《中國新聞周刊》記者：孟倩

　　發于2025.4.7總第1182期《中國新聞周刊》雜志

　　今年3月初，多名網友在網上發文稱，自己的蘋果手機開通“免密支付”后遭盜刷，這些網友的微信或支付寶無故出現多筆扣費，金額從幾千元到一萬多元不等。多位網友貼出的賬單顯示，被轉出的錢款大多通過蘋果賬戶充值進了手機游戲里。

　　蘋果客服在回復媒體時表示，不法分子可能是利用了蘋果的“免密支付”功能，用盜取的賬戶給購買了“代充”服務的顧客充值，“就是空手套白狼”。

　　“免密支付”作為一種無須輸入密碼即可完成交易的支付方式，日益成為移動支付時代消費者的普遍選擇。然而，這一看似便捷的功能卻隱藏著不小的風險。近期中國消費者協會的警示也再次將這一話題推向公眾視野。中國消協發布的消費提示指出，網絡購物謹慎使用“免密支付”功能，避免因賬戶權限過度開放引發資金損失。

　　為何這種旨在提升體驗的功能會成為安全風險的溫床？

　　“免密支付”的風險，目前大多數使用者可能都未意識到。多位業內人士提醒“不懂的人最好別用”，十分容易“踩坑”，少則損失幾十元，多則損失上萬元。此外，當出現問題時，責任該由誰來承擔，目前很混亂。不少消費者遭遇盜刷后，發現各平臺互相“踢皮球”，“免密支付”背后的責任邊界問題，也亟待理清。

　　被盜刷162筆

　　“一覺醒來錢就被偷走了。”張葵一早醒來發現短信提醒，半夜有人從她的蘋果賬戶刷走998元充值到了《大話西游》這款游戲中，但她從未玩過這個游戲。她馬上意識到，她的蘋果賬戶被盜刷了。

　　回想了很久，她此前并無泄露個人信息或者點開不明鏈接，只是在睡前更新了蘋果手機的系統。在被盜刷之后，張葵才發現自己已經開通了蘋果賬戶的“免密支付”。

　　像張葵這樣只被刷走一筆訂單還算是幸運的，因為她在移動支付綁定的信用卡上設置了刷卡限額，當不法分子試圖刷走第二筆995元的款項時，因需要本人認證才沒成功。

　　山東納源律師事務所律師田軍偉告訴《中國新聞周刊》，他接觸的上百起盜刷事件中，被刷走幾萬元的消費者并不少見。一位消費者的賬戶曾經在凌晨2:50到凌晨5:51，總共被盜刷162筆，總金額達到了80868元。他指出，這些涉及金額比較多的賬戶，綁定的一般是微信支付且余額較多，或是綁定的銀行卡和信用卡額度較高。

　　在黑貓投訴平臺上，有近6萬條投訴涉及“免密支付”。這些投訴包括用戶在不知情情況下被開通“免密支付”、無法取消功能、開通后亂扣費等問題，發生的場景則集中在電商平臺、會員開通以及二手平臺等。

　　值得注意的是，在投訴情況中，有不少涉及老人和孩子。有未成年人在電商平臺和直播平臺中在未經家長同意的情況下使用“免密支付”，老人則通常是不知在何時開通了“免密支付”，導致賬戶被盜。

　　據媒體報道，一位長沙的老年用戶向12315投訴“免密支付”在“偷”她的錢。在她的微信賬單中，自去年5月開始，每個月都有一項固定的扣款記錄，都是25元，支付給了視頻網站。她自稱，作為老年人，對這些功能采取“絕緣”態度，確定自己不會開通“免密支付”功能。

　　事實上，大規模投訴的背后現實是，中國網絡支付用戶規模已達10億人的體量，“免密支付”滲透率較為穩定。

　　中國支付清算協會發布的《2023年移動支付個人用戶使用情況調查報告》中提到，“免密支付”在移動支付用戶中接受度較廣，特別是在小額場景中應用更為廣泛。在參與調研的用戶中有一半人使用“免密支付”的金額在100元以下，超過27%的用戶設置在了100元到300元。乘坐交通工具是使用頻率最高的場景，電商平臺滲透率其次。此外，在線下實體店、生活服務類App中滲透率也在提升。

