21世纪经济报道记者唐婧见习记者冯紫彤
“开通时很容易,有时候为了领个优惠券一下就勾选了,但想关闭时却要找半天。”董女士向21世纪经济报道记者抱怨道。仅10月,她便因多个APP开通了免密支付和自动续费而无知觉被扣款二百余元。
董女士的遭遇并非个例。日前,“支付宝账号解除授权”这一话题还曾在社交媒体引发广泛讨论。有网友坦言,自己在检查授权列表时发现多个“沉睡”应用仍在持续扣费;还有用户反映,在某些在线旅游平台支付时,界面直接跳转至免密支付开通页面,“连拒绝的选项都没有,感觉被强制绑定了”。
一面是“极速支付”带来的便捷高效,一面是“莫名扣费”引发的维权困境。针对这一普遍痛点,近日,中国支付清算协会发布了关于加强“免密支付”业务安全管理的倡议,从支付服务主体和用户两端提出明确要求,试图为这把“双刃剑”筑牢安全防线。
倡议提出五条要求,强调“知情”与“退出”
在支付主体端,倡议明确提出了五条要求,直指当前业务中“授权不透明”“关闭困难”等核心痛点。
“规范授权管理,确保用户真实意愿”为首条倡议。即应通过"显著页面"完成用户意愿确认以及“免密支付”协议签订,杜绝默认开通行为,充分保证用户开通“免密支付”业务的选择权和知情权。同时对老年人群体采取更审慎的开通策略,以显著方式展示核心条款。
二是强化商户风险管理,提供限额管理功能。倡议表示,在商户管理方面,支付机构应根据商户经营情况、业务场景与风险信息,合理确定"免密支付"开通范围,避免为高风险商户提供服务,并针对性设置交易限额。
三是加强交易环节监测,防范资金损失风险。通过风险模型搭建、大数据分析等技术不断提升风险管控能力。当用户的交易模式与日常消费习惯发生不符等异常情况时,及时进行拦截或二次验证,防范用户资金损失风险。
针对用户反映强烈的“关闭难”问题,倡议中也明确提出要“加强用户权益保护”,并具体要求支付机构在用户不再继续使用“免密支付”功能时,“为用户提供便捷的关闭通道”。
此外,倡议还要求机构做好业务跟踪与规范。持续开展“免密支付”相关舆情监测,重点关注资金损失、服务纠纷等情况,并及时妥善予以处理。
尤为引人关注的是,倡议内容多次提及对老年人群体的特殊保护,要求根据老年人的实际需求,实时或定期主动推送“免密支付”交易相关信息,在显著位置提供相关信息一键查询功能,提供“免密支付”一键取消功能,保障金融消费者的权益。
在用户层面,中国支付清算协会也提出了三点建议以增强安全防范意识:
一是强化手机设备和账号安全防护,可通过启用双重验证或定期更换密码等方式提高安全防护水平。
二是提高风险识别能力,警惕营销陷阱,避免在公共设备留存支付信息。
三是定期检查免密支付签约情况,关注交易提醒,发现异常及时冻结或关停账户。
针对此倡议内容,素喜智研高级研究员苏筱芮对记者表示,该倡议从支付服务主体和用户角度分别切入,既给予了用户全面的风险提示,也给支付机构后续的细化调整提供了有益指引。“后续,预计支付服务主体将积极响应协会倡议,针对目前免密支付产品设计、使用提示、客服咨询等重点业务环节进行调整,不断强化与完善免密支付领域的金融消保工作。”苏筱芮说。
盗刷事件频发,免密支付安全引关注
现实中,“免密支付”引发的资金安全问题时有发生。
今年4月,一起“苹果账户凌晨被盗刷162笔”事件登上热搜,引发广泛关注。据披露,一位用户在凌晨三小时内连续被盗刷162笔,总金额超过8万元。此类案例并非孤例,中消协曾专门发布提示,建议消费者谨慎使用“免密支付”功能,避免因账户权限过度开放而造成不必要的损失。
博通咨询金融业资深分析师王蓬博解析称,"免密支付"本质上是为了提升交易效率,优化用户体验,其背后依托的是设备识别、行为分析等多重风控机制之上,并非真正的“无密”支付。但他也指出,一旦用户手机丢失或账号信息泄露,攻击者可能利用已授权的免密通道进行连续盗刷。
但他同时强调,“从过往的案例来看,更多的是个别用户设备丢失、账号泄露或过度授权后的风险外溢,而非免密功能本身的设计缺陷。”并且,目前主流的支付平台都承诺“被盗全赔”,这为用户提供了底层保障。
如何从根本上保障消费者权益?王蓬博认为,首先要明确授权管理和免密支付属于两个不同方向的概念。
他建议,平台应在授权管理上坚持“最小必要、知情同意、可撤回”原则,进一步优化协议披露的透明度,采用分步引导、显著提示、设置冷静期等方式,杜绝“强制捆绑”或“默认勾选”等不当操作。
对消费者而言,王蓬博建议用户养成定期检查授权清单的习惯,及时清理不再使用的服务授权。在使用免密支付时,应优先选择可信赖的应用平台,并积极开启指纹、面容识别等生物验证功能,为账户安全增添多重保障。他强调,唯有平台与用户形成协同治理的良性互动,方能在便捷与安全之间找到最佳平衡点。
