“平台未经许可向内置支付软件提供用户信息，被认定违法！”

前不久，杭州互联网法院审理了一起大型电商平台非法处理公民个人信息案。法院认定两被告公司的信息处理行为侵犯了个人信息权益，判令原告吴某的个人信息立即删除，以书面道歉信形式向其赔礼道歉，并赔偿合理维权损失2000元。

据了解，被告公司为拼多多运营商上海迅盟信息技术有限公司及其关联的第三方支付机构上海富飞通信息服务有限公司(以下简称“富飞通”)。移动支付网看了案件详情，认为有两个关键点值得关注。

“一键卡绑定”支付平台属于向银行泄露信息？

据吴某介绍，他在拼多多使用拼多多钱包提供的“免输卡号添加银行卡”功能时，原本打算使用自己现有的银行卡进行绑定，却意外触碰到列表中的“民生银行”选项，得到“没有可绑定的银行卡”的反馈。吴某认为，这一反馈的原因是被告向银行泄露了相关信息。

在移动支付网络的实际测试中，多多钱包确实可以“检测”到用户是否有银行账户。当然，在选择“添加银行卡不丢失卡号”之前，用户需要同意品多多用户服务协议、品多多支付隐私政策、快捷支付服务协议、品多多支付授权服务协议等内容。

所谓“添加银行卡不丢失卡号”是目前很多支付平台提供的一键绑定卡服务，类似的功能在微信、支付宝、中国银联快通以及各大银行app都可以找到。简单理解，这是支付机构、商业银行、清算机构等支付服务主体基于充分信息交换的产物。对于用户来说是一个非常方便的功能。毕竟不是每个人都能记住银行卡号，更多的人有不止一张银行卡。

吴某的困惑可能是由于缺乏明显的信息。多多钱包的实际提供者即被告付费通认为，与银行共享身份信息的做法是基于选择此项服务的必要性，事先已明确约定。

边肖建议各大支付平台加大授权请求字体。在这一点上，中国银联快通显然做得更好。

网商平台和支付机构可以“互通有无”吗？

除了“添加银行卡不丢失卡号”的问题，吴某在查阅用户协议后才发现，电商平台与其内置支付软件的运营主体不一致，因此打算注销支付账户，却发现无法注销。因此，吴某也认为拼多多未经其同意，将其真实身份信息传输给PayPal，侵犯了其个人信息权等合法权益。

对此，品多多认为，“取得同意”不是涉案个人信息处理行为的必要条件，吴某“未取得有效同意”的前提不成立。相关用户协议明确规定了收集信息的行为和目的，相关界面明确规定了目的。吴某还主动输入身份信息并点击确认按钮。这种行为是基于帮助吴某开立支付账户，并且有充分的法律依据。

根据支付通则，获取吴某身份信息是实名认证和开通第三方支付账户的必要条件，也是履行法定义务的必要条件。同时，其获得了吴某的授权，相关信息是其自愿提供的，具有充分的法律依据。注销账户不是吴某的合法权利，与个人信息权利无关。

最终，法院判决，根据《违法违规使用App收集、使用个人信息行为认定办法》和《个人信息安全规范》的相关规定，处理个人敏感信息应当取得当事人的个人同意，平台内相关协议对此也有明确规定。但拼多多并未以任何形式明确或单独告知吴某并取得其同意，只是在相关隐私政策中做了模糊的说明，因此拼多多的信息处理行为不符合个人信息处理的知情同意原则。

法院认为，根据知情同意规则，拼多多在未经个人同意的情况下对个人信息的处理侵犯了个人信息的权益，即使信息处理者给予了充分、明确的通知。富通收集了原告的个人信息，不仅没有以任何形式告知，也没有得到原告的同意。PayPal在收集原告个人信息时，双方没有签订任何协议，甚至在开通服务时，用户误以为信息收集的主体是拼多多，不存在履行合同需要进行信息处理的情况，违反了诚实信用原则。

最后，法院还指出，拼多多和富飞通在产品研发设计之初，就应该知道其产品存在非法处理用户个人信息的问题。但其为追求商业利益，仍在网上经营，主观上存在过错，故作出上述判决。

个人信息保护环境变化，受益空支付后来者？

在支付行业，大型网商平台控股或关联支付机构并不是什么新鲜事。比如阿里和支付宝，腾讯和财付通，JD.COM和网银，美团和钱袋宝，字节跳动和何忠易宝，小米和符节瑞通，苏宁和易付宝等等

当然，还有这次的主角品多多和傅。2020年1月，上海伊一信息技术有限公司认缴出资6083.99万元，增持PayPal股权至50.01%，成为第一大股东。控股公司法定代表人、实际控制人为拼多多联合创始人陈雷。

资料显示，付费通成立于2003年，2011年获得第三方支付牌照。与支付宝、财付通一起，是第一家获得牌照的支付机构。Paypass业务资质涵盖互联网支付、移动电话支付、固定电话支付、银行卡收单业务等。可以说第三方支付中有“全牌照”，资质相当过硬。

通过这种控制关系，从去年下半年开始，拼多多陆续向更多用户提供其专属支付服务，即PayPal实际提供的拼多多钱包。官方也明确表示，多多钱包是拼多多推出的支付服务，通过该钱包支付还可以享受随机立减或返现等特别优惠活动。

纵观这些依托于大型网商平台的支付机构，目前除了支付宝和财付通(微信支付)拥有庞大的用户资源外，其他支付机构仍然严重依赖于相关平台的影响力，这是一种常规而有效的方法。尤其是美团支付(钱袋宝)、Tik Tok支付(何忠易宝)、多多钱包这样的角色，都是后来者，打算在这个领域下大力气。

然而，外部环境已经悄然发生了变化。本月初，《中华人民共和国个人信息保护法》正式实施。网商平台作为个人信息处理者，应该比以往更加全面地审查网络产品和服务协议中的个人信息内容。同时可以根据新的规范要求及时调整平台规则，使平台及相关方的业务运作合法合规。

总而言之，大型网商平台应该认识到个人信息权益和信息安全的重要性，最大限度地平衡用户权益和商家利益。杭州互联网法院对拼多多和PayPal的判决，对很多与支付机构有关联、有意经营支付业务的平台是一个提醒。司法机关在某种程度上起到了裁判指导的作用，这是个人信息保护理念的落实。

用户量遥遥领先，没有太多客户烦恼的支付宝和财付通可能不会太在意这个问题。但不得不说，个人信息保护环境的改变，显然让空这些支付的后来者受益。