一、 引言

移动支付是通过手机或其他移动设备创造的支付付款数据和指令。此类支付包括使用移动设备的互联网支付，以及通过移动网络运营商(MNOs)的支付。^①付款人的位置和支持基础设施并不重要：付款人可能在移动(远程支付)或在一个销售点。移动支付有两种主要形式：近距离支付和远程支付。近距离支付是基于非接触式近场通信(NFC),使消费者在销售点使用他们的移动电话就可以直接购买商品或者服务。消费者可以通过持有手机让对方扫描来支付,他们的预付费账户、移动帐户或银行账户将会被相应扣除。远程支付不需要近距离通信技术,因为它运用了手机的短信(SMS)功能。远程支付直接从移动帐户或使用其他手机应用程序或在互联网上借记卡、信用卡或第三方支付如支付宝或贝宝上注册的账户里直接扣除。^[1]在中国，移动支付正在快速发展。同时作为一种非金融机构第三方支付的主要方式亦发展迅速。例如：支付宝^②的平均日交易量已达到106亿元，占中国国内零售销售额的6%；大部分的这些款项是通过移动支付创造的。^[2]这种支付方式在市场中的广泛使用引入了许多新的元素，这可能对消费者和现有的消费者权益保护框架产生深远的影响。这些服务给供应商和客户都带来了风险；从消费者权益保护的角度来看，这些风险一般来自安全、隐私、透明度和赔偿几个方面的问题。^③

相关法律领域内文章也涉及在移动支付中消费者权益保护方面的问题，但是从上述所有方面深入分析支付宝服务协议的特性以及相关法律规定的研究存在不足。^{[3, 4, 5]}虽然有些文章提供了从民事责任^{[6, 7]}或合同法^[8]角度的深入分析，但缺乏对与这一领域的消费者权益保护相关的主要法律规定的深入研究。因此，文章的分析将提供在这一领域有关法律较全面的介绍，并以支付宝服务协议为例评估具体规定尤其是那些与非金融机构相关的措施和有关问题并寻求可能的法律解决方案。

二、 支付宝

支付宝是一个非金融机构。支付是建立在预付模式或直接从银行卡收费的基础上的。支付宝可以用来创建免费的个人对个人的(P2P，Person to Person)支付和完成网上购物，以及支付手机账单、飞机/火车票以及水/电费等其他应用。支付宝客户可以先使用邮箱账号或手机号码注册一个免费的支付宝账户。在他们的手机中下载安装了支付宝应用程序之后，客户可以把他们的银行卡里的钱转移一些到支付宝账户中。在转账前，客户要输入转账金额、个人识别码、银行卡号。在支付宝所储存的资金利息高于在银行账户存储资金的利息。如果支付宝账户中没有了余额，用户也能通过使用与支付宝账户进行绑定的银行卡(借记卡)进行购物。整个过程是免费的，并且绑定或者解除绑定银行卡都很方便。在线支付时，客户只需要输入一个通过短信发送到 注册手机号码上的验证码或快捷支付的密码就可以支付了。^④这两个模型如图 1所示。

从图 1可知，在两个模型中支付宝扮演着一个服务平台提供者的角色。在第一个模型(A)中，支付宝还为储存资金提供利息，在这个意义上，支付宝属于准金融机构。在第二个模型(B)中，支付宝只为银行提供平台服务。

三、 非金融机构移动支付的法律框架

在中国，移动支付操作类似于传统的支付，只不过他们是通过手机的新界面进行操作。许多传统电子支付的法律法规也因此可以在移动支付中类推适用。在这个领域内的中国消费者权益保护的法律分散在各种法律法规和规定中，这使得它很难有一个现有的完整的法律文本。对经常被引用的有关规定^⑤进行探究，这些规定如表 1所示。

表 1在很大程度上涵盖了最常被引用的条款。

当前的法律框架有一些重要特征。第一，正如表 1所显示的，监管框架涉及多个法律和政府部门。中国的法律框架较为零散，涉及电子支付的金融和非金融机构的立法^⑥、一般消费者权益保护、数据保护、反洗钱、电子交易、互联网网络安全、电子认证等。

