3月10日，银监会官网转发人民日报消息：阿里巴巴与腾讯，分别作为两个发起人，各获得首批5家民营银行试点的发起人名额。

　　3月14日，21世纪网获悉，就在13日，中国人民银行支付结算司刚刚下发了《中国人民银行支付结算司关于暂停支付宝公司线下条码（二维码）支付等业务意见的函》，叫停支付宝、腾讯的虚拟信用卡产品，以及二维码支付等面对面支付服务。

　　稍后不久，人民银行官员向21世纪网确认了上述《意见函》。

　　马云前两天的讲话言犹在耳：“如果有一款产品能发挥推动历史的作用，即便它的生命周期再短暂，也必将非常光荣。如果有一天余额宝的利率和银行的存款利率并轨了，即便余额宝的使命真的终止了，它已经发挥了很好的作用。”

　　余额宝遭到几大商业银行围剿，但离“使命真的终止”应还有一段距离。马云有牺牲余额宝的觉悟，未料，央行在猝不及防间出手，快刀斩乱麻，对准的却是方兴未艾的线下支付和虚拟信用卡。

　　消息发布后，引起市场巨大反响。截至3月14日中午，香港上市的腾讯控股暴跌超过6%，每股跌价超过36港元。此前宣称将与腾讯及支付宝合作推出信用卡的A股上市公司中信银行（行情，问诊）一度触及跌停，午后更是近紧急停牌。

　　支付宝漏洞背后诈骗横行

　　线下支付的安全一直没得到重视。

　　《中国人民银行支付结算司关于暂停支付宝公司线下条码（二维码）支付等业务意见的函》的主要内容为：近期，支付宝（中国）网络技术有限公司已向实体特约商户推出条码（二维码）支付等面对面支付服务，并将联合商业银行推出虚拟信用卡产品，为维护支付服务市场秩序，防范支付风险，要求立即暂停线下条码支付，虚拟信用卡有关业务，采取有效措施确保业务暂停期间的平稳过渡。

　　《意见函》中表示，线下条码支付突破了传统受理终端的业务模式，其风险控制水平直接关系到客户的信息安全与资金安全，日前，将条码应用于支付领域的有关技术、终端的安全标准尚不明确，相关支付指令验证方式的安全性尚存质疑，在落实客户身份识别义务、保障客户信息安全等方面尚待进一步研究。

　　目前，随着支付宝及余额宝的规模膨胀，现实中已出现系统性的以“双宝”为工具的诈骗，据媒体报道，2月17日厦门何女士因支付宝快捷支付漏洞被诈骗4万余元；2月27日，凤凰资讯报道男子接假冒10086短信，余额宝半小时便被盗刷6205元；3月3日，骗子利用支付宝平台在账户改密业务中的漏洞，盗刷数家企业支付宝内的资金共20余万元。

　　从技术上来看，以线下支付、支付宝、淘宝账号诈骗，存在多种玩法：

　　原理一：条码支付可以把支付宝账户信息转换成可视化的条形码，商家用条码枪扫一下，即可实现支付宝账号之间的付款交易。在条码支付过程中，确认过程简单，黑客可以使用数据接口远程发起交易并劫持程序直接确认刷钱。

　　原理二：盗版“淘宝”缺乏验证：该病毒伪装成淘宝客户端，骗取用户淘宝账号、密码以及支付宝密码发送到指定的手机号码。

　　原理三：不法分子将恶意网站或者病毒软件进行伪装，让用户看起来或是一张图片，或是一个二维码，用户如果不当心轻易点击下载安装，就会导致病毒进入手机，信息因此外泄而造成财产损失。

　　“自行”背景下的安全缺失

　　支付宝官网上超过13000字的《支付宝服务协议》，出现频率最多的关键词之一，是“自行”。前后一共出现了22次。

　　？？您在使用支付宝服务时，应自行判断对方是否是完全民事行为能力人并自行决定是否与对方进行交易或转账给对方等，且您应自行承担与此相关的所有风险。

　　？？您与交易对方发生交易纠纷时，您不可撤销地授权本公司自行判断并决定将争议款项的全部或部分支付给交易一方或双方。

　　？？使用即时到账服务支付货款是基于您对交易对方的充分信任，一旦您选用该方式，您应自行承担所有交易风险并自行处理所有相关的交易及货款纠纷，本公司不负责处理相关纠纷。

　　？？对于因密码、身份信息、校验码等泄露所致的损失由您自行承担。

　　？？支付宝用户信息是由用户本人自行提供的，本公司无法保证该信息之准确、及时和完整，您应对您的判断承担全部责任。

　　？？您经由本服务之使用下载或取得任何资料，应由您自行考量且自负风险，因资料之下载而导致您电脑系统之任何损坏或资料流失，您应负完全责任。

　　有两个“自行”则给予支付宝公司绝对的权威，“本公司有权对您名下支付宝账户或资金的全部或部分进行冻结（本公司依据自行合理判断认为可能产生风险的），如您申请解除上述冻结或限制------本公司有权依照自行判断来决定是否同意您的申请。”

　　与22个“自行”相伴的，是客户服务体系的缺失，使得消费者的消费权益难以得到妥善保障。对于淘宝-支付宝平台的投诉，目前是21世纪网消费者平台出现的最多投诉之一。

　　另外，百度百科收录的“余额宝”词条中所公布的余额宝人工服务热线实为诈骗电话，已导致多地的用户受骗，在21世纪网于3月5日发布相关报道前，尚未得到更正。

　　击碎虚幻的城墙

　　本次人民银行的《意见函》，堪称是对互联网金融领域的一次重大安全警示。也足以让消费者看到线下支付那堵虚幻的城墙。

　　3月13日，李克强总理在人民大会堂金色大厅讲话时提出，“要正确地处理好政府和市场的关系。市场经济也是法治经济，我们要努力做到让市场主体‘法无禁止即可为’”。事实上，支付宝、腾讯等互联网巨头长期以来的创新，均是在实践着这种思想。

　　但是，在近两年线下支付业务疯狂扩张的背景下，互联网公司发展的线下支付系统，与传统支付渠道对比，在风险控制方面水平与服务已出现明显的倒挂差距。

　　一方面，传统的银行支付渠道，有安保人员、硬件、密匙，严格的柜台问询和签字确认流程，一旦出现支付风险事故，也有相对完善的追查系统。而且以上安全体系还在不断加强。

　　而从线下支付系统的代表“淘宝-支付宝”体系来看，一方面其客服体系及追责流程存在着不透明性，不透明就导致了无效和密集的投诉纠纷。另一方面，以支付宝为工具，基于技术层面上实施的犯罪，目前的花样还在不断翻新。

　　但是22个“自行”背后，《支付宝服务协议》只是一堵虚幻的城墙，主要防范的并不是诈骗份子的不法，而是用户们的追责。

　　或许有鉴于此，《意见函》才提出，“将条码应用于支付领域的有关技术、终端的安全标准尚不明确，相关支付指令验证方式的安全性尚存质疑，在落实客户身份识别义务、保障客户信息安全等方面尚待进一步研究。”

　　央行人士对21世纪网表示，此次对于线下支付和虚拟信用卡等业务，央行是“暂停”而非“叫停”，至于何时再启，尚无定论。