“便捷”还是“便劫”?谨防“免密支付”漏洞
本报记者 王娈
从扫码乘车、自助结算到视频平台会员自动续费、音乐软件订阅续订,“免密支付”这种“无感”支付方式已经渗透到生活的各个场景。然而便捷的背后却隐藏着银行卡被盗刷的风险,最近,一起“苹果手机账户凌晨被盗刷162笔”的事件,将“免密支付”的安全漏洞推上舆论风口,引发大众对“免密支付”安全性的关注和讨论。“免密支付”是否安全,如何在规范中发展“免密支付”模式,以及如何保障消费者合法权益等问题成为普遍担忧。
“免密支付”或存盗刷风险
4月3日,“苹果账户凌晨被盗刷162笔”的消息登上社交平台热搜。一名苹果手机用户称,在毫不知情的情况下,于凌晨2:50到5:51之间被不法分子连续盗刷162笔交易,总金额超过8万元。这名用户说,这些盗刷交易通过游戏充值、App订阅的方式进行,每笔金额并不大,但因频次高,导致经济损失巨大。
这并非个例。今年3月初,多名网友在网上发文称,自己的苹果手机遭盗刷,这些网友的微信或支付宝无故出现多笔扣费,金额从几千元到一万多元不等。在社交平台相关话题下,还有消费者称手机账户在深夜被盗刷998元用于某款游戏充值,因绑定的信用卡设置了每日交易上限,才避免了更大金额的损失。
此前,苹果客服在回复媒体时表示,不法分子可能是利用了苹果的“免密支付”功能,用盗取的账户给购买了“代充”服务的顾客充值。
“免密支付”是指“无需密码即可完成支付”,是部分支付平台或应用为提升支付便捷性推出的功能,用户开通后单笔交易金额在一定限额内可直接扣款。近年来,作为一种无须输入密码即可完成交易的支付方式,因其便捷性受到不少消费者和消费平台的青睐。
消费者被盗刷的遭遇,均指向手机开通的“免密支付”功能。“不查不知道,一查吓一跳。”有消费者在查询时发现,自己居然与打车平台、共享单车租车平台、停车服务平台、电商平台等十多家机构,签约了“免密支付”或自动扣款的服务。
权限开放易引资金损失
在黑猫投诉平台上,有超6万条投诉涉及“免密支付”。这些投诉包括用户在不知情情况下被开通“免密支付”、无法取消功能、开通后乱扣费等问题,发生的场景则集中在电商平台、租车平台、会员开通以及二手平台等。
对互联网知识了解较少的老年群体,因网络消费辨识能力相对较弱,更容易陷入网络消费“陷阱”上当受骗。此前,在2024年5月,中国消费者协会(以下简称“中消协”)发布的《2024年第一季度全国消协组织受理投诉情况分析》中指出,有老年消费者点击了某购物平台上的抽奖链接后被自动扣款;一些短视频平台利用算法锁定老年人推送离奇、浮夸“微短剧”,然后再以极低价格诱导其继续观看并默认开通“免密支付”,随后按集扣费并自动播放下一集。
《法治日报》律师专家库成员、北京市盈科律师事务所高级合伙人王风和律师表示,“免密支付”的出现,本用来提升用户体验、节省交易时间;但目前出现了“难避免”“难取消”“风险高”等问题,若这一功能被不法分子利用,会带来严重安全隐患。在他看来,尽管“免密支付”通常设有支付上限,如常见的1000元以下,但这一上限主要是针对单笔交易的,缺乏对交易频次的限制和监控措施。不法分子往往利用这一漏洞,在短时间内进行高频次小额交易,以规避系统风控。
针对用户广泛反映的“免密支付”存在“难避免”“难取消”以及“风险高”的问题,2025年3月25日,中消协发布消费提示,提醒消费者在网络购物时谨慎使用手机“免密支付”功能,避免因账户权限过度开放而引发资金损失。同时建议消费者应定期检查是否绑定支付宝、微信或银行卡,并关闭不必要的“免密支付”。消费者对于不常用的第三方应用支付授权,应及时移除,减少潜在风险。
“商家和支付平台都应履行信息披露和安全保护义务。”王风和建议商家在支付界面的显眼位置设置“关闭‘免密支付’”的快捷方式,并以明显的标识提醒用户潜在的风险。支付平台则需强化系统的安全性,定期更新防火墙等安全防护措施,以防止用户信息泄露和盗刷事件。
多措并举保护支付安全
“免密支付”作为数字时代的便捷工具,尤其是在日常通勤、超市购物等小额且频繁的支付场景中,消费者更重视支付安全、支付效率。那么,面对“免密支付”功能背后的安全隐患,如何在推动“免密支付”业务健康发展的同时,保障消费者的财产安全与支付安全呢?
受访专家认为,一方面支付平台需要优化“免密支付”的确认流程和信息披露,必须确保“免密支付”得到消费者的明确同意,避免默认授权的误导性做法。另一方面,不应鼓励或诱导用户在每次支付时都重复开通“免密支付”功能,而是应在用户明确同意的基础上,设定合理的“免密支付”限额,并向用户提供方便的取消权限和修改限额的方法。
此外,在监管方面,市场监管、工业和信息化部门以及消费者协会、行业组织等机构应加大对“免密支付”行为的监管力度,完善监督和治理机制。通过约谈指导、立案调查、责令整改、公开曝光等手段,对相关平台和商家进行有效的制约和惩罚,从而推动整个行业的自我规范。
王风和建议,应制定专门针对“免密支付”的法律法规,明确规定支付平台的责任与义务,为消费者权益提供更有力的法律保障。同时,支付平台和监管机构共同构建“支付安全事前告知+事中控制+事后补救”的全链条保障机制,通过技术和管理手段,提升用户隐私保护和交易安全等级。如通过风险提醒、支付限额控制、异常交易监测和用户教育等措施,增强消费者的自我保护意识和能力,从而降低“免密支付”的风险。(法治日报)