丁双全

（北京邮电大学 人文学院，北京 100876）

随着国内外电子商务的蓬勃发展，以二维码支付为代表的电子支付市场份额正呈现急剧扩张之势，行业中同类竞争的支付产品众多，参与主体数量庞大，经营者、消费者、第三方支付机构以及金融机构彼此之间形成了复杂的关系网络，极大增加了监管的难度，消费者权益受损情况也时有发生。因此，厘清二维码支付参与主体间的法律关系，及时发现隐藏的风险并适时的在法律与监管层面予以回应，对当下消费者权益保护以及支付市场的规范运行都大有裨益。

一、二维码支付概述

(一)二维码支付的概念

二维码支付是一种基于移动互联网终端的新一代无线支付方案，它实现了新型的线上和线下O2O（Online to Offline）支付功能（见图1）。

图1 二维码O2O支付功能

如图1所示，用户通过在第三方平台上注册账号并关联银行卡，就可以通过扫描二维码进行交易付款，通过二维码的扫码、解析、校验、扣款等代替刷卡和现金支付。交易的关键是买卖双方同时使用第三方平台的金融服务，这个第三方支付平台不同于传统银行等金融机构。因此，我们通常将二维码支付作如下定义：它是借助第三方支付平台联通银行，为买家卖家提供非金融机构的支付服务者。[1]

(二)二维码支付的两种模式

1.直接到账

直接到账是二维码支付最常见最普遍的适用模式，该模式下，买方只需通过扫描二维码发出支付指令，资金即可转移至卖方账户，此种模式无需以特定交易行为为前提，只需买卖双方达成一致即可。第三方支付充当付款中介，无其他功能。当下支付宝、微信二维码收款等多采用此种模式，只需设定金额后扫码即可完成支付行为。

2.与交易行为相关

相比直接到账的支付模式，与交易行为相关的支付模式则需要根据支付方相对应的意思表示进行相应的支付行为。在支付方发出支付指令后，第三方仅对其虚拟账户扣除相应电子货币并进行后台记录，款项此时并未发生转移。在付款人发出最终确认支付指令前，款项不会转移到另一方虚拟账户中。整个过程中，资金的转移取决于支付方根据交易的履行情况发出的各项支付指令。也就是说卖家在交货义务履行完毕前，并无法得到货款，此种模式很大程度上确保了合同的切实履行。

(三)二维码支付中各主体间法律关系

1.买卖双方法律关系

二维码支付本质上是一种支付手段，以实现债务清偿为目的，让资金从债务人向债权人转移。卖方制作包含商品信息以及付款方式的二维码放于公共空间，实际上是希望买方通过扫码付款行为做出承诺约束的意思表示，这符合合同法对邀约的规定，消费者完成付款行为即视为对邀约做出承诺，因此符合买卖合同法律关系构成。

2.买卖双方与第三方支付的法律关系

通常情况下，二维码支付过程中，第三方支付只是作为一种支付辅助工具，其本身不参与买卖双方的交易。但实际上，随着二维码支付的升级换代，第三方支付基本上都以签订服务协议的形式约定了相关权利义务，约定内容不同，服务内容就不同，相应的，随之产生的法律关系也会有所不同，主要分为以下几类：

（1）居间法律关系

二维码支付的过程中，第三方虽未实质介入交易过程，但其在订单的订立、合同的生效过程中均扮演不可替代的角色，给双方提供了交易机会、传达了意思表示，实际上充当了居间人的角色。因此，即使认定第三方支付并未就此收取居间费用，仍应认定存在居间合同关系。[2]

（2）委托法律关系

根据约定，第三方支付对买方支付的款项提供代收服务，随后根据买方指定，将款项支付给第三方，形成一种委托和被委托的法律关系。但此观点学界尚存争议，部分学者认为如果认定为委托合同，则构成双方代理，如此便违反代理人制度的“不得利益冲突”原则，但另一种观点认为，对于双方代理，我国法律暂无明确的禁止性规定，若双方基于真实意愿表示对其认可，则应该认定此代理行为有效。笔者倾向后者，委托关系成立。

