电子支付二次确认是反电信诈骗锐器-刘春泉的财新博客-财新网

电子支付“二次确认”是反电信诈骗的有效武器

刘春泉上海段和段律师事务所合伙人，

中国电子商务协会政策法律委员会副主任

一次闲聊中，曾参与电商法讨论的某公诉说在某跨境电商平台网站使用免费服务期满未经提示就被扣费了，问我们正在研究的电商法中对此有没有规定？电商法出来后能不能管得了这样擅自扣费、收钱的事？回答七嘴八舌，有的说该网站的合同是无效的，有的说大外企规范合同有效但可以投诉以格式合同条款未提示等为由认定其霸王条款，等等，我说区区扣了几十、几百块，打官司投诉谁会去做？但有个中国已经证明行之有效的办法可以解决这类问题，那就是电子支付不妨借鉴当年电信行业定制短信的“二次确认”制度。

说起二次确认制度，现在很多人可能茫然不知所云。但2004年创下成立仅仅两年即在美国纳斯达克上市的空中网以及当时很多其他SP业务公司，在当年可是滋润无比，风光无限，原因就是定制短信扣费使得当时这些企业财源滚滚。由于电信用户投诉太多，2006年原信息产业部发布《关于规范移动信息服务业务资费和收费行为的通知》，确立短信定制必须经用户确认方可扣费，换句话说，原来各种乱七八糟的定制短信乱收费必须在扣钱之前发短信请用户确认确实是自愿定制了，否则不能再扣费。谁都知道定制短信是靠着电信运营商大树下收钱的，真正用户自愿定制短信能有多少？大部分都是强制绑定的或者免费期满不经用户同意就直接扣钱收费的，所以新规生效就原来的定制短信就几乎再没多少人“定制”了。这个被简称为“二次确认”的制度一出台，即导致短信定制收费一落千丈，几乎相当于宣告某些SP“死刑”，原来这些躺着赚钱的公司随即逐步淡出公众视野。

不久前在某研究机构发布的跨境电商研究的研究动态当中，有德国等欧洲的国家正在遭遇欺诈扣费等困扰，当地正在研究如何才能根治这种网络牛皮癣一般的顽症，其实这大概就是中国十几年前遭遇定制短信扣费的翻版，若要对症下药，只要把二次确认制度设置好，用好，大概就可以将网络欺诈扣费降低到可控水平。中国在执行二次确认后，十年来短信乱扣费已经大幅度降低，媒体几乎罕有报道，遗憾的是前几天媒体约我去做直播访谈时了解到，由于网络流量费用日渐水涨船高，导致如今短信营销成本倒是显得虽然落伍但相对低廉，于是最近有些地方垃圾短信和短信乱扣费用又有所抬头，治理这种违规行为的文件十一年前就发布了，希望当地通信管理部门能及时履行自己的职责。

在2016年发生徐玉玉遭遇电信诈骗猝死引发的网络公共危机事件后，公安部等国家六部门联合发布了反电信诈骗公告，确立了个人向非同名账户转账24小时后到账等制度，这是我们国家政策制定开始以规则引导博弈，引导企业产品设计的有益尝试，这种思路值得肯定。由此我就思考，在电子商务法关于电子支付的制度建设中，能否也确立“二次确认”制度呢？由于电子商务基本上都是非现场交易，甚至是跨境交易，一旦发生争议，法律途径解决的成本非常高昂，有必要通过制度设计尽可能将一些已经可以预见到的风险控制在一定范围内。

从国内来说，二次确认制度在电信领域已经执行多年，事实证明对于防范电信欺诈扣费成效显著，是经过实践检验的行之有效的制度，也可以说是中国人民花钱买来的经验教训。从国外来看，即使在美国这样法治相对完备的国家，胜诉后可以让败诉方赔偿律师费和法庭费用，对于跨境电商这样的小额交易发生欺诈支付等事宜，大部分美国知识产权权利人和买方还是不会走诉讼、337调查等这样的法律程序，而会通过向网络支付机构Paypal投诉的方式，争取实现自己的维权主动。由于Paypal慑于当地法律风险，就会谨慎处理投诉，中国卖方若有欺诈或者知识产权侵权就会被扣掉货款，你看，本来不是承担争议解决或者知识产权保护公共职能的支付机构却在事实上承担了知识产权和消费维权的重要角色。这就是制度设计的力量。

可能有支付企业会担心这样做给企业带来技术和用户体验上的麻烦，也肯定会有销售企业会抱怨这样做给企业增加了坏账的可能性。对此，我要做三点回应，第一，任何制度设计不可能只有好处没有坏处，只能争取利大于弊，利益冲突各方要争取最大公约数；第二，尽力通过对法律和技术的研究和改进，降低负面影响，也就是规则被恶意利用的概率，以及增加一道程序对支付行为的用户体验的影响。第三，这个制度主要是为了解决电信诈骗、欺诈扣费等问题，对于真实交易，用户真实有付款意愿的并不受影响，对于货物销售，付款环节是一个动作还是两个动作，也不会有太大影响。对于电子支付服务提供者，可以通过与用户约定（现在招商银行等机构已经有了非常方便的支付笔数、单笔限额等设置功能，实现支付机构与用户“约定”技术上完全成熟）来实现支付安全合规与便捷性的平衡。

综上，建议电商法确立二次确认制度，具体条文措辞可以参考如下建议：电子支付服务提供者执行约定或者国家规定金额以上的电子支付指令前，应当经支付指令发送人确认。超出约定或者国家规定金额限制未经确认的，损失由支付服务提供者承担。

这里电子支付服务提供者，包括银行和网络支付机构，也包括其他代收代付机构，例如电信运营商。执行支付指令前要求确认，就是说用户点击支付了，这是下达支付指令，支付服务提供者发送反馈，“您要向谁谁支付多少金额”，用户点击确认就是第二次确认，其实从业务流程设计角度看这本身就是尊重用户的体现。而且并不要求所有支付都二次确认，这是因为餐饮、打车等小额支付可能频繁，如果一刀切可能影响效率与用户体验，因此，区分两种情况，一种是支付服务提供者可以通过网络提供选择的软件设置，由用户自行设定，即为约定需要二次确认的金额。比如用户可以手机设置300元以上要二次确认，300以下不需要，这样支付场景可能不会太多增加麻烦。这里还提供了“国家规定金额”选项，是因为中国人民银行已经对于网络支付的不同情况进行了限制，企业与用户的约定不能违反上述限制，同时，也要防止支付服务提供者滥用自身地位把二次确认的金额设置得高高的那就架空了这种制度的实际效能。