用户称关闭支付宝支付功能后被扣款捐赠 184 万，维权 3 年无果，什么情况？关闭支付后仍能捐赠的设计合理吗？

使用CN2/CN2GIA顶级线路，支持Shadowsocks/V2ray科学上网，支持支付宝付款，每月仅需 5 美元

## 加入品葱精选 Telegram Channel ##

知乎用户 介虾米东东 发表

问题不在于支付关闭后捐赠功能开不开

问题在于到底是谁进行了支付

因为用户说自己一直在睡觉毫不知情

支付方说前四笔是凌晨三点在电脑设备上验证支付密码支付的，最后一笔是在手机上验证了银行卡账号短信验证码和人脸识别支付的

所以我很奇怪为什么用户一直纠结抓住投诉支付宝不放，为什么一直强调关闭了支付功能还能转款。却不提是不是有人盗取密码，有人用木马盗取短信验证码和人脸识别，这才是主要矛盾

因为盗用支付密码和短信验证码挪用他人资产是严重犯罪，是公诉案件。只要是有人用木马犯罪，不管钱转到哪里都是网络盗窃，都能证明转账的非自愿，所谓支付宝支付问题也不是问题

此案涉及金额巨大，如果是盗窃案，追诉期至少是 5 年，现在还在报案时效期内。

所以建议该用户以网络木马盗窃案报警

知乎用户 mooooooooooom 发表

满口谎言，我是不相信支付宝能抢劫式捐款。

真相大概是：她把支付宝支付权限关闭了，以为付不出钱了，就在支付宝里瞎点。

尝试了很多次之后，的确发现没办法付钱，就放心了。

直到来到捐款界面的时候，输入…… 居然支付成功了！

回头一看，余额没少！（也许是显示延迟）

还以为出现了 BUG，试着捐了几次。

最后一次更是一下子点了一百多万！

知乎用户 一斤牛肉二两酒 发表

我更偏向于这个女士撒谎了。

我感觉应该就是发现被骗了，然后紧急要求关闭支付功能，但是捐赠慈善的钱是没法撤销的。

还有另一个可能，系统出 bug 了。

知乎用户 婚姻护航人知安 发表

热搜第一，人心慌慌！关闭支付宝支付功能后被扣捐赠 184 万：直接明抢了？

几乎明抢了！支付宝里的钱还安全吗？这个话题今天炸了。

消息发布不到一小时，就直接冲上热搜榜首。

山西运城兰晓红，184 万，关闭支付功能，公益捐赠。

睡梦中 184 万被分 6 笔全部 “捐” 走，而当事人明明让客服关闭了所有支付功能——这就是兰晓红维权近 3 年至今无解的死结。

支付宝客服当时口头承诺 “关闭之后，谁也动不了你的钱”，结果钱还是没了。1

84 万，不是 184 块，就这么悄咪咪被人捐空了。

银行调查发现了一个让人后背发凉的真相：

支付宝关闭支付功能后，消费和转账确实被拦住，但公益捐赠通道——畅通无阻。

2023 年 10 月 19 日，山西运城的网店店主兰晓红发现自己的支付宝账号频繁被人恶意挤下线。

意识到不对劲后，她立刻联系支付宝人工客服，申请关闭所有支付功能。

客服操作完毕，页面弹出 “挂失成功，谁也动不了你的钱” 的提示，兰晓红这才松了一口气。

10 月 21 日凌晨 3 点 37 分到早上 7 点之间，她还在熟睡，账户里 184 万余元被分 6 笔全部转走。

收款方分别是三家慈善机构。

其中一笔最大金额不多不少，恰好 184 万元整。

她找到支付宝，客服的回应是：后台显示所有捐款都通过了密码输入和人脸识别验证，判定为兰晓红本人自愿操作。

不是她自愿的，根本不可能完成。

兰女士差点没背过气去：“我是多有钱啊，我捐 184 万元？我这些钱里有贷款、有借朋友的钱，我还要做生意呢！我疯了吗？”

受害者兰晓红不是富婆。

184 万里包含了网店的流动资金、银行贷款、信用卡套现和朋友周转的钱。

她是一名普通电商从业者，这些钱是她做生意的命根子。

钱没了以后，她已经因为外债无力偿还成了失信被执行人，连去杭州起诉支付宝的差旅费和律师费都筹措不出来。

不公规则是谁？是支付宝那个模糊的 “关闭支付功能”。

中国人民银行上海分行的调查文件显示，支付宝关闭支付功能后，用户确实无法进行消费和转账，但公益捐赠通道并未被阻断。

也就是说，你以为是全封闭的安全锁，在平台那只是一道半限的栅栏。

更关键的是，支付宝并未提前告知用户 “捐赠通道仍可运作” 这一风险，也没有在扣款发生时发送任何预警通知。

三年维权，三方推诿

事发后，兰晓红四处奔走，却陷入了一个谁也解不开的死循环。

支付宝那边，后台认定 6 笔捐赠都经过了密码和人脸验证，判定为 “本人自愿操作”。

想要 “非自愿捐赠证明”？可以，但得警方调取，平台不能直接给用户。

同时，支付宝以超过 2 年资金保障保险时效为由，拒绝理赔。

慈善机构那边，款项已经被用在了公益项目上，执行完毕了。

要退款？可以，但需要支付宝出具 “非自愿捐赠” 的书面证明。

支付宝不给，机构就不能退。

警方以现有材料无法证明捐赠非兰晓红自愿为由不予立案，反过来要求支付宝先出具 “被盗证明” 才能启动程序。

支付宝说：“证明需要警方调取。”

任何三方，谁都不迈第一步。

当平台技术系统和用户客观事实发生冲突时，谁说了算？

系统说是她捐的，她说是自己在睡觉。

用户与平台的信息完全不对等——后台数据全部掌握在支付宝手里，但平台只给出一个结论性的 “验证通过”，用户连申诉的抓手都没有。

“捐款本来就是献爱心，但这个爱心，不能是被人偷走的。”

别再说这是个例。

免密支付、自动扣款导致的莫名扣费，投诉一搜一大把。

有用户连续 21 个月被扣款，有人凌晨被停车费自动扣费，有 70 岁老太太被连续扣款一年多。

这都是一个个真实案例。

说到底，问题出在哪？

“平台的安全承诺，到底打了几折？”

对于普通人，能做的事不多——定期去支付宝的 “设置 - 支付设置 - 免密支付 / 自动扣款” 里扫一遍，把不认识的授权全部关掉。

对大额资金，最好分散存放，别把所有鸡蛋放在一个篮子里。

更重要的是，监管部门该出手了。

这种 “你说是自愿的，我说不是，谁也查不清” 的困局，不能一直让用户自己扛。

平台掌握了全部技术证据，就应该承担更重的举证责任——既然你说是我操作的，那你就拿出完整的 IP 地址、设备信息、人脸识别时间戳来证明。

事发至今已经三年，兰晓红的 184 万一分没要回来。

支付宝的最新回应是，关于 “诡异捐赠” 的质疑将提交有权限的管理者核实。

核实？已经核了三年，还要核到什么时候？

希望兰女士的事能有个公道，也希望每一个普通人——在点下 “关闭支付功能” 那个按钮的时候，真的能确信：钱，安全了。

关注山西运城的兰晓红，也关注千千万万个把积蓄放在各类 “支付平台” 上的普通人。

知乎用户 给二伯尝尝 发表

首先捋一下，事情经过是某天大姐发现账号被频繁登录被挤下线，找客服关闭支付后第三天夜里账号里的钱被捐了。其中不合理的地方

1 如果是黑客，黑客的目的是搞钱，不会故意整你，且这笔钱还故意分六笔捐给了两个慈善机构，太麻烦，要整你直接捐一个机构不就得了，且如果整你当天就整了，没必要第三天夜里才整

2 如果是慈善机构搞的，还是没必要第三天夜里才整，当天夜里就可以直接转了，且慈善体制内的老爷们最不想要的就是曝光度，你搞这么一出，大家都在怀疑你，万一把审查的引来查出点什么不该查的，不是自己给自己上强度吗😅你要多少钱也行，就这点钱真不值当的😅且如果是机构搞的，也不能这么多年只搞她一人不是？

3 最诡异的是这人转的时候最先转了 5 块，然后 1000，第三次 180w，第四次 5800，这 4 笔都是在 3.37 到 3.41 分内转的，第五次 102 块就是 5 点转的了，第六次 30 块甚至 7 点才转的，如果是黑客和机构没必要转最后两次，特意隔两个小时操作只为了转 130 块钱吗？有点多余吧，而且为什么不一开始直接转光？

所以综上所述我个人觉得这事可能的原因

1 支付宝系统 bug

2 也是最可能的，该大姐身边有个知道她密码还跟她生活在一起的内鬼，极有可能是配偶或者孩子，也可能大姐开网店，有一起住的员工，这人不知道是出于想从大姐这搞点钱，还是恨大姐想故意整她，所以先是偷着登录结果被大姐发现，所以不敢继续登了消停两天，第三天觉得风头过了晚上趁大姐睡觉继续登录，发现转不了账了，想试着找有没有其它方法，意外发现捐款好像可以捐，于是因为耍脾气或者故意捣乱，先是 5 块试了一下，发现真能捐出去，于是往上加了点想试试大额的能不能，于是试了 1000，发现 1000 可以后把账户里几乎所有的都捐了，心满意足，之后不知道犯人是睡醒一觉还是玩手机越想越气，于是 5 点时又把剩下的 100 也捐了，熬夜到 7 点准备睡觉前把账户里剩的最后 30（不确定是不是最后）也捐了。当然以上都是猜测，是不是就不知道了

知乎用户 一个普通知乎用户 发表

更新，哈哈哈被我猜对了。支付宝也准备报警去了。涉事账户存在与他人共用的嫌疑，不排除涉嫌违法犯罪的可能。

他人共用😂

原回答：这事基本上是家里出了内鬼，有同居的查同居人，家里住着亲戚朋友的查亲友。（在确实非本人操作，用户本人无精神疾病的情况下）

请看今年五月的前例：女子和男友同居，连续三个多月，凌晨趁男友熟睡。先后 21 次通过人脸识别解锁其手机，多笔转账累计 27 万余元盗刷男友账号里钱财。

凌晨、多笔转账、身边人（关系亲密）😂

知乎用户 石二郎 发表

没看明白。

她说凌晨转走 184 万到公益基金上，这事从头到尾几乎不可能发生。

1，有黑客黑了她手机操作的。

新闻说是 5 笔 PC 端登录，一笔是手机人脸识别支付。这个操作可以肯定，要么是她本人操作，要么是她最亲近的老公子女操作，黑客搞不了。

如果黑客能这么转钱，支付宝早特么炸了。

2，钱转入不退的公益基金。

公益基金做为公益事业，特殊性在于很多人先宣传自己捐钱，得到社会名声又反悔了，那这个事情等同儿戏，所以最后规定不能退款。

但是现在公益基金会都和流氓差不多，平时骗钱，拿到钱就贪污，支出都是假账，比 TM 石油还黑，这事就不评价了。

3，如果要破案，就不要只听信她的一面之词，让警察公安介入，把她全家审一遍很快就水落石出。

知乎用户 人有所操 发表

支付宝多笔大额转账，不是一定会触发人脸验证和二级密码的吗？都说支付宝安全，这也太离谱了吧？

再去深入了解了一下，我改变了我的观点，支付宝凭什么给公益支付降低安全等级验证？就因为是公益？

PC 端转账捐赠 184 万，居然只需要密码，

不强行要求换手机验证人脸？

荒唐

知乎用户 Boy Sleep 发表

所以是密码，短信，面部识别全部被窃取，对方还知道她账户里有超过 184 万资产，然后搞了这么大动作，就为了捐给慈善机构？然后这姐还开了大额转账权限，然后百万级的大额转账银行没有电话提示？然后账户被私下扣款他还不报警，然后被盗的情况下的捐款还无法和一个正规慈善机构申请撤销？？？

