随着移动支付的普及,其安全性也备受关注。2月1日,中国银联发布的《2020移动支付安全大调查报告》(以下简称“报告”)显示,98%的受访者认为移动支付是安全的,公众在使用移动支付时的自我保护意识较弱,安全意识有待提升。此次报告共有全国34个省级行政区域(含港澳台)超过17万人参与调查,共收到有效问卷 6.5万份。报告结果涵盖移动支付的使用情况、使用习惯、使用场景、使用安全行为、遭遇网络诈骗情况、安全风险防范建议六方面。在日常使用***支付时,公众有哪些不安全行为?报告显示,在使用移动支付时,平均每个用户有至少两个不安全行为,其中最常见的是:在连接公共 Wi-Fi的状态下支付(26%)和所有支付密码都相同(26%)。

「支付视野」互联网平台相关支付服务风险防范对策

作者 | 张可,供职于中国人民银行晋中中支支付结算科

连公共热点、通用密码……你的移动支付习惯有哪些安全隐患?

公众不良支付习惯及比例。(图源:《2020移动支付安全大调查报告》)

中国银联在报告中建议,用***网购时,要尽量在安全、可信任的网络环境中进行每一笔移动支付,使用***的数据流量支付最安全。此外,公众使用移动支付时,要尽量在不同网站设置不同的支付密码,且不要选择“记住密码”选项。在设置密码时,要尽量选择较为复杂的交易密码,如不以简单的姓名缩写,生日、纯数字等方式为密码,而是以数字+字母+符号的组合形式。但是,如果在不同网站都设置不同的密码,还要形式复杂,怎么记得住呢?上海众人网络安全技术有限公司董事长谈剑锋曾在国家网络安全宣传周期间建议,对于不涉及个人关键隐私信息的账号,如各类***类App账号,可以使用相同密码。而在涉及关键信息的网站,则可以根据不同网站特点,运用自己独特的方式进行记忆,比如微信密码,就可以设置为“wodeweixin("我的微信"的拼音)”加上自己的常用密码。此外,前述报告还提到,占比较高的不安全行为还包括不解绑旧***中银行卡/删除敏感信息(23%),不清楚移动支付App的账户安全服务功能或内容(22%),以及直接删除带支付功能App但不解绑银行卡(20%)。不安全行为的出现源于用户自我保护能力不足。报告显示,认为自我保护能力非常好的受访者仅占28%,更多的受访者认为自己的自我保护能力仅仅是比较好或者是一般。

责任编辑 | 葛辛晶

连公共热点、通用密码……你的移动支付习惯有哪些安全隐患?

移动支付安全性自我保护能力评价。(图源:《2020移动支付安全大调查报告》)

随着移动支付的迅猛发展,互联网金融为人们的生产生活带来极大便利,改变了人们传统的交易行为与支付方式,大幅提升了支付结算效率,降低了支付成本,已然成为互联网企业的新型标配。其凭借着流量、渠道与技术资源,更加快捷地推动互联网支付落地。在2020年,网络第三方支付市场的交易规模达241.8万亿元,同比增长率约10%左右(图1)。广阔的行业前景吸引着更多的人才和资金前仆后继,与之相伴生的大量风险,亟待分析并采取相应管控措施。

在自我保护能力上,中国银联在报告中建议,公众应提升自我安全保护意识,改善移动设备使用习惯。具体而言,除了前述对于支付环境和支付密码的建议,报告还强调用户要在购买***时选择正规厂家生产和合法渠道销售的产品,以及养成定期查验账单、定期删除***中留存的敏感信息、定期更换密码等习惯。值得注意的是,用户对交易风险的认知更多在支付交易验证环节。报告显示,70%的受访者表示会在转账时核验收款人信息,64%的受访者会关注每一笔交易提示,但是对其他安全操作关注不足,如选择设置每笔交易上限、仔细阅读交易环节的安全提示等行为的用户占比仅不足四成。

「支付视野」互联网平台相关支付服务风险防范对策

图1 移动支付用户使用行为分析

「支付视野」互联网平台相关支付服务风险防范对策

简析互联网平台

五类互联网平台。平台类产品。大型的购物类型的网站一般属于平台类型,平台本身充当交易的第三方担保角色,为供需双方提供平台支持与信用保障。对于网站平台运营来需考虑供需双边因素,为网络平台涉及支付领域第一大类。

社交类产品。以微信、QQ、微博为传统产品,随短视频、直播行业带动兴起新型产业如抖音、快手、小红书等,一般启动社交类型的产品需拥有庞大用户基础或以某一类人为中心产生黏性的关系网才能搭建起来。

内容类产品。一些PGC为主要形式的产品大多数都属于内容类型的产品,以知乎、读书产品、功能培训类(如弹琴吧、英语辅导等)。

工具类产品。产品类型繁多,如地图导航、美颜相机、影视制作、字典翻译等类型产品。

连公共热点、通用密码……你的移动支付习惯有哪些安全隐患?

