三、二维码支付相关风险分析
(一)终端风险
谈到二维码支付的相关风险,不得不提的是2014年3月央行对二维码线下支付的“封杀令”。2014年3月,中国人民银行支付结算司曾发表《关于暂停支付宝公司线下条码(二维码)支付等业务意见的函》,其中明确指出:“线下条码(二维码)支付突破了传统受理终端的业务模式,其风险控制水平直接关系到客户的信息安全和资金安全。目前,将条码(二维码)应用于支付领域有关技术,终端的安全标准尚不明确。相关支付撮合验证方式的安全性尚存质疑,存在一定的支付风险隐患。”很明显,该“封杀令”直指二维码支付的终端风险。
在二维码支付推广之初,相应的支付模式一般都采取“主扫”模式,即二维码支付的实现需要依靠手机客户端。在使用手机扫描二维码的过程中,隐含的风险是巨大的,因为消费者对于二维码所含信息并不明确,肉眼并不能对二维码所含信息进行识别。除此之外,消费者扫描二维码之后,手机会自动跳转到相关链接所指引的网站,如果二维码所含链接对应的是钓鱼网站,或者木马下载,消费者进行相应操作,就会使手机中毒,消费者相关权益必然受到侵害。
如果和传统POS机的使用进行对比,二维码支付就相当于“裸奔”。传统POS机从理论上讲就是一台电脑,但它是一台封闭的电脑。除了金融支付机构,其他人无法再在POS机上加载任何应用程序,POS机处于“与世隔绝”的环境中。除此之外,POS机还会通过“硬”加密芯片存储的密钥,实现账户安全和数据通信安全。具体而言,就是如果对POS机终端进行物理拆卸,加密芯片和POS机终端的敏感数据就会自动销毁。[18]在二维码支付中,手机充当了终端,但又是其他应用程序的载体,其他应用程序与二维码支付程序之间并没有建立隔离措施,一旦手机其他应用程序感染病毒,势必也会影响到二维码支付程序。同时,手机也没有硬件加密机制来保护数据安全。另外值得一提的是,现有的支付安全措施多依赖于短信验证和邮箱验证,如果用户手机丢失,手机拾得者可以通过手机接收找回密码的短信,也可进入用户事先绑定的邮箱进行密码找回。所以,现有的诸多支付安全措施,在手机丢失的情形下就是一个“摆设”而已,相关问题的核心在于手机终端功能的多样性导致风险的集中化。
实践中,因扫描二维码使手机中毒,并出现各种财产损失的事件大量存在,这也是二维码支付饱受诟病的原因之一。之所以出现该问题,和二维码生成方式简单、内容无人监管有直接关系。如:2013年11月13日,浙江嘉兴一位淘宝店店主汪女士因为扫二维码,导致支付宝余额、绑定银行卡、阿里信用贷款资金被转移,损失共计18万元。作案方式是:有人通过淘宝旺旺向汪女士发来二维码信息,称其需要购买的商品图片在二维码当中,请她扫一下。汪女士扫完二维码点开链接,发现没有任何显示。后来她查看支付宝账户,发现不仅支付宝及其绑定银行卡中的5000多元被转走,余额宝以及阿里信用贷款中的几万元也都被转走了。汪女士迅速冻结了账号,前往嘉兴洪合派出所报案,并通知了淘宝客服。但就在做笔录期间,对方又转走了12多万元的信用贷款。民警经过调查发现,汪女士扫二维码点开的链接已被植入木马类病毒,汪女士手机中毒,同时服务密码被窃取。[19]
对于部分风险,其实可以从技术上和法律上作出一定的应对。如在技术上,相关二维码识别软件在识别二维码之后,应该将二维码所含信息反映给用户,由用户确认是否跳转至相关链接。其次,相应软件也可以学习搜索引擎对相关搜索结果进行风险提示那样,对可疑二维码进行风险提示,告知用户某些潜在可能损害其利益的链接。在法律上,需要明确对二维码的监管,因为二维码已经从封闭系统转向开放系统,二维码支付直接影响到广大消费者的资金安全和信息安全,这样一个涉及公共利益的领域应该受到一定的监管。监管的内容应该主要围绕二维码的生成,内容的核定等。介于二维码标准的不统一,还可以对二维码的相应标准进行统一,促进二维码市场的成熟化。
当然,为了避免“主扫”模式的风险,现在大多数支付机构都主推“被扫”模式,一定程度上解决了二维码信息不可靠的问题(因为“被扫”模式下,二维码由支付软件生成,消费者不需要去扫陌生二维码)。但无论是“主扫”还是“被扫”,都回避不了手机终端自身的风险,如相关应用不能有效隔离,这些问题只能期待由更好的科学技术来解决。或者不从风险预防的角度,而从风险发生后的责任分担角度进行思考,这也是值得提倡的进路。
(二)监管风险[20]
这涉及对二维码支付自身业务性质的讨论。
