王勇 王学辉

【摘要】随着互联网技术不断发展，移动支付已覆盖交通出行、医疗社保、公共缴费等多个领域，为公众支付提供了便捷。但移动支付高效便捷中也埋藏着安全隐患，尤其是数据信息泄露、滥用、失真、丢失等问题，必须善用法律思维，降低泄露风险、禁止滥用行为、遏制失真现象、应对丢失问题，以法律作为武器，保障移动支付绝对安全。

【关键词】移动支付 数据信息 网络安全 【中图分类号】D922.294 【文献标识码】A

据艾媒咨询数据显示，中国移动支付用户逐年增长，2017年为5.62亿人、2018年为6.59亿人，预计2019年达到7.3亿、2020年有望达到7.9亿人。另外，仅在2019年春节期间，移动支付交易总额达到1.16万亿元，移动支付笔数、金额同比增长2.5倍和4.4倍，已经成为支付方式的首要选项。但是，作为一种新兴支付方式，移动支付中存在数据信息泄露、滥用、失真、丢失等一系列安全问题，因此要从法律层面深入思考，提高信息安全保护意识，攻克移动支付安全技术难题，助力移动支付更好地发展。

降低移动支付“数据信息泄露”风险

提高用户信息安全保护意识。数据信息泄露是移动支付中最常见的安全问题，很大程度上源自用户安全意识不足，自行泄露信息，比如随意扫码领券、下载不明软件，这些行为都可能导致数据信息泄露，从而引发移动支付安全风险。对此，用户应积极提高数据信息安全保护意识，主动学习移动支付安全知识，了解移动支付常见骗术，提高移动支付警觉性，妥善保管移动支付密码，防止他人窃取、盗刷。

设立“最小化”采集原则。数据信息泄露风险还源自商家行为，部分商家唯利是图，不断采集用户数据信息，甚至非法买卖用户数据信息。对此，应基于《中华人民共和国网络安全法》等相关法律法规要求，禁止商家肆意采集数据信息，设立“最小化”采集原则，即不得收集与提供服务无关的数据信息，要求商家在采集数据信息之前，必须明示数据信息采集目的、方式、范畴，经用户允许后方可采集，严禁事先勾选“同意”选项，务必由用户自行确认，同意商家进行数据信息采集。

增设信息“被遗忘权”。一直以来，数据信息“被遗忘权”始终处于立法空白，“什么能删、由谁删、如何删”未能依法明确，导致数据信息長期储存，引发安全风险。我国应积极借鉴欧美国家立法，出台《一般数据保护条例》，引入信息“被遗忘权”，明确信息采集主体为具有删除信息的权利，删除内容限于使用数据、存在潜在风险数据、以公益目的收集数据等。为防止商家恶意存留数据信息，拒绝合理删除要求，将允许用户以侵犯“被遗忘权”为由提起诉讼，要求商家承担侵权责任。如商家行为、性质恶劣，则可依法追究行政责任、刑事责任 。

禁止移动支付“数据信息滥用”行为

禁止非法使用信息。移动支付安全问题源自数据信息滥用，由于我国立法尚未对数据信息归属予以明确，导致数据信息滥用行为频繁发生，其中最主要的就是精准推送广告服务，事实上，精准推送广告就是滥用数据信息的一种表现，即便推送的广告内容符合用户要求，依然应认定为在侵权行为之上提供的服务。在未来，我国应明确禁止数据信息滥用，实施推送许可授权制度，要求商家提供精准推送广告服务需经过用户认可，并在页面显著位置增设“同意”按钮，不得默认用户同意商家广告推送服务。

禁止利用数据信息“杀熟”。随着大数据、云计算技术不断成熟，商家为消费者制定个性化优惠政策，于是产生“看客定价”现象，即不同的消费者购买相同商品存在价格差异。究其根源，“杀熟”现象主要是通过数据信息分析，摸清消费者心理价位，制定差异化优惠折扣，这种行为已经严重损害公平消费原则、诚实信用原则，必须予以禁止。鉴于消费者举证困难，“杀熟”现象应实施举证责任倒置，要求网络平台自证清白 。同时，应积极建立失信黑名单，对“杀熟”现象予以严惩，鼓励消费者理性消费、货比三家，一旦遭遇“杀熟”，应及时保存证据，向网络平台、监管部门举报投诉。

