“免密支付”的风险，一觉醒来，钱就没了！

“免密支付”的风险

目前大多数使用者可能都未意识到

今年3月初，多名网友在网上发文称，自己的苹果手机开通“免密支付”后遭盗刷，这些网友的微信或支付宝无故出现多笔扣费，金额从几千元到一万多元不等。多位网友贴出的账单显示，被转出的钱款大多通过苹果账户充值进了手机游戏里。

苹果客服在回复媒体时表示，不法分子可能是利用了苹果的“免密支付”功能，用盗取的账户给购买了“代充”服务的顾客充值，“就是空手套白狼”。

“免密支付”作为一种无须输入密码即可完成交易的支付方式，日益成为移动支付时代消费者的普遍选择。然而，这一看似便捷的功能却隐藏着不小的风险。近期中国消费者协会的警示也再次将这一话题推向公众视野。中国消协发布的消费提示指出，网络购物谨慎使用“免密支付”功能，避免因账户权限过度开放引发资金损失。

为何这种旨在提升体验的功能会成为安全风险的温床？

“免密支付”的风险，目前大多数使用者可能都未意识到。多位业内人士提醒“不懂的人最好别用”，十分容易“踩坑”，少则损失几十元，多则损失上万元。此外，当出现问题时，责任该由谁来承担，目前很混乱。不少消费者遭遇盗刷后，发现各平台互相“踢皮球”，“免密支付”背后的责任边界问题，也亟待理清。

被盗刷162笔

“一觉醒来钱就被偷走了。”张葵一早醒来发现短信提醒，半夜有人从她的苹果账户刷走998元充值到了《大话西游》这款游戏中，但她从未玩过这个游戏。她马上意识到，她的苹果账户被盗刷了。

回想了很久，她此前并无泄露个人信息或者点开不明链接，只是在睡前更新了苹果手机的系统。在被盗刷之后，张葵才发现自己已经开通了苹果账户的“免密支付”。

像张葵这样只被刷走一笔订单还算是幸运的，因为她在移动支付绑定的信用卡上设置了刷卡限额，当不法分子试图刷走第二笔995元的款项时，因需要本人认证才没成功。

山东纳源律师事务所律师田军伟告诉《中国新闻周刊》，他接触的上百起盗刷事件中，被刷走几万元的消费者并不少见。一位消费者的账户曾经在凌晨2:50到凌晨5:51，总共被盗刷162笔，总金额达到了80868元。他指出，这些涉及金额比较多的账户，绑定的一般是微信支付且余额较多，或是绑定的银行卡和信用卡额度较高。

在黑猫投诉平台上，有近6万条投诉涉及“免密支付”。这些投诉包括用户在不知情情况下被开通“免密支付”、无法取消功能、开通后乱扣费等问题，发生的场景则集中在电商平台、会员开通以及二手平台等。

值得注意的是，在投诉情况中，有不少涉及老人和孩子。有未成年人在电商平台和直播平台中在未经家长同意的情况下使用“免密支付”，老人则通常是不知在何时开通了“免密支付”，导致账户被盗。

据媒体报道，一位长沙的老年用户向12315投诉“免密支付”在“偷”她的钱。在她的微信账单中，自去年5月开始，每个月都有一项固定的扣款记录，都是25元，支付给了视频网站。她自称，作为老年人，对这些功能采取“绝缘”态度，确定自己不会开通“免密支付”功能。

事实上，大规模投诉的背后现实是，中国网络支付用户规模已达10亿人的体量，“免密支付”渗透率较为稳定。

中国支付清算协会发布的《2023年移动支付个人用户使用情况调查报告》中提到，“免密支付”在移动支付用户中接受度较广，特别是在小额场景中应用更为广泛。在参与调研的用户中有一半人使用“免密支付”的金额在100元以下，超过27％的用户设置在了100元到300元。乘坐交通工具是使用频率最高的场景，电商平台渗透率其次。此外，在线下实体店、生活服务类App中渗透率也在提升。

