支付寶：讓人歡喜讓人憂

上周五，估計大部分人都被支付寶刷屏了：這款全民支付生活軟件更新了 9.0 版本，除了整合了微信的聊天功能之外，Logo 還換成藍色，跟“餓了么”完全分不出來。但其實，當天還有兩條跟支付寶有關的消息。

第一件事，是全球最大的自動售貨機制造商富士電機（Fuji Electric）株式會社與支付寶達成戰略合作。

全球絕大部分自動售貨機的硬件制造商都是富士電機，而本次戰略合作的意義相當于把支付寶“預裝”到了自動售貨機上。根據支付寶產品的所有者螞蟻 金服透露的情況，目前在中國有超過 4 萬臺的自助售貨機支持使用支付寶付款，分布在全國各大主要城市的地鐵站、辦公樓等公共場所。

根據本次合作協議，未來全世界所有由富士電機制造的自動售貨機，都將從底層軟硬件上支持支付寶付款。也就是說，未來中國游客出境旅游，也將可以用支付寶在自動販賣機買東西了。

一名來自支付寶的知情人士向我透露，目前跨境支付的具體細節還未落實，支付寶一般采用當地當天匯率進行換算，不會因為匯率出現問題，影響支付體驗。

上個月，我剛去過了意大利和希臘旅游。如果你也去過歐洲旅游，一定會對歐元區硬幣的使用印象深刻。由于物價的原因，一天中遇到的絕大部分小額支 付需求，都可以用不同面值的硬幣滿足：坐公共汽車或景點的私營大巴車，一般按照里程 1 歐元到 2 歐元不等，去便利店或者自動售貨機買瓶礦泉水一般是 50 歐分到 80 歐分。這樣一天下來，如果你在機場的貨幣兌換處兌換了幾張紙幣的話，會發現晚上回到酒店，兜里多了一大堆硬幣。由于不熟悉硬幣的大小和類型，從一堆硬幣中 找到面值正確的組合總是要花費很多時間，放在兜里又叮鈴咣啷的甚是麻煩，恨不得趕緊都把這些硬幣花掉，或者當小費給出去。

在我看來，小額支付使用硬幣支付是一件非常落后的事情。在這方面，移動互聯網支付產品就是一個非常好的替代方案。在英美等國家有 Apple Pay，現在甚至可以使用 Apple Watch 來支付；在中國，也已經有數萬家線下商鋪支持了支付寶或者微信支付，讓收銀員掃一下碼，幾秒鐘的時間就已經完成了支付。

雖然余額寶最近的 7 日年化收益率已經逼近銀行存款利率，但作為 960 萬平方公里上最流行的支付應用，絕大部分人日常生活依然非常依賴支付寶。未來，就像以前在國外看到銀聯卡的標志倍感親切一樣，看到支付寶的標志出現在自動 售貨機，以及越來越多的地方上——那種感覺，才像是“中國夢”。

然而，支付寶不僅讓人歡喜，也讓人憂。

第二件事，是支付寶取消手勢密碼，取而代之的是“安全大腦”。

很多用戶發現，點開升級之后的支付寶 9.0 版本，第一條提醒竟然是建議關閉手勢密碼。其實，早在升級到 8.6 版本的時候，支付寶就已經開始陸續關閉手勢密碼的功能。一位支付寶的公關人士對我表示，手勢密碼只是多加了一層心理防線，其實對賬戶安全性的提升并沒有意 義。

沒了手勢密碼，支付寶又是怎樣保護 4 億用戶的賬戶資金安全的呢？用 iPhone 6、6 Plus 和 5s 的用戶還有一層 Touch ID 指紋驗證。而其他的 iPhone 以及 Android 用戶來說，他們的賬戶安全，恐怕要依賴支付寶研發了 8 年之久的“安全大腦”了。

為了保障賬戶安全，安全大腦似乎知道了太多關于你的事情：比如你使用手機的習慣，包括手指接觸的面積、按壓力度、打開軟件的時間間隔等……根據一份支付寶公開的宣傳資料，安全大腦通過陀螺儀和重力感應，記錄下用戶的習慣，從而為安全預警提供數據。

不僅如此，這份宣傳資料還寫道，不符合常規的交易行為也會觸發安全預警——比如，與另一個危險賬戶發生資金關系，或者購買過去未曾購買過的商品種類。

這顆安全大腦，很容易讓人聯想起 2002 年湯姆·克魯斯主演的電影《少數派報告》。在電影中，兩男一女組成的“先知”組合，通過對每一個社會人的生理和心理狀態進行監控，從而偵查潛在的犯罪動 機，預言即將發生的犯罪行為，給警察在罪案發生之前出警，將理論上還未犯罪的“嫌疑犯”繩之以法的機會。

現在看來，當年的《少數派報告》電影本身，其實就預言了當下將“大數據”應用到各種使用場景當中的行為的趨勢。然而，通過多種管道獲取了大量有關于用戶的數據的同時，企業們又是否考慮過，在這過程中是否產生了對隱私的侵犯行為？

誠然，通過陀螺儀、重力感應、屏幕觸控模塊、GPS 等手機硬件對用戶進行全時監控，提取這些硬件上產生的數據，已經是移動互聯網產品的通用做法。特別是在 Android 平臺上，由于國內 Android 第三方操作系統市場的割裂和混亂，應用普遍存在權限混亂的問題。以往，人們恐怕很難想象，一款名為支付寶的應用，需要獲得調用 GPS、陀螺儀、重力感應的權限，甚至要記錄觸控模塊數據——我只是用它來付個款，需要這么多權限嗎？

隨著計算的云端化，越來越多在過去無用的元數據都可以被整合起來，挖掘整理和分析，進而產生新的意義。但這是否意味著，一款支付軟件為了安全的道理，就一定需要在用戶默認許可的條件下，從用戶處獲取如此多細微之至的隱私數據？

《少數派報告》中，三名先知給出的判斷并非總是一致。當出現分歧，按少數服從多數原則定案，但最后若少數一方正確的話，則會秘密保存一份少數派 報告。這正是片名的由來。這個制度的存在證明，即便采用了先進的超自然預言技術，仍然會出現錯誤，而錯誤，往往意味著無辜的人被錯抓、錯判——更何況，那 些沒被錯抓的人，其實也并沒有犯罪，他們只是在錯誤的時間想到了錯誤的事情，而這些隱私，被一個強大而先進的“大數據”平臺所捕獲，成為了他們即將犯罪的 動機。

《少數派報告》中的三先知——一個活的大數據云計算中心

我沒有任何的理由就此判定，支付寶的安全大腦會因為獲取了大量的用戶隱私而開始“作惡”，但這種侵犯隱私邊界的行為仍然讓我感覺不舒服。在安全 大腦中，支付寶用戶只是一個又一個透明人，是數據的來源，是潛在安全隱患的“有罪推定”對象。在安全大腦的保護之下，支付寶賬戶資金出現問題的風險幾率可 能低于千萬分之一，而同時我猜測，會用支付寶作惡的人也不足千萬分之一。為什么，不能少獲取一些數據，還用戶一些隱私？就算做不到，何不給用戶一個選擇的 權利？

寫到這里，不是想為落后的手勢密碼解鎖洗地。我不太懂移動安全，但恐怕絕大多數人的共識是，手勢解鎖密碼是屬于自己，可以被自己控制的。移動互 聯網高速發展，大數據的能力越來越強，但有些事情，還是應該交由用戶自己去做。安全大腦研發 8 年，技術強大的確值得欽佩，但與此同時，我們斷不應該放棄對隱私與安全之間邊界的思考與敬畏。