免密支付屡遭盗刷移动资金安全如何保障

孙冬晗 孙玥

近日，杭州的胡女士发现自己的苹果手机在未进行任何操作的情况下，出现了6000余元的游戏支出。其实，不仅胡女士，近日多地都出现了苹果ID遭盗刷的情况，此次遭遇盗刷的用户预计超过700人，金额从几百到上万不等，支付平台涉及微信、支付宝及银行卡。支付宝公司发出声明称，监测到部分苹果用户的ID出现被盗，绑定的支付工具遭到资金损失，已联系苹果公司尽快定位寻找被盗原因并建议用户调低免密额度。部分用户被盗后联系苹果客服反映此情况，但收到的反馈为拒绝理赔。

小额免密功能在移动支付中广泛应用

随着移动支付的普及，平台之间的竞争也进入白热化的阶段，小额免密功能凭借其便捷高效的特点成为各平台用来抢占市场的利器。有的机构为了推广此功能，采取了默认甚至强制开通的方式。许多消费者是在不经意间便开通了此功能，加之许多平台对小额免密支付的额度未有统一明确的规定，此功能开通后，消费金额低于限定值时无需其他身份核验，这也是导致许多消费者遭遇盗刷的重要原因之一。

目前移动支付中，应用较为普遍的应属二维码支付，它区分为用户在付款时展示在商户的扫码枪前，会实时更新的动态二维码及商户固定展示、用以收款的静态二维码。关于动态码，微信财付通公司及支付宝等平台的最低限定额为1000元，个别情况下免密支付的额度甚至为3000元乃至5000元；向同一账户的静态码进行付款时，单日累计交易金额应不超过500元。在使用银联闪付卡消费时，免密支付的单笔限额也由300元上调至了1000元。不仅是支付平台，还有诸多商家也设置了支持其支付工具免密支付。例如新闻中涉及的苹果手机，苹果APP商店在授权开通支付宝、微信等第三方付款时必须开通免密支付功能，否则无法使用，支付限额默认为“无限额”；美团、大众点评APP的支付公司钱袋宝在默认200元免密支付的基础上支持用户在50元、100元、200元、500元四个额度内自行选择更改。总体而言，目前移动支付中的小额免密功能呈现出应用范围广泛、限定额度趋高的特点。

移动资金的风险来源

移动支付方便快捷，具有传统支付方式无法比拟的优势，但同时因为移动设备上存储了很多的用户个人信息，加之移动终端独有的特性也使用户的移动资金面临诸多风险。这些风险主要来自以下几个方面：

一、传统的盗窃、诈骗手段。例如有不法分子通过掉包商家二维码窃取本应转入商家账户内的资金，通过盗窃手机或者从被扔弃的旧手机中恢复账户信息甚至对账户进行直接操作，将木马程序、扣费软件植入二维码以威胁用户账户安全。

二、用户的个人信息被泄露。移动支付的过程其实也是我们个人信息迅速传递的过程，信息容易被泄露和盗取，亦为不法分子提供了可乘之机。有黑客在获取账号信息后通过大量的试错操作破解用户密码，甚至在一些社交平台上，存在专门的此类账号出售渠道，形成了黑色交易产业链。

三、手机病毒、恶意软件等肆意威胁移动资金安全。手机系统的漏洞或支付平台安全技术不到位导致一些可以窃取用户隐私的恶意软件愈发猖獗，手机平台的开放性为病毒的制作者提供了获利的土壤，加之部分手机软件未经安全审查即投放市场，使手机用户防不胜防。

免密支付遭盗刷的责任认定

用户开通小额免密功能后遭遇盗刷，首先应当追究盗刷者的责任，盗刷者的行为侵害了用户的个人信息及财产安全，严重者甚至会被追究刑事责任。

尽管部分平台与用户的协议中存在“除非平台未依指令进行操作或者操作指令错误，否则平台不对服务产生的损失和责任负责”或相似内容的条款，但平台或商户不能因此当然免责。《网络交易平台合同格式条款规范指引》中明确规定，网络交易平台经营者为了重复使用而预先拟定，并在订立合同时未与合同相对人协商的有以下相关协议、规则或者条款：（一）用户注册协议；（二）商家入驻协议；（三）平台交易规则；（四）信息披露与审核制度；（五）个人信息与商业秘密收集、保护制度；（六）消费者权益保护制度；（七）广告发布审核制度；（八）交易安全保障与数据备份制度；（九）争议解决机制；（十）其他合同格式条款。可见，用户与平台签订的合同大多为格式条款。《合同法》规定，提供格式条款一方免除其责任、加重对方责任、排除对方主要权利的条款无效。因故意或者重大过失造成对方财产损失的，合同中的免责条款无效。《消费者权益保护法》也规定，经营者在经营活动中使用格式条款的，应当以显著方式提请消费者注意商品或者服务的数量和质量、价款或者费用、履行期限和方式、安全注意事项和风险警示、售后服务、民事责任等与消费者有重大利害关系的内容，并按照消费者的要求予以说明。

若在移动支付过程中，遭遇计算机病毒或者黑客攻击，使得用户个人信息被泄露、资金安全受威胁、账户被盗刷，支付平台运营商究竟是否违反合同约定，是否需要承担违约责任，应当从平台运营商是否存在过错、病毒及黑客攻击能否成为平台运营商的免责事由、举证责任承担方等几个方面进行考量。需要明确的是，例如用户选择在交易过程中开通免密支付功能，该部分协议是发生在用户与交易平台之间的，而非直接发生在用户与商户之间。商户在此过程中是引导消费者与平台之间签订此协议以开通功能，若商户在用户消费过程中采用默认或强制的手段，促使消费者采用此种消费方式，很可能侵犯了消费者的知情权和自由选择权，从而在出现盗刷时应当承担相应的法律责任。

用户如何保障自己的财产安全

对于每一个移动支付的使用者而言，如何将账户风险降低，保护自己的财产安全呢？笔者有以下建议：第一，提升自己的注意义务，关注个人财产安全。开通免密支付时仔细阅读相关条款，明确责任和风险，同时将免密额度设置为较低的标准。第二，保护好移动支付设备安全。现代人的生活已经离不开移动设备，但以手机为代表的移动设备在给我们生活带来便利的同时也有着诸多隐患。一旦丢失或者废弃，很容易被别有用心的人盗取数据从而威胁我们的财产安全。第三，一旦发现账号被盗刷后，用户应及时采取措施。首先，迅速操作修改密码、取消相关授权，联系经营者及第三方支付公司，防止盗刷金额进一步扩大；其次，及时报警，向警方说明事情经过，提交相关信息，保存和固定电子证据，以便将来进行有效维权；再次，对于已经盗刷的款项，用户有权向支付平台提出赔偿的要求并协商解决，一旦协商无果，用户也可以通过采用诉讼等方式维护自身合法权益。值得注意的是，商家是否需要承担连带责任需要视其在用户开通免密功能过程中所起到的作用而定。因此通过诉讼维权时，用户若无法确定适格被告，即商家是否需要承担相应的连带责任，可将其列为共同被告。