第二，尽管规则是零散的，但关于移动支付中最常引用的规则是金融领域内的法律，如《非金融机构支付服务管理办法》(以下简称《管理办法》)及其具体的实施措施。适用于非金融机构的关于透明度、安全性和隐私保护规则的规定比适用于银行的那些规定更不全面和宽松。例如：在“第1号电子支付指令”(以下简称“1号指令”)^⑦第8条，要求银行向消费者披露银行信息、风险、电子支付服务的标准、程序、分类、支付服务费用和争议处理程序信息，在等效规则适用于非金融机构的时候，《管理办法》只要求非金融机构披露成本和内容服务^⑧，以及服务提供者和消费者之间的责任和义务。最近发布的《关于加强商业银行与第三方支付机构合作业务管理的通知》，列出了各种商业银行与第三方支付在关于安全和隐私问题上合作的要求。通常这些规则只约束有关的商业银行，但却没有对第三方支付机构如支付宝提出要求。在隐私或责任方面，也有缺乏严厉规则的例子。

第三，除了一般的消费者权益保护法，它只提供在这个领域内保护消费者权益的抽象指导，中国的刑法只有一个关于数据保护犯罪的规定。虽然合同法中关于合同格式的公平规定可能是相关的,但在这个领域内的其他法律文本仅仅是行业规则或自律规则,他们只有有限的适用范围或约束力。

四、 消费者权益保护条例和支付宝服务协议 (一) 安全

移动支付的属性催生了欺诈和黑客的安全风险。一般来讲，由于移动设备容易丢失和被偷，它的安全威胁比个人电脑的威胁更大。^⑨黑客也可能通过蓝牙或无线射频识别来获取数据；移动设备可能被来自下载或扫描的快速响应代码的恶意软件感染。移动支付的安全性也是移动支付消费者最重要的关注点之一。^⑩ 系统安全一般参考合适并有效的安全措施，包括技术安全；管理安全控制应该被采用来保护消费者资产免受黑客、侵吞和盗窃的危险。从法律的角度来说，安全问题更多的涉及移动支付提供者或者支付过程相关利益者的责任与义务，较少的涉及消费者的权益保护。

安全性的法律要求在《管理办法》第33条和第34条中被清楚地列出，尤其涉及储存的消费者信息的安全。《管理办法》第38和39条的实施规则扩展到一个更加普遍的要求，以采取必要的安全措施防止消费者信息丢失、泄露或者损坏。这些规定为移动支付服务提供商的安全责任提供了一个法律依据。然而由于这些规定的抽象性，很难在实践中评估依法加强安全性技术措施的充分性。

1.泄露密码和身份盗窃的责任

用户名和密码是鉴别身份的重要安全措施。支付宝用一个账户密码和一个支付密码来保证用户资金的安全。然而，关于支付宝的身份盗窃案件在近年来仍是被数次报道，由于账户密码被盗用或者移动设备丢失，许多用户遭受经济损失。根据支付宝的服务协议^[9]，由于泄露密码或身份盗窃的原因所造成的财物损失由消费者自己负责。在支付宝的安全性措施中^[10]，公司声明：“用户知道由本公司采取的安全措施不能保证您的用户名或密码不被盗用……用户同意，本公司将不为此承担责任”。此外，一旦消费者意识到他们的密码已被泄露或自己的身份被盗，他们应该立即通知支付宝；然而，在用户通知支付宝之后，支付宝采取措施之前，支付宝对可能发生的经济损失不承担责任。^⑪在服务协议中，支付宝声称，公司在接到通知后需要一段合理的时间来采取任何措施以防止进一步的损失。然而，这段合理的时间究竟多长，不为人知。

这些服务协议的规定对于消费者来说并不公平，因为在许多情况下，密码或用户名是由于不安全的系统设计或加密传输而被盗窃。消费者则需对超出了他们控制的经济损失而负责。另外，公司接到通知后需要一段合理时间来采取措施以防止消费者的财产损失，合理时间这个模糊的措辞给支付宝留下了很大的时间差距，这是一个该公司可以利用的系统漏洞。根据《消费者权益保护法》第16条，服务提供者和消费者之间的协议应该遵守法律规定，在协议中设置不公平或不合理的条款是非法的。《网络商品交易及有关服务行为管理暂行办法》第13条也明确禁止互联网服务供应商使用格式化的电子合同设置不公平或不合理的协议，来免除或限制自己的责任或义务，抑或限制或排除消费者的权利。因此，支付宝设置的不公平协议应当按照本规定被视为无效。但是，这些法规在一定程度上抽象或间接地保护了消费者在移动支付方面的权利。在实践中实施这些规定将需要法院的参与，以决定支付宝的协议是否是不公平的，或者支付宝是否试图免除或限制其承担的责任。因为，根据《管理办法》及其实施细则，非金融机构的安全保障义务“只采取必要的安全措施…”^⑫ 没有像电子支付指引中的那样关于安全措施的具体要求^⑬，也没有关于非金融机构在出现安全漏洞的情况下对其负有的严格责任作任何规定。

