用戶被盜刷2.5萬！支付寶回應(yīng)緣何“輕描淡寫”

寫在前面：

當(dāng)用戶規(guī)模越來越大，運(yùn)營風(fēng)險(xiǎn)也會(huì)不斷累積。很多起初看上去很美好或快捷的體驗(yàn)，也往往成為用戶權(quán)益受損的隱患。

這不是支付寶一家的問題，但是，確實(shí)需要包括支付寶等在內(nèi)各大平臺(tái)加強(qiáng)用戶權(quán)益安全保障措施的責(zé)任所在。

每當(dāng)監(jiān)管部門要加強(qiáng)監(jiān)管或提高監(jiān)管要求時(shí)，總是有這樣或那樣的反對聲音，但是，當(dāng)自身利益受損時(shí)，又會(huì)發(fā)現(xiàn)無人救濟(jì)，這是國內(nèi)很多行業(yè)的通病。

很多時(shí)候，企業(yè)或平臺(tái)通過綁架用戶架空了監(jiān)管、降低了監(jiān)管門檻，而當(dāng)用戶權(quán)益受損時(shí)，才發(fā)現(xiàn)原本應(yīng)有監(jiān)管的措施卻被包括自己在內(nèi)的用戶或民意替企業(yè)或平臺(tái)給“反駁”回去了。

文/李俊慧（微信公號(hào)：lijunhui0507）

“你敢用，我就敢賠；被盜刷，我不賠？”

前半句是早年支付寶推出“全額賠付”制度時(shí)的宣傳口號(hào)，而后半句則是一位支付寶用戶最近被盜刷的慘痛經(jīng)歷。

顯然，一度號(hào)稱“天下無賊”的支付寶似乎在移動(dòng)支付大行其道之時(shí)“破功”了。

日前，一位名叫“小剛”的支付寶用戶賬戶被盜刷經(jīng)歷，掀開了支付寶潛藏的安全漏洞。據(jù)小剛在《我用十天追回支付寶盜刷款25000元的奇葩經(jīng)歷》一文中自述，2月16日，在其綁定的手機(jī)保持支付寶登陸狀態(tài)下，他人使用其他手機(jī)不僅順利登陸了其支付寶賬號(hào)，還發(fā)生了兩筆大額消費(fèi)，共計(jì)2.5萬元。

對此，支付寶在其官方微博發(fā)文先是回應(yīng)稱，“我們沒有第一時(shí)間監(jiān)測到這個(gè)風(fēng)險(xiǎn)，導(dǎo)致小剛沒有及時(shí)收到相關(guān)安全提醒”，隨后話鋒一轉(zhuǎn)又表示“后續(xù)我們會(huì)繼續(xù)對我們的安全核查機(jī)制進(jìn)行優(yōu)化和改進(jìn)，進(jìn)一步提高我們的風(fēng)險(xiǎn)稽查精準(zhǔn)度。”

由此可見，從支付寶的回應(yīng)來看，其并不認(rèn)為自身安全機(jī)制存在“漏洞”，更不認(rèn)為自身需要為用戶遭遇被“盜刷”而承擔(dān)責(zé)任，也更別妄談可能會(huì)“全額先行賠付”用戶損失了。

更重要的是，不論是在小剛的自述一文中，還是支付寶的官方回應(yīng)中，派出所及銀行似乎都成了“背鍋俠”，恰恰因?yàn)檫@兩方工作存在問題，致使用戶遭受損失且無法及時(shí)獲得救濟(jì)。

那么，支付寶用“輕描淡寫”式的口吻回應(yīng)“安全漏洞”，又“大張旗鼓”的以“中介或中間身份”居中調(diào)解受害人和盜刷嫌疑人和解，并抱怨稱“畢竟支付寶不是司法機(jī)關(guān)，無法單方面下定論誰是盜用者并動(dòng)用強(qiáng)制手段”，其背后到底用意如何？這其中又故意混淆了那些問題？

