写在前面:
当用户规模越来越大,运营风险也会不断累积。很多起初看上去很美好或快捷的体验,也往往成为用户权益受损的隐患。
这不是支付宝一家的问题,但是,确实需要包括支付宝等在内各大平台加强用户权益安全保障措施的责任所在。
每当监管部门要加强监管或提高监管要求时,总是有这样或那样的反对声音,但是,当自身利益受损时,又会发现无人救济,这是国内很多行业的通病。
很多时候,企业或平台通过绑架用户架空了监管、降低了监管门槛,而当用户权益受损时,才发现原本应有监管的措施却被包括自己在内的用户或民意替企业或平台给“反驳”回去了。
文/李俊慧(微信公号:lijunhui0507)
“你敢用,我就敢赔;被盗刷,我不赔?”
前半句是早年支付宝推出“全额赔付”制度时的宣传口号,而后半句则是一位支付宝用户最近被盗刷的惨痛经历。
显然,一度号称“天下无贼”的支付宝似乎在移动支付大行其道之时“破功”了。
日前,一位名叫“小刚”的支付宝用户账户被盗刷经历,掀开了支付宝潜藏的安全漏洞。据小刚在《我用十天追回支付宝盗刷款25000元的奇葩经历》一文中自述,2月16日,在其绑定的手机保持支付宝登陆状态下,他人使用其他手机不仅顺利登陆了其支付宝账号,还发生了两笔大额消费,共计2.5万元。
对此,支付宝在其官方微博发文先是回应称,“我们没有第一时间监测到这个风险,导致小刚没有及时收到相关安全提醒”,随后话锋一转又表示“后续我们会继续对我们的安全核查机制进行优化和改进,进一步提高我们的风险稽查精准度。”
由此可见,从支付宝的回应来看,其并不认为自身安全机制存在“漏洞”,更不认为自身需要为用户遭遇被“盗刷”而承担责任,也更别妄谈可能会“全额先行赔付”用户损失了。
更重要的是,不论是在小刚的自述一文中,还是支付宝的官方回应中,派出所及银行似乎都成了“背锅侠”,恰恰因为这两方工作存在问题,致使用户遭受损失且无法及时获得救济。
那么,支付宝用“轻描淡写”式的口吻回应“安全漏洞”,又“大张旗鼓”的以“中介或中间身份”居中调解受害人和盗刷嫌疑人和解,并抱怨称“毕竟支付宝不是司法机关,无法单方面下定论谁是盗用者并动用强制手段”,其背后到底用意如何?这其中又故意混淆了那些问题?
混淆一:支付宝用户被盗刷,银行担责既不现实也不可能
小刚在自述一文中称,“招商银行信用卡表示是支付宝被盗通过快捷支付消费,银行不承担责任。”
虽然招商银行“不承担责任”的说法令人不悦,但支付宝被盗刷消费确实是银行“力所不逮”的。
一方面,根据支付宝快捷支付规则,使用该功能交易时,在一定限额范围内,只需提供支付宝账号支付密码,不需要验证任何信息,即可划走其绑定的银行卡里的钱,完成交易。
简单说,快捷支付是支付宝作为第三方支付通道或角色(类似线下刷POS机的银联角色)提供的网络支付服务。
在这项服务中,银行付款的条件是准确输入支付宝支付密码,至于此密码是支付宝用户自行输入,还是委托或授权他人输入,既不是银行需要查验的,也不是银行具备条件或能力可以查验的。
另一方面,对于使用快捷支付进行消费来说,收款对象及支付交易行为均发生在支付宝或阿里巴巴平台体系中,当发生错误交易时,就快速实现“止付或退款”来说,支付宝本身才具有此现实操作或管理的能力。
因此,在支付宝快捷支付中发生的“盗刷”问题,银行确实不应或也不具备能力承担支付安全的责任。
当然,这也是此前中国工商银行、中国银行等诸多银行一度减少与支付宝快捷支付合作的接口及降低支付限额的关键所在,因为用户被盗刷风险过大。