《非金融机构支付服务管理办法》第2条第1款规定:“本办法所称非金融机构支付服务,是指非金融机构在收付款人之间作为中介机构提供下列部分或全部货币资金转移服务:(一)网络支付;(二)预付卡的发行与受理;(三)银行卡收单;(四)中国人民银行确定的其他支付服务。”即在中国人民银行对非金融机构支付服务的管理中,明确将网络支付和银行卡收单业务进行区分,从事网络支付和银行卡收单业务应该分别进行行政许可申请,并受到不同的监管。
《非金融机构支付服务管理办法》同时规定:“本办法所称网络支付,是指依托公共网络或专用网络在收付款人之间转移货币资金的行为,包括货币汇兑、互联网支付、移动电话支付、固定电话支付、数字电视支付等。”我们所称的二维码支付,是依托公共网络在收付款人之间转移货币资金的行为,所以其本质属于网络支付。
但是如果仔细分析,我们会发现二维码线下支付实际上也构成银行卡收单业务。《非金融机构支付服务管理办法》对银行卡收单业务的界定是:本办法所称银行卡收单,是指通过销售点(POS)终端等为银行卡特约商户代收货币资金的行为。该界定包含三个构成要件:一是手段为POS机等终端,二是主体为特约商户,三是行为为代收货币资金。
在二维码线下支付中,特别是“刷卡”模式下,存在一个销售点终端(即商户的扫码终端),也存在特约商户(现在“刷卡”支持的商户都是经过微信支付特别认证的商户),其行为也是代收货币资金,所以二维码线下支付完全满足银行卡收单的构成要件。[21]
这样问题就来了,二维码线下支付是应该按照网络支付进行监管,还是按照银行卡收单进行监管,或是同时按照网络支付和银行卡收单进行监管?或者换个角度讨论,如果某第三方支付机构只取得从事网络支付的行政许可,那么该机构是否能从事二维码线下支付业务?二维码支付本身是网络支付,该机构取得网络支付的行政许可,就有权利从事二维码支付这种网络支付业务,但是二维码线下支付业务的开展,必然涉及银行卡收单业务,这个时候就需要取得银行卡收单业务的行政许可。在没有取得银行卡收单业务的行政许可之前,从事二维码线下支付业务,实际上违反现有监管规定,这样表面上就形成了一个逻辑“矛盾”。但实际上并不矛盾,《非金融机构支付服务管理办法》中规定的网络支付本身只单纯指线上支付业务,不包含线下支付业务,而银行卡收单业务也只单纯指传统的POS机模式,不包含二维码线下支付这种打通线上线下支付的新模式。这种新模式,显然不在原有既定的非金融机构支付服务监管框架之中。
上面的讨论,其实还涉及一个深层次的问题,即中国人民银行对第三方支付机构这种非金融机构的态度问题。一方面,第三方支付机构在活跃市场方面的作用越来越强,是一股不得不重视的创新力量;另一方面,货币金融领域的安全十分重要,中国人民银行不得不对相关市场进入行为进行管制。在这两方面的矛盾之中,中国人民银行一方面有针对性地选择了部分领域给予第三方支付机构进行创新,另一方面,在某些重大领域又限制第三方支付机构的进入。
这一点在《银行卡收单业务管理办法》中表现得更为明显。该办法对银行卡收单机构进行了如下规定:“本办法所称收单机构,包括从事银行卡收单业务的银行业金融机构,获得银行卡收单业务许可、为实体特约商户提供银行卡受理并完成资金结算服务的支付机构,以及获得网络支付业务许可、为网络特约商户提供银行卡受理并完成资金结算服务的支付机构。”首先,从该规定可以看出,网络支付实际上也有可能构成银行卡收单业务,但仅限于为网络特约商户,而二维码线下支付中,用户为实体商户,显然不符合这里的规定。其次,从该规定可以很清晰地看出,中国人民银行实际上对第三方支付机构的服务范围进行了明确的限定:如果获得银行卡收单业务许可,就能从事实体商户的收单,但不涉及网络商户;如果获得网络支付业务许可,就可以从事网络商户的收单,但不涉及实体商户。即中国人民银行有意识针对第三方支付机构将线上业务和线下业务进行区分,或者说隔离线下业务与线上业务,但对传统银行业金融机构则无此限制。二维码支付在应用过程中,实际达到的效果却是沟通线上与线下,形成一个所谓的闭环结构。而这种应用,恰好是和现有的监管思路相违背的。
细心观察央行发布的二维码“封杀令”,其对象仅为线下条码(二维码)支付业务,而不涉及二维码线上支付业务。两项业务都采用手机作为终端,并且线上支付只能采取“主扫”模式,在一定程度上比线下支付模式更不安全,但只暂停线下模式,却对线上模式没有提及,其中蕴含的理由,大抵就是因为二维码线下模式已经超出了央行给第三方支付机构划分的活动范围。
(三)支付风险
