淺析第三方支付現(xiàn)狀及安全風(fēng)險

■楊 樂

（青島大學(xué)）

1 第三方支付的概述

1.1 第三方支付的概念

第三方支付是指具備一定實力和榮譽保障的交易支持平臺，在與國內(nèi)外各大銀行簽約以后，與銀行支付結(jié)算系統(tǒng)接口對接，從而促成交易達成的一種網(wǎng)絡(luò)支付模式。

1.2 第三方支付的特征

（1）便捷。第三方作為溝通買賣雙方的紐帶，本身帶有一定的中介性質(zhì)，買賣雙方的信息和資金均可通平臺進行交換和轉(zhuǎn)移，大大提高了交易效率。

（2）安全性高。第三方支付平臺伴隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展產(chǎn)生，一切經(jīng)其傳遞的信息都能以加密信息的形式進行傳輸。由第三方其掌握著買賣雙方的信息，一方面保證了買方在收貨前的資金安全，另一方面也確保了賣方可以及時收到貨款。

（3）成本低?；ヂ?lián)網(wǎng)技術(shù)是電子商務(wù)運轉(zhuǎn)的基礎(chǔ)。若沒有第三方支付，資金的收付則會嚴重依賴商業(yè)銀行與各大電商企業(yè)建立的專用接口，而電商行業(yè)的迅速發(fā)展無疑意味著大量專用接口的建立，這給銀行網(wǎng)關(guān)的開發(fā)帶來了巨大的壓力。而第三方支付通過與銀行合作、建立統(tǒng)一接口，使得無需每個銀行建立自有接口，大大降低了銀行的網(wǎng)關(guān)開發(fā)費用。

（4）信息處理集中。第三方支付可以獲取電子商務(wù)交易中的各種信息，并有權(quán)利對其進行整合：用戶不但可以使用第三方支付進行支付，還可以查看商品的物流信息、選擇退換貨等；商家也可以隨時查看資金情況，有效實現(xiàn)了電子商務(wù)交易中資金流、信息流和物流三者的統(tǒng)一。

（5）受眾人群廣。隨著電商產(chǎn)業(yè)的不斷擴大，電子商務(wù)涉及的領(lǐng)域和服務(wù)類型也逐漸精細化，這樣一來，其消費群體在年輕一代的基礎(chǔ)上，又增加了各個年齡段消費者。

2 第三方支付的發(fā)展現(xiàn)狀

2.1 交易規(guī)模不斷擴大，增長率趨于平穩(wěn)

根據(jù)艾瑞咨詢《2020年中國第三方支付行業(yè)研究報告》顯示：2019年中國第三方產(chǎn)業(yè)支付交易規(guī)模高達119.6萬億元，同比增長13.1%。盡管增長率有所下降，第三方交易規(guī)模還是處在不斷擴大的狀態(tài)，且增速基本保持在10%以上，預(yù)計2020年的交易規(guī)?？蛇_140萬億元（如圖1）。

圖1 2015—2021年中國第三方產(chǎn)業(yè)支付交易規(guī)模

2.2 線下掃碼呈爆發(fā)式增長

根據(jù)艾瑞咨詢的數(shù)據(jù)顯示，自2016年第一季度到2019年第一季度，線上電商交易規(guī)模由9654億元增長到19820.9億元，增長了105.3%，同期線下掃碼支付交易規(guī)模從830億元增長到了73805.3億元，增長了8792.2%，其增長率遠高于線上電商支付。

2.3 支付寶和財付通依舊為第三方支付的兩大寡頭

截止到2019年，第三方支付的交易市場份額主要集中在支付寶和財付通兩巨頭身上，形成了寡頭壟斷的市場局面。根據(jù)艾瑞咨詢的數(shù)據(jù)顯示，支付寶的互聯(lián)網(wǎng)交易份額占了市場的一半以上，高達54.4%；財付通以39.4%的市場占有率位居第二；其他機構(gòu)占比較少。

2.4 國家進行規(guī)范監(jiān)管

雖然第三方支付的出現(xiàn)為人們的生活帶來了極大的便利，但是各種問題也隨之產(chǎn)生，同時，由于第三方支付規(guī)模龐大，這些問題的出現(xiàn)也對我國的傳統(tǒng)金融市場產(chǎn)生了一定的負面影響。在這種情況下，我國政府也陸續(xù)頒布了一系列文件，加強對第三方支付行業(yè)的監(jiān)管，規(guī)范和引導(dǎo)其發(fā)展。