移动支付常用安全防范措施。(图源:《2020移动支付安全大调查报告》)

除了用户本身存在不安全行为和缺乏安全意识,报告还提示了移动支付中存在的精准诈骗的风险。数据显示,在所有诈骗信息的渠道中,78%的诈骗信息来自短信,其次是微信、***、App推送。

游戏类产品。使用人群以年轻人的为主体,多有内置于社交类网络平台中,相关付费类产品众多。

三种互联网平台支付业务模式。一种是平台绑定卡(储蓄卡、信用卡)由银联完成资金清算;另一种是支付链接(借助支付宝、微信、云闪付等三方支付工具);还有一种是自主提供支付服务(钱袋宝、百度钱包等)

什么样的人群更易收到诈骗信息?调查发现,使用***时的不良习惯是导致风险发生的重要因素。

「支付视野」互联网平台相关支付服务风险防范对策

互联网平台相关支付服务风险

法律风险包含三方面。一是存在非法放贷风险。自2019年三季度起,美团开始推出“美团优选”并拓展社区团购业务,搭建了“美团闪购”-“美团买菜”-“美团优选”等多层次的业务模式,使整个平台生态业务进一步扩大。用户受平台引导开通金融服务,也显示出金融支付在社区团购方面的积极作用。但“美团月付”推出不久,就涉嫌违法违规。2020年6月,河南某中级法院公布了多份裁定书判定美团旗下某小额贷款公司未经金融监管部门依法批准,即违法从事相关网络贷款业务,引发了“违法放贷”法律风险的产生。

二是存在洗钱犯罪等金融风险。从互联网第三方支付的流程可以得出,买卖双方之间钱货具有不同步性,买方从下订单到确认收货存在时间差异,交易资金存受第三方支付平台担保并存放,给不法分子提供违法犯罪的时机。由于网络存在虚拟性,资金流动复杂多样,严格监管存在难度,不法分子很有可能利用第三方支付平台,采取虚拟交易等手段进行信用卡套现,甚至是“洗钱”、转移非法资金等犯罪活动。

数据表明,易受损人群存在的“在网站填写卡号、有效期、密码等支付信息,不会确认网址真实性“、“更换***时,不解绑银行卡”、“不清楚正在使用的移动支付App内的银行卡绑定”、”未设置个人网路银行账户操作提示“、玩过网络博彩”等风险行为的比例显著高于其他群体。

如何避免在使用移动支付时遇到诈骗?中国银联风控专家建议,用户不要随便扫不明二维码,不要轻易打开陌生短信的链接;在投资理财前做好功课,了解平台资质、资金流向等信息。此外,在登录银行网站时,要关注银行官方门户网站地址,避免通过搜索链接进入伪冒钓鱼网站。

采写:南都个人信息保护研究中心研究员严兆鑫

三是存在行业垄断风险。2020年8月美团关闭支付宝支付入口的消息无异于一道惊雷,炸响了圈内圈外。同年12月29日,美团被曝出遭遇反垄断诉讼,北京知识产权法院已立案审理。根据北京知识产权法院民事案件受理通知书(2020)京73民初888号,10月29日,王某诉被告北京三快科技有限公司、北京三快信息科技有限公司滥用市场支配地位纠纷案,经审查,符合《中华人民共和国民事诉讼法》规定的受理条件,北京知识产权法院决定立案审理。

淘宝、京东此类电商平台,商户店铺入驻到电商体系之后,从供应链、库存管理到导流、销售、交易、售后等完整的服务链路都在电商体系内发生,电商平台对商户交易方式的干预有一定的合理性。而在美团和饿了么这类平台的本质则是导流,商户的服务场景仍在线下。导流平台干预线下商户和线上用户决定了支付方式,很容易给人欺行霸市的观感。美团削减支付宝支付手段,这个减法将美团为了竞争绑架商户和用户的用意彰显得更加明确,于是更加惹人不快。

资金安全风险。多项行业调研数据显示,2020年支付市场的份额构成中,支付宝约占55%,腾讯金融(包括微信)约占33%,二者的市场份额总和约占网络支付总市场份额的88%。

