在人类文明的演进中，法律总是追随着自然科学技术推陈出新的脚步。在智能化手机等移动终端日渐普及的连带效应下，二维码支付因便利和快捷而受到使用者的喜爱。扫码支付的发展不能回避消费者权益的保护及支付安全的保障问题，湖南大学法学院黎四奇教授在《二维码扫码支付法律问题解构》一文中，对二维码扫码支付中的关键法律问题进行较全面的透视，并有针对性地探索可能的改良与创新。

（一） 二维码识别与技术风险

二维码又称为QR码(quick response code)，其于1994年由日本Denso-Wave公司发明，是在一维码基础上升级而成的集信息编码、图像处理、信息传递与数据加密于一体的综合性电子标签技术。

在设计上，二维码由若干黑白相间的方块组合成一个正方形矩阵。其中，黑色模块代表二进制“1”，白色模块代表二进制“0”，其符号规格可基于数据量自动进行调整，支持的数据类型包括字母、数字、8位字节、汉字。二维码支持的信息类型非常广泛，包括图片、文本、视频与音频及网络连接等，并且能对各类信息加密处理。

在技术上，QR码将数字、汉字、字母及二进制字节这四种标准化编码数据化为二维码图形，其编/译表现为“开始——数据分析——信息编码——纠错编码——生成图像——扫描识读——图形定位——纠错编码——信息解码——信息展示”的流程。

在扫码支付中，二维码攻击主要表现为以下四种类型：（1）木马植入；（2）恶意网址诱导；（3）二维码的“偷梁换柱”；（4）信息劫持。实质上，当我们将二维码技术应用于第三方支付时，主要有三大安全性隐患：支付指令验证能否得到切实有效的保障、客户端软件的防火墙是否坚实可靠、是否具有完备的纠错处理机制。

（二） 风险规制：二维码清洁的制度化

扫码支付是一个涉及消费者、商家、第三方支付机构与无线通讯运营商等多方主体参与的一个非直接接触式的交易链。在这个过程中，二维码是信息中枢，交易风险释放和扩大的根本原因在于在二维码生成阶段的风险没有得到应有的事前管控。

为了二维码支付交易的安全，中国人民银行发布了《条码支付业务规范（试行）》，该文对保障条码的“无毒性”作了如下规定：一是设定验证要素，如仅客户知悉的要素、仅客户本人持有并特有的，不可复制或不可重复利用的要素、客户本人的生物要素。二是风险提示。支付机构应在条码生成、识读、支付等核心业务流程中明确提示客户支付风险，防范不法分子通过在条码中植入木马、病毒等方式造成客户信息泄露和资金损失。三是软硬件提质要求。支付所涉的业务系统、客户端软件、受理终端等应符合监管部门及行业标准，确保生成和识读过程的安全性、真实性和完整性。

《条码支付业务规范》仍然无法解决二维码自身的安全问题，不足之处体现在以下两个方面：其一是关于二维码的发布权、企业发布二维码的相关资质没有明确统一的规定和管理；其二，没有从细节上真正严格二维码的清洁性。如何从规范上实现二维码的安全性、真实性和完整性的目标，该文件并不详尽。

在制度设计上，二维码的去伪存真可以着力于以下三点：一是二维码信息加密要求。为了强化对用户信息的保护及达到二维码“清洁”的效果，应当将加密作为发布者的法定义务。二是规范认证与管理。通过强化数字签名方式确认交易当事人的真实身份对保证扫码支付安全具有重要意义。三是加大支付机构对二维码生成的法律责任。二维码是支付交易的桥梁，而支付机构是收款码与付款码的生产者。因此，要求支付机构保证其系统生成的二维码的“清洁无暇”是理所当然的。

（一）未授权扫码支付风险

二维码支付未授权交易损失常见于以下几种情形：手机遗失被他人盗用二维码进行消费支付，或用户扫读了他人提供的植有病毒的二维码，或二维码支付交易信息被劫持等。为了保证支付安全，当下的支付机构也配置了一些应急措施，如用户可以通过事前绑定的邮箱找回密码，或通过短信与独立的支付密钥来保障用户的资金安全。然而当智能手机不处于本人控制时，支付验证仅为手机验证码或支付密钥，那上述所谓的保障毫无用武之地。

此外，在扫码用户与支付机构的服务协议中，关联的支付机构早已通过格式条款将未授权交易的法律风险进行事前、全方位的排除。由于高度洞察了用户的消费心理，为了提升扫码支付的资金消费量，支付机构还隐性地预设了增加单笔无密支付的内容，进一步增加了用户未授权扫码支付的风险。

电子交易下，密钥是用户保障资金安全的最后一道有力防线。在扫码支付中，如果这道防线由于支付机构的不作为而被外来者突破，由此产生的损失却因为支付机构预先设定的抗辩权而由弱势的消费者承担，显然违背法律的公平正义。

（二）制度创新的进路：以维护消费者权益为导向

当各支付机构通过格式条款对未授权交易风险进行了事前规避，尽管《合同法》第40、41条和《消费者权益保护法》第26条给用户维权提供了法律依据，但解释权毕竟掌握在法院手中。如果当事人意图通过显失公平来行使合同的变更权或撤销权，由于显失公平的含糊性，法院多持审慎的态度，此外这两种权利的行使还受到除斥期间的限制。因此，在既有的法律框架下，发生未授权扫码支付时，用户的维权之路并不那么顺畅和平坦。为了实现利益的公平保护及为扫码支付这种新金融形式提供必要的支撑，我国的法律可以从以下几个方面进行革新。

1、举证责任的重新配置

当消费者和支付者就某一特定支付是否经过授权发生争议时，如果沿用传统的“谁主张，谁举证”的举证责任配置规则，显然对消费者不利，因为有关支付授权的所有记录和数据掌握在支付机构手中。

