微信二维码付款支付:风险防范与责任分担的挑战
●微信二维码“支付”最大的特点是可以免除一定金额和次数内的密码、短信动态码和任意信息验证,这是一种不安全的支付模式,但在实践中却被广泛使用。因此,唯一的出路就是解决风险防范问题或者风险发生后的责任分担问题,将不安全的支付模式转变为实质安全的支付模式。
●根据微信支付“支付宝”用户协议,因非法交易而造成的一切损失由用户自行承担。“支付宝”支付方式也缺乏足够的安全保护措施来防范非法交易的风险。微信支付在促进市场发展、提高市场交易效率方面所做出的贡献不容忽视,但也将消费者置于危险之中。
●微信支付既然推行的是与国际接轨的免密码支付方式,那么自然也应该推行与国际接轨的违规交易责任机制——消费者在违规交易中只承担有限责任的制度。对于微信支付来说,这并不太难。
如今,各大商超都在大力推二维码支付的应用,消费者只需要扫描二维码支付,就能完成结账流程,快捷的支付体验让消费者对二维码支付趋之若鹜。然而,这种快捷的支付方式难免会给消费者留下一个巨大的疑问,如果消费者的手机丢失,被他人冒用消费者的手机进行二维码支付,这种冒用造成的财产损失,消费者该如何承担?与此同时,我们也在新闻媒体报道中看到消费者扫描二维码造成财产损失的案例。
“收款”模式下的支付风险
微信支付的二维码支付包括“付款”(原名“刷卡”)和“收款”(原名“当面收款”)两种业务。“付款”与“收款”的主要区别在于,“付款”是商户用扫码枪或摄像头扫描顾客二维码,而“收款”则是用户用手机扫描商户二维码,即前者为“扫码”,后者为“主扫”。
如果你在网上搜索“二维码支付”,就能发现不少用户扫描二维码后遭受财产损失的案例,其中大部分都是因为二维码中含有病毒链接导致的,手机扫描二维码后自动下载病毒信息,窃取用户手机中的信息,进而侵害用户财产。
在二维码支付推广之初,相关支付方式普遍采用以微信支付“收款”为代表的“主扫”模式。然而在使用手机扫描二维码的过程中,隐藏的风险巨大,因为消费者并不清楚二维码所包含的信息,肉眼也无法识别二维码所包含的信息。另外,消费者扫描后,手机会自动跳转到相关链接所提示的网站,如果二维码所包含的链接对应的是钓鱼网站或者木马下载,消费者进行相应操作就会感染手机病毒,消费者的相关权益必然会受到侵害。
相较于使用传统POS机,微信支付“收款”无异于“裸奔”。传统POS机理论上也是一台电脑,但却是一台封闭的电脑,除金融支付机构外,其他任何人都不能在POS机上加载任何应用,POS机处于一个“孤立”的环境中。在微信支付“收款”中,手机作为终端,但同时也是其他应用的载体,其他应用与微信支付“收款”之间没有任何隔离措施,一旦手机上其他应用感染病毒,必然会影响微信支付“收款”。
此外,值得一提的是,现有的支付安全措施多依赖短信验证和邮件验证,如果用户手机丢失,拾到手机的人可以通过手机收到短信找回密码,也可以访问用户事先绑定的邮箱找回密码。因此,在手机丢失的情况下,很多现有的支付安全措施都只是“花瓶”。相关问题的核心在于移动终端功能的多样性导致风险的集中性。
为此,2014年3月,央行对离线二维码支付发出了“禁入令”。在人民银行支付结算司下发的《关于暂停支付宝离线条码(二维码)支付等业务意见的函》中明确指出,“离线条码(二维码)支付突破了传统受理终端的业务模式,其风险控制水平直接关系到客户的信息安全和资金安全。目前,支付领域条码(二维码)应用相关终端的安全标准尚不明确,相关支付匹配验证方式的安全性仍值得怀疑,存在一定的支付风险隐患。”
在微信支付后续发展中,“代收款”支付模式逐渐被抛弃,“付宝”模式成为主流支付方式。然而,“付宝”模式下,收款方需要改造其传统支付设备,具有一定的改造成本。因此,大部分小型超市依然采用“代收款”支付方式,相关支付风险依然存在。
“支付”模式中的支付风险
“扫一扫”支付最大的特点就是在一定金额和次数内不需要密码、短信动态码、任何信息验证,这样做的好处就是简化了交易流程,缩短了支付时间。这也是二维码支付便捷性的重要体现,也是二维码支付推广的关键一步。但很明显,这种支付方式风险很大,因为任何能控制手机的人,都可以控制二维码,利用二维码进行支付交易,而手机丢失后,这种情况非常常见。
由于这是一种不安全的支付模式,但在实践中又不得不广泛应用,因此唯一的出路就是解决风险防范问题或者风险发生后的责任分担问题,从而将不安全的支付模式转变为本质安全的支付模式。
在国外信用卡实践中,针对上述问题,发卡机构的普遍做法是发生非授权交易风险后,由发卡机构承担大部分损失。例如在美国,用户通常只需承担50美元的损失。这种做法被称为持卡人在非授权交易中的有限责任制度。这实际上是把非授权交易的大部分风险转移给了发卡机构,使消费者在支付交易中的风险能够确定并维持在可以承受的较低水平。
那么微信支付是如何解决相关问题的呢?在微信支付用户协议中,有这样一段话:“通过用户手机或SIM卡发起的任何支付服务均视为用户本人行为,由此产生的一切法律责任由用户自行承担。”换言之,因未经授权的交易而导致的一切损失由用户自行承担。简而言之,便捷支付的代价就是用户要承担因未经授权的交易而导致的一切后果。