3 第三方服務(wù)存在的安全風(fēng)險

3.1 個人信息風(fēng)險

（1）支付場景復(fù)雜多樣，信息泄露風(fēng)險上升。隨著互聯(lián)網(wǎng)和網(wǎng)絡(luò)支付的普及，第三方支付的消費場景范圍也不斷擴大，醫(yī)療、交通、娛樂和餐飲等領(lǐng)域均開始采用第三方支付，消費者的支付信息也隨著消費場景的增加不斷擴散，增大了個人信息泄露的可能性。除此之外，不同場合的網(wǎng)絡(luò)安全程度也有所差異，當用戶使用安全等級較低的公共網(wǎng)絡(luò)時，個人信息很容易會被不法分子竊取。

（2）隱私信息過于密集，個人識別幾率增大。第三方支付企業(yè)在運營過程中往往會收集用戶的個人信息，而這些信息多為隱私性極強的私密信息，如：身份證信息、生物特征、用戶所在地等等。同時，在使用第三方支付時，用戶會產(chǎn)生一定的商品消費記錄，不法分子通過大數(shù)據(jù)即可推算用戶的消費習(xí)慣和用戶身份，從而鎖定用戶的資金賬戶，并對其進行攻擊。

（3）支付終端安全性低。第三方支付往往是通過智能手機完成的，但是手機的防火墻遠比不上PC端防火墻，使得智能手機更容易被犯罪分子突破。

（4）數(shù)據(jù)跨境流通風(fēng)險高。伴隨著經(jīng)濟全球化和“一帶一路”政策的推動，我國部分傳統(tǒng)中小型企業(yè)和電商企業(yè)開始轉(zhuǎn)型為跨境電商企業(yè)。然而，境外業(yè)務(wù)產(chǎn)生的數(shù)據(jù)將直接儲存在境外，或者根據(jù)當?shù)氐姆煞ㄒ?guī)進行存儲，難以保證數(shù)據(jù)的安全性。

（5）第三方企業(yè)的不當利用。在使用第三方支付時，用戶可在平臺上使用各種第三方應(yīng)用。在使用第三方應(yīng)用的過程中，自然會在第三方應(yīng)用上產(chǎn)生相應(yīng)的數(shù)據(jù)，而大部分第三方支付企業(yè)默認將用戶信息與第三方合作企業(yè)共享，并明確表示用戶使用第三方應(yīng)用時受其隱私政策的約束，在這樣的情況下，個人信息的傳輸和存儲風(fēng)險會進一步提高。

3.2 支付信息被惡意篡改

現(xiàn)有的支付平臺一般會提供多個銀行的網(wǎng)絡(luò)銀行接口，若第三方支付平臺的技術(shù)有所欠缺，用戶的賬戶信息和支付信息很容易會被不法分子所竊取甚至篡改，價值平臺會與多家銀行進行合作，嚴重的話甚至?xí)?dǎo)致平臺上所有的網(wǎng)絡(luò)銀行遭受損失。

3.3 平臺準入門檻低，難以保證用戶信息安全

一方面，雖然企業(yè)需拿到第三方支付牌照才能夠從事支付業(yè)務(wù)，但是仍有部分企業(yè)利用國家的鼓勵政策和法律的灰色地帶從事非法金融活動，他們通過支付平臺獲取的用戶信息、進行非法交易；另一方面，也存在著謀求私利的員工主動盜取用戶信息，將其泄露給不法分子，嚴重威脅著網(wǎng)絡(luò)安全。

3.4 平臺運行風(fēng)險

第三方支付平臺在設(shè)計之初是為了滿足基本的交易需求，隨著其不斷完善，第三方支付的業(yè)務(wù)范圍也開始逐漸擴大，用戶數(shù)量、每日訪問量和交易數(shù)額等都會出現(xiàn)大幅增長，當超過系統(tǒng)的預(yù)設(shè)處理范疇時，系統(tǒng)運行則會容易出現(xiàn)障礙，引起交易風(fēng)險。

3.5 網(wǎng)絡(luò)認證風(fēng)險

雖然通過大數(shù)據(jù)和云計算等技術(shù)加大了信息認證的準確性，但是單純的信息認證仍然難以保證用戶身份的唯一性。此外，盡管生物特征等識別技術(shù)已經(jīng)投入使用，AI換臉等技術(shù)的產(chǎn)生還是導(dǎo)致生物特征識別面臨著新困境，識別機制依舊不夠完善。

3.6 客戶端認證風(fēng)險

若用戶的手機遭受病毒或第三方插件襲擊，不法分子極容易獲取用戶的賬戶、密碼、驗證碼等信息，通過非法網(wǎng)絡(luò)，在未經(jīng)客戶端認證的情況下竊取敏感信息和平臺資金。

4 對策和建議

4.1 完善法律法規(guī)