《管理办法》的这个漏洞是支付宝服务协议中不公平条款的主要借口。增强消费者对乱收费的权益保护意识值得提倡。消费者不应是承担潜在财产损失所有责任的人。在使用支付宝时，有两种方式进行支付：要么使用存储在支付宝账户的余额或使用借记卡。^⑭当付款是由消费者通过支付宝账户直接支付时，支付宝应该承担任何潜在财产损失的全部责任。当消费者使用他们的借记卡进行支付时，可以参考电子支付指引。根据该电子支付指引第42条，当一家银行与第三方合作有延时支付、黑客或不完整电子支付时，无论损失是否由于银行的系统，还是因给银行提供服务的第三方的原因，银行将根据消费者和银行之间的协议对消费者的经济损失承担责任。^⑮不幸的是，尽管本规定可以被视为加强了消费者权益的保护，最后一句还是给银行留下一个漏洞，因为银行和消费者之间的格式条款实际上给银行以限制自己的责任的可能性，并加强了金融机构和他们的消费者之间的不公平状态。

一些北欧国家，包括挪威，芬兰和丹麦，已经制定了一些特定的移动(支付)法律。^⑯ 例如：芬兰的通信市场法规定了消费者对使用未经授权移动设备的责任的局限性。^⑨根据贝宝的用户协议，如果消费者在帐户问题首次出现后的60天内，把未经任何授权的交易通知送达该公司，公司将对乱收费或处理错误的损失全额退款给消费者。否则，过了60天后消费者将对出现的相关损失承担责任，如果公司能够证明在及时发现问题后它可以阻止损失。如果因为一个正当的理由，如住院、没有发现问题，这样的时间期限可以延长超过60天。^[11]在欧盟，根据支付服务指令，消费者有权要求立即退还乱收费或错误计费。如果他们尽快或在欺诈交易的3个月范围内通知交易员,消费者不承担任何责任。^⑰ 在中国也应采取类似的法律建议。移动支付服务提供商，包括金融和非金融机构，对未经授权的交易应该承担责任，除非经调查确定消费者确实疏忽大意并且有过错。通知期限和调查责任的规定还应该考虑贝宝或欧盟的模式。

2.安全保障义务

根据《管理办法》及其实施细则规定，非金融机构具有采取安全措施以保护消费者数据安全的义务。虽然，在手机支付方面对非金融机构的安全规则没有像对金融机构那样那么严格，但也没有否认非金融机构具有向消费者提供安全保护的责任。这也符合《消费者权益保护法》第7条，由此它规定服务提供商应对消费者的安全提供保护。这里的“安全”包括消费者的金融安全。在全国人民代表大会(NPC)和信息产业部(MII)有关个人数据保护的决定中，数据控制者有义务提供安全保障措施来保护资料当事人的个人信息。然而，对于支付宝，它的服务协议规定，该公司将不承担“电信系统事故，黑客入侵系统……”的责任。此外，它还声明，如果消费者从该公司的服务平台下载任何数据，而且数据造成了消费者计算机系统的损害，消费者应当对下载造成的所有损失负责。支付宝服务协议这部分声明的目的是以最大程度减少支付宝公司的安全责任，并且将整个负担转移给消费者。因为在很多场合，上面列出的安全风险可以由于支付宝的安全保护不力造成，因此，这些规定应被视为违背了消费者的安全权利和公司自身的安全保障义务的规则。

