作者：《法制日报》记者 余英博

在没有注册的情况下，一个非实名手机号就能以基金用户名义注册并操作其嘉实基金账户，并进行三笔连续交易。

一个是大家熟知的嘉实基金，一个是中国电信的支付平台易付智，让骗子如此轻易地进入客户的基金账户，这其中到底存在什么漏洞呢？

基金账户突然变更

购买了嘉实基金的张龙生（化名）就遇到了怪事：他用实名注册的账户无法进入。

笔者向嘉实基金客服电话询问时获悉，该账户已于今年1月更换联系手机号并进行了高级实名认证，后续账单信息已发送至新手机号登记的189邮箱。

这个手机号还开通了第三方支付功能——电信翼支付服务，1月25日至1月29日期间，通过翼支付进行了三笔交易，虽然最大金额只有30元，但足以让张龙生吓得浑身冒冷汗。

那么易富支付是如何对接嘉实基金，并在嘉实系统内进行交易的呢？客服部的吴小姐解释道：“易富支付是嘉实的‘直销’代理机构，和我们是平台合作关系。这种关系让他们比银行作为销售代理，权限要大一点。也就是说，他们使用嘉实的系统，我们只能被动接收他们发给我们的数据。”

那么，诈骗分子是如何操作张龙生的账户的呢？

吴女士称：“有可能（骗子）从某处获取了张先生的身份信息，利用张先生的身份信息开通了易付宝，并将其与嘉实基金账户关联起来。”

随意注册你的手机号码

由于嘉实基金“被动接收”易付支付传输的数据，风控的源头只能依靠易付支付，一个非实名手机号如何能在易付支付上成功注册？

据易付宝客服介绍，使用移动、联通、电信手机号均可开通易付宝账户，但电信号享受的权益有所不同，易付宝用户分为非实名认证和实名认证两种，一个手机号就可以。

记者随后采访了天翼电子商务有限公司（即易服智）监管法律部相关负责人。

该负责人称：“对于没有实名认证的用户，没有关联银行卡和身份证，用户可以充值或者取款，但这是唯一的功能，而且金额很小，只有几百元。只有完成了高级实名认证的用户，才能关联基金账户。关联过程中需要验证银行卡信息、银行卡密码和身份证信息，用户手机在手上就能收到验证码。而关联张龙生基金账户的易付宝，肯定是经过了多重验证的。”

易富智认为不需要承担责任

易付智法务部负责人认为，既然已经进行了严格核查，支付平台为什么要承担责任？身份证信息、银行卡密码被不法分子窃取，平台要承担责任吗？用户没有保护好自己的银行卡密码，与平台有关系吗？“嘉实基金用户的经历，就是典型的用户身份信息泄露案例。信用卡欺诈并不是易付智单独遇到的问题，而是整个互联网金融行业在不断发展过程中必须面对的挑战。”

张龙生不同意这种解释：“非实名手机号成功注册了易服智，但高级用户认证是怎么获得的，管理方应该有核实的义务。如果大家都用偷来的身份信息去开户，还有什么安全可言？”

显然，对易富智抱有怀疑的人并非只有张龙生。

记者调查发现，QQ上有一个“盈付盗刷维权群”，​​群内有400余名成员。

在被“易付宝”盗刷的用户中，损失金额从几十元到几百元，甚至上万元不等。网友木木就是其中之一，他的损失也是最为严重的，总计损失了上万元。

来自四川成都的木木告诉记者，今年2月16日至22日，他的银行卡被人用于11笔诈骗交易，涉及光大银行、招商银行、农业银行三家银行。

发稿前，张龙生曾致电记者，称令他心惊胆战的非实名手机号注册的易付宝账户，已于3月8日被易付宝平台注销。但该账户是如何通过高级实名身份验证的？如何开户、如何关联嘉实基金等问题，易付宝均未给出答案。

专家：易富智、嘉实基金均应承担责任

知名IT律师、中国电子商务研究中心研究员赵占玲：不管是中国电信、中国移动还是中国联通，只要有手机号，谁都可以开通易付宝账户，这个风险很大，实名认证不能只靠身份证号，易付宝作为第三方支付平台，对用户有审核的责任，如果易付宝在审核用户身份信息时，没有尽到审核义务，应该承担责任。

而基金公司方面，仅仅因为是合作关系，在未经过严格审核的情况下就直接覆盖了易富智提供的信息，说明审核环节可能存在漏洞，双方及嘉实基金均存在过错，应当承担相应的法律责任。

中国互联网协会研究中心秘书长胡刚：金融账户实名制和网络实名制都是我国合法的实名制，目前看来在技术、管理和实际操作上还存在一些漏洞。

无论是金融机构还是支付机构，对于其应承担的法律责任并没有单独的、明确的、具体的规定，只承担合同法意义上的过错责任或违约责任，而现在他们的网络合同里充斥着的格式条款，却只意味着一句话：不承担责任。这是金融消费者目前面临的主要困境。

（奚凤宇、杜阳主编）