○王 哲 魏 敏

（武漢科技大學(xué)文法與經(jīng)濟(jì)學(xué)院 湖北 武漢 430081）

我國(guó)第三方支付的安全性問題分析

○王 哲 魏 敏

（武漢科技大學(xué)文法與經(jīng)濟(jì)學(xué)院 湖北 武漢 430081）

本文首先通過分析我國(guó)電子商務(wù)應(yīng)用中第三方支付的發(fā)展現(xiàn)狀,提出了第三方支付發(fā)展存在的幾個(gè)主要的安全性問題，接著對(duì)國(guó)內(nèi)第三方支付安全策略進(jìn)行了分析，重點(diǎn)對(duì)比分析了幾個(gè)主流第三方支付平臺(tái)的技術(shù)安全性措施。

電子商務(wù) 第三方支付 安全性問題

一、第三方支付的概念和發(fā)展現(xiàn)狀

所謂第三方支付，就是一些和國(guó)內(nèi)外各大銀行簽約并具備一定實(shí)力和信譽(yù)保障的第三方支付服務(wù)商提供的交易支持平臺(tái)。在通過第三方支付平臺(tái)的交易中，買方選購(gòu)商品后，使用第三方平臺(tái)提供的賬戶進(jìn)行貨款支付，由第三方通知賣家貨款到達(dá)、進(jìn)行發(fā)貨；買方檢驗(yàn)物品后，就可以通知付款給賣家，第三方再將款項(xiàng)轉(zhuǎn)至賣家賬戶。第三方支付分第三方網(wǎng)上支付、固話支付和移動(dòng)支付等幾種，本文中談到的第三方支付特指第三方網(wǎng)上支付。

第三方支付成功解決了相互不了解的人的交易誠(chéng)信問題，自身也得到了快速發(fā)展。根據(jù)艾瑞、易觀國(guó)際等咨詢公司的有關(guān)數(shù)據(jù)，2003年我國(guó)第三方支付行業(yè)的交易規(guī)模不到10億元，2004年達(dá)到74億元，2009年達(dá)到5808億元，2010年上半年達(dá)到4546億元，預(yù)計(jì)未來三年內(nèi)仍會(huì)以年均70%以上的速度增長(zhǎng)。

二、第三方支付存在的安全性問題

1、信用卡套現(xiàn)、洗錢問題層出不窮

由于第三方支付賬戶可以從一家商業(yè)銀行賬戶中充值，再將賬戶余額轉(zhuǎn)到在另一家商業(yè)銀行的賬戶中，因此，利用信用卡進(jìn)行套現(xiàn)，因?yàn)橛辛说谌街Ц兜膸椭兊卯惓：?jiǎn)單。

同時(shí)，由于支付寶之類的第三方支付兼具資金的收付功能，因此，它不僅存在著信用卡套現(xiàn)的風(fēng)險(xiǎn)，更面臨諸如洗錢之類的問題。在支付中，有相當(dāng)一部分交易屬于虛擬貨幣的交易，比如騰訊公司的Q幣，通訊公司的話費(fèi)充值等。因而不排除有些人通過設(shè)立多個(gè)賬戶，從事虛假的虛擬貨幣交易，以此達(dá)到轉(zhuǎn)移不法資金，從而非法洗錢的目的。

2、賬戶資金被盜、網(wǎng)絡(luò)詐騙時(shí)有發(fā)生

在淘寶網(wǎng)購(gòu)物，通過支付寶付款一直被認(rèn)為是目前最安全的網(wǎng)購(gòu)方式。然而，近來消費(fèi)者大量網(wǎng)購(gòu)資金并未轉(zhuǎn)入支付寶，而是被黑客劫至“中國(guó)移動(dòng)通信集團(tuán)湖南有限公司電子商務(wù)中心”、“北京聯(lián)動(dòng)優(yōu)勢(shì)科技公司”等第三方支付平臺(tái)，繼而流進(jìn)騙子的賬戶。例如，一名由于第三方支付平臺(tái)監(jiān)管不嚴(yán)而遭遇網(wǎng)絡(luò)詐騙的網(wǎng)友表示，自己在某大型網(wǎng)購(gòu)網(wǎng)站購(gòu)物時(shí)，第一次支付不成功，隨后被騙子商家用另一家小型第三方支付平臺(tái)的鏈接騙去500元。事發(fā)后，該網(wǎng)友分別找到兩家支付公司，它們互相推諉，最后只能不了了之，“花錢買教訓(xùn)吧”，該網(wǎng)友很無奈。

可見，網(wǎng)民第三方支付賬戶資金被盜，少數(shù)人利用第三方支付工具進(jìn)行網(wǎng)絡(luò)詐騙已經(jīng)成為一個(gè)較普遍的社會(huì)現(xiàn)象。

3、安全保障的技術(shù)手段有待改進(jìn)