虽然支付服务提供商的安全保障义务已经被写进《管理办法》及其实施细则中，抽象的措辞和缺乏有关违反这些义务的法律责任的具体规定使得法律在实践中没有效果。安全性是消费者使用移动支付系统时最关心的问题。加强移动支付的消费安全可以采用多种方法，包括技术上的和非技术机制。在欧洲，很多技术标准和行为准则已经在业内实施；经济合作与发展组织还为有关电子认证、信息系统和网络安全、数字身份等提供了指导和建议。^⑱然而，在中国，被官方或行业公布的关于移动支付安全实践指导的条款并不充足。

虽然保持技术中立的立法非常重要，但是，加强支付服务提供商的安全保障义务以及为非金融机构提供更加具体的安全规则也不能被忽视。《管理办法》的相关规定及其具体措施，以及《全国人民代表大会常务委员会关于加强网络信息保护的决定》都只规定，只有当安全受到威胁时，支付服务提供商才必须采取补救。对安全缺陷的责任和补偿以及举证责任都规定的很不明确，这使实践中对消费者的保护非常薄弱。因此，除了应当细化安全义务的相关规定，也应当对安全漏洞的责任进行进一步规制。若非如此，支付宝等支付服务提供者可能会继续将安全漏洞的责任转嫁给消费者。

(二)个人数据保护

在移动支付中，由于在代理商与消费者，代理商与移动网络运营商，移动网络运营商和金融机构或非金融机构支付提供商之间进行信息交换，这就使得隐私和个人数据保护问题显得至关重要。为办理银行卡，需要提供出生日期、姓名、家庭住址、手机号码、国籍、收入来源等个人信息。这些信息通过要求提供照片以及身份证复印件的方式获得，还需提供代理商认为建立账户所需的其他信息。支付宝尽管开立账户仅需电话号码和电子邮箱，但是以上信息都是在提供服务的过程中直接或间接向消费者收集的。移动设备产生大量数据，包括行为轨迹(如详细的历史通话记录，短信息，浏览记录)以及移动网络运营商的订阅数据。在交易的过程中，支付者的支付账号、电话号码、账户余额、成交价格、售后服务、数据分析、消费者购物习惯、经济地位，甚至健康以及家庭地位等相关信息都会泄露。

《全国人民代表大会常务委员会关于加强网络信息保护的决定》及《电信和互联网用户个人信息保护规定》强调了个人信息保护的一般需求。^⑲此外，在一些具体行政规章中明确禁止了未经授权使用个人数据，包括《非金融机构支付服务管理办法实施细则》《电子银行业务管理办法》《电子认证服务管理办法》。^⑳因此，移动支付服务提供商不允许私自披露消费者个人信息。《全国人民代表大会常务委员会关于加强网络信息保护的决定》也规定数据控制者应当遵循合理性原则 ，最少够用原则，以及数据保护必要性原则。数据控制者需要告知用户收集信息的目的，不过分收集和使用消费者的个人信息。

1.不披露和必要性原则

当在电商网站上使用支付宝进行购物时，或者为火车／飞机票、话费、酒店订单以及其他花费进行支付时，这些记录都能够在支付宝钱包支付历史中找到。移动支付能够定位顾客的实时位置、行为和地理信息以及对消费者的其他个人信息进行进一步分析(如财物信息)，进行准确记录，并作为准确投放广告和其他潜在用途的基础。支付宝服务协议规定，公司能够收集消费者的信息，并能够销售信息并获利。公司能够披露消费者的身份信息，并且不告知消费者将信息披露给谁，但是支付宝服务协议后部分又规定支付宝，以及使用支付宝账户进行注册的网站都能够分享这些信息。

使用用户信息，出于商业目的记录用户信息，以及出于商业目的与第三方分享信息，都不是“使用用户信息必要性原则”的应有之意，这些行为不是向用户提供实际服务所必需的，因此，这种对个人信息的分享和使用是与数据保护基本必要性原则相悖的。 这一原则认为不得超过必要目的收集和使用个人信息。对于原本服务意图不必要的目的就被认为是法律上的超过和不必要。用户和支付宝签订的服务协议强制用户同意服务条款；然而，用户的同意不能用来证明这些条款的正当性。另外，与其他商业网站共享信息也与上文提到的规章中的不披露原则相悖。

