《中國新聞周刊》記者：孟倩

　　發(fā)于2025.4.7總第1182期《中國新聞周刊》雜志

　　今年3月初，多名網(wǎng)友在網(wǎng)上發(fā)文稱，自己的蘋果手機(jī)開通“免密支付”后遭盜刷，這些網(wǎng)友的微信或支付寶無故出現(xiàn)多筆扣費(fèi)，金額從幾千元到一萬多元不等。多位網(wǎng)友貼出的賬單顯示，被轉(zhuǎn)出的錢款大多通過蘋果賬戶充值進(jìn)了手機(jī)游戲里。

　　蘋果客服在回復(fù)媒體時表示，不法分子可能是利用了蘋果的“免密支付”功能，用盜取的賬戶給購買了“代充”服務(wù)的顧客充值，“就是空手套白狼”。

　　“免密支付”作為一種無須輸入密碼即可完成交易的支付方式，日益成為移動支付時代消費(fèi)者的普遍選擇。然而，這一看似便捷的功能卻隱藏著不小的風(fēng)險。近期中國消費(fèi)者協(xié)會的警示也再次將這一話題推向公眾視野。中國消協(xié)發(fā)布的消費(fèi)提示指出，網(wǎng)絡(luò)購物謹(jǐn)慎使用“免密支付”功能，避免因賬戶權(quán)限過度開放引發(fā)資金損失。

　　為何這種旨在提升體驗(yàn)的功能會成為安全風(fēng)險的溫床？

　　“免密支付”的風(fēng)險，目前大多數(shù)使用者可能都未意識到。多位業(yè)內(nèi)人士提醒“不懂的人最好別用”，十分容易“踩坑”，少則損失幾十元，多則損失上萬元。此外，當(dāng)出現(xiàn)問題時，責(zé)任該由誰來承擔(dān)，目前很混亂。不少消費(fèi)者遭遇盜刷后，發(fā)現(xiàn)各平臺互相“踢皮球”，“免密支付”背后的責(zé)任邊界問題，也亟待理清。

　　被盜刷162筆

　　“一覺醒來錢就被偷走了?！睆埧辉缧褋戆l(fā)現(xiàn)短信提醒，半夜有人從她的蘋果賬戶刷走998元充值到了《大話西游》這款游戲中，但她從未玩過這個游戲。她馬上意識到，她的蘋果賬戶被盜刷了。

　　回想了很久，她此前并無泄露個人信息或者點(diǎn)開不明鏈接，只是在睡前更新了蘋果手機(jī)的系統(tǒng)。在被盜刷之后，張葵才發(fā)現(xiàn)自己已經(jīng)開通了蘋果賬戶的“免密支付”。

　　像張葵這樣只被刷走一筆訂單還算是幸運(yùn)的，因?yàn)樗谝苿又Ц督壎ǖ男庞每ㄉ显O(shè)置了刷卡限額，當(dāng)不法分子試圖刷走第二筆995元的款項(xiàng)時，因需要本人認(rèn)證才沒成功。

　　山東納源律師事務(wù)所律師田軍偉告訴《中國新聞周刊》，他接觸的上百起盜刷事件中，被刷走幾萬元的消費(fèi)者并不少見。一位消費(fèi)者的賬戶曾經(jīng)在凌晨2:50到凌晨5:51，總共被盜刷162筆，總金額達(dá)到了80868元。他指出，這些涉及金額比較多的賬戶，綁定的一般是微信支付且余額較多，或是綁定的銀行卡和信用卡額度較高。

　　在黑貓投訴平臺上，有近6萬條投訴涉及“免密支付”。這些投訴包括用戶在不知情情況下被開通“免密支付”、無法取消功能、開通后亂扣費(fèi)等問題，發(fā)生的場景則集中在電商平臺、會員開通以及二手平臺等。

　　值得注意的是，在投訴情況中，有不少涉及老人和孩子。有未成年人在電商平臺和直播平臺中在未經(jīng)家長同意的情況下使用“免密支付”，老人則通常是不知在何時開通了“免密支付”，導(dǎo)致賬戶被盜。