你要说这人是个好心人本来准备给慈善机构捐款 18400，然后错误的认为最后两位前面有个小数点，结果捐款成 1840000，不好意思承认搞了乌龙，没有证据证明她捐这么多是不小心的所以没法退回。

这个可能性还大点吧？

知乎用户 人渣啸西风 发表

这个事情是已经不是设计合不合理的问题了。首先我们知道，在中国，你不管是操作失误把钱转给别人，还是被人盗号把钱转到自己账下，甚至拿钱充游戏氪金，这个钱都能要回来。但转给慈善账号，这个钱警察就不管了，慈善账号可以不把钱退还。在这个前提下，支付宝专门开通了关闭支付还能捐赠给支付宝设立的慈善账号的功能。

而这也不是孤例，我朋友之前某宝店铺账户就被盗，也是神奇的把里面所有钱都捐给公益组织。报案无果，只是他店铺小流水少，就损失几百块。认倒霉了。

当时我们也想不通为什么是捐给公益组织，损人不利己吗？他还在哪查是不是有什么仇家在搞他。现在看，美国资本家不都拿公益慈善洗钱。责任都在美国。

知乎用户 顾 ZEN 1994 发表

一：zfb 与叔叔联系，叔叔回复 zfb 该款项涉及 “cybercrime industry”

二：叔叔接到电话，但该女士至今 “未到单位” 立案。

三：zfb 回复，五次是小额转账，其中 184w 是该女士输入银行卡号密码，人脸识别成功后，手机短信验证后才完成。

知乎用户 阿汪​ 发表

这个案例的核心点在于平台对” 关闭” 这两个字的定义权。

案例中，用户兰晓红 2023 年 10 月发现账户异常，听支付宝客服的话关闭了支付功能。两天后凌晨三点到七点，账户被分 6 笔扣走 184 万，全部以” 公益捐赠” 的名义转给了中国乡村发展基金会。维权三年，钱没回来。

你可能会觉得，我都关闭支付功能了还能扣钱，这不是 bug 是什么？

事实确实不是 bug，是支付宝的产品设计。

因为当事人理解的 “关闭” 不等于真的”关闭”。

因为央行的调查已经确认了一个事实，支付宝的” 关闭支付功能”，关的是消费和转账，公益捐赠场景保留了付款功能。

这才是整件事的法律核心。当用户点击” 关闭支付功能” 时，平台有没有义务让用户知道，这个” 关闭” 是打了折扣的？

根据《消费者权益保护法》第八条，消费者享有知悉其接受的服务真实情况的权利。

根据《电子商务法》第五十五条，电子支付服务提供者应当向用户免费提供对账服务以及最近三年的交易记录。

还有更关键第五十七条：未经授权的支付造成的损失，由电子支付服务提供者承担。

划重点，法条没有说公益捐赠除外。

而且目前支付宝的态度是，建议走司法途径；基金会的态度是，钱已经花了，你拿证据来吧。

整个死结就开始了，用户关了支付功能，平台没告知还有例外。

钱通过验证支付密码被转走了，平台说” 正常行为”。

基金会说钱花完了，你证明是非自愿的我再说。

公安说现有材料不足以证明非本人操作，没法立案。

三年了，每一方似乎都有自己的” 合理解释”，但 184 万就是没了。

所以，这个案子真正的要害在于举证责任。

《电子商务法》第五十七条第二款有写，电子支付服务提供者未及时采取措施导致损失扩大的，对损失扩大部分承担责任，第三款也明确了，未经授权的支付，能够证明是因用户过错导致的，不承担责任。

其实，法律上把举证责任放在了平台这一方。

不应该是用户证明” 我没操作”，是平台证明” 这是用户的错”。

但现实中呢？

似乎所有人都在让用户自己举证。

最后说一个很多人忽略的问题，产品设计的法律边界。

“关闭支付功能后公益捐赠仍可付款”，这个产品设计本身，你觉得合理吗？

从法律上讲，《非银行支付机构监督管理条例》要求支付机构” 保障用户知情权，支付服务协议应当明确权利义务”。

你可以在协议里写” 关闭支付功能不影响公益捐赠”，只要用户勾选了同意，法律上确实不会有歧义。

但这个案例的问题在于，你把这条写在了几万字的用户协议第几页？

你在用户点击” 关闭” 的那个页面上，有没有用正常人能看到的方式提示过？

这已经跳出了” 公益豁免”，更像是信息不对称下的风险转嫁。

整个事件的荒唐之处在于，平台用一个普通用户根本不会去理解的产品逻辑，把” 关闭” 的含义做了技术上的诱导。

用户以为自己上了保险，实际上保单有一条免赔条款，藏在附件的脚注里。

这种设计其实在金融产品里有个名字，叫不当披露。

当事人三年追不回钱的真正原因，只是该承担举证责任的一方，一直在让不该承担举证责任的一方去证明。

所以说呢，你懂的。

信源

1. 《电子商务法》
2. 《消费者权益保护法》
3. 《非银行支付机构监督管理条例》
4. “关闭支付功能后，支付宝深夜被扣款捐赠 184 万元”？多方回应

知乎用户 白蓝绿​ 发表

她关了支付功能。银行说这是本人操作。但她凌晨三点在睡觉。她不知道该找谁。

这听起来像一部悬疑剧。但作为观众，你会看到镜头正在缓缓拉高，露出另一条暗线——一个被精心保留的 “公益后门”。

第一嫌疑人：平台

平台需要漂亮的 ESG 数据。184 万没有进它的口袋，但 “通过本平台捐赠 184 万” 是一笔巨大的无形资产。它会被写进社会责任报告，成为向监管交差的政绩。

所以它的系统逻辑是：用户关闭 “支付”，关闭的是消费和转账——但“公益” 是善举，是面子，不能关。

你以为你关了总闸。实际上，你只关了一个分闸。

第二嫌疑人：慈善基金会

基金会的回应无懈可击：“善款已用于公益，无法退回。”

钱进来，花掉，物理上不可能返还。这是从天而降的、没有风险的巨额善款。它们不需要追问来源，因为法律保护 “善意第三人”。

它们是这个通道尽头的黑洞。任何东西掉进去，都别想再拿出来。

第三嫌疑人：犯罪分子

现在，想象一个黑客。

他拿到了账户密码，甚至 AI 换脸技术。他想把钱转走，但发现消费、转账都被风控死死拦截。直到他发现了这个 “公益通道”。

他可以不碰账户里的一分钱去消费，而是把全部资金 “捐” 出去。

这笔钱瞬间披上了 “合法善款” 的外衣，追查难度成倍增加。再通过 “项目管理费”、“采购合同” 等名目，把钱从基金会洗回自己控制的账户。而那张开给受害者的捐赠票据，则成了这笔黑钱在系统中流动时，最完美的 “通行证” 和“免责声明”。

一个被主人以为已经锁死的账户，就是最完美的白手套和替罪羊。

这是一场没有凶手的悬案。

用户维权三年。银行说 “是本人操作”，平台说 “捐赠正常”，基金会说 “无法退回”。

每一个环节，都在各自的法律边界内站得稳稳的。平台拿到了 ESG 数据，基金会拿到了善款，犯罪分子洗出了黑钱。

唯一损失的，是那个关掉了支付开关，以为自己高枕无忧的普通人。

他的 184 万，被一套精密的系统，悄无声息地、合法地、近乎无责地消化了。他连一个明确的敌人都找不到。

最可怕的是，这并不是一部悬疑剧。

——— 事实锚点：这不是剧本，这是正在发生的新闻 。

上述每一行字，都有新闻出处。

据澎湃新闻 2026 年 5 月 14 日报道，山西读者兰晓红反映，2023 年 10 月 19 日因支付宝账户异常，听从客服指引关闭了支付功能。两天后的 10 月 21 日凌晨 3 时至 7 时，其账户被扣款六笔，分别流向中国乡村发展基金会、中华思源工程基金会和贵州省慈善总会，合计约 184.7 万元。其中最大一笔 184 万元捐给了中国乡村发展基金会的 “捐一元献爱心送营养活动”。当天早上兰晓红看到扣款信息，随即开始维权。

兰晓红提供的中国人民银行上海分行文件显示，经调查，6 笔交易中 5 笔通过电脑设备验证支付密码完成，1 笔通过手机验证了银行卡信息、短信校验码和人脸识别完成支付。央行确认，截至回函日，该账户支付功能仍处于关闭状态。

央行进一步发现，支付宝支付功能关闭后，用户在消费、转账等场景无法支付，但公益捐赠场景仍保留了付款功能。央行认定，支付宝存在未及时向消费者披露服务特性的问题，违反相关规定，已要求其优化改进。

涉事基金会方面，中国乡村发展基金会答复称，184 万元善款已全部用于公益项目并执行完毕，同时表示若兰晓红能提供司法机关出具的 “非本人自愿赠与” 证明，可申请退款。

支付宝方面，工作人员表示处理进度已传达给兰晓红，公司将相关质疑反馈至有权限的管理者核实。另据支付宝相关人士称，自 2023 年接到反映以来多次处理，最终建议兰晓红通过司法部门解决问题。

所以，“剧本 " 不是阴谋论，背后是 2026 年 5 月 14 日登上微博热搜的真实事件。

如果不想成为下一个剧本的主角，请现在就打开支付宝：

1. 检查 “支付设置” 里的所有开关，确认公益捐赠等特殊场景的权限是否被关闭。

2. 检查 “免密支付” 和“自动扣款”，关闭所有不再使用的授权。

3. 大额资金不要长期放在第三方支付账户里。

还有就是希望悬案能破。每一个普通人的钱能真正的在自己的账户里安全。

文 /

@白蓝绿

一个在「思想森林」里，记录「人间线程」的思考者。

知乎用户 美团外卖来了 发表

支付宝出的问题并不少，只是被互联网淹没了。导致大家认为支付宝最安全。以前人家通过苹果支付，微信，支付宝三个渠道盗刷充值游戏的好多不了了之。这次只是金额大，我看有新闻信息支付宝官方回复说是灰产（真假等最后真相）。不过仅仅灰产就直接支付划走也不是什么正当的理由。这东西就算是灰产那也得警察有合法的程序冻结划走。还有支付 184 万，这东西我基本确信支付宝没有短信验证，没有人脸识别。按理说 3 年前至少支付密码和短信码验证支付宝当时是有的。这么大一笔金额反而目前支付宝方面没说这些。其实就是问题了。或者说支付宝自己故意设置漏洞也有可能。你已经不允许支付宝支付划拨了，没有明文许可，然后他自己用漏洞划拨。而且这个所谓的灰产划拨给福利机构。难道福利机构和这个人是合伙诈骗吗？这次支付宝回复不好那才好笑。

知乎用户 欧阳逍遥 发表

只维权不起诉，而且维权三年无果。

这个操作一看就有问题。

大概率是另有隐情。

媒体故意用这个标题夸大其词吸引眼球。

加上绝大多数人都有支付宝当然会关心。而且很多人对支付宝是无脑的信任，包括我。支付宝要求上传证件、人脸、手机号什么的都全部同意，现在突然出来个这个问题，都要点进去看看。坐等支付宝的情况说明。

