事件概述 - 鹰角网络旗下新游《明日方舟：终末地》于2026年1月22日全球公测，但上线数小时内国际服即爆发严重支付安全事故，大量玩家通过PayPal渠道充值遭遇异常扣款，部分用户损失金额高达数千美元，事件暴露了支付系统重大技术漏洞并对公司海外运营能力构成严峻考验 [1][7] 事故详情与特征 - 漏洞核心在于PayPal支付接口的账户隔离机制失效，导致玩家A的绑定账户可能被用于支付玩家B的消费 [1][7] - 异常扣款呈现三大特征：金额与商品严重不匹配，例如10美元月卡服务被扣1200美元；交易币种混乱，涉及美元、日元、欧元等多币种；扣款对象随机，有玩家在未操作情况下账户连续产生多笔不明消费 [1][7] 技术根源分析 - 技术漏洞根源可能有两方面：一是API接口未严格遵循PayPal官方规范，导致所有绑定用户的支付凭证被存入同一公共存储池，系统扣款时随机抽取；二是免密支付授权机制误用，未对用户账户信息进行有效隔离 [2][8] - 业内技术从业者指出，支付凭证与用户UID强关联是行业基础规范，此次疏漏堪称“低级错误”，深层原因可能涉及为控制成本简化支付系统架构忽视线程安全、测试环节未能覆盖并发支付场景、以及开服首日运维监控失效未能及时从日志中发现异常 [3][9] 影响与扩散 - 事件影响迅速扩大，有Twitch主播在直播中遭遇连续扣款提示，画面通过社交媒体传播引发广泛关注 [2][8] - 部分玩家因突发大额扣款陷入财务困境，例如一名玩家损失600美元后无力支付房租，另有用户称账户被“清空”400美元，扣款方涉及墨西哥、加拿大等多国商户 [2][8] - 事故被业内定义为“T0级支付安全事件”，其严重性远超同类游戏界面异常问题，因直接涉及真实货币交易 [3][9] 公司应对措施 - 鹰角网络海外发行品牌Gryphline于事发当日迅速响应，在上午9:58（UTC+8）收到首例报告后，于11:05禁用PayPal支付渠道，并于18:30启动全面退款程序 [2][8] - 官方承诺在4小时内完成所有异常交易退款，并建议玩家暂用信用卡等替代支付方式 [2][8] 市场反应与潜在影响 - 玩家对应急措施评价两极分化，支持者肯定响应速度，但批评者指出退款到账效率存在差异，且部分用户需主动联系客服才能触发流程，官方未明确支付渠道恢复时间及披露具体技术成因，引发对系统安全性的长期担忧 [3][9] - 《明日方舟：终末地》公测前被寄予厚望，有分析师预测其年流水可达150亿元，但首日事故已对游戏口碑造成冲击，海外评分平台出现大量一星评价 [3][9] - 此次事件可能推动游戏平台加强支付接口审核标准，因为若类似问题发生在金融领域可能引发法律诉讼，而游戏行业对支付安全的监管相对宽松 [3][9] 行业意义与公司挑战 - 此次支付漏洞是游戏行业出海进程中风险管控的警示灯，公司能否通过透明沟通和彻底整改挽回玩家信任，将决定这款新作能否真正实现其市场潜力 [4][10]

