免密支付背后隱患：有人悄無聲息被扣款，「薅羊毛」被盜刷1萬元！平臺：盜刷可賠

本文來源：時代財經 作者：張昕迎

看似便捷的功能，卻可能造成資金安全隱患。

近日，「解除支付寶賬號授權」這一話題在微博熱搜上引發了廣泛討論。有網友發現，在支付寶的「個人信息授權管理」列表中，被一鍵授權獲取其個人信息的軟件數不勝數，不少均涉及姓名、手機號、證件等敏感信息。用户陷入「授權氾濫」困境，存在不少安全隱患。

「免密支付/自動扣款」則是另一大「雷區」，很多人發現了不少「隱藏扣款」。近日，來自重慶的學生黨劉雨（化名）告訴時代財經，她於去年在某在線小説閲讀平臺開通了VIP會員，使用支付寶免密支付，最近檢查賬單才發現該VIP會員一直在自動續費。

「訂的時候一時爽，取消的時候找不到，以為沒有續費了，其實每個月一直在默默扣你錢。這就像金錢小偷，因為不用動腦子，不知不覺錢就走了。」劉雨如此表示。

9月17日，支付寶在其官方微信平臺上發文迴應稱，支付寶2021年就推出了「個人信息授權管理」功能，方便用户統一管理；另外，除了可以一站管理自己的授權，用户還可以在「用户保護中心」修改自己的隱私設置，查看授權自動續費的服務等。支付寶支付設置上，也可通過自動續費/免密支付設置，解除「自動扣費」功能。

有人為薅10塊羊毛，免密支付被盜刷1萬

當下，在淘寶、美團、滴滴等各類生活服務平臺上，免密支付已經成為一項較為普遍的功能，無需輸入密碼，小額交易瞬間完成。

時代財經發現，除了「圖方便」，也有部分用户衝着優惠福利使用免密支付功能。「爲了薅首月優惠，我經常開通各種平臺的免密支付，不過之后會記得把這個功能關閉，還是覺得不太安全。」來自廣東的白領吳先生（化名）如此表示。

儘管當下仍有不少用户對免密支付功能保持謹慎態度，或僅僅只嘗試小額支付，但在使用第三方平臺進行消費時，在付款最終完成之前，是否開通免密支付早已成為消費者的「必答題」。

例如，來自遼寧的王女士（化名）近日向時代財經稱，自己在使用某在線旅遊服務平臺進行付款時，被強制關聯支付寶免密。「點擊付款后，系統就會自動跳轉到開通免密支付頁面，需同意協議並開通免密支付方能進入下一步操作，其中甚至沒有拒絕的選項。」王女士説道。

對此，北京市隆安（廣州）律師事務所陳鍾濤律師向時代財經指出，根據《個人信息保護法》的規定，處理個人信息、開通支付等重要功能，必須獲得用户「明示同意」和「單獨同意」。

這意味着用户必須主動、清晰地做出「同意」的動作，而不是被平臺預先設定為「同意」。

「同時，《電子商務法》也明令禁止將搭售服務作為默認同意的選項。因此，在支付環節中，通過默認勾選或隱匿‘不同意’選項來強制用户開通免密支付的做法，並不符合法律規定。」其表示。

「免密支付是全球移動支付進階的普遍方向。」9月18日，博通諮詢金融行業首席分析師王蓬博在接受時代財經採訪時表示，「客觀來看，免密支付確實也存在一定風險敞口，因此，該功能在提升便捷性的同時，對平臺風控能力和用户安全意識都提出了更高要求。」

「一旦用户手機丟失或賬號信息泄露，攻擊者可能利用已授權的免密通道進行連續盜刷；此外，部分用户對自動續費規則理解不清或授權管理疏忽，也可能導致誤扣或遺忘扣款，引發爭議。」王蓬博説。