关闭支付功能仍然能捐赠这个设定究竟怎么回事可能支付宝可以解释，但是事件中这个人的遭遇真的只有她自己知道内情。一口咬死不承认，也没办法。

知乎用户 KochiyaS 发表

所以为什么不起诉呢？

是没有证据吗？

是希望网友帮忙判案吗？

知乎用户 硅基生物 发表

当事人的说法充满逻辑漏洞

1、发现自己账号频繁被顶下线，第一反应不是修改密码 + 把钱转出，而是冻结支付宝付款功能

2、钱被转走后不是报警被诈骗，而是报警支付宝冻结支付的功能不合理

3、3 年了，没证据，没法告

我大胆推测一下

1、当事人对自己账户的钱不具有支配权

2、当事人想占有这笔钱，但是有人不同意，所以通过支付宝的支付漏洞将钱捐给慈善，目的就是咱们都别想得到这笔钱，鱼死网破

3、没证据的原因大概就是无法证明钱是自己的，无法证明不是自己操作转账的。

警方断案的出发点就是作案动机，如果是被木马入侵断网扣卡就行了，如果是黑客破解了支付宝的密码和人脸识别，那这个黑客根本不会对这百八十万感兴趣，有这个技术分分钟拿百万年薪，合情合法

细节 1：关闭支付功能，扔保留捐赠渠道，这是银行方面确认的，这就是说银行才是这个规则的制定者，而不是支付宝

细节 2：支付宝工作人员给媒体的说辞是 “关于此事的处理进度已传达给当事人”，证明支付宝就是个传话筒，主导资金去向的是银行

细节 3：支付宝向基金会答复 “捐赠是正常行为”，看来支付宝有充足证据证明捐赠行为是当事人本人所为，应该有 IP 地址、人脸识别影像等充实证据，只是不必向媒体展示，银行和基金会方面应该掌握了这部分证据

我认为事实差不多说的挺明白了，看看还有没有后续

知乎用户 看客小 h 发表

这么大一笔钱，号称还有经营款和借款。而且还宣称之前被盗号频繁踢登录才关了功能。

可奇怪的是，几年了

为啥不报警呢。。。

为啥不起诉呢。。。

这表现正常吗？记者没疑问吗？

知乎用户 Anchor 发表

先说几个已经确定的事实：

1. 资金是通过电脑和手机端出去的

2. 兰女士自诉账号被人频繁挤下线

3. 支付宝的回复有：经查兰女士账密是自己透露出去的。平台与公安联系过，其账户里资金涉嫌 “黑灰产”

4. 央行上海分行的《举报答复意见书》里面明确写了：经查，涉及的 6 笔交易中，其中 5 笔交易为使用电脑验证支付密码完成的交易。其余 1 笔交易是用手机完成的交易，支付过程中客户选择 “添加银行卡付款”，并输入了银行卡持卡人姓名、身份证号等信息，通过银行发送的短信校验码，又通过支付宝验证人脸成功最终完成支付。

根据以上确认的信息，我对黑灰产这几个字产生了兴趣，于是在网上搜索了下。（只是事实新闻，不一定与本次事件有关）

事件一：涉案金额 1300 余万元！绛县公安成功打掉一 “跑分” 洗钱团伙

　2023 年 4 月 25 日，绛县公安局民警在工作中发现一条关于洗钱窝点的线索，民警对线索中涉诈信息认真核查，经过分析研判，一个由王某某、李某荣、谭某某、李某龙、康某某 5 人组成的 “跑分” 洗钱犯罪团伙逐渐浮出水面。办案民警循线追踪，成功将 5 人在运城市盐湖区抓获，在确凿的证据面前，5 名犯罪嫌疑人对 “跑分” 洗钱的犯罪事实供认不讳。

经查，2022 年 11 月至 2023 年 1 月，犯罪嫌疑人王某某组织李某荣、谭某某、李某龙等人在盐湖区某公寓内，通过聊天软件与上线取得联系，同时购置手机和租用笔记本电脑下载手机银行 APP，将自己持有的银行卡绑定，进行 “跑分” 洗钱活动。5 人在两个月的时间内昼夜不停、疯狂作案，涉案金额高达 1300 余万元，非法获利 10 余万元。

　　目前，5 名犯罪嫌疑人已被绛县公安局依法刑事拘留，案件正在进一步侦办中。

_“跑分”其实是一种 “洗钱” 行为。_本质就是通过银行卡、微信、_支付宝_等第三方支付平台账户为他人代收款，再转账到指定账户，为违法犯罪行为提供非法资金转移的渠道。

　　切莫轻信网络上的种种诱惑，切莫随意将自己的银行卡、电话卡、微信、支付宝账户出租出借，一旦被不法分子利用进行电信网络诈骗，自己也将成为不法分子的帮凶，被依法追究相应法律责任。

（以上全是新闻原文，运城市盐湖区就是兰女士的所在地）

事件二：山西运城：10 亿洗钱帝国覆灭记

2022 年 11 月，运城公安对 “杨某才团伙” 展开多批次跨省收网，34 名嫌疑人落网、10 人被刑拘。

警方查明，自 2020 年起，杨某才等人租用多套 “跑分” 平台，把某宝零钱、某收款码、某超市卡、某加油卡全部接入，24 小时为境外赌博 APP 提供资金通道。

每天，赌客把钱打到国内 “跑分池”，平台扣除佣金后，再把“干净” 的赌资转给境外集团；短短三年，累计洗白赌资超 10 亿元，非法获利近千万元。

事件三：涉案流水 5000 余万元！山西运城打掉 “跑分” 洗钱犯罪团伙

为深入推进 “净网 2020” 专项行动，严厉打击各类涉网违法犯罪、斩断网络犯罪黑灰产业链，7 月 30 日，在山西省运城市公安局统一协调、分局党委指挥部署下，盐湖公安分局打掉一个通过 “跑分” 平台为非法交易提供支付、结算渠道的犯罪团伙。抓获犯罪嫌疑人 11 人，扣押各类支付账户及银行卡 300 余个，作案手机 60 余部。

经查：2019 年以来犯罪嫌疑人许某、吴某、张某经福建籍人员林某介绍联系开始为某平台进行 “跑分” 洗钱等活动，该团伙以游戏工作室名义发展多名下线人员通过收买和代办等手段，使用他人信息注册的对公账户、第三方支付账户及银行卡、U 盾、电话卡等，为平台 “跑分” 洗钱活动提供帮助。犯罪嫌疑人交代涉案流水约 5000 余万元。

以上我只是随便列举了几个，其实还有其他相同的事件。

今年 1 月份还有一个最新的：雷霆斩链！运城一举捣毁两个 “洗钱” 窝点

1 月 9 日，分局刑警反诈中队接上级下发洗钱窝点线索后，联合刑警打击电诈犯罪中队立即开展侦查工作。经缜密研判、精准摸排，迅速锁定运城市盐湖区两处涉案窝点。次日凌晨 1 时，办案民警雷霆出击，一举捣毁两个为跨境赌博网站提供 “上下分” 服务的洗钱窝点，抓获违法嫌疑人 17 人，扣押涉案电脑 12 台，手机 10 部，追缴违法所得 1.05 万元。

经查，该两个窝点作案模式高度相似，均通过聊天软件对接境外上线，以虚假招聘为诱饵诱骗群众完成支付宝实名认证，再将实名账户用于网赌资金洗白牟利。

据我搜索山西运城相关的洗钱案件，跑分产业在当地应该是有些底子，很多跑分群，黑产广告兼职什么的，兰女士作为网店店主，完全接触不到这类信息的可能应该不高。

当地也有做清黑产的工作，比如兰女士案件前两个月，23 年 8 月 24 日运城公安局官网上就有一则《盐湖区反诈中心 “送奖” 上门》的文，里面提到三家银行负责人纷纷表示，下一步将全力配合公安机关开展 “断卡” 专项活动，清除涉诈 “黑灰产业链” 在盐湖滋生，加大 “两卡” 防范宣传，为推动新形势下打击治理电信网络新型违法犯罪贡献更大的力量。

-– 分割线 —

为什么要举这些事件呢，以下环节开始都是个人的猜测，不一定对哈。

首先，兰女士的职业是网店的店主，做电商、流水大、资金混得非常乱，同时自诉钱是信用卡套现、借亲戚钱、代管货款（这些来源存疑）。

100 多万的来源都这么复杂，那说明兰女士的网店生意可能并不怎么样。

现在综合开头确认的事实，普通人用支付宝应该很少会使用电脑端吧，兰女士作为网店店主可能频率会比较高，这个可以理解。

但是黑产也是会用电脑和手机，而且事实里兰女士说自己被人频繁挤下线，为什么呢。

因为黑产也会在异地登录、测试、准备洗钱。

支付宝说账号密码是兰女士自己透露出去的，那会不会是兰女士自己透露给黑产团队的呢？

所以我猜测，这个 184 万的来源本身就不干净。

猜测：兰女士是 “卡主”，帮跑分团伙代持、走账、洗白，事后资金被捐走（分成 / 被黑吃），她装受害者索赔 / 中途想黑下这笔钱。

反复登录、踢她下线 → 确认账户是否被风控、是否可大额转出。

发现异常 → 不是被盗，是黑产在 “试车”。

主动 “关支付功能”＝演戏 + 为后面甩锅留证据。还是说洗钱的中途对这笔钱起了什么念头，就不得而知了。

以上均为个人根据运城近年来的现状和新闻做的个人推测，不代表事实，欢迎大家一起探讨。

知乎用户 和谐派系官员 发表

炒作这个是日子太安逸了？

如果是假的，这个谣言够吃牢饭了。

如果是真的，那么问题肯定在警方。报道里明显带了恶意，什么叫警方要求提供被盗证明？明明是警方调查后认为不存在盗窃。

整个过程真的可能有问题就是警方，那么你行政诉讼警方啊。把庭审内容拿出来啊。

标题也是报案三年无果。你丢了 184 万不当场报案锁定固定证据是图什么？

知乎用户 风筝​ 发表

支付宝里面仅余额宝的资金总量就已经超过 7000 多亿元了。

用户总量达到了 7 亿多，单个账户资金过百万的就有 10 万个。

到目前为止能够破解支付宝的安全系统，直接盗走用户钱财的案件一起都没有过。

最厉害的黑客，也只不过是顶多把整个支付宝的支付系统弄得暂时瘫痪而已。

以往所有发生的那些用户金额被盗的事件，几乎都是用户电脑自身中了木马病毒，或者不小心泄露了密码，或者丢失手机。

并且这种被盗的案件，100% 都给予赔偿了。

因为支付宝的后台是能够查明这钱到底是不是户主本人的手机或电脑上操作转走的，也能查到资金的去向，是不是真的被犯罪分子给提走了。

而这位用户之所以没得到赔偿，是因为首先并没有发现在他电脑中有被植入病毒，

调查结果显示所有的操作都是在其本人的电脑上完成的，直接输入了密码，进行了人脸解锁。

如果真有黑客，能够利用 AI 或者其他技术攻破支付宝的安全系统，能盗取密码破解人脸解锁的话，那么绝对不会只发生这一起孤立案件。

并且目前来讲，即便是世界上最顶尖的美国的网络安全部门部队，也做不到这点。

更重要的是，他的钱不是被盗了，而是被捐出去了。

捐的还都是正规的公益机构。

不符合逻辑的地方太多了，

总的来说，事情只有两种可能，

一种就是支付宝的安全系统被人攻破，那名有着顶尖技术的黑客没有盗走钱财，而只是把这位女士的钱给捐了出去。

然后就销声匿迹了。

如果真有人有这种技术的话，他不用干违法的事儿，只要把漏洞告诉支付宝系统，轻轻松松的能获得上千万的报酬。

第 2 种可能就是，用户自身这边出了问题。

也许是一时脑子混乱，也许是身边的人搞的鬼纯粹是恶意报复。

但如果这样的话，人脸识别系统是怎么过的呢？在几年前还没有这种 AI 技术，大额转账是需要人脸配合系统做出相应的表情、动作才能通过的。

个人不配合，几乎是不可能通过的。

这种时候找支付宝系统是没什么用的，还是去找公益机构吧，动静闹得大一些，兴许还能要回来。

知乎用户 呆蛙 发表

我离个题啊，和这个问题无关的啊不要无端联想，比如说假设我说假设啊，有个叫洪大蓝的女士，想要给自己营销一个捐款慈善的形象，需要几个给慈善组织打款的截图来炒作自己，不管是微商包装还是成功学讲师或者非法集资有需要这都是另外一回事了，真掏大把的钱出来当然不可能，余额不足嘛又没法打款，自己 P 图么又没那个技术纯造假容易露馅。于是洪大蓝女士想了这么一个法子，弄一笔钱，和支付宝客服联系让把支付宝支付功能给关了，心想着这样打款过去就会被中途拦截退回来，这样既有了打款记录和截图，钱又不会真的捐出去。