以微信刷卡为例,其最重要的特色就是在一定额度及次数内免除密码、短信动态码以及任何信息验证。这样做的好处是简化了交易流程,缩短了支付时间,这是二维码支付便捷性的重要体现,也是二维码支付推广的关键步骤。这和国外的信用卡刷卡类似,国外的信用卡在刷卡过程中,不需要输密码,只需在单据上签字就可以。显而易见的是,这种支付方式的风险是巨大的,因为任何人只要能控制手机,就能控制二维码,用二维码进行支付交易,而这种情形在手机丢失的情况下是非常普遍的,简单来说就是非授权交易风险巨大。
既然这是一个不安全的支付模式,却又要在实践中广为应用,那么出路只能是解决好风险防范问题或者风险发生后的责任分担问题,这样才能把一种看似不安全的支付模式转变成一种实质上安全的支付模式。
在国外信用卡实践中,基于上述问题,发卡行的普遍做法是在非授权交易发生后,承担非授权交易的绝大部分损失,用户通常只需要承担50美元的损失。这其实是将非授权交易的绝大部分风险转移至发卡行,从而使得消费者在从事支付交易时的风险能够确定下来,并且维持在一个可以承受的低水平上。这样一来,非授权交易给消费者带来的风险也就不那么巨大,并且是消费者可以预期的风险。
那么,在刷卡模式下是怎样解决相关问题的呢?在《微信支付刷卡用户服务协议》中有这样的条款:“任何通过用户的手机或SIM卡发起的刷卡服务均视为用户本人的行为,由此导致的一切法律责任均由用户本人承担。”也就是说,由于非授权交易产生的所有损失都由用户本人承担。简而言之,支付便捷的代价就是用户要承担非授权交易的后果(由于可以多次刷卡,所有金额并不局限于300元)。
既然在刷卡模式下,并不能有效分散用户面临的非授权交易产生的结果风险,那么刷卡模式又是否有足够安全的防护措施来防止非授权交易的发生呢?微信支付的确有一定的安全防护措施,即微信支付所称的安全系统。那么这个安全系统是什么呢?微信支付这样介绍道:微信保护你的支付安全,联合银行提供支付安全技术保障,采用独立支付密码和手机短信双重验证,支付安全由中国人民财产保险股份有限公司承保。首先,刷卡模式下不需要任何验证措施,所以不可能是所谓的“双重验证”。其次,财产保险公司承保的范围非常有限,用户对非授权交易的产生承担主要举证责任,但相关举证非常困难,并且保险本身也不属于安全系统。最后是联合银行提供的支付安全技术保障,但这个东西具体是什么并不明确,微信支付也没有给出详细的解释。现有的各家银行尚且不能很好地防止非授权交易的产生,这里所称联合银行提供的支付安全技术保障是否能够防止非授权交易的产生,非常值得怀疑。除此之外,微信支付还推荐客户安装腾讯手机管家,认为其能防止支付病毒与木马病毒的侵害,保护支付环境与微信支付安全。但腾讯手机管家和微信支付是两个独立的应用,显然也不能是这里所称的安全系统。所以,对于微信支付宣传的安全系统就不得不打上大大的问号。
从以上可以看出,刷卡模式无论在风险防范上,还是在风险发生后的责任分担上都没有提供很好的应对措施。而微信支付之所以会推出刷卡服务并赋予其无密码验证措施,旨在缩短支付流程,提升用户体验,促使更多的消费者接受新鲜事物,从而达到占领市场的商业目的。但是,该商业推广过程却是以牺牲消费者利益为前提的,因为消费者要承担因此产生的所有非授权交易风险,微信支付却并不承担任何风险。[22]说得尖刻一点,微信支付在此过程中占尽了便宜,普通消费者却不得不替其买单。
那么消费者是否心甘情愿为其买单呢?回答当然是否定的。在当下,大多数老百姓还是不接受无密码刷卡的,实践中用银行卡刷卡时,通常都需要输入密码。那么消费者在使用微信支付时怎么又接受这种方式了呢?实际情况是,消费者根本没有“接受”这种方式。微信支付用户协议中有这样的措辞:“一经注册或使用本服务即视为对本协议和关联协议的理解和接受。”(作者在进行实际操作中,只输入了支付密码,就开通了刷卡服务,并没有提醒有任何服务协议)除此之外,在微信支付绑定银行卡时,要求用户同意的协议仅为微信电子商务服务协议与微信支付服务协议。所以从始至终,微信支付并没有将微信支付刷卡服务协议提供给用户。换言之,对于整个刷卡流程都没有告知用户存在相关协议,也自然没有征得用户的同意。
信息披露和风险揭示是金融法研究的核心问题,虽然互联网领域相关操作会比实际线下操作更为简略,但也没有达到完全不披露的状态。在这里其实有一个大胆的猜想,即微信支付是故意不披露相关风险,而非单纯基于精简操作的考量。很简单的道理,如果微信支付在用户开通刷卡服务的时候,就直接提示用户,“非授权风险后果由用户自行承担,金额不限于300元”,那么大多数人都不会选择该服务,这样就对刷卡模式的推广造成一定的障碍。而微信支付要做的就是推广这种无密码支付服务,因为只有这样做才能体现其操作的便捷性,从而推动二维码支付的应用。