混淆一：支付寶用戶被盜刷，銀行擔(dān)責(zé)既不現(xiàn)實(shí)也不可能

小剛在自述一文中稱，“招商銀行信用卡表示是支付寶被盜通過快捷支付消費(fèi)，銀行不承擔(dān)責(zé)任。”

雖然招商銀行“不承擔(dān)責(zé)任”的說法令人不悅，但支付寶被盜刷消費(fèi)確實(shí)是銀行“力所不逮”的。

一方面，根據(jù)支付寶快捷支付規(guī)則，使用該功能交易時(shí)，在一定限額范圍內(nèi)，只需提供支付寶賬號(hào)支付密碼，不需要驗(yàn)證任何信息，即可劃走其綁定的銀行卡里的錢，完成交易。

簡單說，快捷支付是支付寶作為第三方支付通道或角色（類似線下刷POS機(jī)的銀聯(lián)角色）提供的網(wǎng)絡(luò)支付服務(wù)。

在這項(xiàng)服務(wù)中，銀行付款的條件是準(zhǔn)確輸入支付寶支付密碼，至于此密碼是支付寶用戶自行輸入，還是委托或授權(quán)他人輸入，既不是銀行需要查驗(yàn)的，也不是銀行具備條件或能力可以查驗(yàn)的。

另一方面，對于使用快捷支付進(jìn)行消費(fèi)來說，收款對象及支付交易行為均發(fā)生在支付寶或阿里巴巴平臺(tái)體系中，當(dāng)發(fā)生錯(cuò)誤交易時(shí)，就快速實(shí)現(xiàn)“止付或退款”來說，支付寶本身才具有此現(xiàn)實(shí)操作或管理的能力。

因此，在支付寶快捷支付中發(fā)生的“盜刷”問題，銀行確實(shí)不應(yīng)或也不具備能力承擔(dān)支付安全的責(zé)任。

當(dāng)然，這也是此前中國工商銀行、中國銀行等諸多銀行一度減少與支付寶快捷支付合作的接口及降低支付限額的關(guān)鍵所在，因?yàn)橛脩舯槐I刷風(fēng)險(xiǎn)過大。

混淆二：支付寶是支付安全責(zé)任第一人，而非“中介或中間”角色

根據(jù)中國人民銀行頒布的部門規(guī)章《非金融機(jī)構(gòu)支付服務(wù)管理辦法》規(guī)定，支付寶等第三方支付機(jī)構(gòu)需要有“健全的風(fēng)險(xiǎn)管理措施”。

《非金融機(jī)構(gòu)支付服務(wù)管理辦法》第十八條規(guī)定，“支付機(jī)構(gòu)應(yīng)當(dāng)按照審慎經(jīng)營的要求，制訂支付業(yè)務(wù)辦法及客戶權(quán)益保障措施”、第三十二條規(guī)定“支付機(jī)構(gòu)應(yīng)當(dāng)具備必要的技術(shù)手段，確保支付指令的完整性、一致性和不可抵賴性，支付業(yè)務(wù)處理的及時(shí)性、準(zhǔn)確性和支付業(yè)務(wù)的安全性。”

顯然，支付寶在用戶非本人登陸賬號(hào)時(shí)未提示以及登陸設(shè)備非常用設(shè)備發(fā)生大額支付前未提示等環(huán)節(jié)上存在明顯的“漏洞”，是致使用戶支付寶賬戶被他人成功“盜刷”的關(guān)鍵所在。

此外，根據(jù)中國人民銀行最新制定、將于7月1日起施行的《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》第十六條規(guī)定，對于類似“登錄和注銷登錄、身份識(shí)別和交易驗(yàn)證”等客戶網(wǎng)絡(luò)支付業(yè)務(wù)操作行為，支付機(jī)構(gòu)應(yīng)當(dāng)在確認(rèn)客戶身份及真實(shí)意愿后及時(shí)辦理。

而支付寶在客戶登錄及支付等環(huán)節(jié)上對異常登錄及支付驗(yàn)證風(fēng)險(xiǎn)提示不充分，對登錄人的真實(shí)身份核驗(yàn)不嚴(yán)格，顯然違反了上述規(guī)定。

