□王志宇
●微信二维码“付款”支付最重要的特色就是,在一定额度及次数内免除密码、短信动态码以及任何信息验证。这是一个不安全的支付模式,却又要在实践中广为应用。那么,出路只能是解决好风险防范问题或者风险发生后的责任分担问题,这样才能把一个不安全的支付模式转变成一个实质上安全的支付模式。
●根据微信支付“付款”用户协议的表述,非授权交易产生的所有损失都由用户本人承担。“付款”支付模式也没有足够安全的防护措施来防止非授权交易风险的发生。微信支付在推动市场发展、提高市场交易效率方面的功劳自然不容忽视,但是让消费者陷入危险也不得不令人重视。
●微信支付既然要推行与国际接轨的无密码支付方式,也自然应该推行与国际接轨的非授权交易责任承担机制——消费者在非授权交易中只承担有限责任的制度。对于微信支付,这并非强其所难。
时下各大商超都在力推二维码支付的应用,消费者只需要使用二维码支付轻轻一扫就可以完成结账过程,快捷的支付体验使得消费者对二维码支付追捧有加。但是,这种快捷的支付方式不免也会给消费者留下一个巨大的疑问,如果消费者手机丢失后,其他人使用消费者的手机进行二维码支付,这种冒用行为给消费者造成的财产损失应该怎样承担?同时,我们也不断地从新闻媒体报道中看见消费者扫描二维码导致财产损失的案件。
“收款”模式下的支付风险
微信支付的二维码支付包含“付款”(之前叫做“刷卡”)与“收款”(之前叫做“面对面收钱”)两项服务。“付款”与“收款”的主要区别在于,“付款”是商家用扫码枪或者摄像头扫描客户的二维码,而“收款”是用户用手机扫描商家的二维码,即前者为“被扫”,后者为“主扫”。
如果在网上检索“二维码支付”,可以搜索到许多用户扫描了二维码后发生财产损失的案例。主要都是二维码中包含病毒链接,扫描二维码后,手机自动下载了病毒信息,对用户手机中的信息进行盗取,进而侵害用户的财产。
在二维码支付推广之初,相关的支付模式一般都采取以微信支付“收款”为代表的“主扫”模式。而在使用手机扫描二维码的过程中,隐含的风险却是巨大的,因为消费者对二维码所含信息并不明确,肉眼并不能对二维码所含信息进行识别,除此之外消费者进行扫描之后,手机会自动跳转到相关链接所指引的网站,如果二维码所含链接对应的是钓鱼网站,或者木马下载,消费者进行相应操作,就会使手机中毒,消费者相关权益必然受到侵害。
和传统POS机的使用进行对比,微信支付“收款”无异于“裸奔”。传统POS机从理论上讲就是一台电脑,但是它是一个封闭的电脑。除了金融支付机构,其他人无法再在POS机上加载任何应用程序,POS机处于“与世隔绝”的环境中。而在微信支付“收款”中,手机充当了终端,但又是其他应用程序的载体,其他应用程序与微信支付“收款”之间并没有建立隔离措施,一旦手机其他应用程序感染病毒,势必也会影响到微信支付“收款”。
另外,值得一提的是,现有的支付安全措施多依赖于短信验证和邮箱验证,如果用户手机丢失,手机拾得者可以通过手机接收找回密码的短信,也可进入用户事前绑定的邮箱进行密码找回。所以,现有的诸多支付安全措施,在手机丢失的情形下就是一个“花瓶”而已,相关问题的核心在于手机终端功能的多样性导致风险的集中化。
也正因此,2014年3月央行对二维码线下支付发出“封杀令”,在中国人民银行支付结算司发表的《关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》中明确指出:“线下条码(二维码)支付突破了传统受理终端的业务模式,其风险控制水平直接关系到客户的信息安全和资金安全。目前,将条码(二维码)应用于支付领域有关技术,终端的安全标准尚不明确。相关支付撮合验证方式的安全性尚存质疑,存在一定的支付风险隐患。”