　　據(jù)媒體報道，一位長沙的老年用戶向12315投訴“免密支付”在“偷”她的錢。在她的微信賬單中，自去年5月開始，每個月都有一項(xiàng)固定的扣款記錄，都是25元，支付給了視頻網(wǎng)站。她自稱，作為老年人，對這些功能采取“絕緣”態(tài)度，確定自己不會開通“免密支付”功能。

　　事實(shí)上，大規(guī)模投訴的背后現(xiàn)實(shí)是，中國網(wǎng)絡(luò)支付用戶規(guī)模已達(dá)10億人的體量，“免密支付”滲透率較為穩(wěn)定。

　　中國支付清算協(xié)會發(fā)布的《2023年移動支付個人用戶使用情況調(diào)查報告》中提到，“免密支付”在移動支付用戶中接受度較廣，特別是在小額場景中應(yīng)用更為廣泛。在參與調(diào)研的用戶中有一半人使用“免密支付”的金額在100元以下，超過27%的用戶設(shè)置在了100元到300元。乘坐交通工具是使用頻率最高的場景，電商平臺滲透率其次。此外，在線下實(shí)體店、生活服務(wù)類App中滲透率也在提升。

　　“免密支付”如同一把雙刃劍，在帶來便捷的同時也帶來了風(fēng)險。很多消費(fèi)者并不了解其運(yùn)作機(jī)制和潛在風(fēng)險，自身財產(chǎn)安全受到了很大的威脅。

　　目前還上大學(xué)的王楠反思了自身安全意識的薄弱。據(jù)她回憶，半個月前她在閑魚購買了山姆超市一日體驗(yàn)卡，對方以領(lǐng)取體驗(yàn)卡到蘋果賬戶為由，騙取了她的蘋果賬戶。

　　最終，在短短4分鐘內(nèi)，對方通過蘋果賬戶“免密支付”非法刷走她支付寶的花唄余額6000多元。這些錢通過蘋果賬戶，以每次648元的價格匯入了一款名為《絕區(qū)零》的游戲賬戶中。

　　王楠坦言，自己太掉以輕心了，根本沒有想太多就把蘋果賬戶給出去了。她甚至不知道蘋果賬戶的“免密支付”是從什么時候開通的，使用時到底需要什么條件。

　　“漏洞”到底在哪里？

　　據(jù)田軍偉介紹，他接觸的“免密支付”盜刷案例中，幾乎100%與蘋果設(shè)備相關(guān)，這些案例中盜刷金額往往最終流向游戲公司的虛擬商品。

　　蘋果執(zhí)行的是“默認(rèn)開通”政策，即用戶在不知情的情況下被開通“免密支付”功能?！疤O果公司在用戶體驗(yàn)上沒有給消費(fèi)者選擇權(quán)。不同于其他平臺提供驗(yàn)密和免密兩種選擇，蘋果應(yīng)用商店只支持‘免密支付’，消費(fèi)者只能選擇用或不用，沒有更安全的替代方案。”

　　不過，一位不具名的支付從業(yè)者告訴《中國新聞周刊》，“免密支付”是國際慣例，在國際上都是統(tǒng)一標(biāo)準(zhǔn)，一般不存在技術(shù)漏洞。實(shí)際上，更多的情況可能是消費(fèi)者沒有保護(hù)好自身的信息，被不法分子利用。

　　“從目前的多個案例來看，可能已經(jīng)形成了灰色產(chǎn)業(yè)鏈，一旦消費(fèi)者的賬戶被泄露，就有人利用賬戶充值到游戲中。”

