刘满达 葛佳妮

内容提要：二维码签名是一种特殊的电子签名，其易篡改、可溯性弱、可视性弱、验证要素多元化等特征决定了其效力认定无法完全适用 《电子签名法》第十三条的规定。从技术角度来看，只有当它赖以生成、验证、传输的系统设备符合一定的技术标准时，才能保证签名的安全可靠。从法律角度来看，二维码的市场准入标准和商户资质标准影响着二维码支付市场的稳定和签名的安全性，而认证标准的缺位以及签名人的权益保护制度都在一定程度上影响着签名的法律效力。《电子签名法》第十三条只能为二维码签名可靠性认定规则的制定提供主要参考方向，另外可借鉴联合国国际贸易法委员会制订的 《〈电子签名示范法〉实施指南》的相关规定，从技术、商业以及法律的角度规范二维码可靠性的认定因素。

二维码签名的运用越来越普遍，但是国内外关于二维码签名法律效力的研究仍很薄弱。二维码签名与传统的电子签名有很大的差别，无论是从表现形式、交易场景还是对技术的依赖程度上，都有明显不同，我国 《电子签名法》关于电子签名的可靠性认定标准不能完全适用于二维码签名。因此，如何设计新的法律规则来弥补传统制度的不足就显得极为迫切。

一、二维码签名的特征及二维码签名被盗用的现状

现实生活中的扫码支付本质上就是一种签名行为，扫码行为能够识别和确认扫码人的身份并表明扫码人对所签信息的意图。因此，二维码签名也是一种电子签名，但又具有区别于其他类型电子签名的特征：

一是易篡改。一方面，二维码的表现形式与传统电子签名不同，是以图形的形式展现在消费者或商家的面前，本身不能够对所携带的内容进行直观展示，图像易被偷换和篡改。另一方面，二维码制作门槛低、操作简单，实践中不法分子容易将商家收款码更换成自己制作的二维码，通过验证签名后将交易资金转入其账户。

二是可溯性弱。一方面，从条码支付过程来看，若有不法分子窃取他人信息并生成二维码，通过扫码转账或扫码支付转移财产，此时进行签名认证的主体实际上不是二维码持有人，通过此种手段利用他人身份进行支付 （即所谓的未经授权的支付），很难追溯到使用者的真正身份。另一方面，二维码支付具有信息单向交互的风险，支付中只能实现发起方或接收方的单向信息交互，不法分子可利用该弱点实施 “中间人攻击”，绕过身份认证机制，造成用户资金损失。此外，还可通过木马程序、病毒软件拦截交易并通过多方流转资金或盗取他人账户的方式套取资金，因此，即使能追溯到资金汇入的账户也很难确定账户的真正操作者。

三是可视性弱。二维码就是一张存储信息并以特定格式展现的图形，依赖于利用计算机图形学和图像处理技术，将复杂的数据转换成清晰易懂的图形图像表现出来，再进行交互处理的理论、方法和技术。①宋珍宝、李甲奇：《数据可视化概念研究》，载 《科学技术》2016年第9期。由于目前使用者更加注重对生成技术快捷性和成本效益的追求，往往使用技术门槛较低的二维码生成程序，技术含量低，所生成的二维码往往大同小异，以纯粹抽象的几何图形为主，可视化特性极弱，不具有明显的分辨率和标识性。

四是验证要素多元化。为保障交易安全，中国人民银行2017年颁布的 《条码支付业务规范（试行）》（银发 〔2017〕296号）第十条对交易时所需的验证要素进行了规定。二维码持有者在扫码时需要通过验证后实现支付，可组合选用三种要素：客户本人知悉的要素；仅客户本人持有并特有的，不可复制或者不可重复利用的要素；客户本人生物特征要素。同时，该规范第十二条规定了根据三类要素的组合情况，决定风险防范能力等级 （如ABCD），并分别对应累计限额措施，实现对条码支付业务的限额管理。不同等级需要组合使用不同的验证要素，交易额越大，风险等级越高，所需要验证要素的要求就越多。

二维码签名的以上特性常被不法分子利用，并导致用户在隐私信息、财产安全等方面的损失。从实践情况看，二维码签名的潜在风险主要有以下几种。

第一，盗用支付信息实施精准诈骗。二维码签名往往与用户个人信息绑定，在二维码使用过程中，签名者需要向客户端或第三方支付机构提供个人资料，包括身份证号码、手机号码、银行账户、支付密码等隐私信息。②Chong Yuan,Yue Zhang,Ye Liu,Safety Analysis and Strategy of Alipay,International Journal of Advanced Pervasive and Ubiquitous Computing.,Vol.8,2016,p.31.在使用时也需凭借个人信息进行支付验证，第三方支付机构、电子认证机构对于此类信息若没有尽到妥善储存和传输的义务，就容易造成上述隐私信息泄露并被不法分子利用。