在微信支付的后续发展过程中,逐渐摒弃了“收款”支付模式,而以“付款”模式作为主流支付模式。但是由于“付款”模式下,收款方需要对其传统的收款装置进行改造,存在一定的改造成本,因此目前大多数小型商超仍然沿用“收款”支付方式,相关支付风险仍然存在。
“付款”模式下的支付风险
“付款”支付最重要的特色就是在一定额度及次数内免除密码、短信动态码以及任何信息验证。这样做的好处是简化了交易流程,缩短了支付时间,这也是二维码支付便捷性的重要体现,也是二维码支付推广的关键步骤。但显而易见,这种支付方式的风险是非常大的,因为任何人只要能控制手机,就能控制二维码,就能用二维码进行支付交易,而这种情形在手机丢失的情况下是非常普遍的。
既然这是一个不安全的支付模式,却又要在实践中广为应用,那么出路只能是解决好风险防范问题或者风险发生后的责任分担问题,这样才能把一个不安全的支付模式转变成一个实质上安全的支付模式。
在国外信用卡实践中,针对上述问题,发卡行的普遍作法是在非授权交易风险发生后,承担绝大部分损失。如在美国,用户通常只需要承担50美元的损失,这一作法叫做持卡人在非授权交易中的有限责任制度。这其实是将非授权交易的绝大部分风险转移至发卡行,从而使得消费者在从事支付交易时的风险能够确定下来,并且维持在一个可以承受的低水平上。
那么微信“付款”支付模式,是怎样解决相关问题的呢?在微信支付“付款”用户协议中有这样的措辞:“任何通过用户的手机或SIM卡发起的付款服务均视为用户本人的行为,由此导致的一切法律责任均由用户本人承担。”也就是说,由于非授权交易产生的所有损失都由用户本人承担。简而言之,支付便捷的代价就是用户要承担非授权交易的一切后果。
既然在“付款”支付模式下,并不能有效分散用户面临的非授权交易产生的结果风险,那么“付款”支付模式又是否有足够安全的防护措施来防止非授权交易的发生呢?微信支付的确有一定的安全防护措施,即微信支付所称的安全系统。那么这个安全系统是什么呢?“微信支付安全”这样介绍到,“微信保护你的支付安全:联合银行提供支付安全技术保障,独立支付密码和手机短信双重验证,支付安全由中国人民财产保险股份有限公司承保。”
首先,“付款”支付模式下不需要任何验证措施,所以不可能是所谓的双重验证。其次,虽然微信支付宣传“你敢付,我敢赔”,保险公司将对用户损失进行相应赔偿,但目前在财付通官网上并没有能查阅到相关保险合同内容,相关理赔范围存疑,且相关理赔需要用户提供资料证明损失发生的真实性,但实际上这种举证是非常困难的,而更重要的是相关理赔条款并没有嵌入支付合同之中,效力存疑。最有可能的结果是联合银行提供的支付安全技术保障,但这个东西具体是什么并不明确,微信支付也没有给出一个详细的解释。现有的各家银行尚且不能很好地防止非授权交易的产生,这里所称联合银行提供的支付安全技术保障是否能够防止非授权交易的产生,非常值得怀疑。
可以看出,使用微信二维码支付存在巨大的非授权交易风险。
风险发生后的责任承担
从传统民法的角度来讲,上述风险发生后,消费者只有在能够证明微信支付存在过错的情形下,才能够要求微信支付承担赔偿责任,除此之外,消费者要么要求直接侵权人承担责任,要么自己承担所有损失。那么,从公平合理的理念来看,微信支付是否也有必要承担相关责任呢?
对于“收款”模式,其风险来源于目前技术上的障碍。微信支付为了抢占市场,在无法克服相关技术障碍的前提下,向消费者推行这种不成熟的技术,并让消费者承担不成熟技术带来的后果,这样看上去会公平吗?