　　在中國電子技術(shù)標(biāo)準(zhǔn)化研究院網(wǎng)安中心測評實(shí)驗(yàn)室副主任何延哲看來，目前很多公開信息中寫“免密支付”有“漏洞”，并不準(zhǔn)確。從技術(shù)上來看，“漏洞”不能亂用，漏洞一般是指代碼邏輯上存在缺陷，被惡意人員或者惡意代碼利用后從而繞過身份鑒別、訪問控制措施。漏洞是無意造成的，不屬于有意設(shè)置，有意設(shè)置的叫“后門”。如果支付系統(tǒng)真的出現(xiàn)漏洞，恐怕會造成很大的恐慌。

　　不過，一些被離奇盜刷的經(jīng)歷讓不少消費(fèi)者感到不解。去年9月的一個晚上，有陌生的蘋果賬戶綁定了消費(fèi)者高楊的移動支付賬號，進(jìn)行了一筆游戲充值，交易金額是98元。高楊說，因?yàn)樗O(shè)置了100元以下的免密交易，損失比較小?！暗@不是錢多少的事情，別人的蘋果賬戶到底是怎么綁定了我的移動支付賬號，我感覺到很不安。”目前，高楊已經(jīng)向蘋果客服申請退款，但一直未果。

　　“我接觸的案例中，有些確實(shí)是莫名其妙被盜刷的。比如有消費(fèi)者的蘋果賬戶綁定了QQ郵箱，盜刷者可能通過攻破郵箱獲取了蘋果賬戶控制權(quán)。這種情況下，消費(fèi)者很難說明自己沒有任何過錯，但平臺方和支付機(jī)構(gòu)的風(fēng)控責(zé)任卻不應(yīng)因此被免除?！碧镘妭ケ硎荆芏唷懊饷苤Ц丁睂?dǎo)致的盜刷案件，主要是兩類情況，一個是各類技術(shù)漏洞遭到不法分子攻破，另一個是消費(fèi)者自身泄露信息，比如蘋果賬戶等。

　　在“免密支付”盜刷案件中，各個環(huán)節(jié)風(fēng)控措施的缺失同樣值得關(guān)注。田軍偉通過調(diào)查發(fā)現(xiàn)，整個支付鏈條出現(xiàn)了嚴(yán)重的風(fēng)控真空。支付機(jī)構(gòu)誤認(rèn)為蘋果系統(tǒng)足夠安全，因此放松了自身的風(fēng)控；銀行則認(rèn)為來自支付寶、微信的請求已經(jīng)過風(fēng)控，也不再額外審核。結(jié)果是盜刷交易暢通無阻，無人攔截。

　　消費(fèi)者王歡在半年前丟失了蘋果手機(jī)，3月初被人關(guān)閉了查找功能，對方同時開始了游戲充值，在試圖進(jìn)行第一筆五千多元金額的充值時被她發(fā)現(xiàn)，第一時間便致電蘋果客服，但是蘋果客服攔截不力，未能在最佳時間攔截，導(dǎo)致錢已經(jīng)充到《王者榮耀》里。后續(xù)，她向蘋果客服申請退款，客服幫忙備注，但兩次退款都失敗了。

　　蘋果客服并未告知她，一筆訂單只有兩次退款機(jī)會。在案發(fā)當(dāng)天下午她果斷報案，警方定性為刑事案件，目前正在立案偵查。但為了追回錢款，王歡向蘋果公司CEO庫克的郵箱發(fā)了一封說明郵件，陳訴自己并未進(jìn)行相關(guān)的充值。當(dāng)她寫完郵件后，蘋果公司的行政高管聯(lián)系了她，審核相關(guān)情況后，她收到了退款?！拔也恢烙卸嗌偃藭ソo庫克寫郵件，我認(rèn)識的很多人也沒能夠拿回退款。”王歡說。

　　一位移動支付從業(yè)者告訴《中國新聞周刊》，很多時候即便想要風(fēng)控，但是平臺可能不了解那么多細(xì)節(jié)。因?yàn)樘O果有自己的循環(huán)支付體系，支付指令發(fā)出后，國內(nèi)的移動支付體系很難甄別到更多風(fēng)險。