目前，我國針對第三方支付的立法主要立足于用戶資金安全的保護，忽略了個人信息的重要性。在加強立法保護時，應(yīng)注重統(tǒng)一立法和分別立法相結(jié)合，因為如今的第三方平臺不止提供收付款服務(wù)，其業(yè)務(wù)類型也日趨多樣化，對于個人信息的收集也有不同的側(cè)重點，統(tǒng)一立法很難避免灰色地帶的產(chǎn)生，無法周全地保護公民個人信息。因此，應(yīng)加強各行業(yè)的信息保護，建立有針對性、適應(yīng)性的執(zhí)法和保護標準。其次，相關(guān)法律應(yīng)明細和規(guī)范各方職責(zé)，建立第三方平臺和用戶個人黑名單，對違法違規(guī)的企業(yè)或個人進行嚴肅處理。此外，通過立法明確跨境電商企業(yè)的境外數(shù)據(jù)保護職責(zé)，以提高境外數(shù)據(jù)流通的安全性也很有必要。

4.2 設(shè)置專門的行政機構(gòu)進行監(jiān)管

“互聯(lián)網(wǎng)+”的提出吸引了各個行業(yè)進入到互聯(lián)網(wǎng)領(lǐng)域來，豐富了互聯(lián)網(wǎng)經(jīng)濟的同時，也使得不同的部門分別下發(fā)文件進行監(jiān)督和管理。然而，各部門之間沒有形成聯(lián)動，無法開展有效合作，致使第三方監(jiān)管部門之間權(quán)限不分、責(zé)任不明，難以保護用戶信息的安全。因此，應(yīng)設(shè)置專門的數(shù)據(jù)保護機構(gòu)，細化監(jiān)管流程、針對性地管理用戶信息、監(jiān)督執(zhí)行個人隱私保護條款，推動整個行業(yè)的規(guī)范發(fā)展。

4.3 優(yōu)化隱私條款

支付平臺之所以收集信息，是為了驗證用戶身份、改善產(chǎn)品服務(wù)，但是在企業(yè)在收集個人信息時，應(yīng)充分明確信息用途，且將信息收集量控制在“完成相應(yīng)驗證”的范圍內(nèi)，將信息收集控制在最小量，并對存儲的信息采取充分的保護措施。除此之外，第三方企業(yè)應(yīng)對于收集的信息設(shè)置相應(yīng)的儲存時限，使信息信息的時效性，在完成收集目的后要及時處理系統(tǒng)內(nèi)的用戶信息，不再繼續(xù)儲存。

4.4 倡導(dǎo)行業(yè)自律

一般來說，行政部門的技術(shù)水平往往會高于科技型企業(yè)，但是在第三方市場競爭激烈的今天，第三方企業(yè)收集了的國內(nèi)外大量數(shù)據(jù)，其技術(shù)創(chuàng)新有可能會優(yōu)于國家行政部門。在這種情況下，行政部門的技術(shù)水平往往會因為缺少競爭壓力而滯后，使得企業(yè)技術(shù)水平遠高于體制內(nèi)的機構(gòu)。因此，為了防止技術(shù)濫用導(dǎo)致信息泄露，在充分完善政策和立法的基礎(chǔ)上，也應(yīng)倡導(dǎo)行業(yè)自律。

4.5 建立完善的市場準入機制

市場需求和行業(yè)監(jiān)管都要求第三方企業(yè)達到一定的標準才可擁有行業(yè)資質(zhì)。因此，在頒發(fā)第三方支付牌照時，應(yīng)充分考慮第三方企業(yè)的最低資本金、內(nèi)部控制能力、風(fēng)險管理、保險和技術(shù)等，避免不法分子利用政策漏洞違法犯罪。

4.6 提高技術(shù)手段

（1）終端企業(yè)的技術(shù)提升。由于第三方支付以移動終端作為支付，終端設(shè)備的安全性與可靠性就極大地影響了第三方用戶的信息安全。

（2）完善網(wǎng)絡(luò)基礎(chǔ)設(shè)施。除了部分地區(qū)網(wǎng)絡(luò)發(fā)展過慢以外，對于公共網(wǎng)絡(luò)安全性的建設(shè)也不可忽視。我國應(yīng)加大對網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)的投資力度，推動互聯(lián)網(wǎng)安全的進一步發(fā)展。

（3）強化用戶身份認證機制。第三方平臺應(yīng)提高本身的技術(shù)水平，強化用戶身份認證機制、擴大數(shù)據(jù)承載冗余、建立可信的網(wǎng)絡(luò)識別體系，從而保障信息存儲和傳輸安全，有助于營造可信的網(wǎng)絡(luò)平臺、樹立良好的信用形象，降低信息泄露的安全風(fēng)險。