适配体因与不同待测物结合后折叠构象的不同，而表现出较高的选择性，从而引起其上带负电荷的磷酸基团远离电极表面，进而引起电位的改变。适配体较高的选择性和灵敏度可将电位传感器的检测限降低至fmol·L-1。

第二，植入恶意程序窃取隐私信息。二维码属于一种开放的编码方式，具有信息承载功能，不法分子利用其易被复制和篡改的漏洞，以二维码为入口，可以将木马程序或者病毒软件植入二维码中实施网络诈骗。

第三，篡改二维码签名转移财产。表现为三种行为方式：一是商户二维码被偷换。一些商户基于成本的考虑，使用静态二维码作为收款码或者商品信息载体，静态二维码的安全系数低，可视化特性弱，被偷换和更改时不易被发现，不法分子可将商户的二维码换成自己的二维码，扫码后交易金额转入其账户实现资金转移。二是用户二维码被窃取。二维码签名以手机等电子产品为媒介，实践中时有不法分子利用受害人手机，用付款二维码扫码支付，获取关联银行卡内资金，或通过商户扫码盗刷受害人支付宝或微信账户及绑定银行账户，套取现金。三是签名指令被劫持。二维码支付数据的传输和储存主要基于公共网络进行，由于公共网络的不稳定性以及指令传输形成的时间差，支付指令在传输过程中可能存在被不法分子劫持并篡改的风险，通过签名人对修改后的指令授权转移资金。

二、影响二维码签名法律效力的因素

《电子签名法》第十四条规定可靠的电子签名具有与亲笔签名同等的法律效力。电子签名的可靠性取决于两个方面：一是电子签名形式是否能够得到法律上的认可，即是否具备法律效力；二是电子签名在技术上是否真正达到签名确认功能，以确定特定活动中的法律关系。③周桂雪、潘自勤：《法庭科学领域下电子签名的可靠性分析》，载 《科技与法律》2018年第4期。二维码作为科技创新的产物，其可靠性依赖技术手段才能实现。技术因素影响着二维码签名是否能在一个安全可靠的环境下完成支付流程；同时，法律上的规定是赋予二维码签名效力的直接依据。

（一）影响二维码签名法律效力的技术因素

二维码的 “生成”和 “识读”这两个环节至关重要。在生成时，由于二维码签名技术门槛低，容易被篡改携带恶意代码而存在安全隐患。在识读环节，客户端的安全系数以及扫码设备的安全程度都决定着二维码签名是否能够准确无误地被扫码，是否能够防范信息泄露。综合来说，影响二维码签名法律效力的技术因素主要有：

一是二维码签名的表征。二维码的码型是开放的，存在易被改性、可溯性弱等特点，其主要风险包括四类：第一，可视化风险。由于二维码可视化弱的特性，用户无法通过图形直观辨别和鉴定，易被替换。签名后对电子签名及数据电文内容和形式的改动很难被发现，这一特性使其无法符合 《电子签名法》第十三条关于电子签名的可靠性认定条件。第二，易携带恶意代码的风险。二维码不仅可用于支付，其强大的兼容性也可用于储存恶意程序代码、非法链接等内容，易被不法分子利用。第三，信息单向交互的风险。二维码支付是脱离物理媒介进行的交易，只能实现发起方或接收方的单向验证，不法分子若劫持客户与商户之间、商户与后台之间的通信网络，截获并恶意修改订单等交易信息，易造成用户资金损失。第四，扫码设备安全强度低带来的风险。

二是签名技术的准入门槛。目前市场上使用的QR码是国家标准码制。长期以来，我国使用的QR码技术是使用日本的技术标准。2015年虽然颁布了新的技术标准，但由于专利申请门槛过高，至今使用的仍是2000年日本的技术标准，而没有在国内申请新标准的专利、免费开放的市场策略导致QR二维码制码技术 “零门槛”。中国人民银行2017年颁布的 《条码支付安全技术规范 （试行）》（银办发 〔2017〕242号）规定了条码应使用符合国家标准的码制，至此，在法律层面统一了二维码的使用标准。遗憾的是，该规范并没有对二维码提出更高的要求，而是以此肯定了目前所使用的二维码的合法性。再加之目前二维码市场缺少安全技术手段对手机扫码进行管控，没有相应的技术跟进，引发的问题也层出不穷，这是导致二维码乱象的最主要原因。

