規范第三方支付 保護消費者權益

樊蕓

一、現狀和背景

隨著我國經濟發展，第三方支付行業發展迅速，截至2019年底，我國非銀行支付機構法人共237家，分公司近1700家，2019年全年第三方支付機構共辦理9591.71億筆支付，金額達396.64萬億元。第三方支付機構在我國零售支付領域占據重要地位，與普通百姓生活關系密切，網上購物、掃碼支付、代付水電等各項費用、預付卡與儲值卡充值、小額消費貸等都離不開第三方支付，因此，其安全性和可靠性對經濟、社會影響很大。

第三方支付機構屬于新興業態，機構安全防范能力不足，監管上存在漏洞，導致挪用備付金、個人隱私泄露現象時有發生，也有不法商家利用支付平臺套現、甚至從事違法犯罪活動，嚴重侵犯了消費者的權益，引發諸多司法糾紛和社會矛盾。

2019年，人民銀行發布了《非銀行支付機構客戶備付金存管辦法》，對第三方支付機構實施備付金全額集中存管，并開始著手建立支付機構行業保障基金。同時，各部門也加大執法力度，對各類違法違規行為進行監管。但在實務中存在著安全漏洞，容易引發金融風險。

二、問題和分析

（一）默認免密支付及刷臉支付，存在安全隱患

支付安全中最重要的一環，是交易的確認。不少支付機構為方便支付所設置的“免密支付” “刷臉支付”，開通后無需輸入密碼，直接點“付款”或者刷臉就完成付款，目前出現了“避不開、防不住、解約難、限額高、風險大”的問題。

所謂“避不開”，即每次在支付平臺上付款時，消費者都要被追問，是否開通“免密/刷臉支付”，且被默認選擇開通程序。如果消費者不想使用，則需屢屢找尋“跳過”或各種五花八門的頁面。本是為了方便消費者的服務，頻繁的強行選擇讓人不勝其擾，并沒有給消費者帶來方便，反而后患無窮。

所謂“防不住”，即平臺“開通業務”的按鍵設計與“付款”按鍵相似度極高，只要一次沒看清點了確認就直接開通，沒有任何確認服務條款的步驟;還有的第三方支付平臺，將二維碼設置成“免密支付”，只要掃碼就直接開通完成劃款，消費者甚至都不知道自己開通了“免密支付”。并且，“免密支付” “刷臉支付”和掃碼支付一樣，是有風險的業務，在不少平臺上，如果選擇拒絕開通，會彈出追問窗口“確定拒絕嗎？”如果此時未點擊“確定”，實際上就被開通了免密支付，被玩了一把文字游戲的消費者毫不知情，被騙后只能自認倒霉，真是防不勝防。

所謂“解約難”，即消費者一旦被默認開通服務，則難以解約。如要關閉，需經過極其繁瑣復雜的程序，沒有明顯的教程和提示，不熟悉操作的消費者根本不知道怎么關閉;即使弄明白了如何解約，有的隱藏按鍵難以打開、有的人工電話無法接通、有的往往當月或幾個月不能解約，一旦忘了就被持續套上。

所謂“限額高”，即不少第三方支付機構對單筆支付的“免密支付”限額以幾千元為免密起點。大部分機構并不告知消費者“免密支付”限額是多少，或以誘惑方式騙取默認限額;如需調整限額，也未告知消費者調整的方法。“免密支付”特點為頻率高、金額低、方便快捷，如若第三方不法商家設置了較高的限額，放寬支付門檻，一旦消費者手機被盜刷，反而方便不法分子盜取消費者更多資金，帶來巨大的支付安全隱患。

所謂“風險大”，一方面，面部識別技術尚不完善，利用某些技巧就可欺騙多款手機的面目識別系統，利用“刷臉支付”盜取財產;另一方面，“免密支付” “刷臉支付”容易導致家人、熟人之間盜刷行為，比如未成年人盜刷父母手機給游戲充值巨額款項的案例，就屢見報端。

以上行為都侵犯了消費者的知情權和自主選擇權，涉嫌惡意對消費者綁架消費、強賣強買，此種現象在業內越演越烈，存在較大的風險和隱患。

（二）支付平臺上預付款業務費用難以追回

不少支付平臺對在平臺上設置的小程序執行“先上線、后審核、審核違規封停小程序”的流程，其中有不少小程序是消費者先向活動方支付費用，成功完成任務后返款，一旦此類活動被支付平臺認定為違規并封停后，消費者支付的前期費用將無法退回。消費者向支付平臺投訴，平臺推脫消費者預付的費用已直接轉給商戶，只有商戶才能操作退款給消費者，平臺認為違規的是商戶，與他們無關。平臺搖身變成了裁判，消費者卻只能被動承受資金無法退回的損失。

