樊芸

一、现状和背景

随着我国经济发展，第三方支付行业发展迅速，截至2019年底，我国非银行支付机构法人共237家，分公司近1700家，2019年全年第三方支付机构共办理9591.71亿笔支付，金额达396.64万亿元。第三方支付机构在我国零售支付领域占据重要地位，与普通百姓生活关系密切，网上购物、扫码支付、代付水电等各项费用、预付卡与储值卡充值、小额消费贷等都离不开第三方支付，因此，其安全性和可靠性对经济、社会影响很大。

第三方支付机构属于新兴业态，机构安全防范能力不足，监管上存在漏洞，导致挪用备付金、个人隐私泄露现象时有发生，也有不法商家利用支付平台套现、甚至从事违法犯罪活动，严重侵犯了消费者的权益，引发诸多司法纠纷和社会矛盾。

2019年，人民银行发布了《非银行支付机构客户备付金存管办法》，对第三方支付机构实施备付金全额集中存管，并开始着手建立支付机构行业保障基金。同时，各部门也加大执法力度，对各类违法违规行为进行监管。但在实务中存在着安全漏洞，容易引发金融风险。

二、问题和分析

（一）默认免密支付及刷脸支付，存在安全隐患

支付安全中最重要的一环，是交易的确认。不少支付机构为方便支付所设置的“免密支付” “刷脸支付”，开通后无需输入密码，直接点“付款”或者刷脸就完成付款，目前出现了“避不开、防不住、解约难、限额高、风险大”的问题。

所谓“避不开”，即每次在支付平台上付款时，消费者都要被追问，是否开通“免密/刷脸支付”，且被默认选择开通程序。如果消费者不想使用，则需屡屡找寻“跳过”或各种五花八门的页面。本是为了方便消费者的服务，频繁的强行选择让人不胜其扰，并没有给消费者带来方便，反而后患无穷。

所谓“防不住”，即平台“开通业务”的按键设计与“付款”按键相似度极高，只要一次没看清点了确认就直接开通，没有任何确认服务条款的步骤;还有的第三方支付平台，将二维码设置成“免密支付”，只要扫码就直接开通完成划款，消费者甚至都不知道自己开通了“免密支付”。并且，“免密支付” “刷脸支付”和扫码支付一样，是有风险的业务，在不少平台上，如果选择拒绝开通，会弹出追问窗口“确定拒绝吗？”如果此时未点击“确定”，实际上就被开通了免密支付，被玩了一把文字游戏的消费者毫不知情，被骗后只能自认倒霉，真是防不胜防。

所谓“解约难”，即消费者一旦被默认开通服务，则难以解约。如要关闭，需经过极其繁琐复杂的程序，没有明显的教程和提示，不熟悉操作的消费者根本不知道怎么关闭;即使弄明白了如何解约，有的隐藏按键难以打开、有的人工电话无法接通、有的往往当月或几个月不能解约，一旦忘了就被持续套上。

所谓“限额高”，即不少第三方支付机构对单笔支付的“免密支付”限额以几千元为免密起点。大部分机构并不告知消费者“免密支付”限额是多少，或以诱惑方式骗取默认限额;如需调整限额，也未告知消费者调整的方法。“免密支付”特点为频率高、金额低、方便快捷，如若第三方不法商家设置了较高的限额，放宽支付门槛，一旦消费者手机被盗刷，反而方便不法分子盗取消费者更多资金，带来巨大的支付安全隐患。

所谓“风险大”，一方面，面部识别技术尚不完善，利用某些技巧就可欺骗多款手机的面目识别系统，利用“刷脸支付”盗取财产;另一方面，“免密支付” “刷脸支付”容易导致家人、熟人之间盗刷行为，比如未成年人盗刷父母手机给游戏充值巨额款项的案例，就屡见报端。

以上行为都侵犯了消费者的知情权和自主选择权，涉嫌恶意对消费者绑架消费、强卖强买，此种现象在业内越演越烈，存在较大的风险和隐患。

（二）支付平台上预付款业务费用难以追回

不少支付平台对在平台上设置的小程序执行“先上线、后审核、审核违规封停小程序”的流程，其中有不少小程序是消费者先向活动方支付费用，成功完成任务后返款，一旦此类活动被支付平台认定为违规并封停后，消费者支付的前期费用将无法退回。消费者向支付平台投诉，平台推脱消费者预付的费用已直接转给商户，只有商户才能操作退款给消费者，平台认为违规的是商户，与他们无关。平台摇身变成了裁判，消费者却只能被动承受资金无法退回的损失。