　　“免密支付”如同一把雙刃劍，在帶來便捷的同時也帶來了風險。很多消費者并不了解其運作機制和潛在風險，自身財產安全受到了很大的威脅。

　　目前還上大學的王楠反思了自身安全意識的薄弱。據她回憶，半個月前她在閑魚購買了山姆超市一日體驗卡，對方以領取體驗卡到蘋果賬戶為由，騙取了她的蘋果賬戶。

　　最終，在短短4分鐘內，對方通過蘋果賬戶“免密支付”非法刷走她支付寶的花唄余額6000多元。這些錢通過蘋果賬戶，以每次648元的價格匯入了一款名為《絕區零》的游戲賬戶中。

　　王楠坦言，自己太掉以輕心了，根本沒有想太多就把蘋果賬戶給出去了。她甚至不知道蘋果賬戶的“免密支付”是從什么時候開通的，使用時到底需要什么條件。

　　“漏洞”到底在哪里？

　　據田軍偉介紹，他接觸的“免密支付”盜刷案例中，幾乎100%與蘋果設備相關，這些案例中盜刷金額往往最終流向游戲公司的虛擬商品。

　　蘋果執行的是“默認開通”政策，即用戶在不知情的情況下被開通“免密支付”功能。“蘋果公司在用戶體驗上沒有給消費者選擇權。不同于其他平臺提供驗密和免密兩種選擇，蘋果應用商店只支持‘免密支付’，消費者只能選擇用或不用，沒有更安全的替代方案。”

　　不過，一位不具名的支付從業者告訴《中國新聞周刊》，“免密支付”是國際慣例，在國際上都是統一標準，一般不存在技術漏洞。實際上，更多的情況可能是消費者沒有保護好自身的信息，被不法分子利用。

　　“從目前的多個案例來看，可能已經形成了灰色產業鏈，一旦消費者的賬戶被泄露，就有人利用賬戶充值到游戲中?！?/p>

　　在中國電子技術標準化研究院網安中心測評實驗室副主任何延哲看來，目前很多公開信息中寫“免密支付”有“漏洞”，并不準確。從技術上來看，“漏洞”不能亂用，漏洞一般是指代碼邏輯上存在缺陷，被惡意人員或者惡意代碼利用后從而繞過身份鑒別、訪問控制措施。漏洞是無意造成的，不屬于有意設置，有意設置的叫“后門”。如果支付系統真的出現漏洞，恐怕會造成很大的恐慌。

　　不過，一些被離奇盜刷的經歷讓不少消費者感到不解。去年9月的一個晚上，有陌生的蘋果賬戶綁定了消費者高楊的移動支付賬號，進行了一筆游戲充值，交易金額是98元。高楊說，因為他設置了100元以下的免密交易，損失比較小?！暗@不是錢多少的事情，別人的蘋果賬戶到底是怎么綁定了我的移動支付賬號，我感覺到很不安。”目前，高楊已經向蘋果客服申請退款，但一直未果。

　　“我接觸的案例中，有些確實是莫名其妙被盜刷的。比如有消費者的蘋果賬戶綁定了QQ郵箱，盜刷者可能通過攻破郵箱獲取了蘋果賬戶控制權。這種情況下，消費者很難說明自己沒有任何過錯，但平臺方和支付機構的風控責任卻不應因此被免除?！碧镘妭ケ硎?，很多“免密支付”導致的盜刷案件，主要是兩類情況，一個是各類技術漏洞遭到不法分子攻破，另一個是消費者自身泄露信息，比如蘋果賬戶等。

　　在“免密支付”盜刷案件中，各個環節風控措施的缺失同樣值得關注。田軍偉通過調查發現，整個支付鏈條出現了嚴重的風控真空。支付機構誤認為蘋果系統足夠安全，因此放松了自身的風控；銀行則認為來自支付寶、微信的請求已經過風控，也不再額外審核。結果是盜刷交易暢通無阻，無人攔截。

　　消費者王歡在半年前丟失了蘋果手機，3月初被人關閉了查找功能，對方同時開始了游戲充值，在試圖進行第一筆五千多元金額的充值時被她發現，第一時間便致電蘋果客服，但是蘋果客服攔截不力，未能在最佳時間攔截，導致錢已經充到《王者榮耀》里。后續，她向蘋果客服申請退款，客服幫忙備注，但兩次退款都失敗了。

　　蘋果客服并未告知她，一筆訂單只有兩次退款機會。在案發當天下午她果斷報案，警方定性為刑事案件，目前正在立案偵查。但為了追回錢款，王歡向蘋果公司CEO庫克的郵箱發了一封說明郵件，陳訴自己并未進行相關的充值。當她寫完郵件后，蘋果公司的行政高管聯系了她，審核相關情況后，她收到了退款?！拔也恢烙卸嗌偃藭ソo庫克寫郵件，我認識的很多人也沒能夠拿回退款?！蓖鯕g說。

