文│对外经济贸易大学法学院 冯辉 靳岩岩

二维码技术自1994年日本Denso-Wave公司研发出来后,迅速应用于移动支付领域。中国移动支付规模发展之迅速,市场覆盖之广泛,为世界之惊叹。但诈骗、网络病毒、木马程序等问题不时发生,给消费者权益、交易安全以及整个网络安全等均造成了巨大冲击,从而对相应的监管提出了更高要求。

一、二维码支付产业监管面临的困境

(一)二维码支付的安全技术尚未成熟

导致二维码支付侵权行为屡见不鲜的技术原因主要包括:1.就其自身而言,二维码作为信息载体,技术含量高,但开发门槛低,编译程序基本开放,想掌握并加以利用并非难事。2.许多二维码扫码工具缺乏恶意识别与拦截的能力,对欺诈性二维码难以进行有效辨别。犯罪分子通过对二维码病毒植入,便可在后台窃取用户的账户密码等信息,进行非法资金转移。2018年实施的《条码支付业务规范》按照二维码的形态与支付方式的安全性能评估,将支付的限额分为四个层级,最低等级的静态扫码,单日限额仅为500元。此种限制虽然降低了二维码安全技术不完善而导致大额资金欺诈的可能性,但并未解决二维码支付的安全技术尚未成熟的症结。

(二)对二维码用户的信息保护重视不够

二维码不仅包含了用户的身份信息,更是资金管理的账户和密码的载体,一旦出现安全问题会直接导致用户的信息被不法分子利用,造成难以估量的损失。随着信息化程度不断提高,政府与民众对信息安全的认知程度也不断深化,但由于我国信息安全技术保障基础薄弱,使得二维码支付带来的用户信息泄漏问题层出不穷。企业在发展初期往往为了积累用户量、扩大知名度而难以将企业资源投放于用户信息安全建设。涉及数据安全和个人信息的法律法规与政策都不尽完善,很多严重的数据泄漏事件缺乏及时与高效的应对,难以促进企业对于用户信息保护的重视。

(三)监管措施难以满足实践需要

科学技术快速迭代,升级周期随着数据的积累和算法的更新而越来越短。相比之下,法律监管则具有明显的滞后性。数字信息安全监管领域的法律,普遍具有较高的时间成本和适用成本,往往落后于新技术的应用和发展。二维码支付打破了传统的金融支付市场格局,对货币发行和流通秩序造成了冲击,监管部门对之一直持以极为谨慎的态度,直到2018年《条码支付业务规范》才正式承认二维码支付的法律地位。《条码支付业务规范》的颁布和实施解决了二维码支付产业“无法可依”的难题,但效果如何尚有待于实践检验。

二、完善二维码支付产业监管的主要建议

(一)完善二维码支付相关的法律法规建设

针对层出不穷的新科技产品,技术无疑是保证安全运营的核心,但完备的法律法规才是产业运营和持续的根本。目前与二维码支付直接相关的法律法规只有《条码支付业务规范》一个部门规章。无论从立法内容还是法律位阶上,都难以对规模庞大而乱象丛生的二维码支付产业进行有效规制。对此,制定“电子支付法”或者“移动支付法”对二维码支付各参与方的行为进行针对性的规制才是治本之道。其中几个重要的问题包括:第一,明确侵权责任承担。应当参照产品质量责任要求平台和商家对侵权人承担连带责任,无论平台和商家是否有过错,只要有侵权行为发生,都应对用户损失予以救济,以此督促平台对支付安全提高重视,改善移动支付的安全性能。第二,实行举证责任倒置。由于二维码支付产业中的侵权行为多是利用现代科技手段而实施,受害者取证困难,交易的数据、方式、身份认证等都为平台所掌控。故不能按照传统的“谁主张、谁举证”分配举证责任,而应由平台承担即实行举证责任倒置。第三,加强刑法规制。仅凭市场主体的自力救济而达到规范二维码支付产业的效果困难较大,需要借助刑法规制,加强对利用二维码违法犯罪的惩戒力度。二维码支付产业中涉及的盗窃罪、诈骗罪、妨害信用卡管理罪等违法犯罪行为,都应在立法中加以明确规定。