　　田軍偉進(jìn)一步解釋，即使是高風(fēng)險時段(如凌晨)的連續(xù)多筆異常交易，在早期也很少被支付機(jī)構(gòu)攔截。直到2023年開始，部分支付機(jī)構(gòu)才逐漸加強(qiáng)風(fēng)控措施，但效果仍不夠理想。

　　“免密支付”爭議已久

　　實(shí)際上，“免密支付”爭議已久。回溯支付驗(yàn)證方式的歷史演變過程，資深信用卡專家董崢介紹，早在20世紀(jì)90年代信用卡開始在中國發(fā)展時，簽字確認(rèn)就是主流支付驗(yàn)證方式。簽字這種確認(rèn)形式源于西方以簽字為確認(rèn)的社會文化，與中國傳統(tǒng)的蓋章文化形成鮮明對比。

　　“簽字確認(rèn)模式進(jìn)入中國后，由于缺乏相應(yīng)的文化基礎(chǔ)和技術(shù)支撐，導(dǎo)致冒簽現(xiàn)象嚴(yán)重。到2003年，深圳發(fā)展銀行開始推廣密碼驗(yàn)證方式，逐漸被各大銀行采納，成為替代簽字確認(rèn)的主流驗(yàn)證方式?！倍瓖樚岬馈?/p>

　　隨著移動支付的普及，“免密支付”作為一種更為便捷的交易形式應(yīng)運(yùn)而生。董崢認(rèn)為：“‘免密支付’不是壞事，它是在密碼支付基礎(chǔ)上，在移動支付時代發(fā)展出的一種快速支付方式。它仍然基于網(wǎng)絡(luò)驗(yàn)證，只是簡化了用戶操作環(huán)節(jié)。”

　　“我是堅(jiān)決反對廣泛使用‘免密支付’的。”董崢解釋，“但是反對不代表不用，像我們了解這種方式，所以用起來風(fēng)險低。然而不懂的人最好不要用，用了之后極其容易發(fā)生誤判，或者被人利用?！?/p>

　　他認(rèn)為，這種支付方式會加速消費(fèi)者誤判的發(fā)生。在公共交通、便利店購物、共享單車等小額高頻場景中，消費(fèi)者無須輸入密碼即可完成支付，節(jié)省了不少時間和操作步驟。清華大學(xué)消費(fèi)金融研究院調(diào)研顯示，“免密支付”用戶客單價提高了18%，但退貨率增長了40%，這從側(cè)面說明“免密支付”不僅方便了消費(fèi)者購物，甚至還讓消費(fèi)者消費(fèi)“上頭”，但最終消費(fèi)者更容易反悔。據(jù)悉，有頭部平臺因默認(rèn)開通免密功能年增收超百億元。

　　何延哲認(rèn)為，“免密支付”主要就是為了用戶方便，用戶在方便和安全中選擇了方便優(yōu)先?！懊饷苤Ц丁睂τ谟脩舳裕铌P(guān)鍵的是要明示告知用戶單獨(dú)開通，此外需要設(shè)置免密額度，單次額度和單日(或每月)限額，并方便管理撤回。

　　但即便如此，安全隱患仍較大。據(jù)中國消費(fèi)者協(xié)會披露，近期陸續(xù)接到消費(fèi)者因“免密支付”功能導(dǎo)致賬戶資金被盜刷的投訴。從用戶角度看，維護(hù)賬戶安全確實(shí)是基本責(zé)任。然而，隨著支付方式的多樣化，用戶往往難以全面了解各種權(quán)限設(shè)置及其風(fēng)險。針對“免密支付”可能帶來的風(fēng)險，中國消費(fèi)者協(xié)會指出了三大安全隱患：一是手機(jī)丟失或賬號泄露時風(fēng)險激增；二是小額免密累積大額損失；三是隱蔽性強(qiáng)，難以及時察覺。

