美团月付的“四宗罪”

在信用支付市场,长期只有“花呗”一家独大,“月付”如果想要和“花呗”竞争,并借此机会在支付领域占据一席之地,不花点心思是不行的。只可惜,有些心思可能花错了地方。

 |  移动支付网

文|移动支付网

5月9日,王先生突然收到了一条短信,上面写着“亲,您5月‘买单’账单¥52.03待付款,8号是最后付款日,您尚未完成支付”。王先生看到短信感到十分困惑“买单”是什么东西?,自己什么时候在美团借了钱?

美团月付:美团版“花呗”

5月29日,美团“美团生活费•买单”(下简称“买单”)正式升级为“美团月付”(下简称“月付”),用户可以主动申请开通。开通“月付”的门槛极低,只需满18周岁,完成实名认证就有机会开通,正常开通、使用不影响征信。

据移动支付网了解,“月付”是由重庆三快小额贷款有限公司(美团旗下小贷公司)及与其合作的金融机构提供的在线消费金融服务,具有“当月消费,下月还款”的特性,而且存在一定期限免息期。

“月付”的账单日为每月1日,还款日为每月8日。根据用户资质,“月付”额度分为300元、500元、1000元及1500元等档次。

与此同时,“月付”还主打美团场景内的叠加优惠权益和先享后付体验,不管是什么服务,只要是在美团App内,基本都可以先享后付。

由于“月付”的特点、性质和支付宝的“花呗”非常相像,所以“月付”也被称为美团版“花呗”。很多专业人士认为,“月付”在产品定位上是对标“花呗”。

在信用支付市场,长期只有“花呗”一家独大,“月付”如果想要和“花呗”竞争,并借此机会在支付领域占据一席之地,不花点心思是不行的。只可惜,有些心思可能花错了地方。

美团月付的四宗罪

懒惰:“点击即同意”刻意的懒政

“月付”有一个“优点”:无感,在首次使用“月付”以后,美团系统会将“月付”作为默认支付方式,也将默认同意美团支付《小额免密服务协议》。

无疑,默认选择支付方式、默认免密等做法在一定程度上提升了支付的便捷性,取消了用户的中间操作,这也是美团自认为“月付”比花呗优秀的其中一点。

除了使用无感,“月付”的开通也很无感。有部分用户吐槽,在使用优惠券的时候莫名其妙就开通了服务。经测试,开通“月付”不需要绑定银行卡,也不需要“阅读并同意”各种文件,只需要点击“我要月付”,秒开通。

原因非常简单,在“月付”开通界面当中,“我要月付”按钮下方有两个文件,一个是《美团月付授信付款合同》,另一个是《美团金融隐私政策》。

美团写的很清楚:点击即阅读并同意两份文件。也就是说,只要用户点击了“我要月付”,美团就认为用户阅读并同意了这两份文件,不需要“勾选同意”。

值得注意的是,在《App违法违规收集使用个人信息行为认定方法》和《信息安全技术个人信息安全规范》当中,App默认勾选隐私政策、使用即同意隐私政策的授权方式是不合规的。

贪婪:收集大量个人金融敏感信息

《美团月付授信付款合同》(下文简称“《合同》”)详细规定了用户和服务商拥有的各种权利和义务。

关于信息收集,《合同》里写着:您同意并授权服务商和/或美团收集您的信息,包括但不限于:征信信息、个人身份信息、电话号码、联系人信息、第三方支付机构身份认证信息、个人财产信息、个人行政信息、个人司法信息以及用户在美团旗下网站、App产生的任何信息等等,一共八大类。

其中,第三方支付机构身份认证信息包括第三方支付机构账号、登录密码、支付密码、身份认证信息,而登录密码、支付密码、身份认证信息在人民银行发布的《个人金融信息保护技术规范》中属于C3类信息。

而个人财税信息、基金、保险、股票、信托、债券等理财信息以及负债信息是绝对的个人财产信息,在《个人金融信息保护技术规范》中属于C2类信息。

在《个人金融信息保护技术规范》明确规定:

1.C3以及C2类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理;

2.C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让;

3.C3类别信息以及C2类别信息中的用户鉴别辅助信息不应公开披露。

在《信息安全技术个人信息安全规范》中明确要求,信息采集应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件;收集个人敏感信息前,应征得个人信息主体明示同意。

《信息安全技术个人信息安全规范》还规定,收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现。根据《网络安全法》规定,网络运营者不得收集与其提供的服务无关的个人信息,“月付”收集的上述信息范围广泛,是否符合必要性原则?

