%,平台烧钱获客已成事实。
如上所述,支付公司在开展p2p平台账户托管业务时,掌握大量投资者的个人信息(包括身份基本信息和支付业务信息)。在此情形下,支付公司若既做平台账户托管业务,又开展P2P或者类P2P的互联网金融平台,那完全可以利用其所托管P2P平台中的掌握的投资者个人信息,通过精准营销,几乎零成本可为自己P2P平台获客,然后壮大发展。这种“拿来主义,劫持”的方法显然有悖商业伦理,是一种“偷”。
其二、存在法律风险
支付公司仅是获得在账户托管业务中可以使用这些个人信息,如需要在其他业务领域使用,应获得用户另行授权。也即平台使用个人信息要遵循《网络交易管理办法》第十八条规定的“合法、正当、必要的原则”,超范围,跨平台等过度使用个人信息显然是不正当,不必要,也不合法。
实践中,为了规避相关规定,有的支付公司会在《平台注册协议》或《支付服务协议》等协议中约定:“只要用户在其处注册完成后,即默认用户无条件同意支付公司及关联公司,甚至合作公司,将用户所有个人信息无期限的用于任何平台,用于任何商业行为”。个人认为,这种格式化合同中“霸王条款”,一方面侵犯了用户作为个人信息所有者对自己信息的处分权利,也就是说,个人信息是否授权他人使用、授权他人在何处,以何种方式,多长时间内使用,应由用户自己决定;另一方面也违反了个人信息收集中要遵循“合法、正当、必要“的原则。
众所周知,门户网站都知道注册网友IP地址和其他注册信息,但也没权利随意超范围,跨平台使用或对外披露,除非是公权利机关依法调取才能予以提供。这也是个人信息收集中要遵循“合法、正当、必要“的原则充分阐释和例证。