還有某些支付平臺，由商戶提供了儲值卡服務，供客戶充值、使用，一旦商戶跑路、關閉，儲值卡中的錢也因同樣的原因無法退回。這就形成了形形色色的詐騙模式，即制作一個誘導預付費、許諾額外報酬的小程序或儲值卡，然后導致該賬戶被封禁，甚至明目張膽不兌現承諾，卷款跑路。

2021年3月1日起實施的《非銀行支付機構客戶備付金存管辦法》規定，“非銀行支付機構因發行預付卡或者為預付卡充值所直接接收的客戶備付金應當通過預付卡備付金專用存款賬戶統一交存至備付金集中存管賬戶”，從制度層面堵住了儲值卡捐款跑路的漏洞，但在實際操作中，需加強監管，實施檢查。有些平臺不在本地注冊，平臺上的不法商家更是“打一槍換個地方”。對此，人民銀行相關部門缺乏相應的執法力量和執法實踐經驗。

此外，對于平臺“先上線、后審核”的行為以及預付款小程序的商業糾紛和欺詐行為，目前尚缺少明確的法律、法規進行規范。

（三）個人信息嚴重泄露

第三方支付平臺擁有海量的消費者數據，包括姓名、身份證號、家庭住址、電話號碼、銀行卡號碼等。目前，第三方支付平臺的客戶信息泄露問題屢屢發生，有的是因為平臺自身安全能力薄弱，被不法分子利用黑客手段攻破系統，盜取數據;有的是支付機構內控不嚴，數據管理權限混亂，導致出現“內鬼”盜取數據并出售;還有某些提供小額消費貸的支付機構，一旦發生逾期，主動將客戶信息泄露給催收機構，隨意讀取客戶手機通訊錄、圖片，盜取客戶個人信息，以此“圍獵”營銷，有的還以此為營生，大肆販賣消費者個人隱私和信息。

出售個人信息，應當被追究法律責任。但相關違法犯罪行為執法難度大，有些行為難以查處追責到部門或者責任人，從而為個人隱私泄露滋生了土壤。

（四）賬單混淆，難以分清正常支付還是盜刷

第三方支付機構大多只與商戶對接，普通消費者并不知曉這些支付機構。因此，消費者看到銀行轉賬記錄中，資金轉入第三方支付公司賬戶而不是最終消費的商家，第一反應可能就是盜刷。現在大多數線上消費的支付日期和扣款日期相差好多天，消費者根本記不清銀行劃賬究竟是源于哪筆消費，導致賬務混亂，難以分辨是正常支出還是有人盜刷、未經允許扣款，為支付安全埋下隱患。

銀行轉賬記錄中只寫第三方機構，沒有披露最終消費商家，導致了消費者資金被盜刷，需要及時出臺法律、法規予以制裁。

三、對策和建議

1、出臺法律法規，修訂與互聯網第三方支付不適應的相關規定。完善“免密支付”確認及披露要求，明確規定限定金額應為小額免密，“免密支付”需要消費者本人確認同意，不得以默認授權方式引導消費者同意;堅決制止支付前頻繁提示開通“免密/刷臉支付”，制止二維碼掃碼或其他無提示直接開通“免密支付”的行為。

2、加強第三方支付平臺的清理整頓，查處違法違規行為。壓實支付平臺對預付款小程序的審核責任及風險披露責任。要求平臺應在活動上線前進行審核，并明確所承擔的法律責任;要求支付平臺在消費者預付費前清晰告知消費者充值后資金的流向，以及明示程序封停的風險，方便消費者作出理性決策。

3、進一步加強網絡安全法和電子商務法執法檢查，切實保護消費者利益，明確網絡支付機構泄露個人信息的責任。禁止因消費貸逾期而將消費者個人信息泄露給催收機構;禁止支付軟件未經允許讀取消費者手機通訊錄等敏感信息。

4、修改相關規定，明確在轉賬和支付記錄中，平臺必須承擔保證和連帶責任，必須公布資金最終流向的商戶，從而幫助消費者確認該筆交易是屬于正常交易還是資金盜刷;一旦出現此類情況，第三方平臺必須先行墊付，再向平臺商家追償，保護消費者支付安全，營造安全可靠的第三方支付環境。

（作者系全國人大代表，上海市工商聯副主席、上海富申評估咨詢集團董事長）