三是终端验证的安全性。终端验证不仅决定着二维码签名是否能够使用，更关乎着第三方支付机构以及认证机构在发生损害时的责任分配，即是否达到规定的技术标准以确保二维码支付安全进行。目前用户使用的移动终端大都为智能手机或平板电脑，它采用的是OS操作系统或者开放性的Android系统，该系统存在易被反编译、侵入的隐患。④刘春晖：《移动终端支付的安全性研究》，载 《数字通信世界》2017年第9期。《条码支付安全技术规范 （试行）》规定从身份信息管理、交易异常处理、客户端软件完整性等几个方面来保障移动终端的安全，但这显然是不全面的，移动终端的风险源于其自带的系统和语言特性，仅从加强密码的复杂度来保证信息安全是不够的，而对于交易异常并向客户端提示错误信息也不属于事后救济。因此，该规范并没有提出一个切实有效的防范措施。最根本的方法是从升级系统、提高安全系数入手，在此基础上强化个人信息的安保措施。

四是网络支付的基础设施。一方面，目前我国尚未形成具有整体协同能力的防御体系，信息系统的脆弱性最终都转化为网络安全的综合风险，使得传统的单点防护模式难以适应甚至失去作用。另一方面，无线网络本身是公共网络设施，并未因为二维码支付而进行升级或优化，这使得在无线网络环境下，二维码交易在隐私信息保护、支付指令传达、密钥传输与验证等方面存在安全隐患。

（二）影响二维码签名法律效力的法律因素

任何一项技术都不具有当然被法律接受的属性，它可能具有的法律效力只能通过立法途径、司法保护或协议形式得以确认，其中，立法的认可是最有效的。⑤邓杰：《论电子签名的法律功能与法律效力》，载 《武汉大学学报 （哲学社会科学版）》2006年第2期。

第一，我国法律规范关于签名效力的规定。二维码签名作为技术创新的产物，对我国现有法律制度提出了挑战。一方面，从现有法律的规定来看，关于二维码签名的法律效力，我国没有出台专门的法规来定义，二维码签名从性质上属于电子签名的一种，但由于自身属性与一般电子签名有很大的差别，很难满足 《电子签名法》第十三条规定的可靠性条件。另一方面，央行虽然自2010年开始陆续颁布了 《非金融机构支付管理办法》（中国人民银行令 〔2010〕第2号）、《条码支付业务规范 （试行）》《条码支付安全技术规范 （试行）》与 《条码支付受理终端技术规范 （试行）》 （银办发 〔2017〕242号）等一系列规章来规范二维码签名的使用，对条码技术、交易事项以及当事人的义务做出了规定，但都是从安全保障的角度去规定各方的义务。在无法适用 《电子签名法》的前提下，二维码签名的法律效力究竟如何认定仍处于缺位状态。因此，通过立法赋予二维码签名法律效力是当前亟待解决的关键问题。

第二，商家资质审核与市场准入标准。为规范商户的准入要求，《条码支付业务规范 （试行）》第二十四条第一款、第二款做出了具体规定，并将条码支付特约商户纳入特约商户信息管理系统及黑名单管理机制，为确保消费者条码支付安全、消除条码支付金融风险奠定了基础。

第三，签名技术和检测认证标准。在技术规范上，央行虽然颁布了 《条码支付安全技术规范（试行）》与 《条码支付受理终端技术规范 （试行）》，但随着二维码签名出现的各种安全和技术问题，现有的标准已经不能满足现实的要求。有不少学者提出了应当提高条码的标准，建立运用核心技术和有自主知识产权的二维码，以此来对应中国标准信息系统、代码标准和不同领域的要求。⑥徐展：《移动手机扫码支付风险及应对措施》，载 《金融经济》2019年第4期。同时，我国的检测认证标准仍处于缺位的状态，更未建立国家统一推行的认证体系。

