【摘要】随着互联网技术不断发展,移动支付已覆盖交通出行、医疗社保、公共缴费等多个领域,为公众支付提供了便捷。但移动支付高效便捷中也埋藏着安全隐患,尤其是数据信息泄露、滥用、失真、丢失等问题,必须善用法律思维,降低泄露风险、禁止滥用行为、遏制失真现象、应对丢失问题,以法律作为武器,保障移动支付绝对安全。
【关键词】移动支付 数据信息 网络安全 【中图分类号】D922.294 【文献标识码】A
据艾媒咨询数据显示,中国移动支付用户逐年增长,2017年为5.62亿人、2018年为6.59亿人,预计2019年达到7.3亿、2020年有望达到7.9亿人。另外,仅在2019年春节期间,移动支付交易总额达到1.16万亿元,移动支付笔数、金额同比增长2.5倍和4.4倍,已经成为支付方式的首要选项。但是,作为一种新兴支付方式,移动支付中存在数据信息泄露、滥用、失真、丢失等一系列安全问题,因此要从法律层面深入思考,提高信息安全保护意识,攻克移动支付安全技术难题,助力移动支付更好地发展。
降低移动支付“数据信息泄露”风险
提高用户信息安全保护意识。数据信息泄露是移动支付中最常见的安全问题,很大程度上源自用户安全意识不足,自行泄露信息,比如随意扫码领券、下载不明软件,这些行为都可能导致数据信息泄露,从而引发移动支付安全风险。对此,用户应积极提高数据信息安全保护意识,主动学习移动支付安全知识,了解移动支付常见骗术,提高移动支付警觉性,妥善保管移动支付密码,防止他人窃取、盗刷。
设立“最小化”采集原则。数据信息泄露风险还源自商家行为,部分商家唯利是图,不断采集用户数据信息,甚至非法买卖用户数据信息。对此,应基于《中华人民共和国网络安全法》等相关法律法规要求,禁止商家肆意采集数据信息,设立“最小化”采集原则,即不得收集与提供服务无关的数据信息,要求商家在采集数据信息之前,必须明示数据信息采集目的、方式、范畴,经用户允许后方可采集,严禁事先勾选“同意”选项,务必由用户自行确认,同意商家进行数据信息采集。
增设信息“被遗忘权”。一直以来,数据信息“被遗忘权”始终处于立法空白,“什么能删、由谁删、如何删”未能依法明确,导致数据信息长期储存,引发安全风险。我国应积极借鉴欧美国家立法,出台《一般数据保护条例》,引入信息“被遗忘权”,明确信息采集主体为具有删除信息的权利,删除内容限于使用数据、存在潜在风险数据、以公益目的收集数据等。为防止商家恶意存留数据信息,拒绝合理删除要求,将允许用户以侵犯“被遗忘权”为由提起诉讼,要求商家承担侵权责任。如商家行为、性质恶劣,则可依法追究行政责任、刑事责任 。
禁止移动支付“数据信息滥用”行为
禁止非法使用信息。移动支付安全问题源自数据信息滥用,由于我国立法尚未对数据信息归属予以明确,导致数据信息滥用行为频繁发生,其中最主要的就是精准推送广告服务,事实上,精准推送广告就是滥用数据信息的一种表现,即便推送的广告内容符合用户要求,依然应认定为在侵权行为之上提供的服务。在未来,我国应明确禁止数据信息滥用,实施推送许可授权制度,要求商家提供精准推送广告服务需经过用户认可,并在页面显著位置增设“同意”按钮,不得默认用户同意商家广告推送服务。
禁止利用数据信息“杀熟”。随着大数据、云计算技术不断成熟,商家为消费者制定个性化优惠政策,于是产生“看客定价”现象,即不同的消费者购买相同商品存在价格差异。究其根源,“杀熟”现象主要是通过数据信息分析,摸清消费者心理价位,制定差异化优惠折扣,这种行为已经严重损害公平消费原则、诚实信用原则,必须予以禁止。鉴于消费者举证困难,“杀熟”现象应实施举证责任倒置,要求网络平台自证清白 。同时,应积极建立失信黑名单,对“杀熟”现象予以严惩,鼓励消费者理性消费、货比三家,一旦遭遇“杀熟”,应及时保存证据,向网络平台、监管部门举报投诉。