客服嘛也实诚，说把支付功能关了那就把支付功能关了，没关他捐款功能——本来就不是同个渠道不是同个功能，支付功能是支付给商户的交易那是要收手续费的。捐款的属性是和违停交罚款一样这是走的另外的通道。

结果钱真的捐出去了。

洪大蓝女士美滋滋的精心准备了几条推文，却是左等右等不见钱被退回，急了。这一次的失误，让这个本不富裕的老赖雪上加霜。

希望这几个慈善组织好好利用捐款，帮助真正需要帮助的孤寡老人、患病儿童等困难群体。

知乎用户 阿白 发表

这个公益捐赠什么的在哪关闭呀？找不着啊。

知乎用户 躺平的韭菜 发表

本次事件不评价，但是我个人不太相信支付宝。

支付宝免密支付，自动续费一条龙。默认扣了我半年多夸克会员钱。

并且支付宝是有意识的帮忙遮掩，自动扣费选择凌晨扣，并且扣费提醒跟一大堆垃圾消息混在一起，就是故意不想让你发现。

而且自动续费的页面藏的很深，你日常使用根本不知道自己开了多少自动续费。除非主动去搜。

对比微信，扣费前几天会弹出提醒，说我们几天后准备扣费，让你再确认。并且是专门的支付提醒很显眼。

支付宝就是私企而已，他各种办事查询很方便，也真的替大家解决了很多需要跑政府才能办到东西。这一点真是要夸一夸

但是涉及钱的东西，我是不太敢用了。

现在我微信支付宝全部关闭了免密支付，并且银行卡也解绑了一大堆，就是怕他闹幺蛾子。

真要发生新闻里这种事，他说你主动捐赠的，你要怎么证明。

或者他悄悄从银行卡扣费了，不给你提示，又要怎么发现。

普通人，终究是没有精力去跟大企业勾心斗角。

知乎用户 Ifhbrjxuebsc 发表

匪夷所思。

如果是亲人或者朋友有意操作，也是转给个人账号，怎么给捐款了。

知乎用户 顶瓜瓜​​ 发表

先让支付宝出来，把这个什么狗屁捐赠渠道给关了才是正事。

慷他人之慨，解旁人之囊，暖之盗，德之贼也。

给我的感觉是——分 “赃” 不均。

钱是不是她的，都还不一定呢。

用户兰晓红发现支付宝账号异常，被他人挤下线，在 2023 年 10 月 19 日听从客服指引关闭了账户的支付功能以保障安全。

说明她的账号可能被人盗了正在登录，关闭是为了不让他人转账。仅两天后，即 10 月 21 日的凌晨 3 点至 7 点，账户分 6 笔通过公益捐赠转走共计约 184.7 万元，其中 184 万元转给了中国乡村发展基金会的捐一元献爱心送营养活动。

所以可能盗号的人折腾了三天都没法转账，一气之下把钱全捐了，主打一个贼不落空，偷不到钱，也不留给你。

但账号有这么容易被盗号吗？

很可能是内部某种合作出了问题，来个双输好过单赢。

另外，兰女士是报过警，警方以证据不足为由不予刑事立案。

警方在处理时遇到了一个疑惑

包括央行的调查也确认，这笔捐款是通过电脑设备验证支付密码完成的。

对于公安机关而言，通过支付密码验证在形式上表明交易获得了账户持有人的授权。

因此，警方认为现有材料无法证明这笔捐赠不是兰女士本人自愿操作的，将其定性为经济纠纷而非刑事案件，不予立案。

警方内部要求支付宝先行出具账户被盗的书面证明，这样才能启动刑事侦查程序。

而支付宝方面一直坚持其调查结论为正常行为，拒绝出具这一证明。

双方就这样卡住了。

警方等支付宝认定被盗，支付宝等警方认定犯罪。

事情拖了三年，就是卡在了证据和定性上。

对他们而言，作案动机完全无法解释。

我这样的答主可以发挥想象力胡乱猜测，他们不行。

无法走刑事路径追回，民事追索一样搞不定。

184 万元已进入中国乡村发展基金会，且基金会称款项已用于公益项目并已执行完毕。

撤销捐款需向法院提起民事诉讼，但若超过一年的撤销权行使时效，法院不会支持。

用户还得要证明非本人意愿，在技术上就不可能了，用户需要提供充分证据证明他人操作，而这恰恰是需要警方侦查才能获取的信息。

哦，忘了说。

支付宝这个设计就不合理，离 TM 谱。

一个鸡肋设计。

慷他人之慨，解旁人之囊，暖之盗，德之贼也。

接受捐款方大概也只会认支付宝的功德。

哪会区分背后具体是谁谁谁的捐款。

集资办大事儿，谁发起的集资认谁。

用户不管出于什么目的，关闭支付权限，肯定是要关闭所有能让资金流出去的渠道。

你 TM 不说清楚，搞半天还在那儿留这么小口子。

就像查了一堆法条都说没问题了，在一个不知名的规章里面来了一个小反对，艹的心都有。

知乎用户 kbtx 发表

慈善机构本来就是洗钱用的，青天大老爷想做好事，为啥连善款都不自己出

知乎用户 疏雨小筑 发表

　　不管怎么说，支付宝关闭支付功能后，**公益捐赠场景仍保留了付款功能，**就太不像话了。而且这么大的金额面向公益目标居然只输密码就能转账，简直是无耻，故意留漏洞。公益捐赠 “一经做出，即无法撤回、退回或取消”，平台据此认为其风控逻辑在公益场景下进行了简化——但无法撤销、无法反悔的操作，验证过程应该更谨慎才是，为什么反倒简化了？

知乎用户 moon lee 发表

我知道自己被盗号了，赶紧关闭支付，结果关了但没全关，这么大漏洞换成银行早被喷成筛子了，你见哪个卡挂失后可以捐款的

关闭的目的是不要让钱离开自己的账户，结果是这个目的并没有实现

我知道张三要砍人，报警之后这个人没砍成，但是开车把人撞死了，警察说开车合理

知乎用户 随风过往 发表

一眼假

这东西，不是自己干的，就是身边家人干的。

如果是黑客干的，那都是重大刑事案件了。

帽子叔叔怎么可能一点反应没有。

而且还她这还死缠着 “捐款” 这个说法，这事就类似于那些熊孩子拿着父母手机无限充值游戏一样，以为闹一闹就能把钱要回来

PS: 现在支付宝是国企单位，那些黑子可以闭嘴了

知乎用户 wallethelp 发表

所以，目前看来，支付宝不安全，微信不安全，银行不安全，只有现金放家里最安全了。

那个现金放高压锅里，埋家里的，房子着火了，之后挖出来，高压锅里，用塑料包着的现金一点事没有……

当然，最重要的是，鸡蛋不要放在一个篮子里。

知乎用户 误误误禅 发表

压死骆驼的不是最后一根稻草，而是之前无数根稻草。

这算一根吧。

一旦 “支付宝不安全” 成为刻板印象，那么损失可不止 184 万。这是支付宝的一次公关事件。

公众往往是结果导向，不管过程，不管原因。

知乎用户 幽默爆笑的猫猫 发表

支付宝说的是通过了密码和指纹识别认证，用户说没有，当时在睡觉，那么必然有一方在说谎。

说支付宝没有经过用户的认证，直接划走钱，这样大的安全漏洞，这种可能性还是太小了，警察那边估计也是倾向于没这种可能。

大概率是用户，以为关闭了支付功能，就以为钱就不会划出去，没有想到还保留了什么公益捐赠的出口，然后一顿乱操作或者是瞎操作，把钱捐了出去。

另外假如有陌生的第三者偷了手机操作，转出去 184 万，那么就是刑事案件，警察那边不可能不立案的。

①警察不立案，②支付宝说程序正常，没责任，③用户诉求的核心是关了支付，这笔钱怎么还能捐出去，要去维权追回来，而不纠结支付宝的非法挪用，或者账号被盗刷。这三点，就很说明问题。

不过这件事，我还是站用户，支付宝的责任很大，不是安全验证的问题，是底层的设计就存在漏洞，用户关闭支付功能后，还保留着捐赠能转钱的操作，这逻辑上，就不应该存在。

正常人，包括我自己，操作了关闭支付，就是很明确的意思，就是关了划钱的总阀门，只要不重新开启支付，不管怎么操作，钱就是转不出去了，没有什么乱七八糟的其他，包括捐赠什么的。

支付宝，这么大的支付平台，应该考虑到任何最极端的情况，在用户关闭了支付的情况，还在半夜时间段，还是几百万钱捐赠操作，说捐出去就捐出去，一点风控提示都没有，就不应该。

知乎用户 牧星 发表

打破僵局的关键，警方立案并正式向支付宝调取完整的技术日志——包括 6 笔交易发生时的登录 IP 地址、设备 MAC 地址、操作时间轴、人脸验证照片等原始数据，并追查接收捐赠资金的三家基金会是否存在资金回流等异常。只有通过这些技术手段还原完整的操作链条，才能最终判断这 184 万元究竟是兰女士自身经营纠纷的延伸、还是真正的犯罪行为。

一、支付宝的协助义务与证明问题

支付宝为何不出具” 非本人操作” 证明？ 这源于其技术核查结论与法律定性的不对称。支付宝的后台核查显示，6 笔交易中有 5 笔通过电脑验证支付密码完成，1 笔通过了” 银行短信校验码＋支付宝人脸验证” 双重核验。在支付宝的风控系统中，凡是通过密码、人脸等安全验证的交易，均被判定为” 用户本人操作” 或” 正常执行用户账户下达的支付指令”，因此支付宝官方多次回应” 捐赠行为系正常”。

平台在技术上将” 通过密码和人脸” 等同于” 本人自愿操作”，拒绝推翻自己的系统判定，这正是支付宝始终不愿开具” 非本人操作” 证明的技术层面原因。

支付宝有无协助警方的法定义务？ 答案是肯定的。《刑事诉讼法》第 54 条明确规定，有关单位在侦查机关收集、调取证据时” 应当如实提供”，网络服务提供者同样适用这一义务。《网络安全法》也要求网络运营者为公安机关提供技术支持和协助。但需要注意，支付宝的协助义务有一个重要的程序性前提：公安机关必须先依法定程序，向其发出协助调查通知书或调取证据通知书。

二、疑点一：警方责任与支付宝义务的划分

在兰女士案中，警方与支付宝之间的责任划分确实存在模糊地带，体现在三个关键节点上：

需要强调，支付宝作为非银行支付机构，还承担着反洗钱风控义务。《反洗钱法》要求支付机构建立健全可疑交易报告制度，当发现异常交易时应主动向监管机构报告。本案中，一个刚申请关闭支付功能的账户，在深夜凌晨通过电脑连续进行 6 笔大额捐赠，金额高达 184 万元，是否符合支付宝自身的可疑交易监测标准，是值得追问的问题。