2.数据删除

数据保护中的最少够用原则认为个人信息的存储时间不应超过必要时限。这一原则在工业和信息部颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)第5.5和4.2b条^⑥被明确阐述。《指南》认为一旦其初始目的完成，则必须尽快删除个人信息，除非法律另有规定。信息拥有者(或主体)具有以正当理由要求删除个人数据的权利。《反洗钱工作管理办法》 中有例外规定，《管理办法》相关实施细则规定第三方支付服务提供者需要在客户注销其账户之后5年存留客户的身份信息以及交易记录。

支付宝服务协议规定如果用户注销其账户，用户必须同意公司保留其个人信息，这种同意是不可撤销的。当用户试图注销其账户时，必须获得公司的同意。一旦账户被注销，用户将不能继续使用账户，但是公司能够不受任何时间限制保留用户的个人信息。这一规则与最小够用原则以及必要性原则不相符。考虑到《反洗钱工作管理办法》以及《管理办法》实施细则规定，一般需要在账户注销后5年内保留用户的个人信息。支付宝需要在5年后删除用户信息除非在其他法律中具有明确的规定。支付宝现行实施细则与数据保护原则相违背。令人遗憾的是，删除个人信息的相似规定(正如《指南》中规定的)没有进行相关的立法。其不具有强制力的特性成为其《指南》难以施行的主要障碍。《管理办法》及其实施细则中仅仅规定至少存储5年。《全国人民代表大会常务委员会关于加强网络信息保护的决定》仅仅用了4个字来表述必要性原则，没有任何后续的解释，使得在实践中难以贯彻这一原则。

3.建议

最少够用原则和必要性原则是数据保护法的最基本原则；他们已经得到全球范围内广泛的认可，体现在众多的法律文书和立法中。 支付宝过分收集用户的信息，出于商业目的使用用户个人信息，与第三方合作者分享用户信息，以及根据服务协议不受时间限制地存储用户信息，都与用户基本隐私权以及数据保护基本原则想违背。使用基于服务协议中用户强制性的同意不能成为证明这些违规行为合理的基础。中国目前的法律法规过于抽象，为公司规避法律留下漏洞。为改善这一现状需要：

(1)在法律和司法解释中强调，同意不能成为违背基本的数据保护原则的理由，特别是当用户的同意是通过强制的方式获得的，消费者别无选择(除了不使用服务)，以及做出同意后没有撤回的权利。

(2)在《指南》中明确规定的删除原则、最少够用原则和必要性原则应当进行相应立法；全面的数据保护法案对于中国用户隐私权数据保护是不可或缺的。

(三)透明度

《消费者权益保护法》规定消费者享有知情权和被告知权的基本权利。《消费者权益保护法》规定服务提供者需要披露服务的内容和价值(第8条)，也明确规定金融服务提供者应当向消费者提供经营地址、联系方式、商品或者服务的数量和质量、价款或者费用、履行期限和方式、安全注意事项和风险警示、售后服务、民事责任等信息(第28条)。《非金融机构支付服务管理办法》也规定非金融机构有义务向公众披露支付服务的费用(第19条)，“应当制定支付服务协议，明确其与客户的权利和义务、纠纷处理原则、违约责任等事项(第21条)”。在移动支付的大背景下，告知用户义务面临更大的挑战。在线电子合同条款以小字体或滚动文本框形式展示。消费者通常不愿意阅读通知，特别当它是冗长的、无聊的、没有真正可替代的时候，正如下文讨论的那样。 关于消费者权利的真正信息，潜在的风险和责任，未以明确及时透明的方式告知消费者。^[12]

1.无可选择的冗长阅读

当用户打开支付宝账户，他们需要注册并点击意味着“是的，我已经阅读服务协议并且同意其内容”的按钮。支付宝服务协议全文超过14 000个汉字。用户能够选择通过电脑或手机屏幕阅读协议。支付宝钱包基于IOS系统或安卓操作平台，用户通常需要直接在手机上安装支付宝App开通支付宝账户。大多数用户仅仅点击“是”按钮，没有阅读格式合同而完成注册。这样做的原因是可以理解。一方面，在如此小(或任何)屏幕上阅读协议过于冗长无聊。 另一方面，阅读专业法律人士制定的格式合同对大多数普通消费者来说是没有意义的，当阅读协议后的选择无非是同意或拒绝(结果是不使用服务)是不切实际的。在小屏幕上以强制的方式披露复杂的信息降低了用户的阅读意愿和阅读能力。这一情况导致实践中的透明原则在一程度上是无效的。