敦促行业协会履行监管职责。一方面,行业协会掌握更多商家情况,更熟悉行业特点,采取的柔性方式普遍易被商家接受,既能够转达政府治理数据信息滥用的决心,又能够转达商家意见和行业发展要求,为商家和政府架起沟通桥梁;另一方面,行业协会应积极出台信息安全保护准则,完善信息保护自律公约,要求行业内商家遵守规定,依法采集、使用数据信息,并对数据信息滥用行为进行纠正和处罚,严重违规者将被踢出移动支付市场。
遏制移动支付“数据信息失真”现象
积极惩治透支信用行为。随着虚拟经济繁荣,数据信息基数越来越大,其中也充斥着大量的无效信息,这些信息影响其他真实数据的可信度,最为常见的网购刷单、资金套现,既属于无效信息,又属于恶意透支信用行为,应依法严惩。以网购刷单为例,部分网络商家为吸引消费者,恶意编造虚假购买记录、好评记录,公然挑战诚信公平原则,系不正当竞争行为,不仅要受到网络平台的处罚,严重者更应受到法律的制裁。
研发异常数据感知系统。立法只能震慑恶意透支信用行为,但不能查获透支信用行为,应从技术层面深入挖掘,研发异常数据感知系统,查处失真的数据信息,并汇报主管部门。异常数据感知系统应由政府和企业共同研发,政府提供资金、企业提供技术,共同利用异常数据感知系统打击数据失真现象。以资金套现为例,利用异常数据感知系统对客户信息自动筛查,查找异常数据,及时汇报给金融机构,由金融机构进一步开展人工核查,根据核查结果调整个人信用额度,减少套现行为发生,并对违法套现给予严惩。
加大虚假信息惩处力度。当前,制造虚假信息已经形成完整产业链,对各行各业产生巨大影响。以网购刷单为例,网店经营者提出刷单需求,由专业刷单平台负责,将刷单需求分散给专业“刷手”,对网络经营市场造成恶劣影响。当前,我国已经加大惩治力度,对利用虚假交易帮助他人宣传行为,处20万以上100万以下罚款,情节严重的处100万以上200万以下罚款,并吊销营业执照。
应对移动支付“数据信息丢失”问题
打击“黑客”删除数据信息行为。当前,移动支付是最常见的支付方式,是双方交易证明的关键,但是,部分“黑客”利用技术漏洞,恶意删除交易记录,对移动支付市场秩序造成破坏。一方面,我国应完善“黑客”违法行为认定,将惩处措施上升至刑事领域,利用更为严格的立法打击“黑客”删除数据信息行为,不仅要防止“黑客”恶作剧行为,更要严令禁止利用“黑客”技术开展不正当竞争。另一方面,严格要求移动支付依照国家标准搭建系统设施。
防止内部人员肆意篡改数据。应依法构建内部控制体系,防止内部人员利用职权便利,篡改和删除移动支付数据信息,移动支付平台应分散管理权利,数据管理、数据使用、数据修改、数据监管由不同部门、不同人员负责,并定期对数据信息进行检查,一旦发现异常数据应及时上报,依照内部规定和相关立法处置违规违法人员。同时,移动支付平台应不断升级数据加密技术,从技术层面杜绝内部人员篡改和删除数据的可能,防止出现数据信息丢失现象。
合理设置数据存储时效。根据不同移动支付平台要求,应合理设置数据存储时效,既能够减少数据储存成本,又能够保证用户数据信息安全。鉴于我国立法尚未明确规定移动支付平台数据储存期,移动支付行业协会应制定科学标准,普通移动支付数据信息应储存12个月,大额支付、异常支付等特殊移动支付数据应储存36个月,其他数据信息应视具体情况而定,在移动支付平台数据储存期间,平台需保证数据真实准确,允许用户随时查询,即将超期数据信息应提前通知用户,以便用户自行储存,借助合理设置数据存储时效,确保数据信息删除规范化发展。
(作者分别为西南政法大学行政法学院副教授;西南政法大学行政法学院教授、博导)
【注:本文系2018年国家社会科学基金法学项目“行政法秩序下的行政批示研究”(项目编号:20181145)阶段性成果】
【参考文献】
①让金鹏:《移动支付时代消费者信息安全防范研究》,《山西农经》,2018年第5期。
②莫万友:《移动支付中数据安全法律问题探析》,《湖南社会科学》,2019年第7期。
责编/孙娜 美编/王梦雅
声明:本文为人民论坛杂志社原创内容,任何单位或个人转载请回复本微信号获得授权,转载时务必标明来源及作者,否则追究法律责任。