　　一位移動支付從業者告訴《中國新聞周刊》，很多時候即便想要風控，但是平臺可能不了解那么多細節。因為蘋果有自己的循環支付體系，支付指令發出后，國內的移動支付體系很難甄別到更多風險。

　　田軍偉進一步解釋，即使是高風險時段(如凌晨)的連續多筆異常交易，在早期也很少被支付機構攔截。直到2023年開始，部分支付機構才逐漸加強風控措施，但效果仍不夠理想。

　　“免密支付”爭議已久

　　實際上，“免密支付”爭議已久。回溯支付驗證方式的歷史演變過程，資深信用卡專家董崢介紹，早在20世紀90年代信用卡開始在中國發展時，簽字確認就是主流支付驗證方式。簽字這種確認形式源于西方以簽字為確認的社會文化，與中國傳統的蓋章文化形成鮮明對比。

　　“簽字確認模式進入中國后，由于缺乏相應的文化基礎和技術支撐，導致冒簽現象嚴重。到2003年，深圳發展銀行開始推廣密碼驗證方式，逐漸被各大銀行采納，成為替代簽字確認的主流驗證方式?！倍瓖樚岬馈?/p>

　　隨著移動支付的普及，“免密支付”作為一種更為便捷的交易形式應運而生。董崢認為：“‘免密支付’不是壞事，它是在密碼支付基礎上，在移動支付時代發展出的一種快速支付方式。它仍然基于網絡驗證，只是簡化了用戶操作環節?！?/p>

　　“我是堅決反對廣泛使用‘免密支付’的。”董崢解釋，“但是反對不代表不用，像我們了解這種方式，所以用起來風險低。然而不懂的人最好不要用，用了之后極其容易發生誤判，或者被人利用?！?/p>

　　他認為，這種支付方式會加速消費者誤判的發生。在公共交通、便利店購物、共享單車等小額高頻場景中，消費者無須輸入密碼即可完成支付，節省了不少時間和操作步驟。清華大學消費金融研究院調研顯示，“免密支付”用戶客單價提高了18%，但退貨率增長了40%，這從側面說明“免密支付”不僅方便了消費者購物，甚至還讓消費者消費“上頭”，但最終消費者更容易反悔。據悉，有頭部平臺因默認開通免密功能年增收超百億元。

　　何延哲認為，“免密支付”主要就是為了用戶方便，用戶在方便和安全中選擇了方便優先?！懊饷苤Ц丁睂τ谟脩舳?，最關鍵的是要明示告知用戶單獨開通，此外需要設置免密額度，單次額度和單日(或每月)限額，并方便管理撤回。

　　但即便如此，安全隱患仍較大。據中國消費者協會披露，近期陸續接到消費者因“免密支付”功能導致賬戶資金被盜刷的投訴。從用戶角度看，維護賬戶安全確實是基本責任。然而，隨著支付方式的多樣化，用戶往往難以全面了解各種權限設置及其風險。針對“免密支付”可能帶來的風險，中國消費者協會指出了三大安全隱患：一是手機丟失或賬號泄露時風險激增；二是小額免密累積大額損失；三是隱蔽性強，難以及時察覺。

　　上述風險往往令人猝不及防，在四川瀘州的一起案例中表現得尤為明顯。一名市民撿到他人手機后，分8次掃碼消費，每次金額均小于等于1000元，直至將微信零錢全部消費完畢。

　　田軍偉接觸并代理了多起“免密支付”相關案件，大部分消費者是年輕人，對移動支付的使用習以為常，因此“踩坑”也多。

　　對年輕消費者來說，面對“免密支付”，常常陷入矛盾。一方面，他們認可其便捷性；另一方面，又擔憂安全風險。有消費者認為“免密支付”十分必需，使用“免密支付”，快捷高效，特別是在購買熱門球賽、演唱會門票時，省去輸入密碼的環節，提高搶貨效率。也有消費者抱怨，有時候消費后平臺自動扣款，支付過程類似于無感支付，以至于自己都不太關注到底扣了多少錢。

　　這種矛盾心態反映了當前消費者在便捷與安全之間的艱難選擇?！叭绻晃兜貏裼脩絷P閉‘免密支付’功能，讓人感覺‘免密支付’就是一種錯誤，類似坐地鐵刷手機之類的便捷功能也只能放棄了。”何延哲表示，真正需要提防的是，有些不良商家搞套路開通。