混淆二:支付宝是支付安全责任第一人,而非“中介或中间”角色
根据中国人民银行颁布的部门规章《非金融机构支付服务管理办法》规定,支付宝等第三方支付机构需要有“健全的风险管理措施”。
《非金融机构支付服务管理办法》第十八条规定,“支付机构应当按照审慎经营的要求,制订支付业务办法及客户权益保障措施”、第三十二条规定“支付机构应当具备必要的技术手段,确保支付指令的完整性、一致性和不可抵赖性,支付业务处理的及时性、准确性和支付业务的安全性。”
显然,支付宝在用户非本人登陆账号时未提示以及登陆设备非常用设备发生大额支付前未提示等环节上存在明显的“漏洞”,是致使用户支付宝账户被他人成功“盗刷”的关键所在。
此外,根据中国人民银行最新制定、将于7月1日起施行的《非银行支付机构网络支付业务管理办法》第十六条规定,对于类似“登录和注销登录、身份识别和交易验证”等客户网络支付业务操作行为,支付机构应当在确认客户身份及真实意愿后及时办理。
而支付宝在客户登录及支付等环节上对异常登录及支付验证风险提示不充分,对登录人的真实身份核验不严格,显然违反了上述规定。
更重要的是,按照《非银行支付机构网络支付业务管理办法》第十九条规定,“支付机构应当建立健全风险准备金制度和交易赔付制度,并对不能有效证明因客户原因导致的资金损失及时先行全额赔付,保障客户合法权益。”
简单说,对于不能确认因客户自行泄露用户名、登录密码及以及密码导致被账户被盗刷或消费支付的,即使用户没有购买所谓支付安全保险,支付宝作为支付机构也是“先行赔付”第一责任人。
而在支付宝官方回应中,花了较大篇幅阐释所谓支付安全保险理赔认定上有待改进,将用户支付宝账户被盗刷的赔偿责任,完全推到保险公司身上的做法,不仅违反了上述规定,也令人不敢恭维。
此外,在追回用户损失过程中,支付宝不积极履行先行赔付责任赔偿用户损失,而是充当所谓“中介或中间人”角色居中调停,也不符合上述规定。
事实上,如果不是本案例中的用户“小刚”有幸通过第三人联系上了支付宝管理层,其损失可能就无法追回了。而如果不是有大V在微博转发了“小刚”的遭遇,恐怕支付宝也不会从推脱责任变成协助其积极追回。
而这虽是“小刚”一个人的幸事,但恐怕是亿万支付宝用户的“坏事”,因为不是每一个支付宝用户都认识那么多大V或支付宝管理层。
在“盗刷”或“账户被盗消费”用户救济方面,亚马逊的一些做法可能值得借鉴。
此前,有朋友的亚马逊用户被他人登陆并用账户余额进行了大额购买消费为。该朋友是在很长时间之后才发现的,随后联系了亚马逊中国客服,在其技术人员确认他人登陆了该朋友的账号且删除了发到邮箱的订单记录后,亚马逊官方及时退回了他人盗刷的费用。
不可否认,由于亚马逊网站的账号体系或机制本身存在缺陷,早先邮箱注册的用户无法绑定手机,每次发生消费仅通过邮件通知用户,并不提供短信提示。但是,在确认该笔交易并非账户本人操作时,亚马逊并没陷入账户、密码被盗的责任是用户原因,还是亚马逊原因的纠结中,而是直接赔偿了用户损失。
这种不考虑用户有无购买“支付保险”,“是盗刷,就先行赔付”的做法是值得包括支付宝在内的很多电商及第三方支付机构学习。
当然,支付宝在此次用户被盗刷纠纷处理过程中,回应“避重就轻”以及处理“因人而异”等做法,在传统行业或领域很常见。不过,在国家大力倡导“互联网+”的背景下,支付宝等知名平台还如此应对就让人难以理解了。
此外,从用户权益救济的路径来看,除去报案以及联系银行外,更重要的是,被盗刷用户也要及时向央行等主管部门举报或投诉,发挥央行对第三方支付机构的监管职责。