互联网语境下未授权交易风险

一、问题的提出

《电子商务法》一经公布，便得到法学界的广泛称赞。但笔者认为，我国对互联网语境下未授权交易风险的控制在现行法律框架下还存在的主要问题为：确保支付环境的安全规则具有抽象性。总体来看，《电子商务法》作为规范我国电子商务活动的“基本法”，在维护各方主体利益、市场秩序等方面的重要性是不言而喻的，但该法的条文总数仅有89条；规范支付行为的条文也仅有6条而已。若单凭这屈指可数的条文去规范中国当下迅速发展的第三方支付业以达到期望值中的理想佳境，便成为一种奢想。因此，带有宏大立法属性的《电子商务法》难以在我国电子商务业的规范方面提供一份现实所需的详细说明。若把模糊的、极为弹性的、过于宽泛的安全要求引入防范未授权交易的法律框架之中，无异于对法律的否定。这种状况也将造成用户群体的危机感和不安全感。

二、未授权交易发生的缘由

（一）利用技术创新实施的钓鱼欺诈。电子技术领域中，钓鱼欺诈被定义为利用社会工程和技术欺骗，针对个人身份数据和个人账号进行盗窃的犯罪机制。首先是鱼叉式钓鱼欺诈。鱼叉式钓鱼改变以往随机获取他人个人信息的方式，转化为以特定对象为目标。钓鱼欺诈者通常选定出涉及个人关键信息提交的门户或企业网站，在有针对性对网站进行研究和模仿后，钓鱼欺诈者甚至将自己制作虚假网站进行宣传。一旦用户在登录该网站时降低防范心理，输入了个人账户、密码、手机号码时，上述信息将会被钓鱼欺诈者所掌握；其次是鬼钩式钓鱼欺诈。一般情况下，当钓鱼欺诈者在对支付用户的电脑系统注入恶意代码。一旦交易信息在生成过程中被植入了恶意代码时，可对交易金额、交易的收款方进行任意修改，此时极有可能导致未授权交易的发生；最后是利用CIA工具。该工具可以实现肆意的收集情报以及个人信息，由于其专业性强且技术水平更高，一般性的防御技术难以进行有效阻止[1]。

（二）用户自我防范未授权交易认知的缺失。科技的进步让现代商品和服务的技术性和专业性含量越来越高，消费者很难正确、全面地了解并掌握商品或服务的内容。专业知识薄弱的支付用户对个人信息授权风险、免责条款中责任转移等都难以正确地理解，导致双方普遍存在着严重的信息不对称[2]。本就处于信息弱势地位的用户在接受服务的过程中，即便支付机构已通过特定形式的提示，告知其信息将被利用的事实以及支付机构对特定的损失发生责任豁免的情况，支付用户往往没有对所提示的相关内容进行阅读，仅习惯性的点击“同意”或“下一步”进行后续操作。

三、未授权交易风险的控制进路

首先，需制定第三方支付的技术安全标准和评估准则。对于第三方支付的技术安全标准制定的要求，不应仅停留在业务资质申请时的市场环境，监管机关更应注重后续业务开展运营期间的安全性要求，技术安全标准应与市场发展所要求的检测和监控钓鱼欺诈技术相同步，使其具备持续性的特点。因此，建议由中国人民银行负责组织和协调各地银保监会对于网上支付技术安全标准和评估准则的统一制定，并对第三方支付的技术安全以采取现场与非现场检查相结合为基础、以结构化早期介入核心、以整体性与持续性为原则的监管思维[3]。同时，监管机构还可通过对第三方机构所报送的支付风险预防和控制的措施进行评估。在两种检查模式相结合下，一旦发现支付机构在运营中难以达到支付技术安全标准，及时责成问题机构采取相关拯救措施或求改良或关停相关分支机构。

其次，强化防范未授权交易风险的教育义务。要让第三方支付用户认识到未授权交易发生的原因。第三方支付机构需引导用户认识到防范风险教育能使自身获益，进一步激发其参与未授权交易预防活动的热情和主动性，应当根据用户的知识欠缺区以及通过交易行为的特点来设计教育方案[4]。例如，第三方支付机构以用户的意见反馈及投诉事项为基础，通过系统性分析后确认具有普遍性的知识缺陷，设计并开展具有针对性的未授权风险预防教育活动。同时，建立第三方支付用户对防范未授权交易教育活动的反馈机制，由以往的单向教育转化为互动型教育。