行业核心观点 - 近期北京餐饮行业出现新型“订餐骗局”，诈骗分子通过远程视频通话诱导商家展示付款码并盗刷资金 [1] - 支付安全是支付平台的头等大事，平台已设置多重安全保障措施并持续精进以应对不断翻新的诈骗手段 [5][6] 诈骗手法分析 - 诈骗分子伪装成顾客，以远程订餐为名，声称商家收款码有问题，主动发起视频通话要求远程扫码支付 [3] - 利用支付软件界面默认先显示付款码的“时间差”，诱导商家在视频中展示付款码 [3] - 通过另一部手机拍摄视频画面中的付款码，快速截取以实现远程盗刷，绕过了平台禁止直接截屏或录屏的保护措施 [3] - 利用商家已开通的小额免密支付功能，分多次转走资金，在一案例中，25分钟内通过10笔交易盗刷总计8210元 [3] 行业防范建议 - 商家应建立“不见面不视频”的风控原则，对远程订餐坚持使用平台自带转账功能或货到付款，拒绝任何形式的视频远程扫码支付 [4] - 建议商家使用专业的商家收款设备或聚合支付码，避免使用个人账户进行大额或远程交易 [4] - 用户应关闭支付软件中的“小额免密支付”功能，或将其额度调至最低，作为防止盗刷的最后防线 [4] - 一旦对方在视频中要求“切屏”、“找付款码”或“手持手机展示”，应立即挂断并通过原有渠道核实身份 [4] 平台安全措施 - 微信支付为用户付款码设置了多重安全保障，包括可开启安全锁（使用前需验证身份）、付款码动态更新、截屏后立即失效，以及对超额或可疑交易要求输入支付密码 [6] - 微信支付在用户从收付款页面的二级页面返回时，会对付款码进行掩码保护，并会联动被利用的商户共同防范 [6] - 支付宝提供了“付款隐私保护”功能，启用后进入付款码时默认隐藏条码，需点击“展示”后才可支付 [5] - 支付平台表示，如发现异常情况将及时进行风控限制以保护用户账户安全，并提醒用户保护好付款码及相关截图 [6]

行业背景与核心问题 - 移动支付普及推动代收代扣业务成为互联网经济重要支撑，但“不知情扣费”与“隐性授权”等乱象日益凸显，引发公众对支付安全担忧 [1] - 消费者对“乱扣费”的投诉量巨大，在黑猫投诉平台上相关投诉达23.86万条，“乱扣钱”投诉近8万条 [7] - 为规范市场，国家发改委、市场监管总局、国家网信办于2025年12月联合发布《互联网平台价格行为规则》，为平台价格活动划定红线并重点强化消费者权益保护 [7] 中金支付相关事件与回应 - 多名消费者在社交及投诉平台反映，银行账户通过中金支付渠道遭遇持续性小额扣款，金额以29.9元、59.9元较为频繁，也有149元、299元等超过百元的扣款 [2] - 具体案例显示，有用户账户连续多月被通过中金支付渠道扣走29.9元，扣款方为“点工客服”，用户称未有验证码及支付密码提示 [2] - 扣款方点工科技解释扣费源于订阅火车票服务，并否认用户毫不知情，称用户已进行接收验证码并输入信息等操作 [2] - 中金支付回应称，公司为商户提供支付结算服务，根据客户指令转移资金，不参与商户实际经营 [3] - 中金支付表示，经内部核查，投诉多集中在保费类及会员订阅类商户，公司已审核商户资质并签署协议，相关扣费基于真实有效协议且需持卡人事前主动绑卡，在中金支付层面不存在无依据违规扣款行为 [3] - 对于客户投诉处理，中金支付客服部配备专人开通7×12小时服务热线跟进，并承诺强化商户宣传推广行为管控与用户授权环节管理 [4] 责任界定与法律观点 - 业内律师指出，“乱扣费”纠纷责任主体既可能是扣款方（商户），也可能是双方共担 [5] - 若存在无合法授权扣款、恶意操作扣款、隐瞒续费规则擅自扣款等行为，责任应由扣款方（商户）承担 [6] - 律师建议在产品设计层面减少视觉误导，避免默认勾选，对“连续包月”需二次确认；在价格展示层面，原价、优惠价、续费价需用相同字号和醒目颜色，并明确告知优惠期限及恢复原价日期 [6] - 支付机构的核心义务是监督审核，需核实收款人身份及经营活动真实性，逐笔确认代收业务协议与授权状态，并履行及时通知义务；若核查不力或通知不当，可能需承担连带责任 [6] - 律师建议支付机构建立便捷的授权变更与终止渠道，支持用户通过多种方式修改或取消授权，并在出现纠纷时快速调取记录核查，若核实为违规扣费需协调退款，自身存在过错时需主动承担赔偿责任 [6] 行业乱象与监管要求 - 部分平台为锁定用户与收入，利用信息不对称设计产品流程，如将开通选项设为默认勾选，以低价优惠捆绑自动续费，让服务开通近乎“一键完成” [7] - 许多平台的“连续包月”选项置顶显示且价格更具吸引力，而自动续费协议以灰色小字体隐藏，不易被消费者察觉 [7] - 《互联网平台价格行为规则》要求，平台经营者在提供免密支付、搭售额外服务或商品、设置自动续期或自动扣款三类服务时，应以显著方式向消费者展示相关选项并提供便捷取消途径 [8] - 规则强调，采取自动续期、自动扣款方式收费的，每次扣款前需以显著方式提醒消费者扣款时间、金额及取消途径，并允许消费者随时取消；收费标准发生变化时需一并通知消费者 [8]