三、疑点二：事实真相的多种可能

目前各方给出了各自的说法，但真相仍然不明。以下三种可能性均不能排除：

可能一：账户确被他人操作（外部盗用或共用人操作）

支付密码在理论上只有兰女士本人知晓，但若密码曾被窥探、键盘记录、或通过钓鱼方式泄露，他人即可通过电脑完成密码验证。人脸识别的漏洞同样存在，此前已有安全研究证明，部分人脸识别系统可被高清照片或 3D 模型破解。

支付宝提出的” 账户与他人共用嫌疑”，暗示兰女士可能曾将账户授权给他人使用。兰女士自称与他人合伙经营多家淘宝店，账户中的资金包含信用卡周转金、亲友借款及代为保管的货款——这种复杂的资金状况和多人经营背景，为” 账户共用” 假说提供了一定的现实基础。

可能二：公益捐赠通道存在特殊安全漏洞

央行调查确认，兰女士账户的支付功能一直处于关闭状态，但关闭支付功能后，公益捐赠场景仍保留了付款功能，且支付宝未向消费者披露这一服务特性，已被认定违反金融消费者权益保护规定。这一” 隐藏通道” 意味着，即使兰女士主动关闭了支付功能，公益捐赠仍可以绕过限制执行扣款。

可能三：系统错误或账户被盗刷

虽然概率较低，但系统错误或专业盗刷的可能性不能完全排除。184 万元这种金额的盗窃，无论从犯罪动机还是手段上看，都具备典型的刑事案件特征。然而，目前查明的结果——5 笔通过电脑密码验证、1 笔通过手机人脸验证——都在技术层面指向” 正常交易”，使这一假说在证据上陷入僵局。

这三个问题构成了本案维权困境的核心逻辑链条：

1. 支付宝不出具证明的原因：技术上系统判定为” 正常交易”，法律上不愿意推翻自身结论，程序上尚未收到警方的强制调证要求。
2. 警方与支付宝的责任划分：警方过度依赖支付宝的” 非本人操作” 认定，而未依法主动调取技术证据；支付宝则在” 系统正常” 的判定下，未能有效履行可疑交易报告义务。

知乎用户 新杰 发表

离谱了。

支付宝官方回答居然是个人账户公益捐款功能 “无法注销”。

这是什么脑回路。。。。

知乎用户 知乎用户 YH2Go3 发表

以前用过某品牌，他无缘无故扣钱，找他也是一堆理由，说我自愿的，自己操作的什么乱七八糟，我当时就发现我陷入了一个极度弱势且需自证的陷阱中，想了想，我就告诉他一个 你这还有几千块钱没还，比你扣的多多了，明天九点之前不退给我，我一分钱都不会再还。他说什么影响征信什么的，我说征信你没资格影响，影响了也无所谓，结果一小时后退了。

所以你们说这可能那可能都是猜的，他们真的能这么干。有些事全靠良心，马云在的时候他们还有良心，现在国有了，哈哈。

这个世界有两个运行逻辑和规则，你可以测试一下，借支付宝一千块钱不还，他都能找黑社会来催收。这种公司，还有什么事做不出来呢？

所以，趁早把支付宝能撸的贷款撸完。再谈判才有筹码。

知乎用户 风吹过​ 发表

这都三年了，黑客有这技术，就只盯着她一个人不放？

黑客就为了捐她的 184 万，突破了支付宝的重重防护，结果只是捐给了慈善机构？

三年了都没有查出什么结果，按说黑客早该从至少几千几万的账户里把钱转走了吧？

除了她，就没别人出来发声？

别人的钱都不是钱？

另外，还有一句话：不找警察找舆论，往往是……

知乎用户 懒癌晚期 发表

有理就报警。

无理就发抖音。

姐妹们最常用的路线。

知乎用户 09071139zzy​ 发表

从前慈善基金会从业者角度聊聊商家慈善捐款退款的情况，以及涉及诈骗的特殊情况，供大家参考下。

一般来说，遇到因为员工 / 亲属原因误捐，只要理由合理证据确定，处理流程还是比较快的。当时我还在某慈善基金会，接到了一个电话淘宝商家的电话，反馈手下员工因为个人原因私自调整了公益宝贝的捐赠比例，多捐赠了几万块钱到两三个公益项目，要求退回这些捐赠，后续是这么一个处理流程：

1、要求提供商家名称，和这个商家账户绑定的身份证照片

—毕竟要证明你是你吧。

2、要求提供不正确的时间范围和捐赠金额，和后台数据比对双方确定涉及金额

—交叉数据核对确实显示一段时间内几个公益宝贝捐赠比例调整到了 100％。

3、要求对方报案，并提供报案回执

—商家爽快的报了案，并且提供了报案回执，顺便给我们一个 12345 投诉让我们加快进度。

后续资料提交给财务后，整体退款还是比较顺利的。

现在聊聊另一种诈骗模式了，算算时间也差不多是三四年前了。

这种诈骗模式采取逐渐诱导的手段，通过 “捐赠返利” 的模式，骗取高额的捐赠款。前几笔都是让你正常的捐赠到互联网公益项目，骗子不收钱反而倒贴钱给你。比如你捐 100 块，这 100 块是给到了公益项目的，骗子没收到钱但是还给你 110 块。这样子过个几轮甚至十几轮，等你确实相信骗子了，骗子就会诱导你进行大额捐赠，并在这笔诈骗链接上动手脚。

等到得手后，被骗人一边会报警要回被诈骗金额，一般也会同步要求慈善机构退回之前的捐款。这种情况就比较复杂了，一般会要求法院判决或警方提供遭受诈骗材料才会退款。

知乎用户 鹏城冬色​ 发表

作为一个普通人，看哪些嘲讽维权者的答案没有任何收益，无论什么情况万一下次你也丢了资金，主动也好，被动也好，你面对的大概也是这样的环境。

所以要做的是先学会怎么堵住可能的漏洞，那么就涉及到以下几步：

第零步：常规操作：关闭 “支付功能”

路径：我的 → 设置 → 账户与安全 → 安全中心 → 账户授信 / 支付功能 → 关闭。但请注意，此操作无法 100% 阻止所有特定渠道的扣款。

· 第一步：排查 “免密支付 / 自动续费”

路径：我的 → 设置 → 支付设置 → 免密支付 / 自动扣款。进入后，建议逐个点击并 “关闭服务”，检查所有已开通的自动扣款项目，特别是“爱心捐赠” 等相关协议。

· 第二步：解除 App“代扣” 授权

路径：我的 → 设置 → 用户保护中心 → 个人信息授权管理。在这里可以彻底解除第三方软件的支付授权，防止通过支付宝进行代扣。

· 第三步：解绑银行卡，断开资金源

路径：我的 → 银行卡 → 选择卡片 → 解绑银行卡。这是物理层面的 “断流”，建议对不常用的卡执行此操作。

· 第四步：彻底冻结——暂时挂失或注销账户

路径：我的 → 设置 → 账户与安全 → 安全中心 → 挂失账号。

所以资金安全受到威胁时，可先行挂失冻结。

如果未来不再需要，可联系客服申请注销账户，这是最极致的防范措施。

知乎用户 与尔同销万古愁 发表

信息不全，漏洞这么明显的问题，还是等等最终结果吧

知乎用户 我的天空 发表

条件

.1…… 前一天，发现支付宝账号异常，就关了支付更能

2.。。支付宝账号给关闭了，不能支付

3，，，支付宝的 bug，关了支付，但是可以捐款

4，，，支付宝方面说，多人共用一个账号，，也就是说，捐款 184 万，不是由苦主手机捐的

5.，，jc 方面不给立案。。。认为是经济纠纷。

6…。。。捐款 100 多万，不是用苦主手机捐的，但是用的苦主的人脸。

基于以上，我是不明白，这件事为什么这么魔幻了。

知乎用户 鱼煮水 发表

个人倾向于想盗刷之类的，发现账户被止付后出于报复心态给捐款了。

但是不能自圆其说的是，支付宝给的信息是通过了人脸验证，如果真是搞定了人脸验证，有无数种方法把钱搞到自己账户，而不是泄愤捐款。

评论区有人说是晚上感性所以捐款，如果是资产千万你感性捐款 100 多万，我稍微能理解，但是这个钱有贷款、借款、信用卡，只要精神正常，我觉得干不出这个事。

这事处处透漏着不解，好想知道最终结果。

知乎用户 加小油 发表

支付宝大额转账一定会跳实名认证要求刷脸。

新闻里说前五次小额转账，最后一次大额捐赠是输完密码还刷了脸。如果是手机被种马，偷偷刷脸还有可能。但是当事人自己说自己当时在睡觉，那除了身边人没可能做到这种事情。

知乎用户 卡尔 888 发表

没有阴谋，没有黑客，没有内鬼。

就是一个被债务压力压到精神崩溃的普通人，在深夜情绪失控，自我毁灭式清空账户。

清醒后无法面对现实，抓住支付宝挂失不锁捐款的规则漏洞，把锅甩给平台。

这是唯一合理的解释。100 多万对于支付宝来说，根本算不得什么。内部人员也完全没有必要，如果有这种权限的话，也没有必要去为了这 100 多万犯这种事情。凭借着支付宝阿里系的这种强大的网络安全团队，不可能为了这 100 万去做这种事情。即便真的有问题，他们也不可能追查不到。唯一无法验证的就是用户自己的行为

知乎用户 回眸浮云间 发表

不管这件事情最后的结果如何，就算是此女士本身有错，上热搜的结果就是支付宝绝对安全的神话崩了，留有后门出问题解决不了把客户卡在半空中，能上热搜就说明公关失败了或者被敲打，或者开始麻木了？

神是不能流血的。

知乎用户 新奥尔良 发表

一看就是自己操作的，后来后悔了。

判断的依据：简单问题复杂化，一句话能讲完的非要讲半句，故意制造悬疑，制造悬疑话题。

首先，为什么提前关闭支付功能，这么重要的原因没讲。不讲前因。是她自己关的？还是家人关的，反正什么都不讲。前面只说异常，故意制造悬疑。

其次，不讲有没有报警。这么重大的金额肯定立案调查，但实际报警了吗？你在山西又不在杭州，山西和支付宝没有利益相关，根本不存在山西帽子要包庇支付宝的假设。

第三，从 23 年到现在已经 3 年了，要查企业内部的流程管控必然是需要报警的。银行、支付宝肯定都建议报警的，实际报警了吗？

第四，从 1881 黄金眼新闻总结。但但凡突然少钱的，多半是孩子、家人操作的。

猜测，一开始想捐赠，但家人反对，于是关闭了支付功能（这里预计是家人关闭的，不然后面应该是先打开支付功能，她直接支付成功可能她不知道家人关闭了支付功能）。但半夜还是偷偷瞒着家人捐赠了（可能是歪打正着发现捐赠功能还能支付）。后来家人、自己多方压力后悔了。

知乎用户 犭央犭茶湖工务人 发表

支付宝应当回应的是如何关掉账户的捐赠功能，不然我不会往里放一分钱了，是不是这些基金缺钱了能直接把你账户钱用掉？

知乎用户 null 发表

大额转出的人脸识别应该有截图保留在云端的吧。

支付宝按理说也不差这点硬盘空间。

现在的审计制度，倒查 5 年都正常。截图拿出来看一眼不就都清楚了。

这事对于支付宝来说，扣个不安全的帽子影响也挺大的，总不能没动力去查吧。

知乎用户 新月照涟漪 发表

首先这客户百分之一百撒谎了。

被盗赔付是保险公司赔钱的，不用支付宝出。客户满意，公司省心，且支付宝账号被盗概率极小，保险公司收保费也不会亏，堪称多赢。唯一的小问题就是要证明客户是被盗，所以为什么没赔付呢？好难猜哦～

