刚刚过去的春节,火的不仅是微信红包,更是其背后的第三方移动支付。购物、打车、水电费缴纳、AA收款……,如今,以支付宝、微信财付通为代表,第三方移动支付的应用场景不断拓展,其便捷化特征也日益突出。
然而,没有足够的技术保障和监管防控制度,便捷也往往意味着风险。近日,客户信息泄露、非实名注册欺诈、账户遭盗刷等问题也时有发生。如何未雨绸缪,引导第三方移动支付健康发展?
便捷中的安全隐患
第三方支付机构目前采用的支付模式,把银行和支付客户隔离开来,致使银行无法掌握交易信息,增加了非法套现、钓鱼欺诈的防范难度
“捡到他人手机后,任何人都可以仅通过手机验证码取回支付宝密码,进而登录账户盗走资金。”北京市民王建勋在网上看到这样一则帖子,他拿朋友手机测试发现,除了手机验证码,还需要输入用户身份证号,经过两道关口后才可以进入对方支付宝账户。
“但是,如果我的手机和身份证同时被人偷了怎么办?”王建勋遭遇的受理环境安全风险,正是当下第三方移动支付隐藏的主要问题。
“便捷让支付的过程发生了很大变化。”公安部相关负责人表示,以往用户去商业银行注册开户时,需要面对面识别、身份证联网核查等多重查验。而在便捷化的第三方移动支付环境下,仅通过姓名、卡号、身份证、手机号就可以完成,而且手机号的短信验证也被代劳,缺乏有效的多因素认证措施,安全程度较低。
除了受理环境安全风险,第三方移动支付在用户信息泄露、交易安全等方面也同样存在隐患。
近日,有不法分子窃取黑龙江大庆市民黄某的相关信息,随后“冒名”注册支付宝账户并与黄某银行卡绑定,借道支付宝将其卡中的20万元“消费”殆尽。此前,支付宝也曾爆出“内鬼”泄露用户信息事件。该公司前技术员工李某利用职务之便,共下载总容量为20G的客户信息,随后伙同他人将信息多次出售。
“第三方移动支付业务广泛开展以后,用户的信息呈现‘分散化’的存储状态。”银监会有关人士表示,出于成本考量,很多小规模的第三方支付机构缺乏金融级的、严密的风控流程和技术。在交易监控上,目前第三方支付公司采用类似“二次清分”的模式,把银行和支付客户隔离开来,致使银行无法掌握支付交易的产品类别、二级商户信息等,难以掌握支付用户线上消费资金的真实去向,增加了支付交易中非法套现、钓鱼欺诈的防范难度。
监管需要多方协同
应厘清第三方支付机构可从事的类银行业务范围、应承担的责任,并根据业务类型及影响等因素建立业务准入、条线管理的分类协作监管机制
对于第三方移动支付出现的问题和存在的安全隐患,监管部门已经予以重视。本报记者从银监会独家获悉,目前相关监管措施正在研究当中,也需要多方协同。“第三方移动支付虽然存在安全隐患,但便捷化无疑是互联网支付带来的巨大创新与进步,因此,监管需要寻求便捷与安全的平衡点。”银监会相关人士表示。
目前,我国从事互联网支付业务的主体包括两类,一类是传统商业银行,一类是第三方支付。传统商业银行的支付业务由人民银行、银监会依据法定职责分别予以监管,第三方支付机构由人民银行发放牌照,其业务活动的监管安排目前仍在酝酿当中。
为此,银监会建议,为鼓励创新,促进互联网金融的健康发展,保护金融消费者权益,应进一步明确对第三方支付机构从事类银行业务或与银行有关联业务的监管职责,厘清第三方支付机构可从事的类银行业务范围、应承担的责任,并根据业务类型、影响等因素建立业务准入、条线管理的分类协作监管机制。
除了外部监督,第三方支付机构自身的内部约束也必不可少。银监会表示,第三方支付机构应提升安全和合规意识,加强管理和技术研发,提高风险管控水平;应合理平衡科技创新与信息安全的关系,在创新的同时建立配套的安全措施,并自觉遵守行业监管规定和合作协议。
此外,第三方支付机构还需加强终端安全建设,加强敏感信息传输安全,防止敏感信息被非法窃取。对快捷支付、大额转账、修改绑定手机号等关键业务或操作,应进一步强化身份认证控制措施,如发至银行端验证、双因素认证等,防止伪冒身份或伪造交易。
银监会表示,监管还需多方协同,要求商业银行和第三方支付机构从4方面入手,建立合作机制,联手防范信息科技风险。一是定期就突出风险开展讨论和交流,共同研判防治措施,形成联合打击的良好合作关系;二是加强对客户、商户的安全教育,防止欺诈交易、钓鱼网站等威胁;三是在信息共享、突发事件预防与处置、应急演练等方面加强沟通与合作;四是第三方支付机构应向银行实时提供必要的、真实的交易背景信息,协助银行更好地判别交易风险,提升交易风险监测和管理水平。