　　上述風(fēng)險往往令人猝不及防，在四川瀘州的一起案例中表現(xiàn)得尤為明顯。一名市民撿到他人手機(jī)后，分8次掃碼消費(fèi)，每次金額均小于等于1000元，直至將微信零錢全部消費(fèi)完畢。

　　田軍偉接觸并代理了多起“免密支付”相關(guān)案件，大部分消費(fèi)者是年輕人，對移動支付的使用習(xí)以為常，因此“踩坑”也多。

　　對年輕消費(fèi)者來說，面對“免密支付”，常常陷入矛盾。一方面，他們認(rèn)可其便捷性；另一方面，又擔(dān)憂安全風(fēng)險。有消費(fèi)者認(rèn)為“免密支付”十分必需，使用“免密支付”，快捷高效，特別是在購買熱門球賽、演唱會門票時，省去輸入密碼的環(huán)節(jié)，提高搶貨效率。也有消費(fèi)者抱怨，有時候消費(fèi)后平臺自動扣款，支付過程類似于無感支付，以至于自己都不太關(guān)注到底扣了多少錢。

　　這種矛盾心態(tài)反映了當(dāng)前消費(fèi)者在便捷與安全之間的艱難選擇?！叭绻晃兜貏裼脩絷P(guān)閉‘免密支付’功能，讓人感覺‘免密支付’就是一種錯誤，類似坐地鐵刷手機(jī)之類的便捷功能也只能放棄了。”何延哲表示，真正需要提防的是，有些不良商家搞套路開通。

　　平臺責(zé)任被模糊了

　　在移動支付中，對平臺而言，完善技術(shù)手段、加強(qiáng)風(fēng)險提示、優(yōu)化用戶體驗(yàn)，是履行主體責(zé)任的應(yīng)有之義。然而，如今卻演變?yōu)橄M(fèi)者頻頻付出“隱形代價”，當(dāng)“免密支付”出現(xiàn)盜刷等問題時，責(zé)任歸屬常常成為爭議焦點(diǎn)。

　　田軍偉告訴《中國新聞周刊》，“免密支付”盜刷案件中，責(zé)任方通常包括平臺方、支付機(jī)構(gòu)和銀行，但各方都在互相推諉。蘋果公司堅(jiān)持認(rèn)為其只提供技術(shù)平臺；支付機(jī)構(gòu)聲稱已按規(guī)定進(jìn)行驗(yàn)證；銀行則表示收到的是正規(guī)支付請求。結(jié)果是消費(fèi)者的損失無人承擔(dān)，難以獲得有效賠償。

　　他表示，利用法律手段起訴的話，根據(jù)之前的經(jīng)驗(yàn)，蘋果公司不會主動配合司法程序，消費(fèi)者需要自行承擔(dān)翻譯費(fèi)、送達(dá)費(fèi)等高額訴訟成本，即使勝訴，這些費(fèi)用通常也難以從對方處獲得補(bǔ)償。

　　目前，他起訴成功的唯一案件，就是消費(fèi)者被盜刷79筆異常消費(fèi)、合計51192元后，立即通過蘋果客服電話投訴，要求退回全部盜刷款項(xiàng)。蘋果客服經(jīng)核查后，確認(rèn)原告投訴屬實(shí)，明確表示同意退款，并且告知原告“退款成功，等待退款到賬即可”。立案的前提是蘋果官方的承諾，事實(shí)上，大部分消費(fèi)者的盜刷案件都沒能得到立案。

　　同樣的“免密支付”盜刷問題，在國內(nèi)外的處理方式也截然不同。在國外，信用卡公司對于盜刷案件有著完善的“拒付”機(jī)制。他曾接手的一個案例顯示，盜刷者利用竊取的國外信用卡信息在蘋果應(yīng)用商店購買中國游戲公司的虛擬商品。當(dāng)國外消費(fèi)者聲明這不是自己的消費(fèi)時，外國銀行立即執(zhí)行了拒付，導(dǎo)致蘋果公司不給中國游戲公司結(jié)算費(fèi)用。