但话说回来，我认为支付宝在处理过程中也存在瑕疵，支付宝以前所有关于被盗的培训，都是说关闭支付功能后钱出不去，我相信当时处理的客服确实不知道还有捐赠入口出款的事情，所以没有提这个事情，这是话柄。但话又说回来，当时录音我没听到，具体什么现在是客户一面之词。

支付宝公关部已经开始动了，后面就是法务和比较经典的司法联动。

知乎用户 夕阳下的奔跑 2024 发表

以下为猜测，如有雷同实属巧合

这个里面的钱有自己的 ，有黑灰产的或者他人的 。由于种种原因她不想干了或者想吞掉这个钱，就想着把这个账户支付封掉，另外的人发现了，尝试了一些方法，发现捐款没有关闭，就全捐了。最后那次转款，是他自己测试的。

事后他到处找，只是想拿回自己那份钱，又不敢说出全部的话。

上热搜了，闹大了 ，如果进入刑侦程序，得有人坐牢。

最后，遇到事情要记住双输好过单赢。

知乎用户 axia 发表

什么花呗，X 商银行，这些乱七八糟的统统关掉，除了银行卡和证券，其它地方不放钱

绑卡也只绑小金额的或者信用卡，大金额的不要绑定任何所谓的三方 APP

另外什么小额免密，主动扣款，特别是什么狗屁的什么相互 Bao 之类的玩意，

统统关掉，更直接的从一开始不要做好奇宝宝，

反诈都说了，不清楚的链接不要点，不要点，

知乎用户 宝莲灯宇宙 发表

如果新闻属实觉得应该是软件设定问题，换成银行卡可以一次支付这么多吗

前几天在淘宝特价版买了个保联扳手，以前也买过团购没什么问题，需要两个人团购以为一天时间应该会有另外一个人买吧，结果只我一个买就自动退款，然后卷过期钱没了，扳手也没了

所以出现这类基本都是软件设置产生的结果

咋知道对方账号是公益组织的然后支付，这个问题就很有问题，如果不小心点错数字咋办，而且我也买东西点错过，然后商家给退了

支付类软件设置很有问题，什么公益就可以随意支付，那也太不安全了，如果是外国公益组织黑客盗取，那不是想盗多钱可以盗多钱而且无法追回

为什么支付软件可以支付这么多钱，不设限制么

知乎用户 经年 发表

这件事很大概率是用户的手机被诈骗犯控制了，凌晨梦中手机自动转账，这在一个防诈骗博主视频里基本上常规操作。

大概率是用户下了不知名软件，手机被诈骗犯后台控制，诈骗犯凌晨开始转移钱，发现无法转移出去，于是一怒之下给她投了公益。

不得不说，还得是诈骗犯，对支付宝了解真清楚啊，我也是今天才知道关闭支付入口，但是对公益入口是豁免的。

知乎用户 majiajia 发表

慈善机构那边，款项已经被用在了公益项目上，执行完毕了。
要退款？可以，但需要支付宝出具 “非自愿捐赠” 的书面证明。

原来 “自不自愿” 自己说了不算，得支付宝说了算…..

知乎用户 Sunny 发表

不太明白，为啥支付宝和警方没办法从 IP 地址判断是否兰女士本人操作，这应该是非常容易的技术啊。只能说，普通人的维权太难了，任何权益受损，要想正常维权，支付宝和警方都可以踢皮球不理你

知乎用户 smog 发表

一个明目张胆会把信用卡套现说出来，心安理得用着本不该属于自己的钱的人说出来的话，一个字都别信。

这种反常识事件总是会更高频出现在这些弄信用卡套现的蛀虫身上。

之前造谣特斯拉刹车失灵的温州车主陈先生，就是做套现卖 pos 机的（自己发的微信聊天截图里暴露的自己昵称）。

知乎用户 兜猫 发表

先不往性别上扯，一人之言有待商榷，这么大数额不起诉不立案？看看后续吧

知乎用户 小小墨客 发表

这个新闻我都怀疑是假的

这么大一笔钱，居然看不到当事人来网上曝光，我看了一圈没有找到，有谁找到了发我一下

如果是假的，支付宝应该会出来澄清谣言，但是也没有看到，所以就很奇怪。

如果是第三天就发现被盗了，那不是应该报警、起诉吗？报警应该有回执吧？至今没有看到，起诉应该有受理不受理的回执吧，也没有看到。

这种新闻处处透着诡异。

又看了一圈，找到了一张报警回执

这个回执也很奇怪，为啥是 2026 年的，2023 年的回执看看还能不能找到。

知乎用户 江左小白 发表

攻击支付宝的，不妨” 让子弹再飞 “一会儿。

这个事件的描述，无论如何都不像是系统 bug，支付宝的回复肯定是明确且克制的，到底如何，让警方来回答吧，警方的通告可不会给某一方留什么面子……

知乎用户 节奏丶 发表

我一直认为我妈妈算是个精明的人，但是我每次回家都需要应她的要求把很多软件的自动扣费给关掉，我先不说这 180 几万吧，现在有多少老年人会被这莫名其妙的自动续会员给坑，而且关闭设计的极度不友好，我想就这一点一个月的产值也是 180 万的数十倍？

知乎用户 ddzmy​ 发表

这件事有一个很蹊跷的地方

如果一个骗子能骗到 184 万，他为什么要进行公益捐赠？

捐了他一分钱拿不到啊，公益单位能给他返钱吗？

知乎用户 抛开梯子 发表

这件事情如果支付宝有技术责任，1）被黑客爆破，那这个钱应该是进入洗钱通道，或者是伪装成基金会的洗钱通道。这个数量的钱往洗钱通道跑，肯定已经是刑事立案状态。

但到目前看到的信息是，基金会是真基金会，前面那个律师想质疑中国基金会如何不堪，也拜托有点逻辑，只要这个基金会没有参与洗钱，那就不该质疑这个点。

2）被通过正常的月捐这类免密定时划扣机制扣除的话，那不会是睡一觉醒来就没了，而是累计几个月，几年没（除非她长眠几个月）。毕竟除了支付宝还可以设置上限，免密订阅制要在几次之类划走这么大笔钱的另一个防护机制是银行。银行的免密机制最高只有几万，断然不可能免密几次通过这么多资金。

所以，基于目前看到的信息来看，支付宝有责任的概率很低。考虑钱的去向不是显著的图利具体个人，更倾向认为是这个人身边人在搞鱼死网破的事情。

知乎用户 海天一色 发表

兰女士应该立即起诉到法院要求支付宝赔偿一切损失。

法律依据：1、上海人民银行已经认定支付宝在公益 “后门” 问题上存在问题和过错，这证实了隐蔽条款未在明显的格式合同中标注。

2、关闭和冻结账户的普通人的大众认知和大部分金融机构的常规操作是资金禁止转账和扣划（除司法机关依法扣划外），公益后门属于支付宝自己设定的特例，不属于正常逻辑和惯例。

结论: 结合上述两点 “不利于解释” 的司法解释有了价值，兰女士可以起诉到法院，以存在 “关闭冻结支付宝账户” 产生的两种不同理解：普通人理解为全部功能冻结、支付宝解释公益捐款不禁止的不同立场。

司法解释 “不利于解释” 应该判决支付宝败诉赔钱。

知乎用户 吴明 发表

你们去看一下这个视频，也是莫名其妙自动扣费，太离谱了吧

知乎用户 米线山 发表

没那么复杂，我弟弟是计算机博士，他轻松可以破解任何人支付宝密码和指纹支付，只是我们的法律处罚很严重，他不敢这么干。

我猜想就是某些懂技术高手在园区准备盗号转移资产，因为没有成功所以报复性捐款

知乎用户 rabbitxp 发表

从技术上来说，盗刷的 ip 地址应该和这位女士的不一致啊。

举证并不难。

知乎用户 明天会更好 发表

看很多回答和评论在转移话题，那个女的她的钱是不是黑产，重要吗？

这件事的重点是: 关闭支付功能仍会被扣款。这点才是最恐怖的，支付宝究竟还有多少可以私自扣款的地方，之前使用过程中有没有被私自扣款，这才是需要大家注意的！

毕竟那个女的 184 万和大家一点关系都没有，但是大家支付宝里的钱是实打实自己的。

知乎用户 郭郭 发表

物理隔绝，两张银行卡 A 和 B，A 只有本银行网银，B 绑定网络支付，B 的金额始终在几千块钱，损失也不肉疼的程度，B 没钱了用 A 卡转过去。

知乎用户 arwer1231 发表

不管如何，支付宝没有积极主动公开解决问题，涉及资金问题就要公开透明，而不是模棱两可，如果是支付宝自身失误，该赔钱就得赔钱。信誉是支付机构立身之本。离了马果然堕落的太快了。

三年了支付宝没有想到找警方介入，现在舆情爆了，想起来警方了？

知乎用户 一只特立独行的猪​ 发表

说实话，这个事情还真是有可能的。

大多数安卓手机的人脸识别主要依赖二维图像，只有 iPhone 和少数安卓旗舰手机，比如 Google 的 Pixel4 用了结构光。

Touch ID 被随机破解概率大概是 1/50000，Face ID 大概是 1/1000000

2023 年一家加密货币交易所 OKX 就曾经泄漏过客户数据，黑客根据客户信息开盒客户个人信息，然后通过 AI 人脸模拟客户人脸信息，成功突破交易所安全系统盗走不少钱。

后来 OKX 扯皮了半天赔付了。

目前这个案件还有很多疑点和不清晰的地方，但是如果用安卓手机的人脸识别作为支付宝安全措施。被有心人或者黑客拿到个人信息和人脸数据再被盗取资金，理论上是有可能的。

知乎用户 vito 发表

我说一个概率极低，但是发生过类似案件的情况。

这人的孩子偷手机拿去充游戏，担心被家长发现，直接把剩余的钱转到其他渠道，他认为这样自己母亲会以为被盗了，就不会查到他那去。

很离谱吧？但是真的发生过。

知乎用户 Zxcvbnm64 发表

上次我一个朋友说银行 app 几年前偷偷扣了她几万块钱，又发朋友圈又要报警的

一通折腾发现钱是转到她前男友的账户了

再一问，前男友趁她睡着了，用她指纹付的

支付宝也有 20 年历史了

我是相信这软件有这种大的 bug，还是相信付款方有问题呢？

知乎用户 奈良鹿丸​ 发表

按照目前的说法，这几笔捐款是有人操作的。要么是当事人撒谎了, 要么是号被盗了盗号人却无法转帐, 一怒之下全都捐了，要么是亲近的人搞的。支付宝偷偷摸摸不可能.

