二维码中支付、用户信息安全、广告营销、电子证据等法律问题的合规性解析

二维码支付信息安全广告营销

吴丹君周天一 | 2017-11-17 12:04

【数据猿导读】 11月15日，根据银联最新数据显示，自今年5月，银联联合40余家商业银行正式推出银联二维码产品上线以来，月均交易笔数增幅达到45%，活动商户数月均增幅达到87%，日均交易量超150万笔

作者：吴丹君周天一北京观韬中茂（上海）律师事务所

11月15日，根据银联最新数据显示，自今年5月，银联联合40余家商业银行正式推出银联二维码产品上线以来，月均交易笔数增幅达到45%，活动商户数月均增幅达到87%，日均交易量超150万笔。此外，针对各商户提出的扫码业务聚合需求，银联也推出了聚合业务，作为一种技术解决方案，能够支持各银行、非金机构的收单业务需要。二维码作为一种实现线上线下无缝对接的渠道正在受到各方热捧。

二维码支付的法律地位

2016年8月，央行指导支付清算协会完成二维码支付业务规范的制定，发布了《条码支付业务规范》（征求意见稿）(以下称“《业务规范》”)。一度因安全问题被叫停的扫码支付，得以在统一的监管标准下获得全面推广。

二维码并非诞生于支付行业，但自2011年支付宝、财付通等第三方支付机构陆续将其引入支付领域，因使用便捷、对支付环境门槛低等特点而逐渐流行。但由于二维码没有防伪功能，支付指令验证手段单一且配套的交易差错处理、纠纷解决机制等配套规范没有跟上，同时也缺少统一的技术标准、检测认证标准和相应的消费者权益保护制度，全面推广可能会引发大面积客户资金损失和信息泄露风险，因此2014年3月央行叫停了二维码支付。《业务规范》的出台，是央行自2014年3月份叫停二维码支付后首次官方承认二维码支付的地位,具有里程碑式的意义。本文拟从二维码的支付、用户信息安全、广告营销、电子证据四个方面对二维码进行法律解析。

二维码支付

一、二维码支付的定义

支付，是二维码的核心功能之一。根据《业务规范》的定义，条码支付是指支付机构应用条码技术，向客户提供的、通过手机等移动终端实现收付款人之间货币资金转移的行为。条码支付又可以分为付款扫码和收款扫码。简单来说，付款扫码就是消费者扫商户的支付条码完成支付;而收款扫码就是反过来，商户扫消费者的支付条码。

二、二维码支付的风险

（一）软硬件风险

二维码基于自身的性质，离不开支付机构配套的相应硬件和软件，因此软件和硬件风险是固有风险。硬件风险是由硬件设施引起的，网络运营者在市场推广二维码支付时，使用的设备难以满足业务量增长要求以及设备出现突发情况的风险，因此需要运营者定期完成设备更新与维护。软件风险主要是支付程序在运用过程中引发的风险，因此经常对程序的实施更新并减少编程漏洞才能更好地降低软件风险。

（二）网络信息安全风险

第一，用户个人信息泄露风险，即用户扫描二维码后识别的个人信息可能被第三方获取并泄露的风险。具体可参照下文“用户信息安全”的内容。

第二，网络交易安全风险，利用二维码进行网络电子交易，虽然生成方式简单，但由于移动支付终端环境复杂多变，容易受到恶意攻击，难以保证支付安全。此外，鉴于二维码支付与金融行业是相互融合的，且在线交易量逐年激增，会给不法份子留有可乘之机，引起连锁反应，影响整个社会的金融安全和信息安全。

（三）金融风险

第一，违法资金套现风险，即利用二维码支付主要基于第三方支付平台，现实中缺乏针对资金流向真实性的有效监管，因而容易产生违法资金套现。

第二，违法行为洗钱风险，即利用二维码支付的资金可通过第三方支付平台进行小额批量转账以达到洗钱，行贿，诈骗，转移赃款等目的，具有一定的匿名性和隐蔽性，严重扰乱金融管理秩序。因此，相关支付机构落实用户真实身份认证的实名制要求至关重要。

第三，平台资金流动性风险，在二维码支付过程中，第三方支付平台账户里将会的产生大量的沉淀资金，随着用户数量的增长，资金沉淀量会非常巨大。由于第三方支付企业出于逐利的需要，会将沉淀资金用作风险投资，难以保证资金及时收回，会造成巨大的流动性风险，势必引起金融机构间的资金紧张。

三、二维码支付的责任认定

由上图可以看到，一个看似简单的扫码支付行为实际上包含了银行、支付机构、特约商户、消费者四个主体，每个主体的权利义务分配成了出现盗刷事件后责任认定的重点，而《业务规范》明确了出现盗刷后，责任应该如何认定。

