一、問題的提出

《電子商務(wù)法》一經(jīng)公布，便得到法學(xué)界的廣泛稱贊。但筆者認(rèn)為，我國對互聯(lián)網(wǎng)語境下未授權(quán)交易風(fēng)險的控制在現(xiàn)行法律框架下還存在的主要問題為：確保支付環(huán)境的安全規(guī)則具有抽象性。總體來看，《電子商務(wù)法》作為規(guī)范我國電子商務(wù)活動的“基本法”，在維護(hù)各方主體利益、市場秩序等方面的重要性是不言而喻的，但該法的條文總數(shù)僅有89條；規(guī)范支付行為的條文也僅有6條而已。若單憑這屈指可數(shù)的條文去規(guī)范中國當(dāng)下迅速發(fā)展的第三方支付業(yè)以達(dá)到期望值中的理想佳境，便成為一種奢想。因此，帶有宏大立法屬性的《電子商務(wù)法》難以在我國電子商務(wù)業(yè)的規(guī)范方面提供一份現(xiàn)實所需的詳細(xì)說明。若把模糊的、極為彈性的、過于寬泛的安全要求引入防范未授權(quán)交易的法律框架之中，無異于對法律的否定。這種狀況也將造成用戶群體的危機感和不安全感。

二、未授權(quán)交易發(fā)生的緣由

（一）利用技術(shù)創(chuàng)新實施的釣魚欺詐。電子技術(shù)領(lǐng)域中，釣魚欺詐被定義為利用社會工程和技術(shù)欺騙，針對個人身份數(shù)據(jù)和個人賬號進(jìn)行盜竊的犯罪機制。首先是魚叉式釣魚欺詐。魚叉式釣魚改變以往隨機獲取他人個人信息的方式，轉(zhuǎn)化為以特定對象為目標(biāo)。釣魚欺詐者通常選定出涉及個人關(guān)鍵信息提交的門戶或企業(yè)網(wǎng)站，在有針對性對網(wǎng)站進(jìn)行研究和模仿后，釣魚欺詐者甚至將自己制作虛假網(wǎng)站進(jìn)行宣傳。一旦用戶在登錄該網(wǎng)站時降低防范心理，輸入了個人賬戶、密碼、手機號碼時，上述信息將會被釣魚欺詐者所掌握；其次是鬼鉤式釣魚欺詐。一般情況下，當(dāng)釣魚欺詐者在對支付用戶的電腦系統(tǒng)注入惡意代碼。一旦交易信息在生成過程中被植入了惡意代碼時，可對交易金額、交易的收款方進(jìn)行任意修改，此時極有可能導(dǎo)致未授權(quán)交易的發(fā)生；最后是利用CIA工具。該工具可以實現(xiàn)肆意的收集情報以及個人信息，由于其專業(yè)性強且技術(shù)水平更高，一般性的防御技術(shù)難以進(jìn)行有效阻止[1]。

（二）用戶自我防范未授權(quán)交易認(rèn)知的缺失?？萍嫉倪M(jìn)步讓現(xiàn)代商品和服務(wù)的技術(shù)性和專業(yè)性含量越來越高，消費者很難正確、全面地了解并掌握商品或服務(wù)的內(nèi)容。專業(yè)知識薄弱的支付用戶對個人信息授權(quán)風(fēng)險、免責(zé)條款中責(zé)任轉(zhuǎn)移等都難以正確地理解，導(dǎo)致雙方普遍存在著嚴(yán)重的信息不對稱[2]。本就處于信息弱勢地位的用戶在接受服務(wù)的過程中，即便支付機構(gòu)已通過特定形式的提示，告知其信息將被利用的事實以及支付機構(gòu)對特定的損失發(fā)生責(zé)任豁免的情況，支付用戶往往沒有對所提示的相關(guān)內(nèi)容進(jìn)行閱讀，僅習(xí)慣性的點擊“同意”或“下一步”進(jìn)行后續(xù)操作。

三、未授權(quán)交易風(fēng)險的控制進(jìn)路

首先，需制定第三方支付的技術(shù)安全標(biāo)準(zhǔn)和評估準(zhǔn)則。對于第三方支付的技術(shù)安全標(biāo)準(zhǔn)制定的要求，不應(yīng)僅停留在業(yè)務(wù)資質(zhì)申請時的市場環(huán)境，監(jiān)管機關(guān)更應(yīng)注重后續(xù)業(yè)務(wù)開展運營期間的安全性要求，技術(shù)安全標(biāo)準(zhǔn)應(yīng)與市場發(fā)展所要求的檢測和監(jiān)控釣魚欺詐技術(shù)相同步，使其具備持續(xù)性的特點。因此，建議由中國人民銀行負(fù)責(zé)組織和協(xié)調(diào)各地銀保監(jiān)會對于網(wǎng)上支付技術(shù)安全標(biāo)準(zhǔn)和評估準(zhǔn)則的統(tǒng)一制定，并對第三方支付的技術(shù)安全以采取現(xiàn)場與非現(xiàn)場檢查相結(jié)合為基礎(chǔ)、以結(jié)構(gòu)化早期介入核心、以整體性與持續(xù)性為原則的監(jiān)管思維[3]。同時，監(jiān)管機構(gòu)還可通過對第三方機構(gòu)所報送的支付風(fēng)險預(yù)防和控制的措施進(jìn)行評估。在兩種檢查模式相結(jié)合下，一旦發(fā)現(xiàn)支付機構(gòu)在運營中難以達(dá)到支付技術(shù)安全標(biāo)準(zhǔn)，及時責(zé)成問題機構(gòu)采取相關(guān)拯救措施或求改良或關(guān)停相關(guān)分支機構(gòu)。

其次，強化防范未授權(quán)交易風(fēng)險的教育義務(wù)。要讓第三方支付用戶認(rèn)識到未授權(quán)交易發(fā)生的原因。第三方支付機構(gòu)需引導(dǎo)用戶認(rèn)識到防范風(fēng)險教育能使自身獲益，進(jìn)一步激發(fā)其參與未授權(quán)交易預(yù)防活動的熱情和主動性，應(yīng)當(dāng)根據(jù)用戶的知識欠缺區(qū)以及通過交易行為的特點來設(shè)計教育方案[4]。例如，第三方支付機構(gòu)以用戶的意見反饋及投訴事項為基礎(chǔ)，通過系統(tǒng)性分析后確認(rèn)具有普遍性的知識缺陷，設(shè)計并開展具有針對性的未授權(quán)風(fēng)險預(yù)防教育活動。同時，建立第三方支付用戶對防范未授權(quán)交易教育活動的反饋機制，由以往的單向教育轉(zhuǎn)化為互動型教育。