剛剛過去的春節,火的不僅是微信紅包,更是其背後的第三方移動支付。購物、打車、水電費繳納、AA收款……,如今,以支付寶、微信財付通為代表,第三方移動支付的應用場景不斷拓展,其便捷化特徵也日益突出。
然而,沒有足夠的技術保障和監管防控制度,便捷也往往意味著風險。近日,客戶資訊洩露、非實名註冊欺詐、賬戶遭盜刷等問題也時有發生。如何未雨綢繆,引導第三方移動支付健康發展?
便捷中的安全隱患
第三方支付機構目前採用的支付模式,把銀行和支付客戶隔離開來,致使銀行無法掌握交易資訊,增加了非法套現、釣魚欺詐的防範難度
“撿到他人手機後,任何人都可以僅通過手機驗證碼取回支付寶密碼,進而登錄賬戶盜走資金。”北京市民王建勳在網上看到這樣一則帖子,他拿朋友手機測試發現,除了手機驗證碼,還需要輸入用戶身份證號,經過兩道關口後才可以進入對方支付寶賬戶。
“但是,如果我的手機和身份證同時被人偷了怎麼辦?”王建勳遭遇的受理環境安全風險,正是當下第三方移動支付隱藏的主要問題。
“便捷讓支付的過程發生了很大變化。”公安部相關負責人表示,以往用戶去商業銀行註冊開戶時,需要面對面識別、身份證聯網核查等多重查驗。而在便捷化的第三方移動支付環境下,僅通過姓名、卡號、身份證、手機號就可以完成,而且手機號的短信驗證也被代勞,缺乏有效的多因素認證措施,安全程度較低。
除了受理環境安全風險,第三方移動支付在用戶資訊洩露、交易安全等方面也同樣存在隱患。
近日,有不法分子竊取黑龍江大慶市民黃某的相關資訊,隨後“冒名”註冊支付寶賬戶並與黃某銀行卡綁定,借道支付寶將其卡中的20萬元“消費”殆盡。此前,支付寶也曾爆出“內鬼”洩露用戶資訊事件。該公司前技術員工李某利用職務之便,共下載總容量為20G的客戶資訊,隨後夥同他人將資訊多次出售。
“第三方移動支付業務廣泛開展以後,用戶的資訊呈現‘分散化’的存儲狀態。”銀監會有關人士表示,出於成本考量,很多小規模的第三方支付機構缺乏金融級的、嚴密的風控流程和技術。在交易監控上,目前第三方支付公司採用類似“二次清分”的模式,把銀行和支付客戶隔離開來,致使銀行無法掌握支付交易的産品類別、二級商戶資訊等,難以掌握支付用戶線上消費資金的真實去向,增加了支付交易中非法套現、釣魚欺詐的防範難度。
監管需要多方協同
應厘清第三方支付機構可從事的類銀行業務範圍、應承擔的責任,並根據業務類型及影響等因素建立業務準入、條線管理的分類協作監管機制
對於第三方移動支付出現的問題和存在的安全隱患,監管部門已經予以重視。本報記者從銀監會獨家獲悉,目前相關監管措施正在研究當中,也需要多方協同。“第三方移動支付雖然存在安全隱患,但便捷化無疑是網際網路支付帶來的巨大創新與進步,因此,監管需要尋求便捷與安全的平衡點。”銀監會相關人士表示。
目前,我國從事網際網路支付業務的主體包括兩類,一類是傳統商業銀行,一類是第三方支付。傳統商業銀行的支付業務由人民銀行、銀監會依據法定職責分別予以監管,第三方支付機構由人民銀行發放牌照,其業務活動的監管安排目前仍在醞釀當中。
為此,銀監會建議,為鼓勵創新,促進網際網路金融的健康發展,保護金融消費者權益,應進一步明確對第三方支付機構從事類銀行業務或與銀行有關聯業務的監管職責,厘清第三方支付機構可從事的類銀行業務範圍、應承擔的責任,並根據業務類型、影響等因素建立業務準入、條線管理的分類協作監管機制。
除了外部監督,第三方支付機構自身的內部約束也必不可少。銀監會表示,第三方支付機構應提升安全和合規意識,加強管理和技術研發,提高風險管控水準;應合理平衡科技創新與資訊安全的關係,在創新的同時建立配套的安全措施,並自覺遵守行業監管規定和合作協議。
此外,第三方支付機構還需加強終端安全建設,加強敏感資訊傳輸安全,防止敏感資訊被非法竊取。對快捷支付、大額轉賬、修改綁定手機號等關鍵業務或操作,應進一步強化身份認證控制措施,如發至銀行端驗證、雙因素認證等,防止偽冒身份或偽造交易。
銀監會表示,監管還需多方協同,要求商業銀行和第三方支付機構從4方面入手,建立合作機制,聯手防範資訊科技風險。一是定期就突出風險開展討論和交流,共同研判防治措施,形成聯合打擊的良好合作關係;二是加強對客戶、商戶的安全教育,防止欺詐交易、釣魚網站等威脅;三是在資訊共用、突發事件預防與處置、應急演練等方面加強溝通與合作;四是第三方支付機構應向銀行實時提供必要的、真實的交易背景資訊,協助銀行更好地判別交易風險,提升交易風險監測和管理水準。
[責任編輯: 楊麗]