骗局手法分析 - 诈骗分子近期冒充“保密局”、“网银后台”、“平台客服”等工作人员，通过陌生电话联系受害人 [2] - 谎称受害人微信、支付宝等平台的“免密支付”功能已开通或关联了自动扣费服务，若不关闭将连续扣费 [2] - 引导受害人访问指定网址，下载具有屏幕共享或远程控制功能的恶意软件，从而远程操控手机并诱导进行刷脸认证、输入密码等操作，盗转账户资金 [2] - 在具体案例中，用户A被冒充的“银监会保密局工作人员”诈骗，下载视频共享软件后手机黑屏，完成刷脸认证后发现银行卡内49万余元被转走 [4] 行业问题与用户痛点 - 微信、支付宝等软件的“免密支付”功能本身不收取任何费用 [5] - 大众对免密支付存在“关闭难、乱扣费”的普遍焦虑，这种焦虑往往源自不佳的产品体验 [5] - 《人民日报》文章指出，免密支付存在“开通易、关闭难”的痛点，关闭入口常隐藏在层层菜单的角落，这是不少消费者的共同体验 [5] 行业规范与倡议 - 中国支付清算协会近日发出关于加强“免密支付”业务安全管理的倡议 [6] - 倡议要求在开通环节，通过显著页面完成用户开通意愿确认以及免密支付协议签订，杜绝默认开通行为 [6] - 倡议同时提出，应全面评估老年人的风险偏好和业务承受能力，审慎为老年人开通“免密支付”功能 [6] - 行业观点认为，需要平台坚守底线、监管提供保障，才能使免密支付技术更好地服务生活 [7]

微信支付安全与功能澄清 - 微信支付“免密支付”功能本身不收取任何费用 [4] - 任何以“关闭免密支付”为由指导操作、索要收费或要求下载软件的行为均属诈骗 [4] 电信诈骗常见手法 - 诈骗分子冒充国家机关人员，谎称需关闭免密支付功能 [4] - 诱导用户下载恶意软件，从而盗取银行卡资金 [4] - 骗取用户进行刷脸认证，并可能通过恶意软件操控手机黑屏 [4] 用户安全防护措施 - 切勿与陌生人开启“屏幕共享”或下载来源不明的App，以防手机被远程操控、信息被窃取 [4] - 公检法及正规机构不会通过电话指导操作转账、下载软件或索要人脸、密码、验证码等敏感信息 [4] - 如对支付功能有疑问，应通过微信、支付宝等官方App内的客服渠道核实，勿轻信外来电话 [4] - 一旦发现被骗，应立即冻结银行卡并报警，同时保留通话记录、软件名称等证据 [4]

公司行动 - 鲲鹏支付于12月10日发布通知，宣布启动支付业务合规整改专项行动 [1][3] - 该行动旨在全面响应中国人民银行发布的银发〔2021〕259号文和银发〔2017〕21号文两份监管文件的导向 [1][3] - 公司已启动面向所有合作服务商及旗下拓展终端程序的全面核查与整改专项工作 [1][3] 整改措施 - 公司将全面梳理现有终端设备，对未满足国家及行业相关认证规范的设备启动全流程清退程序，确保终端设备整体合规性 [1][3] - 公司将组建专项排查小组，针对存在交易模式异常、交易行为不合规及交易占比超出正常范围等问题的合作项目进行全面排查 [1][4] - 排查方式包括线下实地核验和线上系统实时监测等多元方式，对排查结果完全合格的业务进行后续结算 [1][4] 公司声明与目标 - 公司表示此次整改是严格履行企业主体责任、贯彻落实国家金融监管政策的必然举措 [2][4] - 此次行动旨在保障各合规合作伙伴及商户合法权益，并维护行业健康发展秩序 [2][4] - 公司呼吁合作伙伴高度重视并积极配合整改，以携手共建安全有序、合规可信的支付服务环境 [2][4] 行业背景 - 支付安全被公司视为行业发展的生命线 [1][3] - 公司启动此次行动是为了筑牢支付业务安全运营根基，确保全链条业务符合合规性与稳定性要求 [1][3]

