看似便捷的功能 , 却可能造成资金安全隐患 。
近日 , “解除支付宝账号授权”这一话题在微博热搜上引发了广泛讨论 。 有网友发现 , 在支付宝的“个人信息授权管理”列表中 , 被一键授权获取其个人信息的软件数不胜数 , 不少均涉及姓名、手机号、证件等敏感信息 。 用户陷入“授权泛滥”困境 , 存在不少安全隐患 。
“免密支付/自动扣款”则是另一大“雷区” , 很多人发现了不少“隐藏扣款” 。 近日 , 来自重庆的学生党刘雨(化名)告诉时代财经 , 她于去年在某在线小说阅读平台开通了VIP会员 , 使用支付宝免密支付 , 最近检查账单才发现该VIP会员一直在自动续费 。
【免密支付暗藏隐患,有人薅10元羊毛被盗刷1万】“订的时候一时爽 , 取消的时候找不到 , 以为没有续费了 , 其实每个月一直在默默扣你钱 。 这就像金钱小偷 , 因为不用动脑子 , 不知不觉钱就走了 。 ”刘雨如此表示 。
9月17日 , 支付宝在其官方微信平台上发文回应称 , 支付宝2021年就推出了“个人信息授权管理”功能 , 方便用户统一管理;另外 , 除了可以一站管理自己的授权 , 用户还可以在“用户保护中心”修改自己的隐私设置 , 查看授权自动续费的服务等 。 支付宝支付设置上 , 也可通过自动续费/免密支付设置 , 解除“自动扣费”功能 。
图源:支付宝
1 有人为薅10块羊毛 , 免密支付被盗刷1万当下 , 在淘宝、美团、滴滴等各类生活服务平台上 , 免密支付已经成为一项较为普遍的功能 , 无需输入密码 , 小额交易瞬间完成 。
时代财经发现 , 除了“图方便” , 也有部分用户冲着优惠福利使用免密支付功能 。 “为了薅首月优惠 , 我经常开通各种平台的免密支付 , 不过之后会记得把这个功能关闭 , 还是觉得不太安全 。 ”来自广东的白领吴先生(化名)如此表示 。
尽管当下仍有不少用户对免密支付功能保持谨慎态度 , 或仅仅只尝试小额支付 , 但在使用第三方平台进行消费时 , 在付款最终完成之前 , 是否开通免密支付早已成为消费者的“必答题” 。
例如 , 来自辽宁的王女士(化名)近日向时代财经称 , 自己在使用某在线旅游服务平台进行付款时 , 被强制关联支付宝免密 。 “点击付款后 , 系统就会自动跳转到开通免密支付页面 , 需同意协议并开通免密支付方能进入下一步操作 , 其中甚至没有拒绝的选项 。 ”王女士说道 。
对此 , 北京市隆安(广州)律师事务所陈钟涛律师向时代财经指出 , 根据《个人信息保护法》的规定 , 处理个人信息、开通支付等重要功能 , 必须获得用户“明示同意”和“单独同意” 。
这意味着用户必须主动、清晰地做出“同意”的动作 , 而不是被平台预先设定为“同意” 。
“同时 , 《电子商务法》也明令禁止将搭售服务作为默认同意的选项 。 因此 , 在支付环节中 , 通过默认勾选或隐匿‘不同意’选项来强制用户开通免密支付的做法 , 并不符合法律规定 。 ”其表示 。
“免密支付是全球移动支付进阶的普遍方向 。 ”9月18日 , 博通咨询金融行业首席分析师王蓬博在接受时代财经采访时表示 , “客观来看 , 免密支付确实也存在一定风险敞口 , 因此 , 该功能在提升便捷性的同时 , 对平台风控能力和用户安全意识都提出了更高要求 。 ”
“一旦用户手机丢失或账号信息泄露 , 攻击者可能利用已授权的免密通道进行连续盗刷;此外 , 部分用户对自动续费规则理解不清或授权管理疏忽 , 也可能导致误扣或遗忘扣款 , 引发争议 。 ”王蓬博说 。
从实际案例来看 , 免密支付功能若被不法分子利用 , 可能带来严重安全隐患 。
据中国消费者协会8月发布的《2025年上半年全国消协组织受理投诉情况分析》 , 当下 , 一些无良商家通过在网络上发布“走路赚钱”“免费领红包”等宣传语吸引老年人点击 , 随后跳转免密支付自动扣款收取“会员费” 。 今年4月 , 陕西某地方法院发布的一起案情介绍称 , 一名原告手机丢失 , 他人盗用该手机 , 通过免密支付盗刷1.2万元 。