知乎用户 渔村摸鱼人 发表

所有这些三方支付的软件里都不要放太多的钱，

最多几百就够了，

你不知道他们会以什么方式抢走你的钱！

知乎用户 budongdashi 发表

看见问题了 没急着回答，按照我使用 zfb 的情况来看，按照后台反应是通过刷脸和密码支付，我感觉这女士有没有说的情况，184W 也属于大额转账了 支付宝对这种大额不是仅仅通过一个密码就能转走的，还是几笔 ，哪怕第一笔是密码 后面也是会加人脸认证。

但是关闭支付还能捐赠这点不知道怎么回事。

知乎用户 陌上花开缓缓归 发表

我到支付宝设置里找了一圈也没发现支付功能如何关闭，支付宝不能支付还叫支付宝么？只有一个自动扣款协议，这玩儿就是自动续费的，关闭之后当然可以主动付款。

知乎用户 找 nikeshole 发表

谁好端端的会把支付功能关闭了呢。

知乎用户 欢乐马 发表

绝对是隐瞒事实了，大概率是前面五笔小额的是真捐，最后一笔 184 万是误操作把全部钱捐进去了，然后早上起来才发现捐错了金额。

知乎用户 孤路问心 发表

猫腻太多，非自愿捐款，和盗窃有何区别。支付宝店大欺客，关闭支付功能，保存正常公益功能，而且普通的木马病毒就能窃取支付宝数据，那谁还敢用支付宝。

用户和支付宝中有一方一定隐瞒了关键信息。

知乎用户 Lvl 1 发表

中文博大精深

捐赠不属于支付？

支付宝你这是要考用户语文能力是吧

知乎用户 w 君往何处 w 发表

林子大了什么鸟都有，查查当事人及其亲属有没有参与宗教活动。

知乎用户 小猫猫 发表

有人说是第三方干的，那我想问一下第三方干的理由是什么？这笔钱进了慈善机构，难道第三方还有办法再套出来吗？这个基金会应该是不可能再套出来的。第三方从技术上是可以实现的。但是这不错的目的是什么呢？

远程操作的话，从技术上是可以实现的。受害人下载某款软件，然后给了该软件无障碍权限。然后有人就可以通过该软件对手机进行远程控制，可以在手机上进行任何操作读取任何信息。如果受害人手机里有照片，通过 ai 生成可人脸识别的视频也没问题。

知乎用户 刘福来 发表

这个事比较抽象

钱是谁付的得啊。

黑客这么干，难道是为了爱吗？

知乎用户 长江 发表

该用户有没有在第一时间报警呢？

如果没有在第一时间报警，大概率是客户自己操作。

知乎用户 暖暖​ 发表

关闭了支付功能，184 万还是在凌晨 3 点多被一笔一笔转走了，

这件事你要是只当 “奇葩新闻” 看，就亏了，因为里面藏着一个绝大多数人完全不知道的系统漏洞，以及一个几乎注定让当事人赢不了的法律陷阱，

先说那个让人脊背发凉的事实，

2023 年 10 月 19 日，山西运城的兰晓红发现账号异常，按照客服指引关掉了支付宝的支付功能， 按正常人的理解，支付功能关掉了，就是账号不能花钱了，买东西不行，转账不行，发红包不行，就是冻结那种状态，

两天后，凌晨 3 点 37 分，第一笔扣款出现了，5 元，

之后三个小时内，6 笔，总计 184.7 万元，陆陆续续被转走，收款方是三家慈善机构，中国乡村发展基金会拿走了其中最大的一笔：184 万，

她睡着的，什么都不知道，

后来央行上海分行的调查文件给出了一个让人沉默的结论：支付宝在关闭支付功能之后，消费、转账这些场景确实会被拦截，但公益捐赠这个入口是单独保留的， 就是说，你关掉的只是 “给自己花钱” 的那扇门，“把钱捐出去” 这扇门，是另一条通道，没关，

这个设计，你说是技术问题，还是产品决策，

一个普通用户在关闭支付功能的时候，脑子里想的是什么，是 “我要保护我账户里的钱不被任何途径转走”，而不是 “我要关掉消费转账，但同意保留公益出款口”，这两件事对普通人来说根本是同一件事，但在系统层面，支付宝把它们拆成了两个维度，

这才是问题的核心，不是谁的账号密码泄露了，是这个设计本身把 “安全关闭” 和 “真正关闭” 之间留了一道缝，

那钱能要回来吗，

大概率，很难，这里要说清楚一个法律问题，很多人以为捐款是可以撤销的，就像普通民事赠与一样，后悔了就退，

不是的，

《民法典》第六百五十八条明确写着：具有救灾、扶贫、助残等公益性质的赠与合同，不适用撤销规定， 也就是说，普通的送礼可以在转移之前反悔，但公益捐赠一旦完成，赠与人原则上没有撤销权，这是立法为了保护公益活动稳定性的设计，但现在用在这里，就变成了困住受害者的枷锁，

涉事的中国乡村发展基金会方面的态度是：款项已经用于公益项目，执行完毕，如果能提供官方佐证材料，可以走退款核实流程， 听起来有余地，但实际上这个条件几乎不可能满足，因为兰晓红要证明的，是一个 “非本人自愿捐赠”，而支付宝方面的回应是，核对捐赠行为反馈为 “正常”，

“正常”，两个字，堵死了大多数追责路径，

那从法律上有没有翻盘的可能，

有，但非常窄，只有一条路走得通：用《民法典》第一百四十七条和第一百四十八条，主张 “重大误解” 或 “受欺诈” 来申请撤销这个捐赠行为， 因为如果这笔钱根本不是当事人本意操作的，那这个捐赠合同从成立之初就存在意思表示的瑕疵，基础就是虚的，

但难点在举证，要证明 “不是我操作的”，需要的是技术层面的证据，比如操作的设备信息、IP 记录、登录日志，这些数据全在支付宝手里， 用户自己能调取到的，只有一张电子客户回单，上面写着时间、金额、收款方，仅此而已，

三年维权，就卡在这里，

这种情况下，真正有效的路有两条，第一，向金融监管部门投诉，要求监管层介入调取后台数据，监管施压比用户自己追要有力得多，第二，向法院申请诉讼，要求支付宝披露涉事交易的技术日志，并在诉讼中申请法院调查令， 后者需要律师介入，成本不低，但这是目前唯一能强制拿到关键证据的方式，

还有一件事，很多人会问，支付宝有没有违约责任，

可能有，支付宝《爱心捐赠服务协议》里写着：“支付宝有义务在技术上确保扣款服务的安全、有效、正常运行，” 那么问题来了，如果是在关闭支付功能的状态下，仍然发生了数百万的资金流出，这是否构成技术上的安全保障义务违反，这是一个可以在诉讼中追究的方向，

但支付宝的回应是，这个捐赠本身是 “正常的”， 它没说操作者是谁，没说是否本人授权，只说行为本身符合系统规则，

这个回答，你细品，

最后我想说的是，这个案子到今天还没有明确答案， 但它暴露的那个问题已经非常清晰了——一个以 “关闭支付保护账户” 为名的功能，在实际执行层面存在一个普通用户完全不知道的例外通道，这个通道走出去的钱，又恰好进入了法律上最难追回的那个场景：公益捐赠，

这不像是巧合，但也许它真的只是巧合，

你觉得这事儿有多少普通人知道，自己账户的这个缝，

知乎用户 最终教条​ 发表

这小作文假得不能再假。如果我是坏人，我盗号当然是电诈转自己账户或者买的账户（再像电诈一样一路转国外自己账户去），然而这个 “坏人” 做的却是捐慈善…… 好了，我懂了，事主是跟魔术手坚哥（周润发饰）玩 show hand，输了的捐款给儿童慈善基金会，然后事后反悔😔

…………………………………………

评论区很多质疑支付宝方面的，要我说为什么不先质疑当事人呢？当事人的逻辑比支付宝不通更多好伐。正常当事人等那么久？既然说了不是电诈钱转国外，而是 “捐款” 了，那慈善机构没跑对吧？（否则新闻早说了）人慈善机构要是有问题，将近两百万了，还不提桶跑路等啥呢？然后你晚上被 “盗号” 了，第二天不找慈善机构？就算信息不全，一两天，一两周还不行？这个慈善机构就那么快，几天就把两百万花光是吧？这不是几百块，而是几百万耶，当事人找上门哪怕说当时是误操作，慈善机构也会退回的，顶多程序繁琐一些或者放着先等法院判决再说。所以当事人的说法根本站不住脚

知乎用户 钓鱼啦 发表

这新闻一看就是小编故意藏头去尾的写法。

如果是支付宝的问题，这钱早就退了。

明显是当事人还有大家不知道的事

知乎用户 一个热爱生活的好青年 发表

你们回答问题之前，能不能把新闻看完了再发表意见？

视频里都有答案，一个个还在那虚空打靶，你们都是人机吗？看的我想笑。

黑客、灰产，

因为转不出去恼羞成怒改成给慈善机构捐钱，我觉得不太可能，那种人他脑子里压根就不会有捐钱这个概念，转不出去就算了。

另外，电脑端的大额转账是需要账号登陆、支付环境安全验证、支付密码验证，基本可以排除黑客盗刷。

这件事就 4 个可能：

1. 当事人不太懂互联网，自己错误操作，可能是想转账，但是因为已经关闭正常的支付功能，所以点成了捐款，事后撒谎，不承认操作失误；

2. 家里的小孩瞎操作的；

3. 有人通过受捐的慈善机构洗钱，查这个机构的账目往来就行了，有责任进行明细公示，看看采购的钱数金额是否正常，调查一下受捐人是否真的享受到了所谓的营养餐，这里面可能有很大的水分；

4. 支付宝系统 bug，其他用户 捐钱 / 自动续捐，错误的从当事人的账户扣钱。排查一下那个时间段的所有捐赠记录就行了。

我个人觉得支付宝系统 BUG 的可能性最大。

知乎用户 蹦跳跳小兔纸 发表

一堆伪人问答看得人一头雾水

借势攻击支付宝的可以理解，有人说捐给机构不如捐给贫困户的回复就完全莫名其妙了，怕不是触发关键词了

https://m.thepaper.cn/newsDetail_forward_33180012

这件事到现在没有官方通报，但几家大大小小的媒体转载的信息都差不多，就拿澎湃新闻自己的平台发布的内容举例

首先，非常令人困惑的一点是，为什么所有人都在盯着支付宝

正常逻辑不是我的钱被偷了，无论是偷来捐了还是偷来花了，第一时间报警抓贼才是

至于支付宝的漏洞，自然也不应该放过，但那是在抓贼之后的事情

其次，这件事里有贼吗

很难说。单纯盗取密码盗刷的情况在十年前还可能存在，现在几乎不用想。要偷也是靠木马或者钓鱼链接骗到验证码，在你自己的手机上操作，从而盗刷

何况新闻里明确提到了，盗刷时是用手机完成的交易，其中甚至涉及了添加银行卡 输入验证码 输入支付密码 人脸验证过程

虽然不是绕不过去，但总归是要有伪基站劫持短信加 ai 生成面部信息的手段。或者就住一屋子，半夜摸进房间偷看短信偷刷人脸才行。哪一项都不是一般小偷所能做到

第三，警察和支付宝的态度

从报道里可以看到，警方压根没有立案。而支付宝始终认为账号没有被盗。卡进死循环了，这才不能开展调查

但事实上也就是这样，从第三者的角度上来看，你用刷脸和密码转了钱，第二天醒来就不认了，完全没有说服力

不过报道里没有提到盗刷的机器信息和位置，真要说的话可以从在哪里盗刷这点入手证明是不是本人刷卡

但既然三年都没查到什么，估计也很难有所突破

最后，一些乐子

虽然说中国的慈善机构向来名声不好，但指责它们和支付宝沆瀣一气偷钱还是太可乐了

180w 是转给了中国乡村发展基金会，听着就不是什么小机构。它的主管单位是农业农村部，25 年募集了超过 10 亿元

你说转到它下面哪个支部的账户里，还可能有直接挪用的情况，直接转到他们募捐的公户，怎么可能还能完整拿出来

只能说建议某些人不要一边发无厘头阴谋论一边开回复精选，筛选受众可以去快手

知乎用户 momo 发表

那些回答里面问为什么维权三年不起诉的人就好像没进过社会一样

那么多尾巴不完好的楼房业主怎么不去起诉呢？

这个事情中，用户已经提前通知关闭支付功能了，支付宝也确认已经为其关闭支付功能了

那为什么钱还能被捐赠出去？捐赠不是支付？

归根到底，支付宝这种无法关闭个人账户捐款的方式就是不合理的。

知乎用户 钢化膜疏水大同好 发表

当事人女，先怀疑再说

知乎用户 遇见 发表

山西运城兰女士的遭遇让很多人感到震惊。

2023 年 10 月 19 日她发现账户频繁被挤下线，立刻联系支付宝客服关闭全部支付功能。

客服明确回复挂失成功，谁也动不了你的钱。可仅仅两天后，10 月 21 日凌晨 3 点 37 分到 7 点之间，账户里 184 万元被分 6 笔转到三家慈善机构，交易类型显示为公益捐赠。