行业监管动态 - 中国支付清算协会近期发布倡议 要求加强“免密支付”业务安全管理 杜绝默认开通行为 并提供“一键取消”功能 [1] - 协会倡议应通过显著页面完成用户开通意愿确认及协议签订 充分保证用户的选择权和知情权 [2] - 相关监管部门需强化监督 加大对“免密支付”业务的监管力度 完善监督治理机制 对支付服务主体进行有效制约 [2] 市场现状与消费者痛点 - “免密支付”在打车、点外卖、超市购物、视频会员续费等高频小额支付场景已广泛应用 简化了支付流程并提升了支付体验 [1] - 消费者面临“免密支付”开通时“一键开启”而取消时步骤繁琐的困境 尤其是老年人面对跳转五六个页面的取消步骤操作困难 [1] - 消费者核心诉求包括避免默认勾选和误导性做法 支付便捷性不应以牺牲安全性为代价 [2] 潜在风险与安全问题 - “免密支付”若被不法分子利用会带来严重安全隐患 手机丢失则风险激增 [1] - 遭遇盗刷时 高频次小额盗刷因隐蔽性强难以被及时察觉 会造成较大经济损失 [1] - 中国消费者协会曾于今年3月25日发布消费提示 提醒消费者谨慎使用“免密支付”功能 避免因账户权限过度开放引发资金损失 [2] 对支付服务提供主体的要求 - 支付服务提供主体需优化流程 确保“免密支付”获得消费者的明确同意 [3] - 针对老年人群体 应实时或定期主动推送交易相关信息 在显著位置提供一键查询和一键取消功能 [3] - 支付服务提供主体应加强交易环节监测 提升风险管控能力 防范消费者资金损失风险 [3] - 支付服务提供主体须加强用户权益保护 提供高效的投诉处理流程 [3] 对消费者的建议 - 消费者线上支付时应强化手机设备和账号安全防护 例如启用双重验证或定期更换密码 [3] - 消费者需提高风险识别能力 警惕营销陷阱 避免在公共设备留存支付信息 [3] - 消费者应定期检查免密支付签约情况 关注交易提醒 发现异常后及时冻结或关停账户 [3]

免密支付的普及与用户痛点 - 移动支付普及使“免密支付”因高度便捷性成为许多用户的支付首选，花钱越来越“无感”[2] - 用户痛点包括老人误触开通后购买无用商品，以及手机丢失后被盗刷数百元[2] - 大量用户关心如何查询已开通的免密支付项目、如何关闭以及如何防范相关风险[2] 免密支付的安全隐患 - 主要风险在于手机丢失或账户信息泄露时，他人可直接完成支付，虚拟商品资金难以追回[3] - 部分平台仅限制单笔金额但未限制交易频次，导致不法分子通过高频小额扣款造成用户大额损失[3] - 开通环节常将免密支付设为默认选项，普通支付入口隐蔽，关闭流程繁琐需点击五六次[3] - 盗刷行为隐蔽性强，多发生在深夜或通过游戏充值、会员续费等虚拟渠道[3] 用户查询与管理免密支付的方法 - 支付宝用户可通过路径【我的】→【设置】→【支付设置】→【免密支付/自动续费】进入管理页面[4] - 微信用户可通过路径【我】→【服务】→【钱包】→【支付设置】→【免密支付】进行管理[4] - 建议定期检查淘宝、京东、拼多多等购物平台及视频、外卖、出行App的支付设置授权[4] 用户防范风险的策略 - 定期清理授权，对不常用或不信任的服务及时关闭，非高频使用场景不建议开启[4] - 强化设备安全，设置复杂密码、开启双重验证，避免在公共设备留存支付信息[5] - 养成对账习惯，密切关注扣款通知，发现不明消费立即联系平台冻结账户[5] 对支付服务主体的规范建议 - 开通环节应严格审核身份，通过显著页面确认用户意愿，杜绝默认开通行为[5] - 交易环节当用户消费模式异常时应及时拦截或进行二次验证[5] - 应为用户提供便捷的关闭通道[5] 行业核心观点 - 免密支付本质是为追求速度，但不该以侵蚀安全性为代价[6] - 需要平台规范操作与用户提高警惕相结合，才能实现便捷与安全并存[6]