首先，支付机构要确保条码生成和识读过程的安全性，同时确保相关客户身份或账户信息安全，防止泄露，并根据收付款不同业务场景设置条码有效性和使用次数。其次，支付机构要建立条码支付交易风险监测体系，及时发现可疑交易，并采取阻断交易、联系客户核实交易等方式防范交易风险。再次，如果支付机构发现了风险事件，要对特约商户采取延迟资金结算、暂停交易、冻结账户等措施，承担因未采取措施导致的风险损失责任并及时向公安机关报案。

更重要的是，以前盗刷后，消费者维权时最容易遇到的一个问题是银行与支付机构之间相互推诿。而《业务规范》有效避免了上述情况的发生，明确要求商业银行和支付机构在合作前要先划分好各自的权责，商业银行和支付机构在条码支付业务中发生关系或开展合作的，应当约定或在合作协议中明确交易验证、信息保护、差错处理、风险赔付等方面的权利、义务和违约责任，切实保障客户资金安全和信息安全。

二维码中的用户信息安全

由于二维码用肉眼无法区分，公众对于二维码普遍缺乏安全防范意识。近期各地更是发生了多起共享单车被贴上虚假二维码的诈骗案件。未来二维码可能成为个人信息安全和通信诈骗新的高发区，目前涉及二维码的此类风险主要有两个，一是扫描后打开钓鱼网站，骗取用户填写账号密码，盗走个人信息和资金，二是打开恶意下载网页，手机被植入木马病毒。

在具体应用二维码提供相关产品及服务时，由于利用了互联网这一媒介，因此商户可以被认定为网络服务提供者，也即《网安法》中的网络运营者。作为网络运营者的商户应当结合《业务规范》和《网安法》内容，确保条码信息不包含任何与客户及其账户相关的敏感信息，内容仅限当次支付所需，同时对利用二维码收集用户信息时应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，此外还应当建立用户信息保护制度，保证信息不被泄露。除上述法律规范外，我国《刑法》规定了侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪等刑事责任。

此外，网络运营者在利用二维码提供网络产品和服务过程中，应当注意参照《网安法》关于网络产品和服务的审查要求完善合规内容。简言之，首先，《网安法》第二十二条对普通网络产品提出了四点基本要求：第一，网络产品和服务的提供者不得设置恶意程序；第二，网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告；第三，网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内,不得终止提供安全维护；第四，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。其次，《网安法》对网络关键设备和网络安全专用产品规定了安全认证或检测要求，即销售或者提供这类产品之前，须经具备资格的机构安全认证合格或者安全检测符合相关国家标准的强制性要求，今年6月1日，《网络关键设备和网络安全专用产品目录（第一批）》已由国家网信办、工信部、公安部以及国家认证认可监督管委会联合公告发布。具体内容可以参照我们团队之前的原创文章《三层次解读新规下网络产品和服务》。

二维码广告营销

关于网络运营者利用二维码进行广告营销而产生的法律风险，以今年6月闹得沸沸扬扬的“顺丰梦橙橙”事件为例，顺丰在本次事件中利用快递包裹张贴印有自家生鲜平台二维码的包装箱，可能涉及侵犯消费者权益和不正当竞争。网络运营者在利用二维码进行营销时应当符合《广告法》、《印刷品广告管理办法》、《消费者权益保护法》、《反不正当竞争法》等法律法规。

一、侵犯消费者权益

根据梦橙橙合伙人邓健所述，其于2017年春天开始选择使用顺丰，但顺丰强制其使用顺丰包装物，不得自行提供包装。在本次事件中，顺丰强制要求使用已张贴二维码的包装箱的行为侵犯了消费者的自主选择权，根据现行《消费者权益保护法》，消费者有权自主选择经营者所提供的服务方式，自主比较、鉴别和挑选，若经营者在提供商品或服务同时利用二维码进行广告推广或营销的，应当事先征得消费者的同意，否则涉嫌违反《消费者权益保护法》规定。网络运营者在利用二维码进行广告营销时应当尊重用户的自主选择权，事先征得用户同意后方可实施利用二维码进行的宣传营销活动。

二、不正当竞争

首先，在具有竞争关系的经营者提供的产品或服务过程中刻意利用二维码进行营销可能涉嫌混淆行为。根据《反不正当竞争法》，擅自使用与他人有一定影响的商业名称、包装、装潢等相同或近似的标识的行为或其他足以引人误以为是他人商品或与他人存在特定联系的行为属于混淆行为。二维码虽然无法单独作为商业标识，但却可与其他图案结合起来使消费者产生混淆。

其次，鉴于目前顺丰多利用微信扫描面单二维码的形式实施快递寄送，完成扫描后直接在其界面填写客户信息及地址，如果梦橙橙就客户或代理商名单采取了一定的保密措施，而顺丰在长期承运过程中利用二维码收集了客户的名称、地址、联系方式以及交易的习惯、意向、内容等，那么顺丰就涉嫌违法《反不正当竞争法》第九条，侵犯了梦橙橙的商业秘密。

