移動支付：便捷與安全如何共舞

來源：《經濟日報》

(中國電子商務研究中心訊)剛剛過去的春節，火的不僅是微信紅包，更是其背後的第三方移動支付。購物、打車、水電費繳納、AA收款……，如今，以支付寶、微信財付通爲代表，第三方移動支付的應用場景不斷拓展，其便捷化特徵也日益突出。

然而，沒有足夠的技術保障和監管防控制度，便捷也往往意味着風險。近日，客戶信息泄露、非實名註冊欺詐、賬戶遭盜刷等問題也時有發生。如何未雨綢繆，引導第三方移動支付健康發展？

便捷中的安全隱患

第三方支付機構目前採用的支付模式，把銀行和支付客戶隔離開來，致使銀行無法掌握交易信息，增加了非法套現、釣魚欺詐的防範難度

“撿到他人手機後，任何人都可以僅通過手機驗證碼取回支付寶密碼，進而登錄賬戶盜走資金。”北京市民王建勳在網上看到這樣一則帖子，他拿朋友手機測試發現，除了手機驗證碼，還需要輸入用戶身份證號，經過兩道關口後纔可以進入對方支付寶賬戶。

“但是，如果我的手機和身份證同時被人偷了怎麼辦？”王建勳遭遇的受理環境安全風險，正是當下第三方移動支付隱藏的主要問題。

“便捷讓支付的過程發生了很大變化。”公安部相關負責人表示，以往用戶去商業銀行註冊開戶時，需要面對面識別、身份證聯網覈查等多重查驗。而在便捷化的第三方移動支付環境下，僅通過姓名、卡號、身份證、手機號就可以完成，而且手機號的短信驗證也被代勞，缺乏有效的多因素認證措施，安全程度較低。

除了受理環境安全風險，第三方移動支付在用戶信息泄露、交易安全等方面也同樣存在隱患。

近日，有不法分子竊取黑龍江大慶市民黃某的相關信息，隨後“冒名”註冊支付寶賬戶並與黃某銀行卡綁定，借道支付寶將其卡中的20萬元“消費”殆盡。此前，支付寶也曾爆出“內鬼”泄露用戶信息事件。該公司前技術員工李某利用職務之便，共下載總容量爲20G的客戶信息，隨後夥同他人將信息多次出售。

“第三方移動支付業務廣泛開展以後，用戶的信息呈現‘分散化’的存儲狀態。”銀監會有關人士表示，出於成本考量，很多小規模的第三方支付機構缺乏金融級的、嚴密的風控流程和技術。在交易監控上，目前第三方支付公司採用類似“二次清分”的模式，把銀行和支付客戶隔離開來，致使銀行無法掌握支付交易的產品類別、二級商戶信息等，難以掌握支付用戶線上消費資金的真實去向，增加了支付交易中非法套現、釣魚欺詐的防範難度。

監管需要多方協同

應釐清第三方支付機構可從事的類銀行業務範圍、應承擔的責任，並根據業務類型及影響等因素建立業務準入、條線管理的分類協作監管機制

對於第三方移動支付出現的問題和存在的安全隱患，監管部門已經予以重視。本報記者從銀監會獨家獲悉，目前相關監管措施正在研究當中，也需要多方協同。“第三方移動支付雖然存在安全隱患，但便捷化無疑是互聯網支付帶來的巨大創新與進步，因此，監管需要尋求便捷與安全的平衡點。”銀監會相關人士表示。

目前，我國從事互聯網支付業務的主體包括兩類，一類是傳統商業銀行，一類是第三方支付。傳統商業銀行的支付業務由人民銀行、銀監會依據法定職責分別予以監管，第三方支付機構由人民銀行發放牌照，其業務活動的監管安排目前仍在醞釀當中。

爲此，銀監會建議，爲鼓勵創新，促進互聯網金融的健康發展，保護金融消費者權益，應進一步明確對第三方支付機構從事類銀行業務或與銀行有關聯業務的監管職責，釐清第三方支付機構可從事的類銀行業務範圍、應承擔的責任，並根據業務類型、影響等因素建立業務準入、條線管理的分類協作監管機制。

除了外部監督，第三方支付機構自身的內部約束也必不可少。銀監會表示，第三方支付機構應提升安全和合規意識，加強管理和技術研發，提高風險管控水平；應合理平衡科技創新與信息安全的關係，在創新的同時建立配套的安全措施，並自覺遵守行業監管規定和合作協議。

此外，第三方支付機構還需加強終端安全建設，加強敏感信息傳輸安全，防止敏感信息被非法竊取。對快捷支付、大額轉賬、修改綁定手機號等關鍵業務或操作，應進一步強化身份認證控制措施，如發至銀行端驗證、雙因素認證等，防止僞冒身份或僞造交易。

銀監會表示，監管還需多方協同，要求商業銀行和第三方支付機構從4方面入手，建立合作機制，聯手防範信息科技風險。一是定期就突出風險開展討論和交流，共同研判防治措施，形成聯合打擊的良好合作關係；二是加強對客戶、商戶的安全教育，防止欺詐交易、釣魚網站等威脅；三是在信息共享、突發事件預防與處置、應急演練等方面加強溝通與合作；四是第三方支付機構應向銀行實時提供必要的、真實的交易背景信息，協助銀行更好地判別交易風險，提升交易風險監測和管理水平。