“免密支付”如同一把双刃剑，在带来便捷的同时也带来了风险。很多消费者并不了解其运作机制和潜在风险，自身财产安全受到了很大的威胁。

目前还上大学的王楠反思了自身安全意识的薄弱。据她回忆，半个月前她在闲鱼购买了山姆超市一日体验卡，对方以领取体验卡到苹果账户为由，骗取了她的苹果账户。

最终，在短短4分钟内，对方通过苹果账户“免密支付”非法刷走她支付宝的花呗余额6000多元。这些钱通过苹果账户，以每次648元的价格汇入了一款名为《绝区零》的游戏账户中。

王楠坦言，自己太掉以轻心了，根本没有想太多就把苹果账户给出去了。她甚至不知道苹果账户的“免密支付”是从什么时候开通的，使用时到底需要什么条件。

“漏洞”到底在哪里？

据田军伟介绍，他接触的“免密支付”盗刷案例中，几乎100％与苹果设备相关，这些案例中盗刷金额往往最终流向游戏公司的虚拟商品。

苹果执行的是“默认开通”政策，即用户在不知情的情况下被开通“免密支付”功能。“苹果公司在用户体验上没有给消费者选择权。不同于其他平台提供验密和免密两种选择，苹果应用商店只支持‘免密支付’，消费者只能选择用或不用，没有更安全的替代方案。”

不过，一位不具名的支付从业者告诉《中国新闻周刊》，“免密支付”是国际惯例，在国际上都是统一标准，一般不存在技术漏洞。实际上，更多的情况可能是消费者没有保护好自身的信息，被不法分子利用。

“从目前的多个案例来看，可能已经形成了灰色产业链，一旦消费者的账户被泄露，就有人利用账户充值到游戏中。”

在中国电子技术标准化研究院网安中心测评实验室副主任何延哲看来，目前很多公开信息中写“免密支付”有“漏洞”，并不准确。从技术上来看，“漏洞”不能乱用，漏洞一般是指代码逻辑上存在缺陷，被恶意人员或者恶意代码利用后从而绕过身份鉴别、访问控制措施。漏洞是无意造成的，不属于有意设置，有意设置的叫“后门”。如果支付系统真的出现漏洞，恐怕会造成很大的恐慌。

不过，一些被离奇盗刷的经历让不少消费者感到不解。去年9月的一个晚上，有陌生的苹果账户绑定了消费者高杨的移动支付账号，进行了一笔游戏充值，交易金额是98元。高杨说，因为他设置了100元以下的免密交易，损失比较小。“但这不是钱多少的事情，别人的苹果账户到底是怎么绑定了我的移动支付账号，我感觉到很不安。”目前，高杨已经向苹果客服申请退款，但一直未果。

“我接触的案例中，有些确实是莫名其妙被盗刷的。比如有消费者的苹果账户绑定了QQ邮箱，盗刷者可能通过攻破邮箱获取了苹果账户控制权。这种情况下，消费者很难说明自己没有任何过错，但平台方和支付机构的风控责任却不应因此被免除。”田军伟表示，很多“免密支付”导致的盗刷案件，主要是两类情况，一个是各类技术漏洞遭到不法分子攻破，另一个是消费者自身泄露信息，比如苹果账户等。

在“免密支付”盗刷案件中，各个环节风控措施的缺失同样值得关注。田军伟通过调查发现，整个支付链条出现了严重的风控真空。支付机构误认为苹果系统足够安全，因此放松了自身的风控；银行则认为来自支付宝、微信的请求已经过风控，也不再额外审核。结果是盗刷交易畅通无阻，无人拦截。

消费者王欢在半年前丢失了苹果手机，3月初被人关闭了查找功能，对方同时开始了游戏充值，在试图进行第一笔五千多元金额的充值时被她发现，第一时间便致电苹果客服，但是苹果客服拦截不力，未能在最佳时间拦截，导致钱已经充到《王者荣耀》里。后续，她向苹果客服申请退款，客服帮忙备注，但两次退款都失败了。

苹果客服并未告知她，一笔订单只有两次退款机会。在案发当天下午她果断报案，警方定性为刑事案件，目前正在立案侦查。但为了追回钱款，王欢向苹果公司CEO库克的邮箱发了一封说明邮件，陈诉自己并未进行相关的充值。当她写完邮件后，苹果公司的行政高管联系了她，审核相关情况后，她收到了退款。“我不知道有多少人会去给库克写邮件，我认识的很多人也没能够拿回退款。”王欢说。