（3）保管法律关系

在与交易相关的二维码支付过程中，在款项最终转移前都处于第三方支付平台的保管状态，此时，买方和第三方平台构成保管合同合同法律关系。央行发布的《非银行支付机构网络支付业务管理办法》第7条对此进行了认定，《办法》认为支付账户所记录的资金余额实质为客户委托支付机构保管的、所有权归属于客户的预付价值，从而从法律上肯定了保管合同法律关系的存在。

（4）担保法律关系

同发生在与交易相关的二维码支付中，买方付款后，款项保管于第三方平台上，这样既能确保卖方如期交付货物，同时也保证在卖家发货前代收买方货款，为交易双方提供了信用保证。因此，买卖双方于第三方平台之间还存在担保法律关系。

3.第三方支付与银行的法律关系

在二维码支付中，虽然第三方支付是直接收付款人，但是此过程都需要通过银行网关来实现。学界有观点认为，第三方平台为银行的代理人，应适用民法关于代理的规定，但实际情况是第三方并没有接受银行指示代为行使相关职能，相反，银行是根据第三方支付指令来进行操作。此外，第三方支付平台可以独立从事相关支付以及清算服务，因此两者之间并不符合代理关系构成。事实上，第三方支付与银行之间存在相关金融服务协议，双方实际上是一种服务合作关系。

二、二维码支付的法律风险

(一)消费者权益保护层面的法律风险

1.个人信息受侵犯风险

二维码支付致损案件中，有很多的消费者由于扫描了植入病毒的二维码或者进入钓鱼网站而导致个人的账户、密码被窃取，不法分子利用二维码技术的漏洞攻击消费者的账户信息，消费者的隐私一览无余。在这个过程中，虽然第三方支付平台也在不断更新安全验证措施，但消费者处境依然被动，个人账户信息和隐私保护仍然遭受威胁。目前第三方支付注册用户规模庞大，且每个账户都或多或少关联了个人信息，如身份证号、手机号、银行卡等，更有包括指纹、声音、面容等生物信息。个人信息在互联网大数据时代是一种宝贵的资源，一旦信息泄露，后续再进行非法交易，对个人的人身和财产安全将产生极大威胁。

2.格式条款隐藏风险

作为二维码支付背后的第三方支付平台，在与用户订立服务协议时通常会提供格式合同，用户若要进行注册使用则必须同意平台政策，虽然用户可以查阅该条款，但却没有变更或拒绝的权利。平台本身则极有可能通过变更格式条款来排除自身亦或是减轻自身责任，一旦发生争议，消费者若要进行维权则难免处于弱势地位。如《微信支付用户协议》对协议变更的规定：财付通有权根据需要不时地制定、修改本协议，变更事项仅在商户平台进行公告，如不同意协议需书面告知财付通终止服务，登陆或继续使用服务即表示接受协议的修订①该条款在微信财付通公司发布的《微信支付服务协议》第14条中明确规定，该条款对协议变更通知、用户同意方式等事项予以规定，详见https：//pay.weixin.qq.com/index.php/public/apply_sign/protocol_v2。。从此规定中可以看出，第三方支付平台几乎可以随时变更协议，而采取公告方式几乎达不到让用户知情的目的，用户在不知情的情况下继续使用服务又默认为同意协议。整个过程很难保证用户知情权得到尊重，若第三方支付平台进行损害用户财产的行为，也很难为用户察觉。比如在2018年的支付宝账单事件中，支付宝正是想要利用用户信息不对称，疏忽大意的特点，以便在用户查看自身账单时与之签订新的协议，将用户同意在支付宝服务终止时授权支付宝仍可保留用户数据及信息条款纳入新协议中。[3]此事件曝光后，虽然支付宝及时删除相关条款，但其利用格式条款增加自身权利范围或是排除用户权利的风险则将一直存在。