　　田軍偉解釋：“國外的消費(fèi)者遭遇盜刷后，可以聲明‘這不是我的消費(fèi)’，銀行通常會認(rèn)可消費(fèi)者的說法并退款。而在國內(nèi)，同樣的程序卻難以執(zhí)行。理論上有類似制度，但實(shí)際操作中，消費(fèi)者往往需要經(jīng)歷漫長的取證和投訴過程，甚至最終仍無法獲得全額賠償?！?/p>

　　另一方面，蘋果公司通過不設(shè)立中國境內(nèi)運(yùn)營主體，在某種程度上規(guī)避了監(jiān)管責(zé)任。田軍偉表示，蘋果應(yīng)用商店沒有設(shè)立中國的經(jīng)營主體，消費(fèi)者維權(quán)只能面對境外公司，這大大增加了維權(quán)難度和成本?！拔覀冊?jīng)通過《反壟斷法》和增值電信經(jīng)營許可證違規(guī)等角度進(jìn)行舉報，希望能促使其設(shè)立境內(nèi)運(yùn)營主體，從根本上解決監(jiān)管問題?！?/p>

　　更為困難的是，當(dāng)發(fā)生盜刷爭議時，用戶常面臨舉證困境。消費(fèi)者被盜刷后的維權(quán)過程極為艱難，除了要面對高額的訴訟成本，還要解決舉證難題。很多消費(fèi)者難以證明自己沒有泄露賬戶信息，或確實(shí)遭遇了“莫名其妙”的盜刷。

　　當(dāng)前，對“免密支付”的監(jiān)管主要依據(jù)《中華人民共和國支付結(jié)算辦法》《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》等法規(guī)。這些法規(guī)對支付安全提出了基本要求，但對“免密支付”這類新興模式的規(guī)范仍顯不足。特別是在用戶權(quán)益保護(hù)方面，現(xiàn)有法規(guī)對“告知義務(wù)”和“默認(rèn)選項(xiàng)”等關(guān)鍵問題缺乏明確規(guī)定。

　　田軍偉認(rèn)為，目前的監(jiān)管問題不在于立法不足，而在于監(jiān)管執(zhí)行乏力。現(xiàn)有的《電子商務(wù)法》《消費(fèi)者權(quán)益保護(hù)法》都要求平臺保證支付安全，但蘋果公司因沒有境內(nèi)主體，監(jiān)管部門難以有效執(zhí)行。“這也是我們主張從反壟斷角度入手的原因，因?yàn)椤斗磯艛喾ā凡粎^(qū)分境內(nèi)外主體?！?/p>

　　2025年2月，48位消費(fèi)者委托田軍偉向國家市場監(jiān)督管理總局聯(lián)名舉報蘋果公司涉嫌濫用市場支配地位。具體舉報內(nèi)容為，蘋果強(qiáng)制用戶在蘋果應(yīng)用商店只能使用“免密支付”方式付款，導(dǎo)致綁定“免密支付”的蘋果賬戶被盜用后，他人可繞過支付工具的身份驗(yàn)證環(huán)節(jié)直接實(shí)施盜刷，造成包括舉報人在內(nèi)的眾多蘋果用戶資金被盜刷。

　　從長遠(yuǎn)來看，田軍偉提出了更系統(tǒng)的解決方案：平臺方應(yīng)該給予消費(fèi)者支付方式的選擇權(quán)，允許消費(fèi)者在驗(yàn)密支付和“免密支付”之間自由選擇。支付機(jī)構(gòu)和銀行需要加強(qiáng)風(fēng)控措施，特別是對異常時段、異常金額和異常頻次的交易進(jìn)行重點(diǎn)監(jiān)控。監(jiān)管部門則應(yīng)該督促境外企業(yè)設(shè)立境內(nèi)運(yùn)營主體，確保監(jiān)管有效落實(shí)。

　　《中國新聞周刊》2025年第11期

　　聲明：刊用《中國新聞周刊》稿件務(wù)經(jīng)書面授權(quán)