行业倡议核心观点 - 中国支付清算协会发布倡议，旨在加强“免密支付”业务安全管理，为平衡支付便利与资金安全提供行业指引[1] “免密支付”的现状与影响 - “免密支付”通过简化支付流程，缩短用户交易时间并提升支付体验[1] - 该业务在一定程度上帮助商户提高结账效率和客流周转率[1] - 部分支付服务主体在业务安全管理方面存在提升空间，部分用户安全意识薄弱[1] - 由此引发的不知情扣费、退款困难等成为困扰用户的现实痛点[1] 支付服务主体的责任与措施 - 支付服务主体作为核心责任方，应杜绝默认开通“免密支付”并提供一键取消功能[1] - 需充分保障用户对“免密支付”的知情权和选择权[1] - 应通过搭建风险模型、大数据分析等技术提升风险管控能力[1] - 在出现用户交易模式与日常消费习惯不符等异常情况时，应及时拦截或要求二次验证[1] 监管部门的角色 - 监管部门可在行业倡议基础上，强化常态性监管和专项整治[2] - 通过技术监测、投诉溯源、随机抽查等方式，加大打击违法违规行为的力度[2] 用户的责任 - 用户需主动提升支付安全意识，对不熟悉的弹窗和协议等保持审慎[2] 倡议的预期效果 - 系紧“免密支付”安全带有利于保护用户权益并促进行业健康发展[2] - 行业自律、外部监管与用户自觉有效联动，可使支付在更便捷的同时更安全[2]

行业监管动态 - 中国支付清算协会发布倡议，要求支付服务主体杜绝“免密支付”的默认开通行为，并加强业务安全管理 [1][3] - 倡议要求支付服务主体在用户开通环节通过显著页面完成意愿确认和协议签订，并针对老年群体审慎开通功能 [3] - 支付服务主体需根据商户经营情况、风险信息等合理确定“免密支付”的开通范围，并为高风险商户设置交易限额 [3] - 协会呼吁通过风险模型和大数据分析技术提升风险管控能力，对异常交易进行拦截或二次验证 [3] - 支付服务主体需提供高效的投诉处理流程和便捷的“免密支付”功能关闭通道，并对老年人群体提供交易信息主动推送和一键查询功能 [3] 市场使用现状与问题 - “免密支付”功能已渗透至交通出行、会员订阅、自助零售等场景，微信、支付宝、美团、京东、抖音等平台均提供此项服务，覆盖衣、食、住、行、游、购、娱全场景 [6] - 截至11月13日12时，黑猫投诉平台涉及“免密支付”的投诉量已高达5.49万条 [1][5][6] - 投诉主要问题包括“不知情开通”、隐蔽勾选默认开通服务、以及开通后的乱扣费问题，有用户反映被连续自动扣费长达10个月且未收到提醒 [6] - “易误开、难取消”是显著体验痛点，关闭流程繁琐，部分平台与第三方机构相互推诿导致注销困难 [7] - 儿童与老年人是受害重灾区，未成年人未经家长同意进行消费，老年人因误触诱人推荐而开通功能后遭遇资金损失 [7] 消费者权益保护案例与风险 - 中国消费者协会报告揭示，部分商家以“走路赚钱”“免费领红包”等噱头吸引老年人点击后跳转至“免密支付”页面自动扣收“会员费” [8] - 中消协曾点名批评部分短视频平台利用算法向老年用户推送微短剧，并以极低价格诱导观看，同时默认开通“免密支付”并按集扣费自动续播 [8] - 真实盗刷案例显示，有用户在凌晨2:50到5:51被连续盗刷162笔，总金额超过8万元 [10] - 自2024年7月1日起施行的《消费者权益保护法实施条例》明确规定，经营者应在自动续费等日期前以显著方式提请消费者注意 [10]