一位移动支付从业者告诉《中国新闻周刊》，很多时候即便想要风控，但是平台可能不了解那么多细节。因为苹果有自己的循环支付体系，支付指令发出后，国内的移动支付体系很难甄别到更多风险。

田军伟进一步解释，即使是高风险时段（如凌晨）的连续多笔异常交易，在早期也很少被支付机构拦截。直到2023年开始，部分支付机构才逐渐加强风控措施，但效果仍不够理想。

针对“免密支付”可能带来的风险，中国消费者协会指出了三大安全隐患：一是手机丢失或账号泄露时风险激增；二是小额免密累积大额损失；三是隐蔽性强，难以及时察觉。插画/adan

“免密支付”争议已久

实际上，“免密支付”争议已久。回溯支付验证方式的历史演变过程，资深信用卡专家董峥介绍，早在20世纪90年代信用卡开始在中国发展时，签字确认就是主流支付验证方式。签字这种确认形式源于西方以签字为确认的社会文化，与中国传统的盖章文化形成鲜明对比。

“签字确认模式进入中国后，由于缺乏相应的文化基础和技术支撑，导致冒签现象严重。到2003年，深圳发展银行开始推广密码验证方式，逐渐被各大银行采纳，成为替代签字确认的主流验证方式。”董峥提道。

随着移动支付的普及，“免密支付”作为一种更为便捷的交易形式应运而生。董峥认为：“‘免密支付’不是坏事，它是在密码支付基础上，在移动支付时代发展出的一种快速支付方式。它仍然基于网络验证，只是简化了用户操作环节。”

“我是坚决反对广泛使用‘免密支付’的。”董峥解释，“但是反对不代表不用，像我们了解这种方式，所以用起来风险低。然而不懂的人最好不要用，用了之后极其容易发生误判，或者被人利用。”

他认为，这种支付方式会加速消费者误判的发生。在公共交通、便利店购物、共享单车等小额高频场景中，消费者无须输入密码即可完成支付，节省了不少时间和操作步骤。清华大学消费金融研究院调研显示，“免密支付”用户客单价提高了18％，但退货率增长了40％，这从侧面说明“免密支付”不仅方便了消费者购物，甚至还让消费者消费“上头”，但最终消费者更容易反悔。据悉，有头部平台因默认开通免密功能年增收超百亿元。

何延哲认为，“免密支付”主要就是为了用户方便，用户在方便和安全中选择了方便优先。“免密支付”对于用户而言，最关键的是要明示告知用户单独开通，此外需要设置免密额度，单次额度和单日（或每月）限额，并方便管理撤回。

但即便如此，安全隐患仍较大。据中国消费者协会披露，近期陆续接到消费者因“免密支付”功能导致账户资金被盗刷的投诉。从用户角度看，维护账户安全确实是基本责任。然而，随着支付方式的多样化，用户往往难以全面了解各种权限设置及其风险。针对“免密支付”可能带来的风险，中国消费者协会指出了三大安全隐患：一是手机丢失或账号泄露时风险激增；二是小额免密累积大额损失；三是隐蔽性强，难以及时察觉。

上述风险往往令人猝不及防，在四川泸州的一起案例中表现得尤为明显。一名市民捡到他人手机后，分8次扫码消费，每次金额均小于等于1000元，直至将微信零钱全部消费完毕。

田军伟接触并代理了多起“免密支付”相关案件，大部分消费者是年轻人，对移动支付的使用习以为常，因此“踩坑”也多。

对年轻消费者来说，面对“免密支付”，常常陷入矛盾。一方面，他们认可其便捷性；另一方面，又担忧安全风险。有消费者认为“免密支付”十分必需，使用“免密支付”，快捷高效，特别是在购买热门球赛、演唱会门票时，省去输入密码的环节，提高抢货效率。也有消费者抱怨，有时候消费后平台自动扣款，支付过程类似于无感支付，以至于自己都不太关注到底扣了多少钱。

这种矛盾心态反映了当前消费者在便捷与安全之间的艰难选择。“如果一味地劝用户关闭‘免密支付’功能，让人感觉‘免密支付’就是一种错误，类似坐地铁刷手机之类的便捷功能也只能放弃了。”何延哲表示，真正需要提防的是，有些不良商家搞套路开通。

