免密支付藏隐患，盗刷风险需警惕

看似便捷的功能，却可能造成资金安全隐患。

近日，“解除支付宝账号授权”这一话题在微博热搜引发广泛讨论。有网友发现，支付宝“个人信息授权管理”列表里，被一键授权获取个人信息的软件众多，不少涉及姓名、手机号、证件等敏感信息。用户陷入“授权泛滥”困境，存在安全隐患。

“免密支付/自动扣款”也是一大“雷区”，很多人发现“隐藏扣款”情况。重庆学生党刘雨（化名）称，去年在某在线小说阅读平台开通VIP会员，用支付宝免密支付，最近检查账单才发现该VIP会员一直在自动续费。

刘雨表示：“订的时候一时爽，取消的时候找不到，以为没有续费了，其实每个月一直在默默扣你钱。这就像金钱小偷，因为不用动脑子，不知不觉钱就走了。”

9月17日，支付宝在官方微信平台发文回应，2021年就推出“个人信息授权管理”功能，方便用户统一管理；用户还能在“用户保护中心”修改隐私设置，查看授权自动续费的服务等。在支付宝支付设置上，也可通过自动续费/免密支付设置，解除“自动扣费”功能。

1 有人为薅10块羊毛，免密支付被盗刷1万

当下，淘宝、美团、滴滴等生活服务平台，免密支付很普遍，无需输密码，小额交易瞬间完成。

时代财经发现，部分用户为优惠福利使用免密支付。广东白领吴先生（化名）说：“为了薅首月优惠，我经常开通各种平台的免密支付，不过之后会记得把这个功能关闭，还是觉得不太安全。”

尽管不少用户对免密支付谨慎，或只尝试小额支付，但用第三方平台消费时，付款前是否开通免密支付是“必答题”。

辽宁王女士（化名）称，用某在线旅游服务平台付款时，被强制关联支付宝免密。“点击付款后，系统就会自动跳转到开通免密支付页面，需同意协议并开通免密支付方能进入下一步操作，其中甚至没有拒绝的选项。”王女士说。

北京市隆安（广州）律师事务所陈钟涛律师指出，根据《个人信息保护法》，处理个人信息、开通支付等重要功能，必须获得用户“明示同意”和“单独同意”。

这意味着用户必须主动、清晰地做出“同意”动作，而非被平台预先设定为“同意”。

“同时，《电子商务法》也禁止将搭售服务作为默认同意选项。因此，支付环节中，通过默认勾选或隐匿‘不同意’选项强制用户开通免密支付的做法，不符合法律规定。”陈钟涛律师表示。

9月18日，博通咨询金融行业首席分析师王蓬博接受时代财经采访时说：“免密支付是全球移动支付进阶的普遍方向。客观来看，免密支付确实存在一定风险敞口，因此，该功能在提升便捷性的同时，对平台风控能力和用户安全意识都提出了更高要求。”

王蓬博还表示：“一旦用户手机丢失或账号信息泄露，攻击者可能利用已授权的免密通道进行连续盗刷；此外，部分用户对自动续费规则理解不清或授权管理疏忽，也可能导致误扣或遗忘扣款，引发争议。”

实际案例显示，免密支付被不法分子利用，会带来严重安全隐患。

中国消费者协会8月发布的《2025年上半年全国消协组织受理投诉情况分析》指出，一些无良商家用“走路赚钱”“免费领红包”等宣传吸引老年人点击，跳转免密支付自动扣款收“会员费”。今年4月，陕西某地方法院介绍一起案情，一名原告手机丢失，他人盗用该手机，通过免密支付盗刷1.2万元。

有网友在社交媒体称，在二手交易平台下单买奶茶优惠券后，两分钟内遭遇10笔盗刷。“就为了省10块奶茶钱，通过第三方链接跳转支付宝，开通了免密支付，结果两分钟花呗被刷了10169元。”

该网友还说，自己平时在该平台买优惠券套餐、会员券都很警惕。“但就是这一次，没有仔细考虑就造成了损失，还是要对免密支付和第三方链接一定要保持警惕心理，千万不要大意。”所幸，通过平台介入，该网友最终追回9990元。

王蓬博认为，盗刷事件多是个别用户设备丢失、账号泄露或过度授权后的风险外溢，而非免密功能本身的设计缺陷。“目前主流的支付平台都承诺‘被盗全赔’，这方面用户不用太担心。”他表示。

时代财经查询微信支付相关界面发现，微信免密支付资金被盗，在客服中心有申诉入口，被盗资金可申请赔付，微信支付配有“百万保障”，支付账户被盗，损失金额承诺赔付。

9月18日，抖音相关人士告诉时代财经：抖音支付联合中国人保财险提供百万账户安全险，若确认账户被盗刷，平台会对账户资金损失进行赔付（最高赔付可达100万/年）。

2 过度“一键授权”存隐患

除免密支付，支付宝账户解除授权受网友关注。有网友反映，支付宝个人信息授权管理清单中有超100项授权项目，最早授权时间可追溯到10年前。

专业人士认为，过度宽泛的“一键授权”会使个人信息流向不透明，存在被滥用隐患。陈钟涛律师表示：“许多早已不用的App和小程序的僵尸授权长期存在，如同数据‘后门’，持续构成安全威胁；最后，与免密支付、自动扣款关联的授权则直接威胁财产安全，极易造成消费者在不知情的情况下被直接扣款。”

北京云亭律师事务所王琼律师认为，若用户打开支付宝“个人信息授权管理”，发现“被授权”给某平台、某理财APP，却不记得何时同意，这违反《个人信息保护法》的“单独同意”要求。“平台把你的信息给第三方前，必须明确告诉你‘接收方是XX、要用你的XX信息、做什么用’，而且得让你‘主动点同意’，不能偷偷绑”。

为杜绝个人信息泄露、财产流失等隐患，相关机制有待完善。

王蓬博建议，平台应在授权管理上坚持“最小必要、知情同意、可撤回”原则，优化协议披露透明度，采用分步引导、显著提示、设置冷静期等方式，杜绝“强制捆绑”或“默认勾选”等不当操作。

“同时，在免密支付开通后，平台需强化异常交易的实时提醒与拦截能力，提升用户对授权的掌控感。比如，相关平台可以上线‘个人信息授权管理’功能，用户可便捷查看所有已授权的第三方应用及免密/自动扣款项目，并支持随时解绑。”王蓬博说道。

另一方面，消费者也可主动防范风险。平台与用户协同治理，才能让免密支付在安全与便捷间实现最佳平衡。

王蓬博表示：“对消费者而言，应主动定期检视授权清单，及时清理不再使用的授权服务，优先在可信应用中开通免密功能，并结合指纹、面容等生物验证增强账户安全。”

本文来自微信公众号“时代财经APP”，作者：张昕迎，编辑：周梦梅，36氪经授权发布。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com