網(wǎng)絡(luò)釣魚是指騙子以低價(jià)等作為誘餌，誘使用戶在假的網(wǎng)站或冒充的頁(yè)面付款，從而導(dǎo)致資金損失。根據(jù)殺毒軟件廠商的最新報(bào)告，網(wǎng)絡(luò)釣魚的黑色產(chǎn)業(yè)鏈初步形成，其危害已經(jīng)超過傳統(tǒng)的病毒和木馬，成為威脅網(wǎng)民利益的第一殺手。近期不斷出現(xiàn)用戶遵循第三方支付平臺(tái)的正常操作步驟，資金卻被轉(zhuǎn)入到指定賬戶的事件。可見，第三方支付平臺(tái)的技術(shù)安全保障手段亟待加強(qiáng)。

另外，目前第三方支付平臺(tái)普遍采用的重要技術(shù)安全保障手段——數(shù)字證書，其并不是真正意義的獨(dú)立第三方CA認(rèn)證，而是內(nèi)部建設(shè)一套符合實(shí)際要求的證書注冊(cè)審計(jì)系統(tǒng)，使自身具備證書申請(qǐng)、審批、下載、證書狀態(tài)在線查詢、證書撤銷等功能，然而這種數(shù)字證書并沒有法律效力。

4、第三方支付平臺(tái)本身不是金融機(jī)構(gòu)

目前，國(guó)內(nèi)的第三方支付企業(yè)屬于非金融機(jī)構(gòu)，是有限責(zé)任公司的性質(zhì)，一旦公司出現(xiàn)破產(chǎn)等情形，則可能引發(fā)劇烈的多米諾骨牌效應(yīng)，導(dǎo)致其他企業(yè)的資金鏈出現(xiàn)問題。因此，即使是附屬于某些著名的網(wǎng)站，第三方支付平臺(tái)也存在一個(gè)信用問題。許多第三方支付公司的在途資金已經(jīng)遠(yuǎn)遠(yuǎn)大于它的注冊(cè)資金。那么，用戶的資金放在平臺(tái)上是否安全，如何保障這些資金的安全成為政府監(jiān)管部門應(yīng)思考的問題。

三、國(guó)內(nèi)主流第三方支付平臺(tái)的安全策略分析

1、配合央行加大力度打擊信用卡套現(xiàn)、洗錢

中國(guó)人民銀行2010年6月21日公布的《非金融機(jī)構(gòu)支付服務(wù)管理辦法》，不僅對(duì)作為第三方支付平臺(tái)的非金融機(jī)構(gòu)作出嚴(yán)格規(guī)定，同時(shí)也對(duì)支付平臺(tái)的用戶加以嚴(yán)格管理，此舉無疑會(huì)對(duì)網(wǎng)絡(luò)非法套現(xiàn)行為造成打擊。例如，支付寶通過其自行研發(fā)的網(wǎng)上支付風(fēng)險(xiǎn)監(jiān)控系統(tǒng)對(duì)檢控到的違規(guī)操作，將凍結(jié)該賬戶資金，支付寶同時(shí)還主動(dòng)和銀行聯(lián)系，要求發(fā)卡銀行針對(duì)套現(xiàn)現(xiàn)象作信用卡網(wǎng)上支付單筆限額的規(guī)定。

對(duì)于杜絕洗錢問題，關(guān)鍵在于對(duì)交易雙方的身份核查。不少第三方支付平臺(tái)推出實(shí)名認(rèn)證服務(wù)。例如，2005年7月25日開始，支付寶公司推出了“支付寶認(rèn)證”服務(wù)，支付寶公司一直嚴(yán)格遵循《中華人民共和國(guó)反洗錢法》，對(duì)用戶進(jìn)行了雙重身份認(rèn)證——身份證認(rèn)證和銀行卡認(rèn)證。

2、實(shí)名認(rèn)證、全額賠付應(yīng)對(duì)資金被盜、網(wǎng)絡(luò)詐騙

國(guó)內(nèi)領(lǐng)先的第三方支付平臺(tái)如支付寶、快錢等目前都采用了多種安全措施。例如，快錢除了從技術(shù)手段上防范盜卡之外，還在安全方面加設(shè)了用戶的認(rèn)證系統(tǒng)等六道功能，試圖將安全隱患?jí)旱偷阶钚〕潭取?/p>

作為國(guó)內(nèi)最大的第三方支付平臺(tái)，支付寶的做法更為完備。早在2006年7月，支付寶就推出“支付寶認(rèn)證”服務(wù)，對(duì)所有使用支付寶的賣家進(jìn)行雙重身份認(rèn)證，即身份證認(rèn)證和銀行卡認(rèn)證。除了與公安部全國(guó)公民身份證號(hào)碼查詢服務(wù)中心合作校驗(yàn)身份證的真?zhèn)危Ц秾氝€與各大商業(yè)銀行進(jìn)行合作，利用銀行賬戶實(shí)名制信息來校驗(yàn)用戶填寫的姓名和銀行賬戶號(hào)碼是否準(zhǔn)確。支付寶公司還在國(guó)內(nèi)率先推出了“全額賠付”制度和交易安全基金，網(wǎng)絡(luò)欺詐發(fā)生率僅為萬分之二。