第四，签名人的权益保护制度。就二维码支付而言，签名人的安全保障权主要包括隐私信息得到有效保护、交易资金得到安全保障、支付指令能够顺利到达、发生损失后能够及时止损并得到补救等。目前，这些方面还存在不少问题。一是隐私信息未能获得充分保障。我国 《非银行支付机构网络支付业务管理办法》（中国人民银行公告 〔2015〕第43号）第二十条规定，支付机构须以 “最小化”原则采集、使用、存储和传输客户信息，但是 “最小化”的界限仍由支付机构来定义。二是法律效力评价标准缺失。从 《条码支付业务规范 （试行）》来看，没有对签名人、商户、电子认证机构以及侵权行为人的法律责任和行为效果作出相关规定。虽然我国 《电子签名法》第二十七条、第二十八条、第三十条对签名人和电子认证机构具有过错时应承担的法律责任进行了规定，但没有进一步规定责任范围。三是用户面临举证难的窘境。二维码支付流程由第三方支付机构设定，交易时所产生的数据根据用户与第三方支付机构之间的协议储存在其后台系统，包括但不限于登录时的验证记录、款项的流转、交易的时间、验证要素匹配成功与否以及其他相关数据。用户很难获取此类数据，但支付机构获取和处理却很便利。⑦尹衍波：《电子商务法规》，清华大学出版社2007年版，第226页。

三、二维码签名的可靠性认定

我国 《电子签名法》第十三条第一款规定了可靠电子签名需要具备的四个条件，第二款规定了当事人可以自行约定电子签名的可靠性条件。二维码签名作为电子签名的一种，本应适用该条规定，但二维码的特征使其无法通过适用第十三条而获得效力，需要调整法律来规定符合二维码签名特征的相关可靠性条件。

（一）二维码签名的可靠性条件

二维码签名是否可靠，即是否具有法律效力，应考察是否具备以下因素或条件：

第一，二维码签名数据为持有者专有。《电子签名法》第二条规定了电子签名是具有识别签名人身份并表明签名人认可其中内容的数据；同时，其第十三条第一款第一项、第二项规定了可靠的电子签名需为电子签名人所专有并仅由签名人控制。由于二维码签名具有验证要素多元化的特征，《条码支付业务规范 （试行）》规定了在生成条码时需要对身份信息、手机号码等信息进行关联管理，在使用二维码签名进行交易支付时需要进行多种验证要素匹配，目的在于保证二维码签名在使用时为签名人所专有并受其本人控制，只有二维码签名具有人身专属性才能排除篡改签名或被共用的可能性。

第二，二维码签名在交易环境下的正当性。根据二维码签名的特征，对其进行可靠性认定应参考联合国国际贸易法委员会2001年 《〈电子签名示范法〉实施指南》及2005年 《国际合同使用电子通信公约》对电子签名的可靠性规定，即结合法律、技术和商业、交易场景等因素来判定该签名是否具有可靠性。

第三，二维码签名与数据电文的逻辑关联性。由于二维码的可视性特点，容易被篡改和替换而难以发现，如果适用 《电子签名法》第十三条第一款第三项、第四项的规定 （即签名与数据电文一经改动即能被发现），几乎所有的二维码签名都会被认定不具可靠性。因此，应根据二维码签名的特性，要求其与数据电文具有紧密联系。虽然电子签名本身就应该与数据电文有逻辑关联，但对二维码签名来说，这种逻辑关联性要求更高。例如，在被扫模式下，一些人利用二维码截图进行付款，该扫码行为与交易信息没有任何关联，属于纯粹的转账行为，签名是不可靠的；在扫码模式下，签名者扫描被偷换过的收款码付款，被扫的二维码与当下进行的交易行为也没有任何关联，也应认为是不可靠的。因此，从交易目的、交易场景来判断签名信息与数据电文的关联性应该作为二维码签名是否可靠的条件之一。

第四，二维码签名的可认证性。我国 《电子签名法》并没有将认证作为可靠电子签名的判断要素之一，只是在第十六条规定 “电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务”。从字面上来看，似乎并不是所有的电子签名都需要被认证。但是在实践中，倘若电子签名不是经由电子认证创设的，没有中立的第三方，很难确定用于创设签名的身份信息与实际操作者是一致的，也很难相信它是可靠的。在这一点上，不少国外法律都将电子签名的可认证性作为可靠性的条件之一。如美国犹他州 《数字签名法》第46-3-403条规定，一则电子信息能被作为是有效力的、可被执行的，必须满足下列条件:“这个电子签名可经公钥验证，其数字证书由经许可的认证机构颁发......”。新加坡 《电子交易法》第8条第2款也规定：“电子签名可以用各种方法证实......一方当事人有必要借此程序执行某种信号或安全程序，以便证实该电子签名属于该当事人。”可见，两者均把被认证过的电子签名作为其产生效力的评价要素。