平台责任被模糊了

在移动支付中，对平台而言，完善技术手段、加强风险提示、优化用户体验，是履行主体责任的应有之义。然而，如今却演变为消费者频频付出“隐形代价”，当“免密支付”出现盗刷等问题时，责任归属常常成为争议焦点。

田军伟告诉《中国新闻周刊》，“免密支付”盗刷案件中，责任方通常包括平台方、支付机构和银行，但各方都在互相推诿。苹果公司坚持认为其只提供技术平台；支付机构声称已按规定进行验证；银行则表示收到的是正规支付请求。结果是消费者的损失无人承担，难以获得有效赔偿。

他表示，利用法律手段起诉的话，根据之前的经验，苹果公司不会主动配合司法程序，消费者需要自行承担翻译费、送达费等高额诉讼成本，即使胜诉，这些费用通常也难以从对方处获得补偿。

目前，他起诉成功的唯一案件，就是消费者被盗刷79笔异常消费、合计51192元后，立即通过苹果客服电话投诉，要求退回全部盗刷款项。苹果客服经核查后，确认原告投诉属实，明确表示同意退款，并且告知原告“退款成功，等待退款到账即可”。立案的前提是苹果官方的承诺，事实上，大部分消费者的盗刷案件都没能得到立案。

同样的“免密支付”盗刷问题，在国内外的处理方式也截然不同。在国外，信用卡公司对于盗刷案件有着完善的“拒付”机制。他曾接手的一个案例显示，盗刷者利用窃取的国外信用卡信息在苹果应用商店购买中国游戏公司的虚拟商品。当国外消费者声明这不是自己的消费时，外国银行立即执行了拒付，导致苹果公司不给中国游戏公司结算费用。

田军伟解释：“国外的消费者遭遇盗刷后，可以声明‘这不是我的消费’，银行通常会认可消费者的说法并退款。而在国内，同样的程序却难以执行。理论上有类似制度，但实际操作中，消费者往往需要经历漫长的取证和投诉过程，甚至最终仍无法获得全额赔偿。”

另一方面，苹果公司通过不设立中国境内运营主体，在某种程度上规避了监管责任。田军伟表示，苹果应用商店没有设立中国的经营主体，消费者维权只能面对境外公司，这大大增加了维权难度和成本。“我们曾经通过《反垄断法》和增值电信经营许可证违规等角度进行举报，希望能促使其设立境内运营主体，从根本上解决监管问题。”

更为困难的是，当发生盗刷争议时，用户常面临举证困境。消费者被盗刷后的维权过程极为艰难，除了要面对高额的诉讼成本，还要解决举证难题。很多消费者难以证明自己没有泄露账户信息，或确实遭遇了“莫名其妙”的盗刷。

当前，对“免密支付”的监管主要依据《中华人民共和国支付结算办法》《非银行支付机构网络支付业务管理办法》等法规。这些法规对支付安全提出了基本要求，但对“免密支付”这类新兴模式的规范仍显不足。特别是在用户权益保护方面，现有法规对“告知义务”和“默认选项”等关键问题缺乏明确规定。

田军伟认为，目前的监管问题不在于立法不足，而在于监管执行乏力。现有的《电子商务法》《消费者权益保护法》都要求平台保证支付安全，但苹果公司因没有境内主体，监管部门难以有效执行。“这也是我们主张从反垄断角度入手的原因，因为《反垄断法》不区分境内外主体。”

2025年2月，48位消费者委托田军伟向国家市场监督管理总局联名举报苹果公司涉嫌滥用市场支配地位。具体举报内容为，苹果强制用户在苹果应用商店只能使用“免密支付”方式付款，导致绑定“免密支付”的苹果账户被盗用后，他人可绕过支付工具的身份验证环节直接实施盗刷，造成包括举报人在内的众多苹果用户资金被盗刷。

从长远来看，田军伟提出了更系统的解决方案：平台方应该给予消费者支付方式的选择权，允许消费者在验密支付和“免密支付”之间自由选择。支付机构和银行需要加强风控措施，特别是对异常时段、异常金额和异常频次的交易进行重点监控。监管部门则应该督促境外企业设立境内运营主体，确保监管有效落实。

记者：孟倩