更重要的是，按照《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》第十九條規(guī)定，“支付機(jī)構(gòu)應(yīng)當(dāng)建立健全風(fēng)險(xiǎn)準(zhǔn)備金制度和交易賠付制度，并對不能有效證明因客戶原因?qū)е碌馁Y金損失及時(shí)先行全額賠付，保障客戶合法權(quán)益。”

簡單說，對于不能確認(rèn)因客戶自行泄露用戶名、登錄密碼及以及密碼導(dǎo)致被賬戶被盜刷或消費(fèi)支付的，即使用戶沒有購買所謂支付安全保險(xiǎn)，支付寶作為支付機(jī)構(gòu)也是“先行賠付”第一責(zé)任人。

而在支付寶官方回應(yīng)中，花了較大篇幅闡釋所謂支付安全保險(xiǎn)理賠認(rèn)定上有待改進(jìn)，將用戶支付寶賬戶被盜刷的賠償責(zé)任，完全推到保險(xiǎn)公司身上的做法，不僅違反了上述規(guī)定，也令人不敢恭維。

此外，在追回用戶損失過程中，支付寶不積極履行先行賠付責(zé)任賠償用戶損失，而是充當(dāng)所謂“中介或中間人”角色居中調(diào)停，也不符合上述規(guī)定。

事實(shí)上，如果不是本案例中的用戶“小剛”有幸通過第三人聯(lián)系上了支付寶管理層，其損失可能就無法追回了。而如果不是有大V在微博轉(zhuǎn)發(fā)了“小剛”的遭遇，恐怕支付寶也不會(huì)從推脫責(zé)任變成協(xié)助其積極追回。

而這雖是“小剛”一個(gè)人的幸事，但恐怕是億萬支付寶用戶的“壞事”，因?yàn)椴皇敲恳粋€(gè)支付寶用戶都認(rèn)識(shí)那么多大V或支付寶管理層。

在“盜刷”或“賬戶被盜消費(fèi)”用戶救濟(jì)方面，亞馬遜的一些做法可能值得借鑒。

此前，有朋友的亞馬遜用戶被他人登陸并用賬戶余額進(jìn)行了大額購買消費(fèi)為。該朋友是在很長時(shí)間之后才發(fā)現(xiàn)的，隨后聯(lián)系了亞馬遜中國客服，在其技術(shù)人員確認(rèn)他人登陸了該朋友的賬號(hào)且刪除了發(fā)到郵箱的訂單記錄后，亞馬遜官方及時(shí)退回了他人盜刷的費(fèi)用。

不可否認(rèn)，由于亞馬遜網(wǎng)站的賬號(hào)體系或機(jī)制本身存在缺陷，早先郵箱注冊的用戶無法綁定手機(jī)，每次發(fā)生消費(fèi)僅通過郵件通知用戶，并不提供短信提示。但是，在確認(rèn)該筆交易并非賬戶本人操作時(shí)，亞馬遜并沒陷入賬戶、密碼被盜的責(zé)任是用戶原因，還是亞馬遜原因的糾結(jié)中，而是直接賠償了用戶損失。

這種不考慮用戶有無購買“支付保險(xiǎn)”，“是盜刷，就先行賠付”的做法是值得包括支付寶在內(nèi)的很多電商及第三方支付機(jī)構(gòu)學(xué)習(xí)。

當(dāng)然，支付寶在此次用戶被盜刷糾紛處理過程中，回應(yīng)“避重就輕”以及處理“因人而異”等做法，在傳統(tǒng)行業(yè)或領(lǐng)域很常見。不過，在國家大力倡導(dǎo)“互聯(lián)網(wǎng)+”的背景下，支付寶等知名平臺(tái)還如此應(yīng)對就讓人難以理解了。

此外，從用戶權(quán)益救濟(jì)的路徑來看，除去報(bào)案以及聯(lián)系銀行外，更重要的是，被盜刷用戶也要及時(shí)向央行等主管部門舉報(bào)或投訴，發(fā)揮央行對第三方支付機(jī)構(gòu)的監(jiān)管職責(zé)。