(二)优化征信体系建设

在大数据背景下,建立一个科学、有效的监管系统的核心,是保证信息来源的准确和充分。金融市场风险的良好管控,要求监管机构必须整合分散的数据信息,建立起科学有效的征信体系。在征信体系建设的过程中,要充分发挥腾讯、阿里等拥有大数据的企业的作用,向满足条件的科技公司发放征信牌照,鼓励企业对用户的信用数据进行信息共享,以此为基础形成科学监管的信息与信用基础。

(三)着力发挥第三方支付平台与银联的功能

在买方市场的大背景下,第三方支付机构保证客户资金安全至上的思维营造出一种多赢局面。一方面能够使各方优质资源聚集,从而形成更为完善、高效的产业生态链,降低企业成本;另一方面可以增加平台的商业信誉,从而挖掘更深层次的潜在用户,扩大市场规模。就二维码支付产业而言,微信和支付宝以自身大规模的数据存储与数据分析优势,利用银联所拥有的良好市场形象与信誉,确保资金代管的合规,在科技研发与市场营销等层面进行分工,整合多方优势,降低营销成本,从而在安全技术研发与产品优化上投入更多资源,构建开放共赢的二维码产业生态链。应当进一步发挥上述效应对于二维码支付产业安全保障的基础功能,通过市场化的手段实现产业监管的目标。

(四)积极引入商业保险机制

资金被窃取了之后仅凭消费者的力量很难进行追踪,损失难以得到救济,这就要发挥商业保险公司的作用。早在2013年,平安保险便牵手支付宝,设立了快捷支付资金的盗刷险。用户在移动支付的过程中如果因盗刷而受到的损失,保险公司将进行全额赔付。但针对二维码侵权现象的情形多种多样,盗刷险对多样化的侵权方式也难以完全覆盖。因此,建立完备的移动支付商业保险体系尤为重要。应当引导保险公司利用平台数据对移动支付风险进行分类,针对不同的风险类型设立相应的险种,以适应日新月异的科学技术及其商业应用所带来的风险。

(五)强化公共宣传以提升公众安全意识

应当进行全民金融教育,开展具有针对性、实用性的教育宣传活动。特别是提高二维码支付使用主体对个人信息的风险防范意识,培养消费者对支付信息进行确认、在公共场合提高警惕等习惯,深入了解自身的权利和义务,熟悉各种维权手段和维权途径,通过合法手段保护自身隐私与交易安全。值得注意的是,越是数字化程度低的地区,移动支付的发展市场就越大,普及速度也越快。因此,应着重加强农村地区金融科技知识的教育和普及,借鉴发达地区二维码支付产业监管的经验和教训,强化公共宣传,避免类似案件再现。

三、结语

移动互联时代已经到来,科技推动社会变革还在加速。科技突破难以预期,但社会对科技产业的监管需求日趋强烈。只有各方通力合作,借助大数据、动态安全等新兴技术,才能提升产业的安全保障能力,促进产业的良性发展。据报道,2018年12月20日,由我国中关村工信二维码技术研究院主导的统一二维码标识注册管理中心(UTC)经过审核批准,开始向全球用户提供二维码相关服务,标志着中国所有二维码将具有全球唯一的身份标识,也带动全球二维码行业进入了互联互通和标准化的新阶段。这是中国二维码支付产业在标准化建设和规则治理领域的重要进步。从定点现金支付到移动手机支付,再到人体特征支付,支付产业的发展日新月异,要求相应的监管也能及时把握科技产业的发展规律,实现科学监管、法治监管,营造良好的产业发展环境。

(本文刊登于《中国信息安全》杂志2019年第3期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。