支付宝给出的说法是每笔交易都经过密码和人脸识别验证，属于本人自愿行为，拒绝承担任何责任。

兰女士坚称当时正在睡觉，没有进行任何操作。银行调查证实，支付宝关闭支付功能后普通消费转账确实被限制，但公益捐赠通道依然开放。

这个设计上的漏洞直接导致了资金损失，平台理应承担主要责任。

这件事最让人无奈的是形成了一个死循环。

警方因为交易记录显示本人操作，要求支付宝出具非自愿捐赠证明才能立案。

支付宝拒绝提供这个证明。涉事基金会表示款项已经用于公益且执行完毕，需要支付宝证明非自愿捐赠才能退款。

三方互相推诿，兰女士维权近三年没有任何实质进展，甚至已经成为失信被执行人。

中国人民银行上海分行在 2025 年 2 月 27 日出具的举报答复意见书里明确指出，支付宝支付功能关闭的情况下，用户在消费转账等场景无法支付，但在公益捐赠场景仍保留了付款功能。

分行发现支付宝存在未及时向消费者披露服务特性的问题，违反相关规定，已经要求支付宝进行支付服务优化改进。

这个官方认定直接证明了平台在功能设计和信息披露上存在明显过错。

类似的情况在司法实践中已经有判决参考。上海金融法院 2021 年 10 月 28 日作出的（2019）沪 74 民初 3047 号民事判决显示，某支付网络服务公司因为未尽到合理的商户入网审核义务，未按规定设置结算账户，导致某房地产公司损失 1.42 亿余元。

法院最终判决支付机构赔偿 6129 万余元，承担了 60% 的主要责任。

这个判决确立了一个重要的司法原则。

第三方支付机构作为特许经营的金融服务提供者，负有保障用户交易安全和资金安全的法定义务。

只要机构存在过错，并且这种过错与用户损失之间存在因果关系，就不能以系统显示本人操作为由完全推卸责任。

法院会综合考量双方的过错程度和对损害后果的原因力大小，划分相应的赔偿责任。

回到兰女士的案件，支付宝的过错体现在两个方面。

首先是功能设计存在逻辑漏洞。用户明确要求关闭所有支付功能，客服也做出了资金无法转出的承诺，但平台却单独保留了公益捐赠通道。

这种设计本身就违背了用户的真实意愿，也不符合普通人对关闭支付功能的合理预期。

其次是安全验证机制不够完善。即便交易通过了密码和人脸识别，平台也不能直接认定就是用户本人在清醒状态下主动操作。

应该进一步核查设备 IP 地址、操作轨迹、登录地点等更多数据。特别是凌晨 3 点到 7 点这个时间段，发生大额交易本身就应该触发更高等级的风险预警。

用户维权过程中遇到的最大障碍是证据问题。

兰女士很难拿出非本人操作的直接证据，比如睡眠证明或者设备异地登录记录。

而支付宝掌握着所有的交易数据和验证记录，却没有主动向用户提供完整的操作日志。

这里需要明确一个法律上的举证责任分配原则。

根据《非银行支付机构网络支付业务管理办法》第二十五条，支付机构应当建立健全风险准备金制度和交易赔付机制。

当用户主张非本人操作导致资金损失时，支付机构应当承担举证责任，证明交易确实是用户本人或者其授权的人进行的。

如果支付机构不能提供充分有效的证据，就应当承担举证不能的法律后果，对用户的损失进行先行赔付。

对于遇到类似问题的用户，有几个具体的维权步骤可以参考。

首先要第一时间联系平台客服，要求冻结账户并调取完整的交易记录。同时向当地公安机关报案，保留好所有的报警回执和沟通记录。

接下来可以向中国人民银行金融消费权益保护局投诉，要求监管部门介入调查平台的违规行为。

央行的调查结论在后续的法律程序中具有很强的证明力。兰女士就是通过向央行上海分行举报，获得了官方对支付宝违规行为的认定。

如果以上方式都没有效果，就需要考虑通过民事诉讼来解决。

可以向当地基层人民法院提起诉讼，主张平台未履行合同义务和安全保障义务。

诉讼过程中可以申请法院调取平台保存的所有交易数据和验证记录，包括人脸识别的原始数据、设备信息、IP 地址等。

关于诉讼成本的问题，经济困难的用户可以向当地法律援助机构申请法律援助。

符合条件的用户可以获得免费的律师服务，法院也可以根据情况减免诉讼费用。

民事诉讼时效为三年，从知道或者应当知道权利受到损害之日起计算。兰女士的案件从 2023 年 10 月起算，目前还在诉讼时效内。

这件事也给所有使用电子支付的用户提了个醒。不要把大量资金长期存放在第三方支付账户里。

定期检查账户的安全设置，关闭不必要的支付功能。开启交易提醒功能，及时发现异常交易。

如果发现账户有异常登录或者被挤下线的情况，除了联系平台客服外，最好同时冻结绑定的银行卡，从源头上阻止资金转出。

对于支付机构来说，不能只追求技术创新和业务拓展，而忽视了用户的资金安全。

关闭支付功能就应该真正关闭所有的资金转出通道，包括公益捐赠。

平台应当明确告知用户各项功能的限制范围，不能做出模糊或者误导性的承诺。

当发生异常交易时，应该主动配合用户和公安机关调查，而不是一味地推卸责任。

支付行业的公信力建立在用户对资金安全的信任之上。

如果平台不能切实履行安全保障义务，最终损害的将是整个行业的发展。

监管部门也应当加强对支付机构的监管力度，及时发现和纠正各类违规行为，切实保护广大用户的合法权益。

@知乎直答

知乎用户 明明明之 发表

央行上海分行的回复已经很清楚，捐款过程中还添加了新的建设银行卡，不仅知道卡号 姓名 密码，建设银行向预留手机发送的验证码，由建设银行验证成功，最后通过支付宝的人脸识别支付成功，可能是非本人操作吗？小仙女满口谎言

知乎用户 斯卡布罗集 发表

常言到，有理找警察，无理找记者，伤天害理找调解员，此案无调解员也无记者，那就是该用户无理取闹了。

绕过账号密码这一根本问题，直接扯略显高级的支付功能问题，我敢打赌她自己知道是怎么回事，在关键问题上这女士肯定说谎了。而且，她账号密码旁落的过程，多少涉及点见不得人的事情。

知乎用户 胖熊猫​ 发表

她说的话一个字都不能信，她肯定隐瞒了很大的事情。

知乎用户 皓的 发表

扣的好。公益捐赠本来就是骗局，比如韩红，比如壹基金，让你们不听。

知乎用户 321 发表

这人百分之一万在撒谎。居然还有不少蠢货又开始跟着嗷嗷叫了。

知乎用户 momo 发表

用户是女士啊，那我选择相信支付宝，里面必有隐情。

知乎用户 京城金 发表

看到很多人说用户的问题， 我怀疑有水军来洗地了

我说几个可疑点

1. 最重要一点，她之前关闭了支付功能！！！

2. 凌晨 3 点多，她不睡觉？猛起来，激情亢奋的捐款？

3. 还一个凌晨捐了 184 万？

4. 还不是一笔捐的，还是要分好几笔捐了？

总结下：

你品，你细品，她之前关闭了支付功能，这笔钱诡异的时间点，诡异的分笔次数，就是喝假酒也办不到这样啊

最能想到干这事是恐怕除了木马黑客，也就缅北了

但缅北会说 “不可能，我干不出这事”

知乎用户 吴法天 发表

首先，我并不清楚整个事情的可能性。我看不到卷宗，我不好评。

第二 我提取到了一个很重要的信息，支付平台的开关，用户竟然不能自由支配，真可笑。监管只下了个不痛不痒的监管函。

知乎用户 wuzq 发表

1. 如果是用户自己操作或者被盗号导致钱被捐了 ，支付宝有义务提供证据

2. 大额捐赠应该多重验证，比如手机验证码 + 密码 + 人脸

3. 应该支持日限额或月限额 即使是公益捐款也控得住 而不是现在这样永远无法关闭主动捐款

知乎用户 枭有 发表

22 年的时候，遇见骗子，联系支付宝在线客服就可以直接把骗子账号锁了，并且只能你撤销才能解锁（每个账号估计就这么一次机会，而且建立在本身账号信誉分和对方信誉分很低的情况下），就这一次机会应该就能挽回不少家庭了。

知乎用户 这跟说好的不一样 发表

现在我只想知道怎么关闭支付宝的

公益捐赠通道

知乎用户 风逝的忧伤 发表

我虽然不喜欢阿里系的产品，但是有一说一。支付宝这个 APP，除了难用的缺点之外，就没啥缺点了。

知乎用户 王欣宇 发表

无意揣测该女士是否隐藏一些了事实

站在警方的视角：“5 笔 PC 端登录，一笔是手机人脸识别支付。” 这个证据跟一般的网络黑客特征不一样，如果是网络诈骗，又不存在各种引导诈骗的交流记录，且资金流向也跟诈骗不一样。所以就是 “动机存疑的捐款”，立不了案

警方立不了案，走民事案件，想要通过法律手段固定更多平台的底层技术证据，平台的配合度会低不少，比如以 “商业机密” 等理由搪塞

因此民事诉讼的方向是平台 “关闭支付但无法阻止捐赠” 在功能设计上的缺失，能挽回一点损失。而不是论证是否 “主观自愿” 来挽回全部损失，因为现有证据已经证明不了了

知乎用户 冰镇柠檬水 发表

应该是熟人作案，但是估计她也不敢得罪对面就说是支付宝干的，这么大金额，估计是什么见不得人的事情

知乎用户 胡超 发表

我认为不是通过了人脸，通过了密码。通过了 ip，通过了设备验证的分摊。而是止付。止付就不是正常情况。有可能被绑架。被威胁。被身边人偷了。我知道有这些风险。去申请止付。并且明确告诉我谁都动不了我的钱的情况下。居然有一条通道可以把钱付出去。绝对是重大风险。有渠道把钱付出去就不是止付状态。这方面。支付宝有重大过失。另外别再说用户有多少过失了。正常状态不用止付。用户肯定是有很大的问题才会去要求止付。打个比方。信用卡被偷了，你去申请挂失。银行明确告诉你钱谁也刷不了。但是犯罪分子还是通过技术手段把卡刷暴了。银行告诉你通过了信用卡真伪验证。让你承担盗刷责任。这谁能认可。

知乎用户 overdrive​ 发表

只提供一个视角，

这两年拿着捐赠证书到政府部门问，想要把钱要回来的人挺多的，理由大多是经商失败、家庭变故

知乎用户 刘南山 发表

前几天偶然转了一点钱进支付宝余额，后来转出去的时候只能收手续费才能转，所以我以后支付只用微信了。杰克马这种人应该早几年被收拾。

最简单好用的 VPS,没有之一，注册立得 100 美金