在举证责任配置上，欧盟的做法值得称道，其关于内部市场支付服务的2007/64/EC指令第59条规定：若消费者认为其并没有授权某个支付交易，或其发出的交易指令没有得到准确的执行，那么则应由支付服务商来证明交易的真实性、交易未受技术故障或其他因素的影响。立法者应审时度势地对支付机构等创立举证责任倒置的原则，以克服传统举证规则形式公平而实质不公平的呆板。

2、交易限额的正当性考量

为控制风险，《条码支付业务规范》根据支付机构的风险防范能力分别设定了日交易上限，如A级可与客户约定单日累计限额；B级同一客户所有支付账户单日累计交易金额不超过5000元；C级同一客户所有支付账户单日累计交易金额不超过1000元；D级同一客户所有支付账户单日累计交易金额不超过500元。虽然这种限额交易的做法能起到未授权扫码支付交易止损的效果，但内需不足是我国经济发展的一大瓶颈，限定交易额不利于商家业务的发展。另外，“官为民做主”的“善意”也彰显了对公民私产的干预和不尊重。因此，将交易风险防范归结为交易上限，这是治标不治本。我们的目光应更多地盯住第三方支付机构，而非拉动需求的使用者。

3、确立消费者在未授权扫码支付中的有限责任制度

美国的《电子资金划拨法》与《监管E条例》就将未授权的资金划拨定性为：由消费者以外的未获消费者本人授权所发起的，从该消费者账户划出资金而该消费者并未从该划拨中受益的资金异常流动。对于此类交易，该法规定：“如消费者在得知该交易后2个工作日内报告的，则其承担的责任不超过50美金；如在2个工作日之后至60个工作日之间报告的，则承担的金额不超过500美金。”

除了促使支付机构研发可靠的客户身份识别技术外，我国有必要确立支付用户未授权交易损失承担的有限责任制度。明确未授权交易下用户的有限责任对具有结算业务资质的主体在推介与开办该类业务时起到示范性的警示作用，促使其做好事前的风险防控与评估，而不是通过格式条款的方式将风险转弱势地位的用户。

（一）支付用户信息保护面临的挑战

如果用户打算开通扫码支付功能，那么其就必须注册支付账户，并将该支付账户与其持有的银行卡关联，在这一过程中，其必须输入个人身份证号、银行卡号、联系方式等私密信息。数据化时代，信息已被市场化与商品化，为了防止信息泄露，央行在《支付业务管理办法》第20条和《条码支付业务规范》第18条已做出了安排，但仍然落后于大数据发展提出的诉求，主要表现在以下几个方面：

其一是核心概念不明确。《侵权责任法》对于何谓隐私权、其概念与外延等基本范畴并没有表述。这种缺位直接导致在金融隐私权、信息权保护上的立法与实践难有大的作为。

其二是支付机构的属性定位不能适应信息保护的要求。第三方支付机构等已在事实上突破了传统金融机构的含义。《电子银行业务管理办法》第52条规定：“金融机构应采取适当措施，保证电子银行业务符合相关法律法规对客户信息和隐私保护的规定。”由于第三方支付机构不属于金融机构，自然被排除在该条隐私权保护合规要求之外。

其三是与互联网金融的时代格局存在严重不匹配现象。金融隐私具有浓厚的人权性与价值性，直接关系到消费者的核心利益。随着大数据的来临，金融隐私保护问题显得尤为紧迫，它使得隐私权保护面临一种坍塌式的风险。

其四是话语权的失衡问题。虽然支付平台等都高调地出台了隐私权政策或在协议中内置了相关条款，但对于信息的公开与使用，在格式条款下，用户不享有多少话语权。与其说是在保护消费者的隐私权，不如说是支付机构通过形式正义的协议为其占用、存储、使用、收集、空开用户的信息获得正当性与合法性。

（二）法律改良的路径：以确立信息权为中心

互联网、云计算与大数据在缩短信息传送时空的同时，也衍生了新的问题，如信息主体越来越不受信息主体的控制、信息被商品化、信息易于被不法使用以及传统信息保护观念的失灵。对个人秘密的保护也必须紧随互联网时代演进。

其一是确立信息权，并兼顾平衡保护。我国目前对侵犯个人信息的保护主要表现为一种人格权下的隐私权保护路线，但有必要在法律中创设信息权概念，并厘清信息权与传统隐私权之间的关系。信息权所涵涉的范围已远远超越了隐私权，除了与隐私权所保护的敏感及私密信息外，还有一部分是个人公开信息，这部分信息不在隐私权的保护范围内，主体享有的是对信息的收集、处理、更正及删除的权利。

其二是还原第三方支付机构的金融属性。随着社会分工的日益复杂，金融监管专业化势在必行。在数字金融化时代，财富日益被数据化与电子化，还原第三方支付机构的金融属性不仅是出于对事物“本真”的追求，而更是出于对弱势的消费者提供强有力的公权力保护。

其三是强化信息权保护的财产性、专业性与责任性。一是要认识到信息的财产性，进而在法律上强化其财产性保护。二是保护的法律专业性。在规律上，信息权保护应体现一个“一般法律保护→专门隐私权法律保护→信息权法律保护”的轨迹。三是强有效的责任机制。从民事、行政与刑事责任各方面增加侵犯信息权的成本，民事赔偿额制度尤其是立法优化的重点。

正如作者所言，新技术的难题不在于扩大自由，而在于如何限制与剥夺自由。原文以二维码扫码支付为话题，以小见大，对我国货币政策、信息权的创制等进行了反思，其中不乏比较法、法哲学视角的深刻见解，对未来完善二维码扫码支付的法律制度有重大的参考价值。