“月付”搜集这么多信息是不是都符合“与业务功能有直接关联”呢?

而且,根据《个人金融信息保护技术规范》,不应委托或授权无金融业相关资质的机构收集C3、C2类别信息。重庆三快小额贷款有限公司为了经营业务,通过美团APP收集信息,且涉及C3、C2类别信息,能否符合《个人金融信息保护技术规范》?

嫉妒:合作金融机构有谁?不告诉你

“月付”会根据实际需求采集八大类个人信息,而这些信息根据《合同》,将由美团共享给服务商。这里的“美团”指的不是北京三快科技一家公司,而是包括但不限于:北京三快科技、北京三快在线科技、上海汉涛信息咨询、汉海信息技术等公司。

那服务商是谁?用户个人信息共享给谁了呢?《合同》里写:美团小贷(重庆美团三快小额贷款有限公司)及合作金融机构。

合作金融机构是谁?《合同》里面这样回答:美团小贷可自主决定合作的金融机构,无须征得您的认可。

个人信息除了会共享给服务商之外,有可能还会共享给第三方催收公司。《合同》明文写到:用户须同意服务商授权第三方通过电话、短信、电子邮件等多种方式督促用户还款。

根据有关规则,如果涉及汇聚融合、数据共享、共同个人信息控制者、第三方接入等情形,收集主体也要明确告知个人信息主体第三方信息以及收集信息类别、目的、必要性、规则等,涉及敏感信息的,还要告知数据接收方的身份和数据安全能力,且需要事先征得个人信息主体的明示同意,另外还需要进行安全影响评估。

傲慢:更改合同、更换服务商无须另外签订合同

《合同》规定的很清楚,当用户申请使用“月付”服务时,即授权服务商直接从美团公司获取用户信息。如果服务商发生变更,或者合同条款发生变化怎么办?

《合同》规定,如果合作机构发生变化,只要用户继续使用服务,且受到新合作机构同意,即视为双方达成一致,受到合同约束。如果《合同》变更,只要用户继续使用服务,即视为同意并接受修改后的《合同》,不需要重新签订《合同》。

也就是说,假使服务商发生真的发生了变化,只要没有明确表示停止服务,就代表着同意条款,意味着用户个人信息将共享给一家新的公司。这期间,美团只需要发一则系统公告就尽到了告知义务,用户如果不时时注意,可能会直接忽略。

另外,服务商可以部分或全部转让自己的义务和权利而无需征得用户同意,服务商可以自己决定采用合适的方式进行通知,用户只能选择接受合同。

换句话说,服务商完全可以将业务全部外包给其他人,仅仅需要在自己的网站上写个《通知》就满足了告知义务。

服务商都不知道是谁,用户去哪里看服务商的公告?

另外,虽然基于民事合同变更规定以及互联网服务的特性,部分条款的变更可以以提前约定加之公告形式进行,但是根据《电子商务法》,电子商务平台经营者修改平台服务协议和交易规则,应当在其首页显著位置公开征求意见,采取合理措施确保有关各方能够及时充分表达意见。修改内容应当至少在实施前七日予以公示。如果涉及个人信息内容,相关条款的变更如果涉及或可能涉及个人信息使用方式、目的、主体、范围、规则等方面的变更,应当重新征得信息主体的同意。

个人信息安全才是业务基础

美团推出“月付”之后,引发了各路人士的关注,不过大部分人关注点在“月付”的商业目的、可能达成的目标、会不会对支付宝“花呗”产生影响以及中国未来可能发生的信用支付战争上面。

各路大神从各个角度分析了“月付”这项服务的基础、场景以及可能产生的盈利,却没有注意到信用支付最关键的地方:信用支付是要采集个人信息的,能不能保护好个人信息安全才是一项金融服务存在的关键。

也许“月付”的服务非常令人舒服,但是它的《合同》条款,总是让人觉得不舒服。

诚然,“月付”的出现可能会对市场带来种种影响,但是支付市场也不再是以前的草莽发展时代,这样的产品首先要做的是适应市场,而不是改变市场。

*北京市京师(深圳)律师事务所联合创始人、法律研究院院长王岩飞对本文亦有贡献。