网络运营者不得利用二维码实施混淆行为进行不正当竞争。此外，对于在利用二维码提供服务过程中收集的用户信息，网络运营者还应当根据“用户信息安全”的内容完善保护制度。

二维码的电子证据问题

2012年修订的《民事诉讼法》将“电子数据”纳入证据的法定种类之一，电子证据在诉讼中取得了合法地位，但是对于何为电子数据，具体体现形式为何，并未清晰界定。2015年2月4日最高人民法院公布了《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》，对电子数据的范围做出了细化，其第一百一十六条规定：“视听资料包括录音资料和影像资料。电子数据是指通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者存储在电子介质中的信息。存储在电子介质中的录音资料和影像资料，适用电子数据的规定。”该条以列举的方式详细规定了作为民事证据类型的电子数据，并明确区分了电子数据和视听资料。

而早在2015年2月，株洲市国信公证处就办理了一起通过扫描产品外包装上二维码进入该产品网上店铺的全过程的电子证据保全公证。因此，二维码作为电子证据的形式具备司法实践基础。

一、电子证据的特性

（一）技术性

电子证据必须依赖于一定的电子技术设备和技术手段而存在，离开了这些储存技术、计算机技术、网络技术，电子证据就无法存在，也无法再现，提取证据也需要相应的电子设备和专业人员，更具复杂性。

（二）复合性

电子证据不仅体现为文本形式，还结合了影像、图片、声音等多种形态，具有较强的复合性和表现形式的多样性。由于其借助计算机及其网络系统传播，与传统证据的运作方式大不相同，因而在使用和认定上也存在差异。

（三）无形性

电子证据实质上是一堆按编码规则处理成的“0”和“1”，这些编码数据以声、光、电、磁等形式存在于媒体介质之上的，是无法直接观看的无形体，只有通过特定的设备和技术才能显示为有形内容。

（四）脆弱性

正是由于电子证据的技术性和其保存方式的特殊性，在其存储、传输和使用过程中，极易遭受到外来的破坏。电子证据的脆弱性，导致了电子证据的审查、认定难度，也成为部分学者和立法机构将其作为间接证据的一大动因。

二、网络运营者利用二维码举证与质证建议

（一）通过证据链强化二维码作为电子证据的效力

司法实践中法官一般会结合当事人的当庭陈述、电子平台终端登记情况、其他书面证据等综合判断电子证据的真实性。将二维码作为电子证据的过程中，当事人不仅要保存二维码本身，还应当收集与之相关的证据材料，例如印有二维码的纸张、材料等，以证明该二维码确实与案件存在关联。

（二）固定保存原始证据，必要时进行公证或可信时间戳认证

由于实践中较多出现部分或全部编辑、删除电子数据的情况，这进一步降低了电子证据的可信度，二维码也不例外。对于原始电子证据，建议完整保存，必要情况下，可提前进行公证。针对电子数据的公证保全程序，必须采用第三方电子设备并且保证电子设备内程序运行的清洁性，确保电子证据保全被法院所采纳。

可信时间戳电子证据取证系统可为手机产生的手机录音、拍照、手机录像等电子证据即时向时间戳服务中心申请可信时间戳认证。经可信时间戳认证后的电子数据符合《电子签名法》中关于数据电文原件形式的要求。解决了手机产生的电子数据易被无痕篡改、证据效力不足的问题。

（三）严格履行网络数据留存制度和实名验证制度

《网络安全法》规定网络运营者采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务，相关网络运营者利用二维码进行日常运营和提供产品服务时应当严格遵照上述内容，从根本上保证二维码作为电子数据时有迹可循、有人可查、有责可究。

结语

互联网创新与行政监管之间总存在着冲突和碰撞，互联网发展引起的每一次创新与变革，都伴随着法律和监管问题紧跟其后。对于二维码这一便捷大众、连通线上线下的重要中介工具，首先，现行监管体系应不断完善，增强立法的时代性，在为互联网创新提供宽松包容的政策环境的同时切实保障用户个人信息的安全，有效防范利用二维码实施的违法行为；其次，相关网络运营者也应当重视二维码在电子支付、个人信息保护、广告营销以及作为电子证据所扮演的重要角色，及时完善合规政策，规避法律风险。

注：

本文由 北京观韬中茂（上海）律师事务所 投稿数据猿发布。

欢迎更多大数据企业、爱好者投稿数据猿，来稿请加微信：wmh4178（备注：投稿）

来源：数据猿

收藏分享

声明：数据猿尊重媒体行业规范，相关内容都会注明来源与作者；转载我们原创内容时，也请务必注明“来源：数据猿”与作者名称，否则将会受到数据猿追责。