3.财产盗窃、欺诈风险

目前使用二维码的技术门槛较低，编译和发布相对简单，想掌握并加以利用并非难事。此外，大部分扫码工具欠缺对欺诈性二维码的有效识别以至于很容易给犯罪分子以可乘之机，通过植入钓鱼链接和木马病毒来窃取用户的账号信息和密码进而进行资金转移，或者进行盗窃、欺诈行为，导致用户的财产遭受损失。2018年发生在上海的“偷换商家二维码”案件中，行为人通过偷换商家二维码，获取顾客意图支付给商家的钱款，非法获取985元，最终以盗窃罪进行处罚②此案例来源于《人民司法·案例》2018年第35期，“倪建飞盗窃案——偷换商家收款二维码的行为定性”。。此类案件中，由于二维码的外观特性，用户在扫码时并不能区分二维码实际所有者，其次，扫码工具针对钓鱼、植入木马程序的二维码也缺乏有效的辨别措施，商家因此遭受财产损失的情况也屡见不鲜。有学者基于利用扫码支付的诈骗手段进行过问卷调查，调查结果显示，在其受访者中，遇到扫码支付诈骗情况的人数比例高达83.46%，可见扫码支付风险之大，这其中，遇到最多的是扫码领红包和手机病毒，分别为39.28%和38.50%；其次是恶意软件和骗取付款码，分别为30.75%和31.01%；另外23.77%的受访者遇到以假乱真的二维码；24.03%的受访者遇到钓鱼网站。[4]

4.沉淀资金使用风险

由于第三方支付具有担保的职能，因此在交易最终完成前，货款不会完全从买方账户转移至卖方账户，而是存在于第三方支付平台，导致形成一种时间差，资金便以这种形式沉淀在第三方平台中，而出于方便交易等目的，用户通常不会选择将第三方账户余额进行银行卡提现操作，随着交易量的日益增多，二维码交易中已经呈现出大量的资金沉淀态势，大量资金储存在二维码交易的的虚拟账户中，而这些账户的管理人大多是企业而不是金融机构，因此，一旦企业经营出现问题或者说企业利用这笔资金进行其他项目的投资亦或是其他用途，而用户又缺乏畅通的知情渠道，很容易导致用户的财产损失。

(二)政策、监管层面的法律风险

1.行业垄断风险

近年来，二维码支付在支付领域的市场份额逐年增加，尤其在小额和便民领域最为显著。然而，部分第三方支付机构在开展业务时，在定价和营销策略上实施搭售、倾销、交叉补贴等行为，滥用市场优势地位，对支付服务竞争者采取排除、限制等不正当竞争手段，为支付行业的有序发展和公平竞争带来极大的负面影响，扰乱了市场秩序。比如第三方支付与电子商务网站进行捆绑搭售的行为，比如淘宝天猫交易支付模式就必须默认使用支付宝来就是一种典型的与电子商务网站进行捆绑搭售的行为。又比如《支付宝交易处理规则》中规定若要使用支付宝就必须接受支付宝设置的规则，有争议也只能提交支付宝来进行处理，对处理结果也必须接受。从表面上看，第三方支付机构声称此类捆绑行为是为了更好保障用户的权利，也为用户提供一种高效的争议解决机制，且服务本身免费。但是不可否认的是它始终是剥夺了消费者选择其他服务方式的权利，这种模式本身当下也并无法律依据，本身有其不合理性，对行业的充分竞争无疑会带来威胁。

2.知识产权风险

我国二维码开发和市场应用相对较晚，目前普遍适用的也是国外的QR编码机制。而QR码的研制公司是日本Denso-Wave公司。2015年，QR码发布了新的技术标准并开始收取专利费，可以看出，二维码的知识产权保护和应用已经明显得到了各方的重视，虽然目前我国一些企业和科研院所也在积极研制自己的产品，但就目前二维码产品使用一家独大的格局仍然没有得到大幅改变，未来在知识产权领域引发纠纷，给二维码支付市场埋下隐患。[5]

3.套现、洗钱风险

二维码支付目前尚缺乏原始有效的监管，而且交易的真实性无法判断，即便在没有真实交易的情况下，信用卡持卡人也可通过扫描商家二维码支付后进行套现，有效规避了监管和审查，不法分子在没有有效监管的情况下，很容易通过虚构交易行为而轻易的将自己的非法财产合法化，外加这种虚拟的交易行为具有很强的隐蔽性，对于资金的真实来源第三方支付平台并不能进行辨别，长期以往，二维码支付领域必然演变成洗钱套现的重灾区。线下这种通过扫码支付进行非法资金转移的案例为数尚少，排除目前这种违法行为本身发生较少的原因外，很有可能由于其行为的隐蔽性而不为人所知，而当下针对反洗钱的相关措施并不多，犯罪分子利用二维码支付进行信用卡套现和洗钱的风险极大。

