探索安全与效率平衡之道 给移动支付加把锁
伴随着场景的丰富和线上线下的打通,移动支付安全风险也在不断上升。专家认为,要想保证支付安全,需要采用新技术手段,同时也要加强整个产业的协同与合作。此外,还要加快法律法规建设,加大违法成本。
从打车、买菜、缴水电煤气费到购买理财产品,移动支付正逐渐取代人们的钱包,变得无处不在。2016年,中国的移动支付业务达到257亿笔,金额达到157万亿元人民币,同比分别增长86%和46%。
与此同时,钓鱼木马、网络诈骗、隐私泄露等与移动支付安全息息相关的“陷阱”也层出不穷。中国互联网协会副秘书长石现升表示,在国内手机用户遇到的手机安全软件问题中,支付陷阱占比最高,达88.3%。中国银联发布的《2016移动支付安全调查报告》也显示,2016年遭受支付欺诈的用户比例不仅有所上升,受损金额也持续走高,其中约1/4的受调查者曾受骗,相比于2015年的调查结果上升了11%。
移动支付的安全与效率似乎是一个难解的矛盾,如何在二者之间找到平衡,给移动支付安全加上一把锁?
“安全”“效率”平衡有道
“支付是实现价值创造和价值交换的最后一个环节,中国作为当今全球电子商务和移动支付发展最迅速的市场,支付安全的重要性远远超过了以往任何时候。”中国社科院金融研究所所长助理杨涛如是说。
移动支付安全风险不断上升,原因在于场景的丰富和线上线下的打通。Visa首席风险官艾睿琪表示:“随着越来越多的场景、场所、设备和人成为支付的接入点,支付风险会继续存在并持续上升。”
在支付厂商们看来,如何在确保支付效率和便捷的同时,不断提升安全性,是目前首要的任务。腾讯微信支付研发中心负责人周俊就表示:“用户的便利性和安全性始终存在冲突,如何在保证用户体验的情况下加强安全性,一方面是基本的技术底层要加强,在系统安全方面要能够应对黑客侵袭、应急处理等种种情况;另一方面就是要不断采用新技术,比如在客户端识别,防控外部风险,甚至不断加入生物识别的能力。此外,还要以多种手段,比如事后赔偿、保险公司承保等,来提高用户消费行为的安全系数。”
新技术的采用是提高安全性的重要手段。三星电子大中华区内容战略部总裁陈立人告诉记者,三星完善了虹膜识别功能,让消费者只有在本人注视手机屏幕的情况下才能完成支付。“消费者并不需要额外的动作,但手机的支付安全性得到了巨大的提高。”硬件的安全水平还在不断加强。国家安全标准委在8月底已对安全手机标准立项,意在研究制定手机安全标准,其中将包括关键硬件、软件信息基础设施的网络安全防护能力,系统安全等级,APP权限限定等。
此外,效率与安全之间的平衡,还来自于整个产业的协同与合作。艾睿琪表示:“支付安全产业链上不仅有支付公司,还有大量的合作伙伴,从行业标准到安全措施,都需要整个产业一起把事情做好。”腾讯支付基础平台与金融应用线上支付安全项目管理总监周治明也表示:“移动支付是一个有机生态,需要生态中的每一个成员互相协作,从各个环节上清除黑色产业的滋生空间,共同筑起支付安全的堡垒。”
支付宝早在2014年就启动了支付安全生态圈建设计划,此项建设计划涉及公安部、安全产业基地、安全厂商、硬件厂商、线上线下商户等上百万家机构。支付宝针对商户、硬件、操作系统、安全产品开展技术合作,输出自己风控系统,用以推动生态圈内安全数据与技术的有效共享。
不过,众多专家也表示,支付安全并非仅停留在技术层面。杨涛告诉记者:“除了产品本身的安全性外,也要关注支付流程中会不会出现其他风险,比如支付机构在支付过程中可能出现的流动性风险,虚拟化的移动支付有可能带来洗钱的风险,这些同样属于支付安全的范畴,它有可能在更宏观的层面给整个金融市场秩序带来冲击和影响。”
隐私保护任重道远
在与支付安全相关的诸多领域中,信息泄露可谓“重灾区”。一项针对1000位用户在线调查显示,21.7%的用户曾因网购、论坛、微信等遭遇过信息泄露,56.8%的用户对互联网信息安全表示出担忧。
在移动支付领域,“泄密”事件也频频出现,中国电子商务研究中心曹磊告诉记者,包括离职员工泄露信息,员工内外勾结泄露客户信息,技术漏洞导致用户个人信息、银行卡信息泄露等等,都是典型案例。
泄密事件为何频频发生?广州金鹏律师事务所合伙人詹朝霞认为,违法成本低,法律监管缺失是“泄密”事件一再出现的根源。从法律层面来看,各类服务提供商,基于提供服务所采集的用户信息数据,具有严格保密的法律义务,类似的规定可见于国家工商总局发布的《网络交易管理办法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关法律法规中,虽然规定不少,但相关规定中却没有设置任何对应的处罚措施,违法成本极低。
正因如此,不少移动支付相关平台在隐私条款的设置上“避重就轻”。曹磊介绍说,中国电子商务研究中心审查了38家移动支付相关平台的用户合规条款,发现其中有86.84%存在信息安全问题,如涉嫌违规收集或免除自身对用户信息保护责任等。
正因如此,工信部、公安部、国家标准委等部门自7月底开始启动隐私条款专项工作,对电商和生活服务平台的隐私条款展开评审,京东、淘宝、支付宝随后调整隐私政策,对个人信息的使用上均作出了相关规范。上海达晨律师事务所主任高兴发表示,从各大型互联网企业调整后的隐私政策可以看出,互联网经营者侧重于在收集、处理众多消费者个人信息中应履行的义务,如依法收集、合理使用、安全防护、禁止或者限制披露等,调整后的隐私政策也更加符合法律法规的要求。
不过,浙江垦丁律师事务所联合创始人麻策也表示,尽管加强监管可以促使互联网平台强化隐私保护,但消费者同样需要提升支付安全意识。“实践中很多盗刷事件的发生也是由于消费者安全意识不足所致。比如,消费者随意登录假WiFi,随意刷二维码等等,该类高风险行为就极易给不法分子可乘之机,套取消费者账号信息。另外,消费者使用同样的账号和密码登录不同网站,也极易给不法分子提供连环盗号的便利性。”