这一现象不仅发生在支付宝上，还普遍存在于大多数在线服务和交易平台上。用户在此种情况下做出的同意的有效性值得商榷，还应指出在此种背景下，为加强公司和用户之间的透明度，找到可替代性解决机制是一项巨大的挑战。笔者对此相关问题在之前的论文中进行了讨论，并提出了一些解决策略，包括使用隐私权，给用户提供更具有意义的替代方式，并能够控制自己的选择，对重要问题进行劝说和警告，以及加强第三方监管等。

2.未通知用户获得同意改变协议条款

支付宝提供的移动支付服务包括收集以及过分使用大量用户信息，以各种方式将部分责任转嫁给用户。服务协议条款可能极大地影响了用户的合法权益。然而，支付宝在服务条款中声明，公司能够任意更改条款内容，无需通知用户。一旦公司在网站上告知了新的条款，用户将继续接受服务，这意味着用户做出了默认。这不仅意味着用户可能失去了与公司协商费用、风险、权利、责任等问题的权利，而且他们可能仅仅由于没注意到已经发生改变而忽略了这一信息。

出于三点原因，协议中这一部分的合法性是值得质疑的。首先，这与《消费者权益保护法》中关于消费者知情权的相关规定是相悖的。协议条款的后续变更至少应当通知消费者。不应期待消费者定期检查他们的长期服务合同并找出变化(如果有的话)。其次，支付宝未能告知消费者如果其不同意对条款的改变，那要如何撤回其同意，这在实践中使这一条款具有强制性。最后，这一条款是基于双方不平等的权利义务关系，根据一般的民法原则这是不公平的。

3.未向用户充分披露关键信息

根据上文提到的相关法律，公司具有向其用户披露重要信息的义务，包括风险和责任。在支付宝服务协议中，公司重复强调风险和责任要由用户自行承担，但实际上并未说明这些风险是什么以及在多大程度上能够避免。用户账户信息是一个很好的例证：支付宝用户信息近年来一再被盗用和披露^[13]，这表明支付宝公司无论是从技术上还是从管理上都未能对用户信息提供充分的保护。如此高的安全和隐私的风险,其可能的后果,并未清楚地告知消费者。

然而《消费者权益保护法》规定向消费者告知风险，《管理办法》相关规定直接适用于非金融机构，不仅需要向消费者披露公司基本信息，如花费、费用、双方责任等。

相较于银行支付1号指令 详细的列明需要披露的事项，《管理办法》的规定是不那么严格的，未对消费者的知情权提供充分的保护。

4.建议

用户对于支付宝公司未向他们提供充足信息这一事实，缺乏足够的认识；另外，移动支付程序是一件复杂的事情，涉及了多个利益相关者和不同的监管主体。为解决这些问题，笔者有以下建议：

(1)与其使用冗长的、无聊的、难以阅读的服务协议告知用户，还不如采用多样的替代性方式，包括隐私/安全功能设计，给用户改变其设置的有效权利；对重要数据使用，改变条款采用说服和警告的方式等。用户应当具有同意或改变决定、撤回同意的能力，或采取其他具有实际意义的替代协议。

(2)应当告知用户重要的风险评估及其结果，以及为增强安全性而采取的措施。

(四)获得赔偿权

消费者获得赔偿的权利规定于《消费者权益保护法》第11条。《消费者权益保护法》第55条规定，若有欺诈行为，则消费者可获得购买商品的价款或者接受服务的费用的3倍。同时将500元作为这种赔偿的最低值。《非金融机构支付服务管理办法实施细则》第13条规定禁止网络服务提供者使用电子合同免除或限制自身责任，禁止将不公平责任转嫁给消费者或限制消费者权利。《合同法》第39条和第41条也强调，合同应当公平，应当提请对方注意免除或者限制其责任的条款。虽然《管理办法》没有直接订立用户能够获得赔偿的条款，但事实上确认了非金融机构具有确保用户个人信息和商业秘密安全的责任。