4.偷税、漏税风险

二维码支付虽然便利了交易，但有交易就意味着税负，对于第三方支付这种新兴的支付模式来说，其纳税依据以及纳税时间、地点都存在很多不确定因素，给税收带来了很大的隐患。首先，第三方支付改变了传统以纸质发票作为载体的特点而统一采用电子数据的形式。而电子数据的虚拟化和数字化特性使其易于被修改和删除，这使得交易凭证的可靠性难以保证。其次，第三方支付基本都依附于相应的电子商务平台，存在很大数量的电商主体没有在工商管理部门进行税务登记，相比实体企业，其纳税时间的确定也存在很大困难。此外，由于没有固定的经营场所，纳税地点的不确定性也是影响税收的一大难题。虽然新颁布《电子商务法》已明确电子商务主体要依法登记，履行纳税义务，但目前仍有很大一部分电商主体没有履行登记纳税义务，而网络又具有很大的隐蔽性，税务机关也很难对此进行有效监管，长期以往，很容易滋生偷税漏税行为。

5.货币政策调控风险

货币流通速度是决策机构制定货币政策的重要依据，而电子货币对货币流通素的影响究竟如何学界尚无定论。但是基于货币的交易依附性，电子货币的出现客观上增加了交易的频率，那我们可以初步推断电子货币对货币流通是一个增速的作用。作为电子化与信息化的载体，电子货币的供给机制改变了货币数据信息流动的方式，一个可预见的结果是“电子货币会改变货币乘数，增加中央银行借用传统信用创造理论调控货币政策的难度。”[6]

三、二维码支付的行业规制现状

(一)现有法律法规汇总

2010年中国人民银行发布《非金融机构支付服务管理办法》，把第三方平台定义为非金融机构，虽然第三方从事与银行类似的支付清算服务，但其本质属性与银行等金融机构不同，故其只能由中国人民银行对其进行监管。《办法》强调建立统一的非金融机构支付服务市场准入制度和严格的监督管理机制，为从事支付业务的不同机构提供相同的规则，减少不正当竞争的存续空间，保护当事人的合法权益以及支付服务市场的平稳运作。

2014年3月，中国人民银行发布了《关于暂停支付宝、财付通线下条码（二维码）支付等业务意见的函》，由于线下二维码支付的潜在风险，央行紧急暂停了二维码支付业务。在通过后续一系列安全评估后，才重新对社会开放。此事件标志着二维码支付已经引起了官方的关注，后续央行也在积极指导行业协会和支付机构进行相关规范以及技术标准的制定。

2015年12月，中国人民银行发布《非银行支付机构网络支付业务管理办法》，考虑到网络支付业务的行业发展情况，央行确立了坚持支付账户实名制、平衡支付业务安全与效率、保护消费者权益和推动支付创新的监管思路。[7]《办法》明确了支付机构的定位，强调对个人消费者合法权益的保护并实施分类监管推动创新，激发了支付机构服务市场的活力。

2016年12月，银联推出《中国银联二维码支付应用规范》《中国银联二维码支付安全规范》《安全规范》明确了对二维码受理设备、手机客户端、后台系统的具体安全要求，《应用规范》则定义了二维码支付的应用场景和基于数字签名的安全机制。然而，银联推出的此类二维码支付标准仅针对基于银行账户的支付模式，不针对第三方支付提供的的二维码支付服务。

2017年12月，中国人民银行发布《条码支付业务规范》以及配套技术安全规范，并正式确认了二维码支付的法律地位，《规范》要求二维码的银行、支付机构应根据风险防范能力等级，在确保风险可控和尽量满足用户需求的前提下，科学合理设置相匹配的日累计交易限额。[8]具体风险等级以及交易额度限制的对应情况如见表1所示：

表1 央行关于条码支付限额的规定

C级 不足2类验证要素 1000元 1000元D级 无验证要素 500元 500元

其中，静态条码因其固定后不可更改，易被人篡改以及植入病毒以及钓鱼链接，风险防范等级居于末位D级。动态密码相对风险较低，风险防范等级较高，具体等级视其验证措施类型可分为A～C三个等级。但限额规定只是针对“主扫”即用户扫描商家二维码付款，如果是商家扫描用户付款码即“被扫”则没有额度的限制。