　　平臺責任被模糊了

　　在移動支付中，對平臺而言，完善技術手段、加強風險提示、優化用戶體驗，是履行主體責任的應有之義。然而，如今卻演變為消費者頻頻付出“隱形代價”，當“免密支付”出現盜刷等問題時，責任歸屬常常成為爭議焦點。

　　田軍偉告訴《中國新聞周刊》，“免密支付”盜刷案件中，責任方通常包括平臺方、支付機構和銀行，但各方都在互相推諉。蘋果公司堅持認為其只提供技術平臺；支付機構聲稱已按規定進行驗證；銀行則表示收到的是正規支付請求。結果是消費者的損失無人承擔，難以獲得有效賠償。

　　他表示，利用法律手段起訴的話，根據之前的經驗，蘋果公司不會主動配合司法程序，消費者需要自行承擔翻譯費、送達費等高額訴訟成本，即使勝訴，這些費用通常也難以從對方處獲得補償。

　　目前，他起訴成功的唯一案件，就是消費者被盜刷79筆異常消費、合計51192元后，立即通過蘋果客服電話投訴，要求退回全部盜刷款項。蘋果客服經核查后，確認原告投訴屬實，明確表示同意退款，并且告知原告“退款成功，等待退款到賬即可”。立案的前提是蘋果官方的承諾，事實上，大部分消費者的盜刷案件都沒能得到立案。

　　同樣的“免密支付”盜刷問題，在國內外的處理方式也截然不同。在國外，信用卡公司對于盜刷案件有著完善的“拒付”機制。他曾接手的一個案例顯示，盜刷者利用竊取的國外信用卡信息在蘋果應用商店購買中國游戲公司的虛擬商品。當國外消費者聲明這不是自己的消費時，外國銀行立即執行了拒付，導致蘋果公司不給中國游戲公司結算費用。

　　田軍偉解釋：“國外的消費者遭遇盜刷后，可以聲明‘這不是我的消費’，銀行通常會認可消費者的說法并退款。而在國內，同樣的程序卻難以執行。理論上有類似制度，但實際操作中，消費者往往需要經歷漫長的取證和投訴過程，甚至最終仍無法獲得全額賠償?！?/p>

　　另一方面，蘋果公司通過不設立中國境內運營主體，在某種程度上規避了監管責任。田軍偉表示，蘋果應用商店沒有設立中國的經營主體，消費者維權只能面對境外公司，這大大增加了維權難度和成本?！拔覀冊浲ㄟ^《反壟斷法》和增值電信經營許可證違規等角度進行舉報，希望能促使其設立境內運營主體，從根本上解決監管問題?！?/p>

　　更為困難的是，當發生盜刷爭議時，用戶常面臨舉證困境。消費者被盜刷后的維權過程極為艱難，除了要面對高額的訴訟成本，還要解決舉證難題。很多消費者難以證明自己沒有泄露賬戶信息，或確實遭遇了“莫名其妙”的盜刷。

　　當前，對“免密支付”的監管主要依據《中華人民共和國支付結算辦法》《非銀行支付機構網絡支付業務管理辦法》等法規。這些法規對支付安全提出了基本要求，但對“免密支付”這類新興模式的規范仍顯不足。特別是在用戶權益保護方面，現有法規對“告知義務”和“默認選項”等關鍵問題缺乏明確規定。

　　田軍偉認為，目前的監管問題不在于立法不足，而在于監管執行乏力?，F有的《電子商務法》《消費者權益保護法》都要求平臺保證支付安全，但蘋果公司因沒有境內主體，監管部門難以有效執行?！斑@也是我們主張從反壟斷角度入手的原因，因為《反壟斷法》不區分境內外主體?！?/p>

　　2025年2月，48位消費者委托田軍偉向國家市場監督管理總局聯名舉報蘋果公司涉嫌濫用市場支配地位。具體舉報內容為，蘋果強制用戶在蘋果應用商店只能使用“免密支付”方式付款，導致綁定“免密支付”的蘋果賬戶被盜用后，他人可繞過支付工具的身份驗證環節直接實施盜刷，造成包括舉報人在內的眾多蘋果用戶資金被盜刷。

　　從長遠來看，田軍偉提出了更系統的解決方案：平臺方應該給予消費者支付方式的選擇權，允許消費者在驗密支付和“免密支付”之間自由選擇。支付機構和銀行需要加強風控措施，特別是對異常時段、異常金額和異常頻次的交易進行重點監控。監管部門則應該督促境外企業設立境內運營主體，確保監管有效落實。

　　《中國新聞周刊》2025年第11期

　　聲明：刊用《中國新聞周刊》稿件務經書面授權