既然“付”支付模式无法有效分散用户面临的非授权交易风险,那么“付”支付模式是否有足够的安全防护措施来防止非授权交易呢?微信支付确实有一定的安全防护措施,这就是微信支付所说的安全体系。那么这个安全体系到底是什么呢?《微信支付安全》是这样介绍的,“微信守护你的支付安全:联合银行提供支付安全技术保障,独立支付密码与手机短信双重验证,支付安全由中国人民财产保险股份有限公司承保。”
首先,“支付宝”支付模式不需要任何验证措施,因此不可能存在所谓的双重验证。其次,虽然微信支付标榜“你敢付,我敢赔”,保险公司会据此赔偿用户的损失,但在财付通官网上却找不到相关的保险合同内容。相关理赔范围值得怀疑,相关理赔需要用户提供信息证明损失的真实性,但实际上这样的证据非常难得,更重要的是相关理赔条款并未嵌入支付合同中,有效性值得怀疑。最有可能的结果就是联合银行提供的支付安全技术保障,但目前还不清楚这个东西是什么,微信支付也没有给出详细的解释。现有的银行仍然无法阻止未授权交易的发生。联合银行在这里提供的支付安全技术保障是否能够阻止未授权交易的发生,非常值得怀疑。
可见,使用微信二维码支付存在巨大的未经授权交易的风险。
风险发生后的责任
从传统民法角度看,上述风险发生后,消费者只有能够证明微信支付存在过错,才可以要求微信支付承担赔偿责任,否则,消费者要么要求直接侵权人承担责任,要么自行承担全部损失。那么,从公平合理的角度看,微信支付是否有必要承担相关责任呢?
对于“代收”模式而言,风险来自于目前的技术壁垒,微信支付为了抢占市场,在不攻克相关技术壁垒的情况下,就将这种不成熟的技术推广给消费者,并让消费者承担技术不成熟带来的后果,这看起来公平吗?
腾讯作为大平台,应该有勇气承担终端设备中毒造成的财产损失。如果腾讯自己都不相信自己在二维码技术上有很强的实力,又怎么能让消费者信任腾讯,安心使用微信支付呢?试想一下,腾讯宣传自己的杀毒软件有多好,但连这么小的病毒都防不住,这不是自讨苦吃吗?腾讯自己的杀毒软件有那么多专业技术人员,却防不住不法分子的小病毒程序,这难道不是腾讯选拔人才、培养人才方式的大BUG吗?所以,腾讯应该对自己的杀毒软件保持信心,信心最直接的体现就是敢于承担终端设备中毒造成的财产损失的责任。责任的存在,将进一步促进腾讯在二维码领域的技术发展,也将进一步巩固腾讯在移动支付领域的领先地位。
至于“支付”模式,微信支付其实是想改变目前需要密码支付的现状,实现微信支付“闪电支付”的目标,让普通人瞬间接受免密码支付模式难度很大,但微信支付还是比较聪明的。
首先,微信支付在用户开通服务时,只是例行列出支付协议链接,并未对特殊条款——免密支付授权进行额外提示。这让大量消费者在“不知情”的情况下进行了免密支付,并从实际体验中认识到了免密支付的便捷性。其次,微信支付在刚上线“付”支付服务时,单笔免密支付的限额为200元。这一做法试图告诉消费者,极小额的交易使用密码是可以接受的。然而,微信支付的用户协议中却有这样的约定:如果用户继续使用本服务,则视为同意最新修订的协议内容。所谓的最新修订的协议内容,目前是将单笔免密支付的限额提高到1000元。整体来看,微信支付其实是在试图从小额度突破,逐步扩大免密支付的适用范围,逐步向消费者推广免密支付方式。 最后,微信支付会告诉消费者,微信支付拥有包括多重防范措施在内的安全体系,以保障消费者的财产安全。虽然这些防范措施的适用性值得怀疑,但确实让消费者对使用微信支付有了一定的信心。
事实上,免密码支付方式的推行应该是各大商业银行极力推崇的,因为这确实可以加快交易结算流程,提升银行卡刷卡体验,促进银行卡的广泛使用。但各大商业银行也深知,在我国违规交易责任制度不完善的背景下,密码支付其实是消费者防范违规交易的最后一道盾牌,因此并不建议消费者使用免密码支付方式。而微信支付的“免密码”支付方式,其实是让消费者放下最后一道盾牌,几乎赤裸裸地面对违规交易的风险。
微信支付在促进市场发展、提高市场交易效率方面的贡献不容忽视,但其将消费者置于危险之中的事实也必须引起重视。
微信支付既然在推行与国际接轨的免密码支付方式,那么自然也应该推行与国际接轨的违规交易责任机制——违规交易中消费者有限责任制度。其实这对于微信支付来说并不难。首先,微信支付可以监控异常数据,微信支付在技术上有足够的信心识别异常、重复的大额交易。其次,微信支付与手机、身份证绑定,用户欺诈的可能性较低。第三,从美国的做法来看,支付机构对违规交易承担大部分责任,并不会显著增加支付机构的运营成本。最后,微信支付承担责任也将带动微信支付技术的发展,也是微信支付对技术自信的体现。
其实微信支付也基本认同这一点,所以推出了“你敢赔,我敢赔”的口号。但这种保险公司赔偿的方式对于消费者来说,仍然存在举证难、理赔慢、适用范围受限等问题。只有建立消费者有限责任制度,才能真正实现“你敢赔,我敢赔”的口号,也才能促进我国支付市场更快更健康的发展。
(作者单位:北京大学法学院金融法研究中心)