前段时间，“支付宝账号解除授权”话题冲上了微博热搜。有网友反映查询个人账号后，发现了数量众多的“隐藏授权”和“隐藏扣款”。对此，支付宝第一时间进行了回应，表示在2021年已推出“个人信息授权管理”功能，方便用户统一管理授权；此外，个人可以在“用户保护中心”查看授权自动续费的服务，并可以通过“免密支付/自动扣款”功能，解除指定商户下的对应服务。

事实上，“自动续费”和“免密支付”此前已经多次引发争议。今年3月，中消协发布针对手机“免密支付”风险的消费提示，称近期陆续收到消费者因“免密支付”功能导致账户资金被盗刷的投诉，提醒消费者网络购物谨慎使用手机“免密支付”功能。6月，中消协在《中国消费者权益保护状况年度报告（2024）》中，指出互联网消费中出现消费侵权新问题，包括平台自动续费、先享后用等缺乏透明度等。在黑猫投诉搜索关键词“免密支付”，查询到相关投诉6万余条；而关键词“自动续费”、“自动扣款”对应的投诉数量均超过20万条。

作为移动支付高速发展的产物，“免密支付”和“自动续费”在提升支付成功率、优化客户体验、推动电子商务发展方面发挥了积极的作用；另一方面，部分参与者对支付便捷功能的滥用，也对消费者的资金和信息安全造成了极大的威胁。“免密支付”和“自动续费”背后蕴含着怎样的实现逻辑？从业机构、消费者应当如何合规合理使用此类功能？要理解和回答这些问题，可能需要先从快捷支付、余额支付这些基础支付方式说起。

第三方支付的基础支付方式

快捷支付的历史可以追溯到十余年前。早期国内第三方支付机构主要依赖网关支付，通过整合银行接口、处理交易路由，为合作商户提供网络支付的“一点接入”。在这种模式下，消费者在线上付款时需要通过多次跳转登录开户银行的网银、输入银行卡信息并由开户银行完成身份验证。繁琐的步骤导致支付成功率较低，彼时平均成功率仅有60%左右。为解决这一问题，2010年年底，支付宝联合工商银行等商业银行推出“快捷支付”产品，消费者在付款时无需登录银行网银，在商户的页面提交银行卡信息即可完成认证并绑卡，后续历次付款时也无需重新进行身份验证。快捷支付改变了传统的网络支付交易逻辑，基于事前协议约定，在采取对应风险防控措施的前提下，商业银行允许第三方支付机构代替付款方向其发起支付指令，扣划付款方账户的资金；付款方在首次签约认证后，历次交易时通过输入开户银行发送的验证码或支付机构的支付密码即可完成付款，极大简化了付款流程。快捷支付一定程度上寻求到效率和安全中的平衡，是国内第三方支付发展历史上的重要转折点，为今天移动支付的繁荣奠定了基础，现已在行业内被广泛使用。需要注意的是，“快捷支付”是一个比较广义的名称，支付机构、清算机构基于快捷支付的产品逻辑进行了拓展和完善，各自对外表述可能存在一定差异，如银联无跳转支付、网联协议支付等。

余额支付和支付账户密切相关。支付账户是第三方支付机构为企业和个人提供的电子钱包类服务，具有充值、转账、消费等功能。以目前最常用的支付工具为例，个人在消费时既可以通过快捷支付实时调拨已绑定银行卡中的款项进行付款，也可以事先将资金充值到“钱包”的余额中，在消费时使用支付账户余额进行付款。

条码支付是一种主要基于二维码技术的支付方式，消费者通过扫描商户提供的二维码或展示自己移动设备上的二维码来完成交易。条码支付的诞生略晚于快捷支付，2011年支付宝上线全球第一个条码支付产品，随后微信在2012年升级“扫一扫”支付。在两大巨头的推动下，商户和消费者对条码支付的认可度不断提升，目前已成为日常消费中最常使用的支付方式之一。除使用场景的拓展外，条码支付的技术手段也不断升级。支付宝于2024年7月推出“碰一下”支付，将条码支付和NFC近场通讯技术结合，用户付款时无需展示付款码，通过手机碰触商家的收款设备完成付款。

代收（代扣）是收款方基于与付款方的协议约定，通过持牌机构从付款方的账户中扣收指定金额的款项，同时无需付款方逐笔确认的一种支付方式，常用于收款方固定、周期或金融固定的消费场景，如偿还贷款、支付会员费用等。从付款方的角度，可以将支付方式大致分为两类：主动付款类和被动扣款类，快捷支付、余额支付等原则上需要付款方逐笔确认的支付方式属于主动付款类；而代收则具有明显的被动扣款特征。由于代收方式交易验证强度弱、资金风险相对较高，监管部门对其适用场景进行了更为严格的限制。在《中国人民银行关于规范代收业务的通知》（银发〔2020〕248号）中，根据授权强度不同，对代收业务适用场景进行了区分：两两授权模式下，仅支持便民服务缴费、信用卡还款、会员费用缴纳等低风险业务场景；三方协议模式下，进一步支持教育培训费用缴纳、小贷公司贷款偿还、基金理财产品定投等场景。