还有某些支付平台，由商户提供了储值卡服务，供客户充值、使用，一旦商户跑路、关闭，储值卡中的钱也因同样的原因无法退回。这就形成了形形色色的诈骗模式，即制作一个诱导预付费、许诺额外报酬的小程序或储值卡，然后导致该账户被封禁，甚至明目张胆不兑现承诺，卷款跑路。

2021年3月1日起实施的《非银行支付机构客户备付金存管办法》规定，“非银行支付机构因发行预付卡或者为预付卡充值所直接接收的客户备付金应当通过预付卡备付金专用存款账户统一交存至备付金集中存管账户”，从制度层面堵住了储值卡捐款跑路的漏洞，但在实际操作中，需加强监管，实施檢查。有些平台不在本地注册，平台上的不法商家更是“打一枪换个地方”。对此，人民银行相关部门缺乏相应的执法力量和执法实践经验。

此外，对于平台“先上线、后审核”的行为以及预付款小程序的商业纠纷和欺诈行为，目前尚缺少明确的法律、法规进行规范。

（三）个人信息严重泄露

第三方支付平台拥有海量的消费者数据，包括姓名、身份证号、家庭住址、电话号码、银行卡号码等。目前，第三方支付平台的客户信息泄露问题屡屡发生，有的是因为平台自身安全能力薄弱，被不法分子利用黑客手段攻破系统，盗取数据;有的是支付机构内控不严，数据管理权限混乱，导致出现“内鬼”盗取数据并出售;还有某些提供小额消费贷的支付机构，一旦发生逾期，主动将客户信息泄露给催收机构，随意读取客户手机通讯录、图片，盗取客户个人信息，以此“围猎”营销，有的还以此为营生，大肆贩卖消费者个人隐私和信息。

出售个人信息，应当被追究法律责任。但相关违法犯罪行为执法难度大，有些行为难以查处追责到部门或者责任人，从而为个人隐私泄露滋生了土壤。

（四）账单混淆，难以分清正常支付还是盗刷

第三方支付机构大多只与商户对接，普通消费者并不知晓这些支付机构。因此，消费者看到银行转账记录中，资金转入第三方支付公司账户而不是最终消费的商家，第一反应可能就是盗刷。现在大多数线上消费的支付日期和扣款日期相差好多天，消费者根本记不清银行划账究竟是源于哪笔消费，导致账务混乱，难以分辨是正常支出还是有人盗刷、未经允许扣款，为支付安全埋下隐患。

银行转账记录中只写第三方机构，没有披露最终消费商家，导致了消费者资金被盗刷，需要及时出台法律、法规予以制裁。

三、对策和建议

1、出台法律法规，修订与互联网第三方支付不适应的相关规定。完善“免密支付”确认及披露要求，明确规定限定金额应为小额免密，“免密支付”需要消费者本人确认同意，不得以默认授权方式引导消费者同意;坚决制止支付前频繁提示开通“免密/刷脸支付”，制止二维码扫码或其他无提示直接开通“免密支付”的行为。

2、加强第三方支付平台的清理整顿，查处违法违规行为。压实支付平台对预付款小程序的审核责任及风险披露责任。要求平台应在活动上线前进行审核，并明确所承担的法律责任;要求支付平台在消费者预付费前清晰告知消费者充值后资金的流向，以及明示程序封停的风险，方便消费者作出理性决策。

3、进一步加强网络安全法和电子商务法执法检查，切实保护消费者利益，明确网络支付机构泄露个人信息的责任。禁止因消费贷逾期而将消费者个人信息泄露给催收机构;禁止支付软件未经允许读取消费者手机通讯录等敏感信息。

4、修改相关规定，明确在转账和支付记录中，平台必须承担保证和连带责任，必须公布资金最终流向的商户，从而帮助消费者确认该笔交易是属于正常交易还是资金盗刷;一旦出现此类情况，第三方平台必须先行垫付，再向平台商家追偿，保护消费者支付安全，营造安全可靠的第三方支付环境。

（作者系全国人大代表，上海市工商联副主席、上海富申评估咨询集团董事长）