免密支付暗藏隐患，有人薅10元羊毛被盗刷1万

作者：张昕迎

图源：图虫

看似便捷的功能，却可能造成资金安全隐患。

近日，“解除支付宝账号授权”这一话题在微博热搜上引发了广泛讨论。有网友发现，在支付宝的“个人信息授权管理”列表中，被一键授权获取其个人信息的软件数不胜数，不少均涉及姓名、手机号、证件等敏感信息。用户陷入“授权泛滥”困境，存在不少安全隐患。

（图/社交媒体截图）

“免密支付/自动扣款”则是另一大“雷区”，很多人发现了不少“隐藏扣款”。近日，来自重庆的学生党刘雨（化名）告诉时代财经，她于去年在某在线小说阅读平台开通了VIP会员，使用支付宝免密支付，最近检查账单才发现该VIP会员一直在自动续费。

“订的时候一时爽，取消的时候找不到，以为没有续费了，其实每个月一直在默默扣你钱。这就像金钱小偷，因为不用动脑子，不知不觉钱就走了。”刘雨如此表示。

9月17日，支付宝在其官方微信平台上发文回应称，支付宝2021年就推出了“个人信息授权管理”功能，方便用户统一管理；另外，除了可以一站管理自己的授权，用户还可以在“用户保护中心”修改自己的隐私设置，查看授权自动续费的服务等。支付宝支付设置上，也可通过自动续费/免密支付设置，解除“自动扣费”功能。

有人为薅10块羊毛，免密支付被盗刷1万

当下，在淘宝、美团、滴滴等各类生活服务平台上，免密支付已经成为一项较为普遍的功能，无需输入密码，小额交易瞬间完成。

（图/电商平台截图）

时代财经发现，除了“图方便”，也有部分用户冲着优惠福利使用免密支付功能。“为了薅首月优惠，我经常开通各种平台的免密支付，不过之后会记得把这个功能关闭，还是觉得不太安全。”来自广东的白领吴先生（化名）如此表示。

尽管当下仍有不少用户对免密支付功能保持谨慎态度，或仅仅只尝试小额支付，但在使用第三方平台进行消费时，在付款最终完成之前，是否开通免密支付早已成为消费者的“必答题”。

例如，来自辽宁的王女士（化名）近日向时代财经称，自己在使用某在线旅游服务平台进行付款时，被强制关联支付宝免密。“点击付款后，系统就会自动跳转到开通免密支付页面，需同意协议并开通免密支付方能进入下一步操作，其中甚至没有拒绝的选项。”王女士说道。

对此，北京市隆安（广州）律师事务所陈钟涛律师向时代财经指出，根据《个人信息保护法》的规定，处理个人信息、开通支付等重要功能，必须获得用户“明示同意”和“单独同意”。

这意味着用户必须主动、清晰地做出“同意”的动作，而不是被平台预先设定为“同意”。

“同时，《电子商务法》也明令禁止将搭售服务作为默认同意的选项。因此，在支付环节中，通过默认勾选或隐匿‘不同意’选项来强制用户开通免密支付的做法，并不符合法律规定。”其表示。

“免密支付是全球移动支付进阶的普遍方向。”9月18日，博通咨询金融行业首席分析师王蓬博在接受时代财经采访时表示，“客观来看，免密支付确实也存在一定风险敞口，因此，该功能在提升便捷性的同时，对平台风控能力和用户安全意识都提出了更高要求。”

（图/视觉中国）

“一旦用户手机丢失或账号信息泄露，攻击者可能利用已授权的免密通道进行连续盗刷；此外，部分用户对自动续费规则理解不清或授权管理疏忽，也可能导致误扣或遗忘扣款，引发争议。”王蓬博说。

从实际案例来看，免密支付功能若被不法分子利用，可能带来严重安全隐患。

据中国消费者协会8月发布的《2025年上半年全国消协组织受理投诉情况分析》，当下，一些无良商家通过在网络上发布“走路赚钱”“免费领红包”等宣传语吸引老年人点击，随后跳转免密支付自动扣款收取“会员费”。今年4月，陕西某地方法院发布的一起案情介绍称，一名原告手机丢失，他人盗用该手机，通过免密支付盗刷1.2万元。

也有网友在社交媒体上称，其曾在二手交易平台下单购买奶茶优惠券后，在短短两分钟内遭遇了10笔盗刷。“就为了省10块奶茶钱，通过第三方链接跳转支付宝，开通了免密支付，结果两分钟花呗被刷了10169元。”

上述网友还称，自己平时经常在上述平台购买优惠券套餐、会员券，但是每次都比较警惕。“但就是这一次，没有仔细考虑就造成了损失，还是要对免密支付和第三方链接一定要保持警惕心理，千万不要大意。”所幸的是，通过平台介入，该网友最终成功追回了9990元。

对此王蓬博认为，从过往的案例来看，盗刷事件更多的是个别用户设备丢失、账号泄露或过度授权后的风险外溢，而非免密功能本身的设计缺陷。“目前主流的支付平台都承诺‘被盗全赔’，这方面用户不用太担心。”其表示。

9月18日，抖音相关人士也告诉时代财经：抖音支付联合中国人保财险提供百万账户安全险，若确认账户被盗刷，平台会对账户资金损失进行赔付（最高赔付可达100万/年）。

过度“一键授权”存隐患

除了免密支付，支付宝账户解除授权是众多网友关注的另一焦点。有网友反映称，其在支付宝的个人信息授权管理清单中，发现了超100项授权项目，最早的授权时间甚至可以追溯到10年之前。

在专业人士看来，过度宽泛的“一键授权”会导致个人信息流向不透明，存在被滥用的隐患。“许多早已不用的App和小程序的僵尸授权长期存在，如同数据‘后门’，持续构成安全威胁；最后，与免密支付、自动扣款关联的授权则直接威胁财产安全，极易造成消费者在不知情的情况下被直接扣款。”陈钟涛律师表示。

（图/视觉中国）

北京云亭律师事务所王琼律师也认为，若用户打开支付宝的“个人信息授权管理”，发现自己“被授权”给了某平台、某理财APP，但用户根本不记得什么时候同意过。这违反了《个人信息保护法》的“单独同意”要求。“平台把你的信息给第三方前，必须明确告诉你“接收方是XX、要用你的XX信息、做什么用”，而且得让你“主动点同意”，不能偷偷绑”。

为了杜绝个人信息泄露、财产流失等隐患，相关机制仍有待完善。

对此，王蓬博建议称，平台应在授权管理上坚持“最小必要、知情同意、可撤回”原则，进一步优化协议披露的透明度，采用分步引导、显著提示、设置冷静期等方式，杜绝“强制捆绑”或“默认勾选”等不当操作。

“同时，在免密支付开通后，平台需强化异常交易的实时提醒与拦截能力，提升用户对授权的掌控感。比如，相关平台可以上线‘个人信息授权管理’功能，用户可便捷查看所有已授权的第三方应用及免密/自动扣款项目，并支持随时解绑。”其说道。

另一方面，消费者也可主动采取措施防范相关风险。平台与用户协同治理，方能让免密支付在安全与便捷之间实现最佳平衡。

“对消费者而言，应主动定期检视授权清单，及时清理不再使用的授权服务，优先在可信应用中开通免密功能，并结合指纹、面容等生物验证增强账户安全。”王蓬博表示。