1. 实体障碍

支付宝在其服务协议中提出，公司不对任何间接损失、惩罚性赔偿或特殊损失负责，即使这种损失是能够预见的。公司还认为，公司工作人员做出的保证或告知服务，无论这种保证或服务是口头还是书面做出的，都不构成公司服务的保证。这一论述是有些模糊的：这是否意味着公司不对其员工做出的服务或告知负责？公司还声称，在任何情况下，公司提供的赔偿数额不超过向用户收取的当次服务费用总额。除了违法的免除或限制自己的责任，支付宝还声称，其具有任意停止服务协议的权利，不需向用户提供任何补偿。这些规定显然违反上述法律规定是无效的。另外，由于支付宝向普通用户提供的服务都是免费的，仅仅基于服务费用计算赔偿数额，会导致大多数情况下不能提供补偿。

由于支付宝向用户提供金融服务，它具有保护隐私和安全的责任。一旦由于公司不充分地保护导致安全受到威胁，隐私受到侵害，公司应当赔偿用户的金钱损失。支付宝不应通过要求用户承担所有在服务协议中列明的安全风险和隐私风险责任，而免除自己的责任。在公司具有欺诈行为的情况下，公司需要依据《消费者权益保护法》的相关规定，对这种行为进行赔偿。根据工商行政管理总局颁布的《欺诈消费者行为处罚办法》，任何能够引起消费者利益损失的具有误导性信息或欺诈行为都被认为是欺诈。最高人民法院做出的《〈中华人民共和国民法通则〉若干问题的意见(试行)》认为未能告知对方实质内容的变更也被认为是欺诈。在移动支付的大背景之下，欺诈可能发生在公司未能告知消费者实质的风险，或者发生在当费用条款发生变更，而未通知或获得用户同意的情况下。

2. 程序障碍

合理的消费者保护机制应当包括有效的商业惯例，能够处理争议，以及受到金融机构误导和不公正对待的消费者具有获得赔偿的途径。 由于移动支付具有复杂的特性，消费者可能会面临一些困难：(1)决定他们拥有何种权利；(2)在权利受到侵害时向那个机构寻求帮助；(3)如何收集侵权证据；(4)诉讼费用。这些因素使得实质性的赔偿变得困难。《管理办法》第21条规定非金融机构应当披露纠纷解决程序，并在服务协议中明确双方权利义务。但是并未规定处理误差的程序，这给双方当事人留下了法律漏洞。因此，支付宝服务协议仅仅说明了支付宝作为第三方机构的纠纷解决程序。当用户和支付宝发生纠纷时，服务协议没有说明错误处理程序，或者向谁报告(报告的内容)。

支付宝服务协议规定一旦发生纠纷，仅能在被告所在地的法院提起诉讼。这以规定对消费者来说是不公平的，特别是在移动支付的背景下，用户可能居住在中国的任何地方甚至国外。如果这一规定有效，实践中消费者将很难主张自己的权利。欧盟《布鲁塞尔公约》第16条规定“消费者向另一方提起诉讼，既可以在公司注册地国家，也可以在消费者注册地国家。同时就消费者提起诉讼的，仅能在消费者注册地进行”关于管辖法院的选择应当经过双方真正协商，不能通过在线服务的电子合同而加以改变。This is to “cancel out the effects of clauses in contracts which might go unread” ，这意味着必须有保护措施以确保一方确实同意由选择的法院进行管辖。消费者在这样的商业交易中是弱势一方，因此，有必要订立相关法律保护消费者的合法利益。

另外，现存法律并没有明确规定此种情况下双方的举证责任。消费者作为弱势一方，收集和获得所有存储在支付宝中心数据库的相关记录是相对难的，然而，公司能够轻易地跟踪、存储、修订甚至删除这些信息。因此，一旦发生冲突，消费者处于不利位置。

3.建议

消费者获得赔偿的权利面临大量程序性的障碍，为改变这一现状需要：

(1)确认支付宝协议中免除和限制责任条款无效，要求公司修订相关条款。监管机构应该发布标准的指导方针或规定服务协议草案的格式

(2)进行相关立法，确定此种情况下由服务提供者承担举证责任。

(3)借鉴欧盟立法，允许消费者在消费者所在地起诉。

五、 结论

文章研究了移动支付和支付宝的消费者权益保护框架，揭示了现存法律制度的不完善。不全面的规则留下了法律漏洞，在移动支付系统下影响消费者的权利，特别是涉及非金融机构时。非金融机构对消费者的保护弱于银行支付服务机构对消费者的保护。支付宝服务协议是其中一个例证，其他在线服务协议中也存在相类似的情况。 目前的拼凑式立法无法解决所有的问题，使得实践中出现执法困难。笔者对相关问题提出了明确的解决建议。为在移动支付领域提供更加有效的消费者权益保护措施，综合性支付服务立法，例如可参照欧盟支付服务指令。

