当前位置:科技采风 > 正文
快捷支付的风险控制分析

  一、快捷支付的便捷性。

  “快捷支付”由支付宝公司2011 年4 月18 日首次宣布并推出,是一种新型的互联网支付模式。与传统的网银支付模式相比,快捷支付具有以下特征:

  (一) 一次认证。

  用户在首次使用该业务时,需要支付平台与绑定的银行账户通过有效身份证件、手机号码、银行账户等信息进行身份认定。此后,用户再次发生支付行为时,只需输入支付平台注册信息进行校验即可实现支付。快捷支付节省了交易时间,降低了交易复杂度,优化了用户体验,在互联网小额支付领域有极大的市场空间。

  (二) 无使用门槛。

  相对于传统的网上银行业务,快捷支付业务的开通与身份认证一般没有签订书面开通协议、纸质授权等程序,所有操作均在线完成。在支付过程中,也无需在移动终端安装安全控件或使用 U 盾、电子动态密码器等软硬件要求。消费者只要有银行卡,即可通过相关操作完成支付。

  (三) 无终端平台限制。

  伴随移动通信技术的发展,手机、平板电脑等移动终端作为支付媒介正被越来越多的用户接受。与传统的网银支付不同,快捷支付无复杂的安全政策限制,交易时也无需插入硬件设备进行身份认证,可以在不同的操作系统和浏览器上进行操作,这一特征使得快捷支付可应用于移动终端,为使用移动终端购物创造了条件。

  二、快捷支付的风险性。

  快捷支付在拥有极大便捷性的同时也存在诸多风险,主要有以下方面:

  (一) 身份验证强度不足。

  如前所述,用户仅在首次使用快捷支付业务时需要进行严格的身份认证,而后只需输入支付平台注册信息进行校验即可完成支付,本质上是一种基于“whatyou know”的验证手段。

  这类验证方式存在认证强度低的问题。一旦支付密码被非法获取,用户的资金将面临被转移的风险。相比之下,用户在使用网银进行支付时,需要插入硬件设备完成身份认证,虽然流程略微繁琐,但认证强度较高,可靠性更强。

  (二) 个人信息易泄漏。

  在快捷支付业务未推出时,“支付宝”等第三方平台仅承担在线购物的转接支付职能,扮演担保网上交易的“第三人”角色。但在快捷支付业务出现之后,网银的登录程序被排除在支付环节之外,银行从承接用户支付结算业务的台前退居第三方清算的幕后,被动处理来自支付机构的指令,不再对交易用户的身份进行认证。大量的用户资料从银行流入支付机构。支付机构如在未经客户授权的情况下,将信息挪作他用,将带来严重的法律风险。

  (三) 支付软件存在安全风险。

  快捷支付功能的实现需要借助于支付软件。用户一般通过互联网从应用平台上将支付软件下载到个人终端上使用。目前,互联网上大量存在的第三方下载平台由于缺乏严格的审核机制,为恶意软件和山寨应用提供了生存的土壤。不法分子通过对支付软件进行修改,植入木马或其他恶意程序,后上传至下载平台供用户使用。用户一旦使用恶意软件,个人财产即面临被盗的可能。

  三、风险防控。

  如何在享受快捷支付带来便利的同时规避财产安全风险是我们需要探讨的问题,笔者提出以下几点:

  (一) 支付软件使用者风险防范意识的提高。

  案例表明,支付软件的使用者之所以遭受财产损失主要是由于不注意保护个人信息,以至于不法分子能够轻易获知其账号和密码。因此,在日常使用各类支付软件的过程中,用户要不断提高风险防范意识并掌握一定的应急处理技能。例如,用户要不定期地修改支付密码,并避免使用生日、手机号码、身份证号码等易于被他人获知的信息作为密码。同时,用户还可以将已开通快捷支付功能的银行卡设置每日交易限额,以便在账户被盗时最大限度地减少财产损失。在发现自己的账户发生异常情况时,也可通过支付宝登陆页面输入账号,“三次”输入错误密码进行账号的临时冻结,然后联系支付宝客服确认账户的资金情况。

  (二) 软件开发者责任意识的增强与技术手段的改进。

  针对不法分子通过篡改支付软件、植入木马病毒被害人财产的情况,软件的开发者和提供者应当加强配合,共同对软件的安全性进行升级和维护。具体来说,软件提供者如苹果公司的 apple store、谷歌公司的google store 应当在软件开发者将具有快捷支付功能的软件提交审核时采取技术手段进行安全性检测,确保其未携带木马病毒或者存在安全漏洞。同时,软件提供者还应当对软件开发者的身份进行审查,登记其身份信息、IP 地址等,以便将来查找。在此过程中,软件开发者应当积极配合软件提供者对支付软件安全性的检测,并对软件提供者提出的疑问作出解释。

  (三) 政府有关部门对第三方支付平台监管的强化。

  目前,我国对于第三方支付平台的监管规则、准入门槛等内容则尚无明确规定。这一漏洞使得不法分子有机可趁。因此,现阶段应对第三方支付企业设立准入门槛,进行资质审核,比照金融机构对其注册资本、内控制度、公司治理结构等提出要求,并建立行业规范,对第三方支付的模式、渠道和结算方式进行管理。

  值得庆幸的是,我国将加强互联网立法,依靠严密的的法律网来打造规范的互联网。

  (四) 立法与司法的完善。

  目前,在实体法方面,我国现行刑法规定过于笼统、抽象,难以为打击与预防利用第三方支付平台侵害用户财产权益的犯罪行为提供法律依据。因此,“两高”应当在法律尚未修改前,及时发布司法解释,为各级司法机关打击相关犯罪提供依据。同时,立法机关也应当适时修改刑法,使刑法在打击此类犯罪的过程中更具针对性和明确性。在程序法方面,尽管《刑事诉讼法》第四十八条第二款第(八) 项将电子数据确立为一类刑事诉讼证据,但由于电子证据具有易剪裁、拼凑、篡改、添加等特点,因此,司法机关在如何采信电子证据方面可借鉴的经验并不多,往往表现出“犹豫”的态度。

  而在利用第三方支付平台侵害用户财产权利的案件中,司法机关所能获得的主要证据就是电子数据。所以,司法机关也应当进一步加强对证据标准的探讨,明确定罪证据的规格,强化对新类型证据的收集、审查能力。

相关链接:

作者: 来源:无忧支付网 发布时间:2017-09-27 05:56:29
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任