蚂蚁金服旗下从事消费信贷业务的 “花呗”被指过度收集用户信息。花呗根据《网络安全法》等法规要求修改了《花呗用户服务合同》,明确了信息收集的范围,引发争议的是第四条,其中规定:
“您同意并授权服务商收集的您的如下信息:
4.2.1 您及您的关联方的身份信息,如姓名 / 名称、证件号码、证件类型、住所地、职业、电话号码、支付宝、余额宝或网商银行账户认证信息、电子邮箱地址以及其他身份信息;
4.2.2 您访问服务商网站及服务商关联公司网站(若有)、移动设备客户端时,或使用服务商及服务商关联公司提供的服务时的操作日志,如您的计算机 IP 地址、设备标识符、硬件型号、操作系统版本、您的位置以及与本服务相关的日志信息;
4.2.3 您在申请、使用服务商提供的服务时所提供、形成的任何数据和信息,如您及您提供的关联方的数据和信息;
4.2.4 您及您的关联方在服务商的关联公司、合作伙伴、阿里巴巴集团旗下公司处留存以及形成的任何数据和信息,如您的支付宝、网商银行账户和 / 或基金、证券账户和 / 或其他银行账户信息、您在淘宝网及天猫网站上形成的消费、物流等信息和数据、您的行为数据、您与服务商的关联公司、阿里巴巴集团旗下公司和服务商合作伙伴之间存在的任何合同及您在该等合同项下的履约情况;
4.2.5 您的信用信息,如您的征信记录和信用报告;
4.2.6 您的财产信息,如您的店铺 / 企业经营状况、财税信息、房产信息、车辆信息、基金、保险、股票、信托、债券等投资理财信息和负债信息等;您同意并确认,您在将前述信息提供给服务商之前已清楚知晓可能带来的不利后果,如基于前述信息对您做出的负面评价;...”
有律师认为,“花呗” 的合同存在涉嫌违反《网络安全法》的地方,也即关于 “不得收集与其提供的服务无关的个人信息”。在业内看来,“花呗”作为蚂蚁金服旗下的一款消费贷款产品,其《产品合同》所列举的搜集信息的范围已远远超过贷款范围。律师认为,“花呗”在这里的规定实际上使用了 “概括授权” 的方式,即要求用户一次性授权服务商可以帮用户做一堆事儿。但实际上,用户的主观意识往往想不到这么多情况,却稀里糊涂地授权了。