腾讯这样一个大平台,应该有魄力去承担这种因终端设备中毒后的财产损失,如果腾讯自己都不相信自己在二维码技术上拥有强大的实力,又怎么能让消费者相信腾讯而安心使用微信支付呢?试想一下,腾讯宣传自己的杀毒软件多么多么好,但却连这样的小病毒都防不住,那不是明白着打脸吗?腾讯自家的杀毒软件拥有如此之多的专业技术人员,却抵抗不住犯罪分子的小小病毒程序,这难道不是腾讯人才选拔与培养方式上出现大Bug了吗?所以,腾讯应该对自己的杀毒软件保持信心,其信心最直接的体现就是敢于为终端设备中毒后的财产损失承担责任。而责任的存在,将会更加促进腾讯在二维码领域内技术的发展,将更加巩固腾讯在移动支付领域的领先地位。
而对于“付款”模式,微信支付实际上是想改变目前大量使用密码进行支付的现状,实现微信支付“闪电支付”的目标。而要使老百姓一瞬间接受无密码支付模式,难度是非常大的,但是微信支付却是相当聪明的。
首先,微信支付在用户开通服务的时候,只是例行公事的列示支付协议链接,并没有将特殊条款——授权无密码支付,进行额外提示。这样就能使得大量消费者在“不知情”的情况下进行无密码支付,从实际体验中认同无密码支付的便捷性。其次,微信支付在最初推出“付款”支付服务时,单笔无密码支付的限额为200元,这样的作法试图告诉消费者金额很小的交易不用密码也是可以接受的。可是,微信支付的用户协议中有这样的约定:如果用户继续使用本服务,则视为同意最新修订的协议内容。所谓最新修订的协议内容,目前来看就是将单笔无密码支付的限额提高到1000元。整体来看,微信支付实际上是试图从小额开始突破,逐渐扩大无密码支付的适用范围,渐进式地向消费者推行无密码支付方式。最后,微信支付会告诉消费者,微信支付拥有安全系统,包含多重防范措施来保护消费者的财产安全,虽然这些防范措施的适用性不置可否,但是的确给消费者使用微信支付带来一定的信心。
其实,推行无密码支付方式,各大商业银行应该也是很推崇的,因为它的确能加快交易结算流程,改善银行卡刷卡体验,促进银行卡的广泛使用。但是各大商业银行也深知在我国非授权交易责任承担体系并不健全的背景下,密码支付实际上是消费者防范非授权交易最后的盾牌,因此并不会建议消费者采用无密码支付方式。而如今微信支付的“付款”支付方式,实际上就是让消费者放下手中最后的盾牌,几乎赤裸的面对非授权交易风险。
微信支付的这种作法在推动市场发展,提高市场交易效率方面的功劳自然不容忽视,但是让消费者陷入危险之地也不得不令人重视。
微信支付既然要推行与国际接轨的无密码支付方式,也自然应该推行与国际接轨的非授权交易责任承担机制——消费者在非授权交易中的有限责任制度。而这实际上对微信支付而言,并非强人所难。首先,微信支付能够对异常数据进行监控,对异常的、反复的大额交易,微信支付有足够的自信心在技术上进行识别。其次,微信支付与手机绑定、身份证绑定,用户欺诈的可能性较低。再次,从美国实践来看,由支付机构承担非授权交易的绝大部分责任,并没有使得支付机构的营业成本显著提升。最后,微信支付责任的承担,也会鞭策微信支付技术的发展,也是微信支付技术自信心的表现。
其实,微信支付对此也是基本认同的,所以才会推出“你敢付、我敢赔”的宣传口号。但是这种由保险公司进行赔付的方式,对于消费者而言,仍然存在举证难、理赔慢、适用范围有限的问题。只有建立消费者有限责任制度,才能真正实现“你敢付、我敢赔”的宣传口号,也能推动我国支付市场更快速、健康的发展。
(作者单位:北京大学法学院金融法研究中心)