(二)当下规制现状评析

从当下国内关于二维码支付的法律法规以及相关政策可以看出，政府对于二维码支付安全的监管，经历由“一出风险就叫停”到逐步“全方位监管”的过程，监管意识越来越强，相关政策也不断的进行完善，但是也可以看出，现有规制手段都只是一些部门规章、行业规范，还没有上升到法律的层面，二维码支付行业缺乏统一的监管法律的规制，以至于在出现问题时，存在法律空白，难以对犯罪分子进行有力打击和震慑。在出现违法犯罪行为时，我们只能援引《刑法》《侵权责任法》等现有法律的相关规定，且跟二维码支付领域的相关政策偶有冲突，实际操作可能性较低。就目前中国电子支付市场发展趋势来看，未来电子支付领域将占据更多市场份额，而作为电子支付最常见、最普遍的支付手段二维码支付而言，迫切需要从法律层面加以规制，从而保证电子支付市场有序运行。

其次，现有关于二维码支付的法律体系中对消费者个人信息权以及隐私权的保护条款也仅散见于《支付业务管理办法》《条码支付业务规范》等少数几个规章中，虽然可以适用《侵权责任法》以及《民法》关于此类事项的规定，但这两类终究是原则性的规定，需要针对二维码支付这个行业制定具体的法律法规加以规制，才能切实保障消费者权益。

四、完善二维码支付的对策和建议

(一)完善二维码支付的技术和法律漏洞

1.提升二维码支付安全技术手段

监管部门应制定统一的二维码使用安全标准，在确保安全的同时寻求实用性的一致性。应明确要求第三方支付机构在生成支付二维码时对客户账户敏感信息要采取加密手段并不断对加密手段进行升级换代。同时，现有通用的QR编码标准存在一定的安全隐患和知识产权风险，我国应建立自主可控的二维码核心技术标准，提供更加安全便利的二维码产品，逐步淘汰技术落后、安全系数不高的QR码，确保安全系数提升的同时也可很大程度上规避知识产权风险。

2.完善二维码支付法律法规建设

我国现有对二维码支付市场的相关规定存在效力层级不足，实际操作性差等特点，难以达到对用户权益的保护以及对行业的有效监管。因此，在充分判断我国二维码支付市场的未来趋势后，国家相关部门尽快建立切实、有效、全面的二维码支付监督法律体系。制定或套用相关法律法规、规章制度、技术安全标准、业务管理办法等，从行业准入、交易行为等方面全方位进行规制，统一二维码使用标准，规范二维码市场秩序。首先，要严格二维码支付准入机制，建立健全监管部门对进入扫码支付市场的审核、考核、评估机制。其次，加强对用户个人信息及隐私的保护，明确个人信息权的法律地位，注重权利受到侵害的救济途径，加大对侵害个人信息以及隐私的财产和行为处罚力度。

(二)加强行业监管力度，形成统一监管链条

1.组建多方参与的协同监管网络

二维码支付具有网络和金融的双重属性，因此，想要对二维码支付行业进行有效的监管，单纯依靠某个独立的部门基本是不现实的。考虑到目前我国网络和金融监管的部门设置，我们可以建立一个由中国人民银行进行主导，银联、工商、税务、公安等多部门协同配合的全方位监管机制，形成完整统一的监管链条。

首先，积极推行第三方支付实名制，加强对线下扫码支付的审核，防止套现、洗钱等不法行为，发现洗钱等违法犯罪行为时，应联合公安机关进行严厉打击。各部门应切实承担主体责任，加强各部门间的信息共享，形成有效的监管体系。对第三方支付机构应加强监管，定时评估风险等级，对于第三方支付的每一笔交易信息都要及时向扣款银行进行反馈，确保交易的真实性和合法性。对滥用市场支配地位的第三方支付平台，监管部门要及时进行查处，尽快明确反垄断规则，不断增加企业的违规成本，最终约束垄断行为，确保第三方支付市场公平、有序的竞争环境。