3、采用多重技術(shù)手段保障用戶安全

按照艾瑞咨詢發(fā)布的2010年第三季度第三方支付的市場(chǎng)份額，對(duì)比前幾名的第三方支付企業(yè)的安全技術(shù)保障措施（截至2010年12月20日），結(jié)果如表1所示。

表1 主流第三方支付企業(yè)的安全技術(shù)保障措施

（1）采用SSL協(xié)議保障底層安全。從表1可以看出，到目前為止，幾乎所有主流第三方支付都采用安全套接層協(xié)議（SSL協(xié)議）作為底層協(xié)議，客戶機(jī)和服務(wù)器交換信息前都必須構(gòu)建安全通道，所有信息都經(jīng)過加密傳輸，安全性將大為提高。

（2）采用數(shù)字證書保護(hù)用戶賬戶安全。分析的五家第三方支付平臺(tái)除了中國(guó)銀聯(lián)在線外都推薦使用數(shù)字證書，即使用戶發(fā)送的信息在網(wǎng)上被他人截獲，甚至丟失了個(gè)人的賬戶、密碼等信息，仍可以保證用戶的賬戶、資金安全。

（3）采用手機(jī)驗(yàn)證保護(hù)用戶賬戶安全。數(shù)字證書安全級(jí)別雖然較高，但對(duì)于不少計(jì)算機(jī)入門者來說使用有一定難度，于是支付寶推出了手機(jī)短信的動(dòng)態(tài)口令登陸的方式，財(cái)付通、支付寶等推出了短信驗(yàn)證服務(wù)、信使服務(wù)等，既可以保護(hù)用戶賬戶安全，又為用戶對(duì)數(shù)字證書的備份、導(dǎo)入等難題提供了解決方案。

（4）采用U盾或和銀行U盾綁定保護(hù)用戶賬戶安全。第三方支付雖然現(xiàn)在還是民營(yíng)企業(yè)，但是為了保護(hù)用戶賬戶安全，不少企業(yè)向金融機(jī)構(gòu)看齊，不斷提升安全保障措施?，F(xiàn)在不少第三方支付還可以提供類似于銀行網(wǎng)銀U盾這樣的工具，既方便了用戶又保證了用戶的使用安全，還有的第三方支付平臺(tái)和銀行加強(qiáng)合作，銀行的U盾即可用來登錄、管理第三方支付平臺(tái)的賬戶。

（5）多重安全技術(shù)策略確保用戶安全。第三方支付平臺(tái)越來越重視安全性能的開發(fā)，從表1中看出像支付寶這樣的領(lǐng)軍企業(yè)，為了用戶安全不斷創(chuàng)新，采取數(shù)字證書、手機(jī)動(dòng)態(tài)口令、安全控件和風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)控等多重安全策略齊下的方案，大大降低了技術(shù)風(fēng)險(xiǎn)。

同時(shí)，對(duì)于數(shù)字證書的管理，第三方支付企業(yè)應(yīng)加快與第三方CA機(jī)構(gòu)的合作，使第三方支付企業(yè)從證書的頒發(fā)者、管理者真正轉(zhuǎn)變成為被認(rèn)證者。這樣，用戶的權(quán)益將得到法律更多的保護(hù)，這對(duì)于從根本上保障電子商務(wù)交易的安全具有重大的現(xiàn)實(shí)意義。

4、爭(zhēng)取早日拿到央行的電子支付牌照

據(jù)中國(guó)之聲《新聞縱橫》報(bào)道，央行支付結(jié)算司相關(guān)負(fù)責(zé)人表示，首批第三方支付牌照可能在2011年發(fā)放。這意味著像支付寶、快錢、財(cái)富通等第三方支付企業(yè)將很快被“正名”，獲得官方認(rèn)可的支付牌照。

可見，第三方支付的民營(yíng)出身將正式納入央行的金融機(jī)構(gòu)管轄范圍，第三方支付本身的信用問題將隨之得到圓滿解決。用戶也不必?fù)?dān)心由于第三方支付企業(yè)的破產(chǎn)而帶來的種種金融風(fēng)險(xiǎn)，正名后的第三方支付將迎來發(fā)展的大好明天。

[1]彭暉、吳擁政、張愛莉：網(wǎng)絡(luò)金融理論與實(shí)踐[M]．西安交通大學(xué)出版社，2008．

[2]楊興凱、張笑楠：電子商務(wù)中的第三方支付比較分析[J].商業(yè)研究，2008（5）．

[3]劉洪波：論網(wǎng)上銀行與第三方支付平臺(tái)的競(jìng)合關(guān)系[J].商業(yè)時(shí)代，2009（34）．

（責(zé)任編輯：胡冬梅）