第五，当事人意思自治。《电子签名法》第十三条第二款赋予了当事人选择使用符合其约定的可靠的电子签名的权利，虽然未明确规定当事人做出的约定应符合何种要求，但从法理上说，这种签名应该符合比一般电子签名更为严格的条件。倘若当事人降低电子签名的可靠性要求，由此形成的数据电文的真实性是值得怀疑的，也很难被司法机关作为证据所采信，反过来又使得 《电子签名法》第十四条关于 “可靠的电子签名具有与手写签名或盖章同等的法律效力”的规定形同虚设。⑧刘满达：《论电子票据适用票据法的可行性》，载 《法学》2017年第6期。根据二维码签名的特征，只有当它达到高度安全的标准时才应该被认定为具有法律效力。同时，是否应赋予使用二维码签名的当事人约定权利，应当与 《电子签名法》的规定做相同的理解，即约定使用的二维码不能低于一般二维码的可靠性标准和安全系数。

（二）二维码签名可靠性的认证

可认证性是二维码签名可靠性的重要条件。认证是确认签名者身份的重要依据，认证程序是否严密和准确，关系到二维码签名是否具有法律效力。二维码签名是否具有可认证性应从以下几个方面来判断：

第一，对二维码签名人初始信息的多重交叉验证。签名的有效性要求对用户身份的真实性进行严格的确认和固定，而二维码签名的特征决定了对其进行认证时需要比一般电子签名更加谨慎。与一般电子签名不同的是，为了能够通过安全的验证手段保障资金安全，法律规定了二维码签名在使用时需要进行要素多元化验证。在生成时除了要提供基本身份信息之外，还需提供其他签名人特有的不可被复制的要素以备后续组合认证，如静态密码、数字证书、生物特征等，这些要素的组合交叉认证远比一般电子签名复杂得多。

值得注意的是，无论是支付机构还是认证机构，都面临着一个问题，用以验证的所有资料都由签名人也就是申请者自身提供，据以认证的身份信息是否真实本身需要验证。因此，强化支付机构、认证机构通过外部渠道交叉验证识别客户身份信息显得很有必要。支付机构与认证机构可与申请人提交的身份证明文件的发放机构进行交叉审核，也可通过一个公共数据或者户籍、民政、工商、银行等部门联网的公民和企业信息数据库进行确认。⑨戎慧静：《浅谈电子签名、认证与公证的介入》，载 《中国公证》2014年第7期。

第二，二维码动态或静态密钥的生成与传输。二维码具有两种形式，一是静态二维码即普通的QR码，二是动态二维码。前者无需用户输入且可重复使用，后者生成原理较为复杂，表现为一段时间内多张不同的二维码图像不断的切换，每一帧二维码图像分别用不同的密钥动态加密生成，同时添加了时间验证机制。⑩乔良树：《动态二维码生成验证方法》，载 《电子技术与软件工程》2017年第24期。生成完毕的二维码凭借验证要素进行身份验证，移动端扫描客户端的二维码获得某帧二维码数据转发给服务器，进行匹配验证。虽然动态和静态密钥产生的二维码各有其缺陷，但根据二维码的可视化特性，从保护签名人的利益和数据安全层面出发，动态密钥无疑是更好的选择。

第三，验证匹配。一方面，从验证匹配赖以进行的技术流程来看，二维码验证在某些特定应用场景下，需要终端硬件信息和移动端用户信息分别组织然后再合并进行合法性验证。另一方面，从法律规定来看，《条码支付业务规范 （试行）》第十条规定了银行、支付机构开展条码支付业务必须进行的多种要素组合验证。同时，该规范第十二条规定了根据风险防范能力的分级，对个人客户的条码支付业务进行限额管理，不同的风险防范能力等级，需要匹配验证不同的要素。

第四，支付机构以及认证机构的备份。没有完备的备份系统，一旦出现网络攻击或是系统瘫痪造成信息丢失，重建系统需要重新收集已丢失的信息，不仅对负责储存的机构来说工程浩大，对于消费者而言，更会因为产生风险感知而对电子移动支付丧失信心和信任，减少对电子支付系统的使用。为此，中国支付清算协会网络支付应用工作委员会2013年3月发布的 《支付机构互联网支付业务风险规范指引》对支付机构的数据安全及备份恢复进行了规范指引，但该文件只能作为参照适用，以自律性惩戒措施承担责任，不具有法律强制力。因此，不论是银行和支付机构，还是电子认证服务机构，都应对所收集的信息和备份采取更为严格的管理方式，除了法律法规的规定，还可制定相关的强制性行业标准或实施细则来细化各方义务。