支付宝:让人欢喜让人忧

上周五,估计大部分人都被支付宝刷屏了:这款全民支付生活软件更新了9.0版本,除了整合了微信的聊天功能之外,Logo还换成蓝色,跟“饿了么”完全分不出来。但其实,当天还有两条跟支付宝有关的消息。


第一件事,是全球最大的自动售货机制造商富士电机(Fuji Electric)株式会社与支付宝达成战略合作。

全球绝大部分自动售货机的硬件制造商都是富士电机,而本次战略合作的意义相当于把支付宝“预装”到了自动售货机上。根据支付宝产品的所有者蚂蚁金服透露的情况,目前在中国有超过4万台的自助售货机支持使用支付宝付款,分布在全国各大主要城市的地铁站、办公楼等公共场所。

根据本次合作协议,未来全世界所有由富士电机制造的自动售货机,都将从底层软硬件上支持支付宝付款。也就是说,未来中国游客出境旅游,也将可以用支付宝在自动贩卖机买东西了。

一名来自支付宝的知情人士向我透露,目前跨境支付的具体细节还未落实,支付宝一般采用当地当天汇率进行换算,不会因为汇率出现问题,影响支付体验。

上个月,我刚去过了意大利和希腊旅游。如果你也去过欧洲旅游,一定会对欧元区硬币的使用印象深刻。由于物价的原因,一天中遇到的绝大部分小额支付需求,都可以用不同面值的硬币满足:坐公共汽车或景点的私营大巴车,一般按照里程1欧元到2欧元不等,去便利店或者自动售货机买瓶矿泉水一般是50欧分到80欧分。这样一天下来,如果你在机场的货币兑换处兑换了几张纸币的话,会发现晚上回到酒店,兜里多了一大堆硬币。由于不熟悉硬币的大小和类型,从一堆硬币中找到面值正确的组合总是要花费很多时间,放在兜里又叮铃咣啷的甚是麻烦,恨不得赶紧都把这些硬币花掉,或者当小费给出去。

在我看来,小额支付使用硬币支付是一件非常落后的事情。在这方面,移动互联网支付产品就是一个非常好的替代方案。在英美等国家有Apple Pay,现在甚至可以使用Apple Watch来支付;在中国,也已经有数万家线下商铺支持了支付宝或者微信支付,让收银员扫一下码,几秒钟的时间就已经完成了支付。

虽然余额宝最近的7日年化收益率已经逼近银行存款利率,但作为960万平方公里上最流行的支付应用,绝大部分人日常生活依然非常依赖支付宝。未来,就像以前在国外看到银联卡的标志倍感亲切一样,看到支付宝的标志出现在自动售货机,以及越来越多的地方上——那种感觉,才像是“中国梦”。


然而,支付宝不仅让人欢喜,也让人忧。

第二件事,是支付宝取消手势密码,取而代之的是“安全大脑”。

很多用户发现,点开升级之后的支付宝9.0版本,第一条提醒竟然是建议关闭手势密码。其实,早在升级到8.6版本的时候,支付宝就已经开始陆续关闭手势密码的功能。一位支付宝的公关人士对我表示,手势密码只是多加了一层心理防线,其实对账户安全性的提升并没有意义。

没了手势密码,支付宝又是怎样保护4亿用户的账户资金安全的呢?用iPhone 6、6 Plus和5s的用户还有一层Touch ID指纹验证。而其他的iPhone以及Android用户来说,他们的账户安全,恐怕要依赖支付宝研发了8年之久的“安全大脑”了。

为了保障账户安全,安全大脑似乎知道了太多关于你的事情:比如你使用手机的习惯,包括手指接触的面积、按压力度、打开软件的时间间隔等……根据一份支付宝公开的宣传资料,安全大脑通过陀螺仪和重力感应,记录下用户的习惯,从而为安全预警提供数据。

safe-brain-1

不仅如此,这份宣传资料还写道,不符合常规的交易行为也会触发安全预警——比如,与另一个危险账户发生资金关系,或者购买过去未曾购买过的商品种类。

这颗安全大脑,很容易让人联想起2002年汤姆·克鲁斯主演的电影《少数派报告》。在电影中,两男一女组成的“先知”组合,通过对每一个社会人的生理和心理状态进行监控,从而侦查潜在的犯罪动机,预言即将发生的犯罪行为,给警察在罪案发生之前出警,将理论上还未犯罪的“嫌疑犯”绳之以法的机会。

现在看来,当年的《少数派报告》电影本身,其实就预言了当下将“大数据”应用到各种使用场景当中的行为的趋势。然而,通过多种管道获取了大量有关于用户的数据的同时,企业们又是否考虑过,在这过程中是否产生了对隐私的侵犯行为?

诚然,通过陀螺仪、重力感应、屏幕触控模块、GPS等手机硬件对用户进行全时监控,提取这些硬件上产生的数据,已经是移动互联网产品的通用做法。特别是在Android平台上,由于国内Android第三方操作系统市场的割裂和混乱,应用普遍存在权限混乱的问题。以往,人们恐怕很难想象,一款名为支付宝的应用,需要获得调用GPS、陀螺仪、重力感应的权限,甚至要记录触控模块数据——我只是用它来付个款,需要这么多权限吗?

safe-brain-2

随着计算的云端化,越来越多在过去无用的元数据都可以被整合起来,挖掘整理和分析,进而产生新的意义。但这是否意味着,一款支付软件为了安全的道理,就一定需要在用户默认许可的条件下,从用户处获取如此多细微之至的隐私数据?

《少数派报告》中,三名先知给出的判断并非总是一致。当出现分歧,按少数服从多数原则定案,但最后若少数一方正确的话,则会秘密保存一份少数派报告。这正是片名的由来。这个制度的存在证明,即便采用了先进的超自然预言技术,仍然会出现错误,而错误,往往意味着无辜的人被错抓、错判——更何况,那些没被错抓的人,其实也并没有犯罪,他们只是在错误的时间想到了错误的事情,而这些隐私,被一个强大而先进的“大数据”平台所捕获,成为了他们即将犯罪的动机。

《少数派报告》中的三先知——一个活的大数据云计算中心

《少数派报告》中的三先知——一个活的大数据云计算中心

我没有任何的理由就此判定,支付宝的安全大脑会因为获取了大量的用户隐私而开始“作恶”,但这种侵犯隐私边界的行为仍然让我感觉不舒服。在安全大脑中,支付宝用户只是一个又一个透明人,是数据的来源,是潜在安全隐患的“有罪推定”对象。在安全大脑的保护之下,支付宝账户资金出现问题的风险几率可能低于千万分之一,而同时我猜测,会用支付宝作恶的人也不足千万分之一。为什么,不能少获取一些数据,还用户一些隐私?就算做不到,何不给用户一个选择的权利?

写到这里,不是想为落后的手势密码解锁洗地。我不太懂移动安全,但恐怕绝大多数人的共识是,手势解锁密码是属于自己,可以被自己控制的。移动互联网高速发展,大数据的能力越来越强,但有些事情,还是应该交由用户自己去做。安全大脑研发8年,技术强大的确值得钦佩,但与此同时,我们断不应该放弃对隐私与安全之间边界的思考与敬畏。

订阅更多文章