其次，要主动搭建第三方支付与税务机关的监管对接平台，利用信息化手段，实现纳税义务人的税务登记、纳税申报、电子发票管理以及缴纳税款等。

最后，基于扫码支付引发的货币电子化可能引发的货币政策风险，央行应着重对第三方支付加强监管，主要体现在电子币的发行必须基于其支付账户内的资金余额，且红包和代金券的发行必须基于支付机构的净资产情况并设定合理的发行比例。另外，央行应对第三方支付的资金循环进行周期性的动态管理，对电子货币数据采取现场与非现场监督相结合的监督模式。如此，才能为货币政策的制定提供有效支撑。

2.大力推行监管创新

科学技术的快速发展对监管模式提出了更高的要求，面对互联网环境下出现的金融新业态和新模式，传统监管模式的失灵已明确预示监管措施和手段应适应科技发展潮流。因此，未来监管部门应适时进行监管创新，以传统监管手段为基础，适时引入先进科技手段，建立一套全国范围内的信用、数据共享平台，及时掌握各法律主体动态。同时，监管部门应主动加强和第三方支付平台的联系，借助第三方支付科技和数据优势，实时监控二维码支付使用信息，发现异常及时跟进处理，不断推进互联网新型科技与金融监管的深度融合，以适应科技进步的需要。

(三)构建合理的责任分配机制

1.明确现有参与主体的责任分配

如前文所述，二维码支付中各参与主体间形成了复杂的法律关系网络，且因为相关技术和法律机制的不健全，极易发生盗窃、欺诈等非授权交易行为，行为发生后如何明确第三方支付以及商业银行的权利义务和风险赔付责任则是保障用户权益的关键。纵观我国目前二维码支付领域法律规范，虽然规定了相关主体的法律责任，但相关政策的挪动空间大、界定含糊且缺乏具体的施行措施，在进行责任分配时难度较大，因此，在现有法律暂时缺位的情况下，当下应结合现有法理、法律法规进一步界定各参与主体的法律责任，分析和定义用户、第三方支付以及商业银行等多主体产生的民事、行政和刑事责任，以便在用户遭受财产损失时做到有法可依。

2.适时引入商业保险机制

资金被窃取之后，处于弱势地位的消费者很难凭借一己之力进行追踪举证，损失救济面临极大困难和阻碍，而账号运营商在承担审慎义务的情况下又难以对之进行苛责。因此，适时引入商业保险机制将有效解决此类问题。其实，引入商业保险这一做法早在之前已有先例。2005，支付宝率先推出“你敢付，我敢赔”用户保障计划，承诺用户资金被盗全额赔付，已具备保险性质。2011年，支付宝推出账户安全险，引入保险公司，加强保障，平均不到2元，保额最高达100万。《保险条款》中指出“被保险人的账户密码、安全工具、生物信息被不法分子盗取、盗用，或者不法分子盗取被保险人身份证、银行卡或安全工具等在支付宝平台注册账户，造成资金被盗转、盗用”保险公司将根据保险合同负责赔偿。微信财付通联合中国人保财险推出微信支付百万保障计划，承诺盗刷全额赔付，不限次数，最高100万。但现有保险条款只针对盗刷现象予以理赔，但随着二维码支付侵权方式的多样化，现有保险条款将难以覆盖所有的风险类型，因此，需要与保险公司加强合作，引导保险公司根据不同风险类型有针对性的设立险种，以更好的保护用户权益。

(四)加强教育宣传，强化公众安全意识

针对二维码支付的风险问题，除了需要平台、政府的努力外，相关部门也应积极向用户进行风险防范意识的宣传，可以结合具体案例加强用户对扫码支付的深入了解，明白常见的作案手法，从而更好的规避风险，维护自身利益。用户自身也应提高风险防范意识，从正规渠道购买手机的支付终端设备，从源头上杜绝手机被事先植入病毒的风险，若手机出现病毒应第一时间联系官方售后，请专业人员维护。养成良好的支付习惯，在进行扫码支付时，尤其是大额支付时，尽量使用额度不高的信用卡或者余额不多的借记卡绑定，在公共场所输入密码时也要采取一些遮挡措施、尽量使用数据信号减少使用公共网络等。