也有网友在社交媒体上称 , 其曾在二手交易平台下单购买奶茶优惠券后 , 在短短两分钟内遭遇了10笔盗刷 。 “就为了省10块奶茶钱 , 通过第三方链接跳转支付宝 , 开通了免密支付 , 结果两分钟花呗被刷了10169元 。 ”
上述网友还称 , 自己平时经常在上述平台购买优惠券套餐、会员券 , 但是每次都比较警惕 。 “但就是这一次 , 没有仔细考虑就造成了损失 , 还是要对免密支付和第三方链接一定要保持警惕心理 , 千万不要大意 。 ”所幸的是 , 通过平台介入 , 该网友最终成功追回了9990元 。
对此王蓬博认为 , 从过往的案例来看 , 盗刷事件更多的是个别用户设备丢失、账号泄露或过度授权后的风险外溢 , 而非免密功能本身的设计缺陷 。 “目前主流的支付平台都承诺‘被盗全赔’ , 这方面用户不用太担心 。 ”其表示 。
时代财经也从微信支付相关界面查询到 , 微信免密支付如果资金被盗 , 在客服中心有申诉入口 , 被盗资金可申请赔付 , 微信支付配有“百万保障” , 当用户的支付账户出现被盗情况 , 损失金额承诺赔付 。
9月18日 , 抖音相关人士也告诉时代财经:抖音支付联合中国人保财险提供百万账户安全险 , 若确认账户被盗刷 , 平台会对账户资金损失进行赔付(最高赔付可达100万/年) 。
2 过度“一键授权”存隐患除了免密支付 , 支付宝账户解除授权是众多网友关注的另一焦点 。 有网友反映称 , 其在支付宝的个人信息授权管理清单中 , 发现了超100项授权项目 , 最早的授权时间甚至可以追溯到10年之前 。
在专业人士看来 , 过度宽泛的“一键授权”会导致个人信息流向不透明 , 存在被滥用的隐患 。 “许多早已不用的App和小程序的僵尸授权长期存在 , 如同数据‘后门’ , 持续构成安全威胁;最后 , 与免密支付、自动扣款关联的授权则直接威胁财产安全 , 极易造成消费者在不知情的情况下被直接扣款 。 ”陈钟涛律师表示 。
北京云亭律师事务所王琼律师也认为 , 若用户打开支付宝的“个人信息授权管理” , 发现自己“被授权”给了某平台、某理财APP , 但用户根本不记得什么时候同意过 。 这违反了《个人信息保护法》的“单独同意”要求 。 “平台把你的信息给第三方前 , 必须明确告诉你“接收方是XX、要用你的XX信息、做什么用” , 而且得让你“主动点同意” , 不能偷偷绑” 。
为了杜绝个人信息泄露、财产流失等隐患 , 相关机制仍有待完善 。
对此 , 王蓬博建议称 , 平台应在授权管理上坚持“最小必要、知情同意、可撤回”原则 , 进一步优化协议披露的透明度 , 采用分步引导、显著提示、设置冷静期等方式 , 杜绝“强制捆绑”或“默认勾选”等不当操作 。
“同时 , 在免密支付开通后 , 平台需强化异常交易的实时提醒与拦截能力 , 提升用户对授权的掌控感 。 比如 , 相关平台可以上线‘个人信息授权管理’功能 , 用户可便捷查看所有已授权的第三方应用及免密/自动扣款项目 , 并支持随时解绑 。 ”其说道 。
另一方面 , 消费者也可主动采取措施防范相关风险 。 平台与用户协同治理 , 方能让免密支付在安全与便捷之间实现最佳平衡 。
“对消费者而言 , 应主动定期检视授权清单 , 及时清理不再使用的授权服务 , 优先在可信应用中开通免密功能 , 并结合指纹、面容等生物验证增强账户安全 。 ”王蓬博表示 。
本文来自微信公众号“时代财经APP” , 作者:张昕迎 , 编辑:周梦梅 , 36氪经授权发布 。
推荐阅读
- 支付宝两个经营主体完成更名
- 支付宝新功能,动动嘴就能支付!
- PayPal全球收付平台发布,加码AI赋能跨境支付丨最前线
- 支付宝推出国内首个智能体支付服务“AI付”,瑞幸率先上线
- 支付宝推出全国第一个智能体支付服务“AI付”
- 支付宝在外滩大会公布:“碰一下”用户规模破2亿,新增1亿仅用4个月
- 小米AI眼镜发布固件更新:支付宝看一下支付上线
- 谷歌无需拆分Chrome,可代价却是安卓用户支付
- 用户扒出三星三折叠演示动画,能反向充电、NFC支付
- 苹果发布会邀请函解读:网页源代码暗藏关键细节