從實際案例來看，免密支付功能若被不法分子利用，可能帶來嚴重安全隱患。

據中國消費者協會8月發佈的《2025年上半年全國消協組織受理投訴情況分析》，當下，一些無良商家通過在網絡上發佈「走路賺錢」「免費領紅包」等宣傳語吸引老年人點擊，隨后跳轉免密支付自動扣款收取「會員費」。今年4月，陝西某地方法院發佈的一起案情介紹稱，一名原告手機丟失，他人盜用該手機，通過免密支付盜刷1.2萬元。

也有網友在社交媒體上稱，其曾在二手交易平臺下單購買奶茶優惠券后，在短短兩分鍾內遭遇了10筆盜刷。「就爲了省10塊奶茶錢，通過第三方鏈接跳轉支付寶，開通了免密支付，結果兩分鍾花唄被刷了10169元。」

上述網友還稱，自己平時經常在上述平臺購買優惠券套餐、會員券，但是每次都比較警惕。「但就是這一次，沒有仔細考慮就造成了損失，還是要對免密支付和第三方鏈接一定要保持警惕心理，千萬不要大意。」所幸的是，通過平臺介入，該網友最終成功追回了9990元。

對此王蓬博認為，從過往的案例來看，盜刷事件更多的是個別用户設備丟失、賬號泄露或過度授權后的風險外溢，而非免密功能本身的設計缺陷。「目前主流的支付平臺都承諾‘被盜全賠’，這方面用户不用太擔心。」其表示。

時代財經也從微信支付相關界面查詢到，微信免密支付如果資金被盜，在客服中心有申訴入口，被盜資金可申請賠付，微信支付配有「百萬保障」，當用户的支付賬户出現被盜情況，損失金額承諾賠付。

9月18日，抖音相關人士也告訴時代財經：抖音支付聯合中國人保財險提供百萬賬户安全險，若確認賬户被盜刷，平臺會對賬户資金損失進行賠付（最高賠付可達100萬/年）。

過度「一鍵授權」存隱患

除了免密支付，支付寶賬户解除授權是眾多網友關注的另一焦點。有網友反映稱，其在支付寶的個人信息授權管理清單中，發現了超100項授權項目，最早的授權時間甚至可以追溯到10年之前。

在專業人士看來，過度寬泛的「一鍵授權」會導致個人信息流向不透明，存在被濫用的隱患。「許多早已不用的App和小程序的殭屍授權長期存在，如同數據‘后門’，持續構成安全威脅；最后，與免密支付、自動扣款關聯的授權則直接威脅財產安全，極易造成消費者在不知情的情況下被直接扣款。」陳鍾濤律師表示。

北京雲亭律師事務所王瓊律師也認為，若用户打開支付寶的「個人信息授權管理」，發現自己「被授權」給了某平臺、某理財APP，但用户根本不記得什麼時候同意過。這違反了《個人信息保護法》的「單獨同意」要求。「平臺把你的信息給第三方前，必須明確告訴你「接收方是XX、要用你的XX信息、做什麼用」，而且得讓你「主動點同意」，不能偷偷綁」。

爲了杜絕個人信息泄露、財產流失等隱患，相關機制仍有待完善。

對此，王蓬博建議稱，平臺應在授權管理上堅持「最小必要、知情同意、可撤回」原則，進一步優化協議披露的透明度，採用分步引導、顯著提示、設置冷靜期等方式，杜絕「強制捆綁」或「默認勾選」等不當操作。

「同時，在免密支付開通后，平臺需強化異常交易的實時提醒與攔截能力，提升用户對授權的掌控感。比如，相關平臺可以上線‘個人信息授權管理’功能，用户可便捷查看所有已授權的第三方應用及免密/自動扣款項目，並支持隨時解綁。」其説道。

另一方面，消費者也可主動採取措施防範相關風險。平臺與用户協同治理，方能讓免密支付在安全與便捷之間實現最佳平衡。

「對消費者而言，應主動定期檢視授權清單，及時清理不再使用的授權服務，優先在可信應用中開通免密功能，並結合指紋、面容等生物驗證增強賬户安全。」王蓬博表示。