在互联网金融快速发展的形势下,互联网支付已经成为一种潮流。人民银行发布的《2013 年支付体系运行总体情况》显示,截至 2013 年底,支付机构累计发生互联网支付业务 153.38 亿笔,金额达 9.22 万亿元,同比分别增长了 56.06% 和 48.57%。而随着互联网支付业务的快速发展,其风险也逐步暴露出来,急需予以重点防范。
一、互联网支付业务风险的新情况
2013 年 9 月,持卡人王某银行卡内 19?000 余元资金被他人用支付宝分 5 次转走,经查为犯罪分子通过保险公司获取了王某的个人资料,用假身份证申请了一个手机号码,并修改了王某支付宝账户绑定的手机号码,重置了支付宝密码,从而将王某与支付宝账户绑定的银行卡内的资金成功转走。对于保险公司来说,其任意开放客户信息查询的权限,未尽到保护客户个人隐私和个人信息安全的职责 ;对于电信公司来说,犯罪分子能够轻易使用假身份证办理手机号,反映出电信公司对于客户身份审核把关不严,业务流程和机制存在严重漏洞 ;对于支付公司来说,因片面追求所谓的客户体验和便捷性,采取激进策略扩大业务规模,使用了安全等级较低的身份验证方式,在源头上埋下了风险隐患。
类似案件的频发,反映出目前我国互联网支付业务的风险防范形势不容乐观,因外部原因造成的个人信息泄露使得银行卡盗刷事件呈现出增多的态势,手机验证安全性不足造成银行卡被盗刷的风险增加。
二、互联网支付的安全问题
从业务形态来看,目前的互联网支付方式主要以第三方快捷支付为主,虽然各家支付机构在认证方式及实现机制等方面存在细节上的差别,但都具有“一次认证,重复使用”的特征。“一次认证”即用户在首次申请该业务时,需要支付机构与开户银行双方通过手机号码、有效身份证件种类及号码、银行账户等信息共同完成用户身份认定 ;“重复使用”即该业务开通后,用户发生支付行为时,不需要重复首次申请时较为繁琐的身份认证环节,只需输入支付平台注册信息进行校验后即可实现支付。这样的业务模式节省了交易时间,增强了用户体验,适用于互联网小额支付领域。但从安全性来看,该模式存在一定的安全隐患。弱,过于依赖手机短信验证目前,手机验证已经成为互联网支付的一个重要验证手段,客户在任何一个交易环节,包括登录、验证、支付等,只要忘记密码,都可以通过短信方式重置,这使得手机直接成为犯罪分子攻击的对象。单一的验证要素一旦被攻破,后续的风险也相应产生。此外,一些支付机构对短信验证采取了收费策略,会导致部分持卡人主动取消短信验证服务,反而不利于支付安全的保障。
在获得银行海量的完整客户和账户信息之后,支付机构如果在未经客户授权的情况下将信息挪作他用,将带来严重的法律风险和用户信息泄露隐患。另外,在互联网环境下,支付机构在将支付指令传输至银行或银联的过程中,也存在信息泄露的风险。在互联网支付领域,支付应用往往是以互联网页或应用软件APP 的形式发布在某个应用平台上。在涉及资金交易的支付应用领域,用户一旦登录非正规网站或下载了恶意软件,敏感信息将面临被盗取的风险。对于银行来说,目前新兴支付业务的支付验证过于依赖第三方支付公司,这等于自动放弃了对持卡人进行身份验证的职责,在业务上退居支付产业末端的同时,亦减弱了对持卡人资金安全的保护。
三、行业间的关联性风险问题
从最近发生的风险案例来看,在互联网金融创新中,金融机构的风险管理不仅要考虑自身的风险因素,还要考虑其他金融机构,甚至是其他行业风险的影响。在向统一支付平台发展的过程中,金融机构之间的互联互通越来越紧密,关联性日渐增强,客户的个人隐私一旦在某一关口发生泄露,往往产生连带效应,导致其他金融平台的信息也容易产生被盗的安全隐患。例如,持卡人绑定的多个快捷账户,一张银行卡的损失往往会牵连到其他多家金融机构。
在互联网金融中,电信运营商为金融服务提供了接入渠道和部分认证信息的发送渠道,运营商渠道信息的安全性和部分服务会对金融体系的风险产生影响,利用运营商渠道漏洞进行电信欺诈及资金盗窃已经成为电子银行欺诈案件的主要方式之一。所以,金融机构对金融业务的风险管理模型需要增加对运营商侧服务的考量。互联网金融的一个重要特征是建立在大数据基础上的数据分享和数据挖掘。随着电子商务、电子银行、社交网络、新媒体的发展,个人隐私、交易数据等敏感信息被广泛搜集,这对金融安全和消费者权益保护提出了巨大挑战。在互联网金融背景之下,攻击者可以利用客户敏感数据信息进行金融欺诈,直接威胁金融业务的安全。目前,对信息和资金的安全管理以及对消费者合法权益的保护成为金融风险管理的新课题,需要相关监管机构和商业银行进一步完善监管机制和风险防控体系。
四、对互联网支付风险管理的建议
互联网金融下的风险管理新问题涉及金融机构、非金融支付机构、电信运营商等相关行业,对金融机构产品创新和业务运营的风险防控体系提出了严峻挑战,笔者在此提出部分改进建议,以供参考。对于大额交易,针对快捷支付业务中用户名加第三方支付用户密码的身份认证方式,建议在短信验证的基础上采用双因子认证机制。以银行卡网上交易密码(或查询密码)、短信验证、令牌、网银 Key 等其中两种方式对持卡人的身份进行验证,加大持卡人身份验证强度,保障交易安全,同时确保银行得到持卡人的完整授权,提高交易的不可否认性。
对于银行来说,应该加强与互联网企业、电信运营商及其他金融机构的交流与合作,形成长效合作机制。在管理模式上,可以成立独立的风险管理团队,监控微博、大型社区论坛等大众化、快速传播的新媒体舆论,以及时发现风险并进行应急处理,避免损失的进一步扩大。对于金融监管机构来说,应加强分业监管下的联合,并与信息产业管理及工商部门进行合作,规范信息、电子商务等领域的相关业务创新,加强对持卡人权益的保护,促进互联网金融创新健康有序发展。第三方支付公司在为客户开通支付功能时,应履行对客户的尽职调查义务,保障客户资料的真实性,并明示支付过程中的细节和风险,防止出现片面的宣传导致客户对风险认识不足的情况。
客户也要提供适当的身份证明文件及相关资料才能获得互联网支付服务的权限。在银行卡交易过程中,应建立起适当的风险控制和缓释机制,如采取在当天新办或更新的手机号暂停网上交易等措施,防患于未然。金融机构、电信运营商、公安机关应该从不同角度加强对消费者安全意识的培养。金融机构应完善对业务风险和常见欺诈行为的警示及风险防控机制 ;电信运营商应完善通信号码管理规范以及通信软件的安全管理规范 ;公安机关应及时将具有普遍意义的资金欺诈行为通过电视、报纸、互联网等渠道通告给消费者 ;监管部门应加强在金融创新方面的消费者权益保护立法工作,尽快完善消费者损失索赔的法律规范,以切实减少客户的实际损失。