对于沉淀资金的归属认定,两种观点各执一词,争论不断。早日确定沉淀资金的性质,不仅是民商法领域的任务,也是经济法范畴的一大问题;不仅是行业内部应解决的难题,也是政府部门的一项工作。另一方面,由于沉淀资金的归属暂无定论,目前通常由平台进行使用和支配,在归属还未确定的当下,平台应当主动承担起使用规则的制定任务,并借助政府部门的力量加以辅助引导,确保这些资金被合法安全地利用,使其不影响市场和经济的平稳运行。

信息泄露隐患。互联网是一个巨大的虚拟空间,随着规范化监管力度的不断加深,用户在使用第三方支付时,普遍需要注册账户并进行银行卡绑定、身份信息实名认证、以及人脸生物识别等各项操作,以上操作均在网络平台上进行,因此,如果第三方支付平台存在监管不严、风险漏洞、或用户操作不当,就很可能或被网络黑客或者不法分子窃取个人信息甚至是银行存款,造成信息泄露严重的后果。

延迟结算风险。支付机构日常结算中由于资金头寸不足、网银跨行清算系统日常维护有失,容易导致客户资金结算延迟,影响客户日常结算需求,更甚引发巨大的财务风险。其次是系统操作层面,由于客户实名认证、支付密码失误、账号被盗、登陆环境不稳定等原因引发的支付失败,从而导致账户冻,给企业和群众带来资金结算隐患。

个人征信风险。“美团月付”上线后2个月内,投诉平台上相关产品的投诉量累计近千条,内容涉及“不知情开通了月付”“乱扣费”“无故扣款”等。然而随着我国信用社会建设的不断发展和完善,互联网支付逾期、互联网借贷因“超期未还”被大数据列入征信黑名单的风险也与日俱增。通过向用户提供“本月花,下月还”的授信付款服务,美团的金融支付业务开始渗透整个服务产业链,但面向C端的消费金融还需要时间打磨。

「支付视野」互联网平台相关支付服务风险防范对策

对策建议

优化支付行业准入管理,采取差异化机制发放支付牌照。从准入制度看,相较于其他国家轻重有别的差异化监管政策,我国对于支付机构的准入门槛过高。尽管严格的市场准入有利于规范支付机构行业的发展,有助于从源头预防对金融市场稳定性和消费者权益造成的伤害,但过高的门槛也会将一些具有创能力和竞争力的小微企业拒之门外,不利于行业的有序竞争和长期健康发展。

对转让支付牌照、退出支付市场的公司强化审核标准。规范退出机制。美国在示范法《统一货币服务法》中对支付机构的退出机制进行了规定,列明了监管机构可以撤销、暂停或终止许可证的情形。美国的得克萨斯州、加利福尼亚州等州规定了更为详细的退出安排。欧盟《支付服务指令Ⅱ》规定了监管机构可以撤销业务许可的情形,并对支付机构实施持续监管,第8条、第9条规定支付机构的自有资金不得低于第7条所述的初始资本额或根据第9条计算的自有资金额中的较高者,并需始终持续持有。同时,规定了部分需要每年向委员会通报付款交易总额的情形。对于不再符合授予许可条件,或者未就此方面的重大进展通知监管当局的,可以撤销许可。

完善立法,加大执法检查力度和惩戒措施。对支付机构违反《反垄断法》《反洗钱法》《收单业务管理办法》的违法违规事实采取的处罚措施予以细化和量化,同时明确规定支付机构从事金融领域活动可以参与的经营范围和必要履行的相关义务,对严重违法违规者吊销牌照或暂停新业。

加强平台账户管理。防范为互联网企业或平台开立内部结算账户,杜绝为从事支付业务的机构提供二次清算服务。通过加强账户实名制审核、客户身份尽职调查等措施,确认账户开立的真实用途。建立交易监测机制,建立和完善可疑交易监测模型,确保交易信息的完整性、真实性、可追溯性,保存交易记录至少5年;按照交易类型定期报送可疑交易或重点交易报告。

加强在途资金监管。首先,进一步强化对网上支付活动的监管力度,完善相对应的制度规则,并且将其纳入法律体系的框架之中,使得网上支付活动能够得到相应的法律保障,也防止支付机构为网络新型犯罪活动提供支付结算服务,净化网络支付环境;其次,要结合实际对第三方支付结算周期上限能进行合理化的规定,在途资金的结算周期长短,事物的利益和整体效率水平的提升通过这些方面进行科学有效的处理,就能对各方的竞争带来良性互动;最后,还需要明确在途资金的来源以及去向,避免使第三方平台成为非法资金转为合法资金的渠道。完善相关的网络信息安全技术方面的问题,在加密技术方面进行有效加强,通过应用安全数字证书,将网络安全上升到更加安全的层次。