敦促行业协会履行监管职责。一方面，行业协会掌握更多商家情况，更熟悉行业特点，采取的柔性方式普遍易被商家接受，既能够转达政府治理数据信息滥用的决心，又能够转达商家意见和行业发展要求，为商家和政府架起沟通桥梁；另一方面，行业协会应积极出台信息安全保护准则，完善信息保护自律公约，要求行业内商家遵守规定，依法采集、使用数据信息，并对数据信息滥用行为进行纠正和处罚，严重违规者将被踢出移动支付市场。

遏制移动支付“数据信息失真”现象

积极惩治透支信用行为。随着虚拟经济繁荣，数据信息基数越来越大，其中也充斥着大量的无效信息，这些信息影响其他真实数据的可信度，最为常见的网购刷单、资金套现，既属于无效信息，又属于恶意透支信用行为，应依法严惩。以网购刷单为例，部分网络商家为吸引消费者，恶意编造虚假购买记录、好评记录，公然挑战诚信公平原则，系不正当竞争行为，不仅要受到网络平台的处罚，严重者更应受到法律的制裁。

研发异常数据感知系统。立法只能震慑恶意透支信用行为，但不能查获透支信用行为，应从技术层面深入挖掘，研发异常数据感知系统，查处失真的数据信息，并汇报主管部门。异常数据感知系统应由政府和企业共同研发，政府提供资金、企业提供技术，共同利用异常数据感知系统打击数据失真现象。以资金套现为例，利用异常数据感知系统对客户信息自动筛查，查找异常数据，及时汇报给金融机构，由金融机构进一步开展人工核查，根据核查结果调整个人信用额度，减少套现行为发生，并对违法套现给予严惩。

加大虚假信息惩处力度。当前，制造虚假信息已经形成完整产业链，对各行各业产生巨大影响。以网购刷单为例，网店经营者提出刷单需求，由专业刷单平台负责，将刷单需求分散给专业“刷手”，对网络经营市场造成恶劣影响。当前，我国已经加大惩治力度，对利用虚假交易帮助他人宣传行为，处20万以上100万以下罚款，情节严重的处100万以上200万以下罚款，并吊销营业执照。

应对移动支付“数据信息丢失”问题

打击“黑客”删除数据信息行为。当前，移动支付是最常见的支付方式，是双方交易证明的关键，但是，部分“黑客”利用技术漏洞，恶意删除交易记录，对移动支付市场秩序造成破坏。一方面，我国应完善“黑客”违法行为认定，将惩处措施上升至刑事领域，利用更为严格的立法打击“黑客”删除数据信息行为，不仅要防止“黑客”恶作剧行为，更要严令禁止利用“黑客”技术开展不正当竞争。另一方面，严格要求移动支付依照国家标准搭建系统设施。

防止内部人员肆意篡改数据。应依法构建内部控制体系，防止内部人员利用职权便利，篡改和删除移动支付数据信息，移动支付平台应分散管理权利，数据管理、数据使用、数据修改、数据监管由不同部门、不同人员负责，并定期对数据信息进行检查，一旦发现异常数据应及时上报，依照内部规定和相关立法处置违规违法人员。同时，移动支付平台应不断升级数据加密技术，从技术层面杜绝内部人员篡改和删除数据的可能，防止出现数据信息丢失现象。

合理设置数据存储时效。根据不同移动支付平台要求，应合理设置数据存储时效，既能够减少数据储存成本，又能够保证用户数据信息安全。鉴于我国立法尚未明确规定移动支付平台数据储存期，移动支付行业协会应制定科学标准，普通移动支付数据信息应储存12个月，大额支付、异常支付等特殊移动支付数据应储存36个月，其他数据信息应视具体情况而定，在移动支付平台数据储存期间，平台需保证数据真实准确，允许用户随时查询，即将超期数据信息应提前通知用户，以便用户自行储存，借助合理设置数据存储时效，确保数据信息删除规范化发展。

（作者分别为西南政法大学行政法学院副教授；西南政法大学行政法学院教授、博导）

【注：本文系2018年国家社会科学基金法学项目“行政法秩序下的行政批示研究”（项目编号：20181145）阶段性成果】

【参考文献】

①让金鹏：《移动支付时代消费者信息安全防范研究》，《山西农经》，2018年第5期。

②莫万友：《移动支付中数据安全法律问题探析》，《湖南社会科学》，2019年第7期。

责编/孙娜 美编/王梦雅