“离大谱！”5月15日九派新闻报道，山西一名女子发现自己的支付宝账户被他人挤下线，担心资金安全，便紧急申请关闭了账户的支付功能。没想到第二天醒来，她发现账户内184万余元被分6笔全部捐给了国内3家慈善机构。女子随即进行维权，相关方面调查后发现，在关闭支付功能的情况下，支付宝在公益捐款场景中仍保留付款能力，且未向用户充分提示该情况，已要求进行整改。

半夜睡着，第二天醒来发现184万没了，还被分成6笔捐给了几家慈善机构，这事谁听了不心惊。更离谱的是，账户主人之前已经把支付功能关掉了，自以为万无一失。

时间往回拨。2023年10月19日，山西兰女士发现自己的账号被人反复挤下线，立刻联系客服，申请关闭支付功能。系统当时弹窗承诺账户资金不会被动用，她这才放心。

两天后，10月21日凌晨3点到7点，6笔捐款从她的账户划走，总额184.47万元，捐往国内3家公益机构。其中最大的一笔184万元，去了中国乡村发展基金会的捐一元送营养活动。

另外五笔分别是5元、1000元、5828.4元、102.6元、30元，金额参差不齐，四笔在5分钟内连出。那会儿她在睡觉，手机也没动。

银行后续核查了交易路径。5笔由电脑设备输入支付密码完成，1笔在手机上走了人脸识别。系统判定交易无异常，但账号主人坚称本人未操作，这到底算谁说了算。

平台起初的口径是正常执行用户指令，后来又补充账户可能存在与他人共用的情况，不排除涉嫌违法犯罪，已寻求警方协助。这种回应能服众吗，用户怎么证明自己没点过确认键。

她又联系收款的公益机构。工作人员表示，善款已经用于项目且执行完毕，除非提供法院或公安出具的非本人自愿证明，才可能启动退款核查。要证明非自愿要走司法程序，司法机关要看平台数据，平台又握着全量证据，这不是绕进了个死循环。

监管给出了关键结论。2025年2月27日，央行上海分行的答复书明确，关闭支付功能后，消费转账等场景被拦截，但公益捐赠仍保留付款能力，平台未充分向金融消费者披露服务特性，已要求整改。也就是说，用户以为所有出账口都关了，公益场景却留了例外。

谁能想到，关了支付，捐款还能扣。这个设计是为了方便公益，还是给盗刷留了口子。公益是好事，但安全规则不能搞背着用户的特殊通道。

更扎心的是，有实测显示整改并未完全到位。2026年5月15日，第三方用样本账户测试，关闭支付功能前后都没有出现可捐赠扣款的明显提示，实际对公益项目发起捐赠，扣款照样成功。普通用户根本不知道这条出账路一直通着。

平台方面称正在优化相关流程，有说法是关闭支付后捐赠也会一并受限，夜间大额、陌生设备登录会叠加多重校验。但从外部测试和部分用户反馈看，这些改动至少在当时并未全量落地。到底改到哪一步了，能不能有个清清楚楚的时间表。

安全问题还不止一处。深夜、大额、功能已关闭、非本人设备，这些敏感信号叠加，风控系统为何没有强拦截，连临时冻结也没有，反而让钱在几分钟内跑完。风险模型是把公益场景当成了低风险，还是根本没把这类组合风险放进规则库。

公益捐赠强调自愿，这是红线。一个连本人都不知道的操作，怎么叫自愿。这184万元的去向也成了难题，已经执行的项目如果退款，后续怎么补，若不退，账户所有权又如何保障，相关机构暂未给出更细的安排。

别忘了，这不是个体偶发的窟窿。用这类支付工具的人有多少，大家对关闭支付功能的理解又有多统一。用户以为一键关门，平台却还开着一扇窗，且没有显著提示，谁来承担认知差的后果。

更值得注意的是提示方式。把关键风险埋在冗长条款里不算提醒，必须在用户操作当下用显眼的方式告诉，公益场景仍可能扣款，是否一并关闭，是否设上限，这些要用户点头才行。一句默认开通的便捷，不该换来一次性的大额损失。

有人说，用户也要提高安全意识。话不假，但话不能只说给用户听。被挤下线这类明显异常出现了，除了关支付功能，还该第一时间改密码、检查设备登录、拉交易清单，最好设置单笔限额和夜间提醒，不把账号借给别人，不和他人共用设备。可这些措施，替代不了平台应尽的义务。

这起事件的复杂，还在于举证链条。警方介入需要时间，平台数据需要调取，基金会的项目节点也在推进，退与不退都牵动多方。技术证据在平台手里，用户处于信息弱势，这种不对称要靠规则来弥合。

监管已经点名，整改也被要求，接下来就看执行力。到底是彻底堵上公益例外，还是给用户提供可选项和明确提示，这事不能糊弄过去。再问一句，今天如果还有人关了支付功能，公益捐款会不会继续扣。

兰女士的维权还在推进，她在等一个说法，也在等一条清晰可追溯的流程。更多人盯着这事的结局，想知道那一夜钱是怎么被划走的。

信源：5月15日九派新闻报道