当前位置:科技采风 > 正文
警惕“风口”变“刀口”——当前中国网络支付安全问题剖析

  一、当前网络支付安全的现状评估

  1998年至2016年,是中国网络支付从无到有、从小到大的发展时期。经历了十余年的蓄势发展,网络支付对支付体系、支付习惯乃至金融服务产生了深刻的影响和改变。2015 年10 月29 日,互联网金融首次被中央纳入十三五规划,正式进入我国社会经济发展的顶层设计,其行业地位可见一斑。作为我国互联网金融发展的核心,第三方移动支付已成为电子商务交易场景的主流支付模式。总体来看,当前对于网络支付安全的关注呈现明显的“两强两弱”特点:

  1、对于直接关系网络支付安全的微观层面了解全面,而对于间接相关的宏观层面缺乏系统的关注。前者如市场准入、产品服务、安全技术、运营风控以及与之相关的监督管理,而后者包括网络支付用户体验、安全与效率平衡、创新与监管良性互动、行业发展外部环境等。

  2、对影响网络支付安全的各类“单点风险”认知和防范相对充分,但对多种风险因素叠加的“复杂风险”认知相对较弱;对单个网络支付机构风险控制的重视程度较高,但对产业链各方合力防控网络支付风险的重视程度相对不足。

  当前,从支付行业的整体角度观察,需要立足于整个支付产业的高度,避免过于局限于个别支付机构的形势误判或“头疼医头、脚疼医脚”所导致的事倍功半。

  另外从现实情况来看,网络支付机构数量多、个体差异大、内部经营管理水平参差不齐,战略发展方向差异明显,而且不同的网络支付机构在不同的利益诉求、市场地位、自身特点等条件下,通常会选择不同的经营策略。

  因此,研究探讨涉及整个行业的网络支付安全问题不能过于局限在网络支付机构的个体差异。现实中,很难有一项微观的、可操作的具体措施能够同时满足整个行业所有个体的需要。但从行业整体性角度,就比较容易寻找到同时满足整个行业健康发展的共同影响因素。

  二、从行业整体角度看

  从整个支付行业角度看,网络支付发展变迁带来的各类与安全相关的问题是十分广泛的。其中,以前不太关注,未来需要特别关注的几个方面是:

  1、网络支付安全和效率的平衡

  安全和效率的平衡是网络支付发展的核心目标之一。在平衡网络支付安全和效率方面需要注意的是,风险控制不能牺牲效率和用户体验。如果牺牲效率换来了安全,网络支付机构产业链上的收入无法覆盖成本,很快就会在竞争中被淘汰。

  2、与银行等传统金融机构的竞争合作

  竞争与合作关系在网络支付安全领域,各参与者之间的行为彼此影响、彼此渗透,共同决定着网络支付安全的整体水平。网络支付机构直接面向中小企业和个人用户提供服务,在金融服务的创新及用户服务的体验方面比商业银行有优势;银行在完整的银行服务牌照、品牌和人力资源以及风控能力等方面的优势则是其推动网络支付发展的重要潜在优势。

  3、创新与监管良性互动的政策框架

  创新是网络支付赖以生存和发展的原动力。过去十余年,通过不断地降低支付门槛、不断提升支付安全与效率,网络支付机构以其快速发展获得了监管部门对其市场主体地位的认可,并为进一步提升网络支付的安全与效率注入了新的动力。创新与监管的互动是动态观察网络支付安全与效率的重要课题之一,构建一个创新与监管良性互动的政策框架,也关系到网络支付的安全与效率。

  三、从网络支付机构角度看

  1、当前中国网络支付安全风险可控,总体平稳,趋势向好

  1)经过近十年的发展,国内网络支付机构在安全方面的投入规模非常大,网上支付的安全技术不断完善。包括Usbkey、动态口令、数字证书、钓鱼网站的实时拦截等具体措施也已经广泛应用,网络支付风险控制能力不断提升、风险防控措施不断深入。

  2)市场主体风险可控,行业整体风险可控。经过多年发展,网络支付平台业务规范程度大大提高;支付宝、财付通、银联在线、快钱、汇付天下等各领域市场份额领先的网络支付机构的风险防范意识及风险管理水平不断提高。

  3)政府行业监管力度不断加强,明显推动了网络支付行业的健康规范发展。中国人民银行以《非金融机构支付服务管理办法》为核心,明确了非金融支付行业的地位及业务属性,设立了行业的准入门槛,确立了备付金安全、实名制规范等多方面的监管原则并不断细化;中国支付清算协会成立近两年来,在行业自律、机构合规性检查以及行业研究方面开展了大量工作。同时,各级地方政府从重视高新技术企业的视角,对网络支付机构的关注和支持力度也明显提升。

  4)网络支付安全的强化趋势仍在继续。随着网络的日益普及,网上银行以及电子商务的广泛应用,网络支付安全日益受到重视,在市场竞争的压力和社会广泛关注下,网络支付参与各方强化安全的步伐不会停滞。