基础支付方式在实际场景中的拓展

当前日常生活中大量的视频网站、移动应用会员费的“自动续费”服务，背后通常是收款方通过合作代收机构（包括第三方支付机构和商业银行）使用代收产品实现。而网络购物、网约车等消费场景下的“免密支付”，虽然付款方在支付时无需输入支付密码或短信验证码，在体验上和“自动续费”有一定相似性，但由于此类场景不满足248号文的要求，背后使用的仍然是快捷支付、余额支付等主动付款类产品。如果说“自动续费”的特征之一是业务场景限制，那么“免密支付”的重点则在于交易限额管理。“免密支付”又被称为“小额免密”。《非银行支付机构网络支付业务管理办法》（中国人民银行公告[2015]第43号）和《条码支付业务规范（试行）》（银发〔2017〕296号）分别对支付账户余额支付和条码支付的交易限额做了规定。总体而言，这两类支付方式的交易限额与提供服务的支付机构分类评级结果及交易验证方式的安全等级相关，当支付机构采用高安全等级的交易验证方式时，可以与付款方自主约定单日累计交易限额；当采用低安全等级的验证方式（包括无需付款方验证）时，原则上单日累计交易限额为1000元。此外，“免密支付”仅是无需付款方在付款时通过输入支付密码等方式对交易进行确认，收款方和提供服务的支付机构仍然有义务向消费者明确提示商户或服务名称、金额等重要信息。下图为某购物网站“免密支付”确认订单截图示例。

“免密支付”和“自动续费”的合规路径

理解了“免密支付”和“自动续费”的底层逻辑，我们就可以探讨最为核心的问题：持牌机构、商户和消费者（尤其是前两者）应当如何建立并完善这两类支付方式的合规路径。上文已经提到，针对快捷支付和支付账户余额支付、条码支付等基础支付方式，人行已相继发布43号文、296号文、248号文等文件，对授权管理、商户管理、限额管理、场景管理等重要业务规则进行了明确。近年来，监管部门对机构违规行为的处罚力度也在持续加强。今年8月，北京某支付机构被属地人行罚没960万元，相关责任人员被罚款33万元，单位和个人的违规事由均包括“未按规定开展代收业务”。快捷支付、条码支付等通过付款人银行卡付款的支付方式涉及银行与支付机构的合作，对此监管部门亦有明确要求。在《中国人民银行关于加强银行卡业务管理的通知》（银发〔2014〕5号）中，要求发卡银行建立与支付机构业务合作的统一管理机制，在合作协议中明确交易验证、信息保护等方面的权利义务和违约责任。同时，发卡银行按照支付机构发起的支付指令扣划持卡人账户资金前应验证持卡人身份并签订协议，取得对方授权。

除持牌机构外，商户作为网络经营者，在通过合作持牌机构向消费者提供免密支付、自动续费服务时，也需要遵守电子商务法、消费者权益保护法等法律法规的要求。

《消费者权益保护法》第二十六条规定了经营者正确使用格式条款的义务。经营者使用格式条款的，“应当以显著方式提请消费者注意商品或者服务的数量和质量、价款或者费用、履行期限和方式、安全注意事项和风险警示、售后服务、民事责任等与消费者有重大利害关系的内容，并按照消费者的要求予以说明”。

《电子商务法》第十九条规定，电子商务经营者搭售商品或者服务，应当以显著方式提请消费者注意，不得将搭售商品或者服务作为默认同意的选项。商户以“自动续费”方式收取会员费等费用时，需要在协议中明确告知消费者续费周期、续费金额及续费方式等重要条款。部分商户默认勾选自动续费或隐藏自动续费条款等行为涉嫌侵害消费者合法权益。

2021年，国家市场监督管理总局发布《网络交易监督管理办法》，其中第十八条对自动续费做出了明确要求：“网络交易经营者采取自动展期、自动续费等方式提供服务的，应当在消费者接受服务前和自动展期、自动续费等日期前，以显著方式提请消费者注意，由消费者自主选择。网络交易经营者采取自动展期、自动续费等方式提供服务的，在服务期间内，应当为消费者提供显著、简便的随时取消或者变更的选项，并不得收取不合理费用”。实践中，部分商户在消费者取消“自动续费”时设置诸多障碍或以收取额外费用作为取消条件，明显违反了上述规定。

今年8月，发改委、市场监管总局、网信办联合就《互联网平台价格行为规则（征求意见稿）》公开征求意见。在征求意见稿中，明确规定平台和平台内经营者提供免密支付服务或设置自动续期、自动扣款的，应当以显著方式向消费者展示相关选项，并提供便捷的取消途径；采取自动续期、自动扣款方式收费的，每次扣款应当提前将扣款时间、金额及价格变化情况以显著方式提醒并通知用户，允许消费者随时取消自动续期、自动扣款。商户在相关功能开通、扣款、取消等环节，均需要充分提醒消费者并取得对方许可。

随着相关规则的持续完善，不少商家也在改善系统功能，主动改善消费体验和信息披露。这同样有助于市场的良性发展。

作为消费者，同样需要提升自我保护的意识和能力，在开通各类支付功能前充分了解细节内容，切勿随意点击不安全的网络链接。对“免费”服务保持合理的怀疑和警惕，是守好自己钱袋子的关键。