注释：
① Report on Consumer Protection in Online and Mobile Payments.OECD Digital Economy Papers,No. 204. Paris：OECD ,2012.
② 支付宝是阿里巴巴集团在中国的最主要的支付和服务提供者。自2014年第二季度以来,它已成为世界上最大的支付公司。
③ G20 High-level Principles on Financial Consumer Protection. Paris：OECD，2011.
④ 快捷支付是支付宝提供的小额支付服务,通常少于500元。
⑤ 信息安全技术公共及商用服务信息系统个人信息保护指南，在中国是一个重要的行业自律标准。因为它不是法律,因此,表 1中并没有列出。
⑥ 表 1中只列出了非金融机构的相关规定。
⑦ 这是适用于金融机构电子支付服务的有关规定。
⑧ 《消费者权益保护法》第8条,类似的规定在《非金融机构支付服务管理办法》也出现过。
⑨ OECD . Report on Consumer Protection in Online and Mobile Payments. OECD Digital Economy Papers,No. 204,OECD Publishing,2012^[12].http://dx.doi.org/10.1787/5k9490gwp7f3-en.
⑩ Cf. McAfee (2008). Mobile security report 2008. 2011^[12]www.mcafee.com/us/research/mobile_security_report_2008.html.
⑪ 支付宝已经开始为消费者储存在他们的账户基金上的资金设计一个保险计划,这是一个已采取积极的加强安全保护的措施。文章只关注支付宝服务协议的法律角度分析。
⑫ 参见：文章第四(一)部分。
⑬ “第1号电子支付指导”规范金融机构,有一整部分(第4节) 对安全保护提出了非常明确和具体的要求。
⑭ 参见：文章第二部分。
⑮ 作者的强调。
⑯ OECD.Mobilecommerce. Paris,OECD,2007.^[12]www.oecd.org/dataoecd/22/52/38077227.pdf.
⑰ Payment Service Directive第58，59，60条，2007/64 / EC.
⑱ OECD. Consumer Protection for Payment Cardholders (DSTI/CP(2001).OECD,Paris,2002；OECD. OECD Policy Guidance and Recommendation on Electronic Authentication,2007^[12].www.oecd.org/dataoecd/32/45/38921342.pdf.
⑲ 《电信和互联网用户个人信息保护规定》针对电信服务提供商和网络信息服务提供者,因此,严格的讲,移动支付服务提供者不在此决定规定的主体范围之内。
⑳ 参见表格1。
这意味着收集个人数据的过程应当合法。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》第2条和第3条。
人民银行2010年第2号,后文简称“反洗钱办法”。
例如：《欧盟数据保护指令》95/46/EC；经和组织隐私保护和跨边界数据流保护指南；联合国《用于电脑个人数据档案的管理准则》,都包括了明确目的的原则。
对同意的影响和有效性的进一步讨论:参见:Liu Y所写的User Control of Personal Information Concerning Mobile-app: Notice and Consent? 载Computer Law and Security Review, 2014年第30期，第521-529页。
应当注意到，由于服务协议过于冗长和复杂,即使是在电脑全屏上，大多数人仍不愿意阅读。
“1号指令”第8条规定，向用户披露的信息应当包括：服务的操作风险；不采取安全措施的风险,安全漏洞;电子支付交易的各种风险,以及其他需要披露的信息。
Addressing Financial Consumer Protection Deficiencies in the Post-crisis Era. Paris,OECD,2010.
ReportJenard,O. J. 1979,C-59/38.
另一个例子是财付通服务协议。
支付服务指令2007/64 / EC(PSD)是一项欧盟的指令,由欧盟委员会管理(内部市场管理机构)在整个欧盟(EU)和欧洲经济区(EEA)监管支付服务和支付服务提供商。