  2、中国网络支付机构中的主要风险

  在实际运行中,网络支付安全受类型多样、内容各异复杂的多种因素的影响。综合来看,当前影响中国网络支付安全与效率的最突出的四种典型风险因素如下:

  1)基础关系违法。即因网络支付服务被违法犯罪行为利用或者为违法犯罪行为提供了便利,而引起的安全问题。主要集中于与黄赌毒、危险品类“商品”违法交易配套的网络支付服务。

  2)内部管理失当。指网络支付机构在流程、技术和信息安全、资金安全、规则和人员诚信等内部管理事项中存在过失与疏漏的情况。产品服务缺陷、用户资金挪用和用户信息泄露等风险事件都属于此类。

  3)外部欺诈层出。指外部人员利用各种手段骗取、窃取与支付交易相关的信息和数据,继而操纵或介入支付交易,以盗窃、诈骗行为非法侵占支付交易当事人合法权益的情况。网络钓鱼、木马病毒以及类似庞氏骗局或金字塔传销类型的商户欺诈均属此列。

  4)配套环境缺失,影响安全感受。具体包括:网络环境存在潜在风险、用户安全教育和安全意识不足以及网络支付风险缺少规范、高效的查处机制等等。

  四、中国网络支付安全的监管

  由于上文提到很难有很难有一项具体措施能够同时满足整个行业所有个体的需要,因而对于网络支付安全问题的监管,需要进行针对性的治理,应当重点从以下三方面推进:

  1、针对外部欺诈与网络环境对网络支付安全的影响,强化以政府监管部门为主要推动力的外部环境营造。净化网络环境、强化与用户安全感受密切相关的退货、理赔、投诉、安全事件查处等配套机制,为网络支付的健康规范发展提供良好的生态环境十分重要。

  2、针对基础关系违法以及配套环境缺失对网络支付安全的影响,要强化以产业链合作为主的全行业的风险防控能力提升。目前,网络支付机构和商业银行作为网络支付服务的主要提供者应当努力强化在网络支付安全方面的合作。要共同开展网络商户和消费者安全教育,研究涵盖整个网络支付过程的安全合作机制,推动诸如安全技术、反欺诈、反洗钱、防钓鱼、“黑名单”共享等具体措施的落实。

  另外当前在网络支付产业链上,从银行端到网络支付机构再到用户,内部的风险管理、安全防范水平以及风险防范意识呈现出逐渐降低的趋势,产业链上的安全防范水平参差不齐。对此,监管部门未来应引导中小网络支付机构加大安全投入;关注网络支付机构的基础设施投入和业务连续性保障能力;防止中小网络支付机构发生的风险事件对整个行业产生消极和负面影响。

  3、是针对网络支付机构内部管理失当对网络支付安全的影响强化以网络支付机构为主的风险管理机制完善。通过重点参与者带动,把握、控制和降低整个产业链在关键一环上所面临的各类现实和潜在风险。对网络支付机构而言,关键是要借鉴商业银行等机构的风险管理架构和经验,从内外部环境、内控机制、安全技术等方面,探索适合未来互联网金融服务特点和需求的风险管理架构。

  五、中国网络支付风险管理发展的趋势

  1、关注网络支付范畴的动态发展

  网络支付定义的不断扩展。技术创新带来的不断丰富的支付指令和网络渠道是网络支付范畴不断扩大的主要原因。从支付指令和网络渠道的发展角度来看,生物识别技术带来的声波支付、指纹支付、虹膜(视网膜)支付,以及数字电视网、智能手机4G网络等都会进一步扩展网络支付的范畴。

  2、关注用户体验对网络支付安全的影响

  现实中,大量用户往往将网络购物中遇到的商户不诚信、产品质量差、物流时效差等不良体验对于准确判断网络支付安全问题将产生明显的不利影响,很容易导致对网络支付安全环境的低估甚至误判。网络支付安全的本质是要实现网络环境下货币资金转移的安全性。要准确衡量和有效提升网络支付安全水平,在行业内应当把握住货币资金安全转移的这条“主线”。

  3、网络支付风险管理体系的两个原则

  一个是安全效率的平衡;另一个是风险收益的平衡,即强调安全的同时不显著影响效率,承担风险获得的收益能覆盖成本。

  4、坚持创新驱动的发展理念

  在网络支付安全方面,要坚持通过技术创新解决安全问题的理念。从未来支付安全的技术趋势来看,有两个方面需要特别关注。

  第一是智能实时防控系统,通过相应规则对交易实时筛查的监控系统,配合人工核查,最终锁定风险交易,控制风险账户,从事后响应转为事中响应,从而提高风险防控效率。

  第二是大数据在安全方面的应用,互联网技术提供了这个可能性,通过手机、电话等大量的行为状态记录,存储到云端服务器,将来可以通过对人的行为的连续性进行综合分析,而不仅仅是通过密码和密钥来分析。

相关链接:

作者:巴曙松 来源:金融读书会 发布时间:2017-07-12 05:27:33
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任