安全与法治引领电子支付产业未来之路

本刊记者 杨 晨

安全与法治引领电子支付产业未来之路

本刊记者 杨 晨

网上交易的健康快速发展,必须突破“三座大山”即电子支付、信用和物流三项瓶颈,其中,电子支付是整个网上交易的最关键环节,也是安全风险最为集中的部分,可以毫不夸张地说,电子支付的安全决定着网上交易的兴衰存亡。

为了避免广大电子支付用户的财产损失,以及由于支付安全问题导致的社会经济灾难性后果,有效的信息安全风险防范,也许就是避免下一场全球金融危机的“救命稻草”。

产业化道路始终与网络风险相伴

让时光先倒流回十年前。2005年1月,《国务院办公厅关于加快电子商务发展的若干意见》出台,我国电子商务发展终于有了国家级的政策依据,为我国电子商务的健康持续快速增长奠定了良好的基础。同年4月,《电子签名法》正式实施,为网上交易的安全提供了强有力的法律支撑。同年10月,中国人民银行发布了《电子支付指引(第一号)》文件,《指引》特别强调了电子支付风险的防范与控制,并明确了电子支付业务差错处理的原则和要求。因此,2005年也被业界称为中国的“电子商务年”。

2010年9月1日《非金融机构支付服务管理办法》正式实施,标志着曾经长期处于监管空白地带的第三方支付机构的行业地位被中央银行所认可,并成为支付体系不可或缺的一部分,在与银行机构一边竞争一边合作的态势下共同服务于国内社会公众的支付需求。

经过十年的发展,电子商务在中国的全面兴起,带来了电子支付产业的迅猛发展,而在此过程中,一些业已存在的安全问题没有同步得到解决,却被快速发展的光环所冲淡。但是,问题终究是问题,尤其是从安全角度讲,信息技术发展的速度越快,安全风险的指数级则会越高,这几乎是各类信息化应用和建设中不变的规律,电子支付领域,也不会例外。

与一般的大型和重要信息系统面临的安全风险不同,由于涉及到金钱交易,网络攻击者得手后会直接获得暴利,因此,网络黑客往往更愿意在有电子支付服务的系统上挖空心思,实施犯罪。这就意味着电子支付平台和用户面临更大的网上威胁。作为第三方支付平台的用户,在支付环节一旦遭受损失,第一反应就会去找第三方支付平台“算账”,把责任归咎到第三方支付平台。因此,大批运营第三方支付平台的企业对于网络风险有着切肤之痛,对于安全保障的需求往往十分强烈。某电子支付企业的客服经理对记者讲:“在巨大的安全风险和不计其数的客户投诉面前,作为电子商务最为关键环节的第三方支付平台真的感觉到“压力山大”。

据中国警察网消息,由于经第三方支付平台POS机转账的资金不经过银联,也就谈不上银联的监管,这为犯罪分子继续转移资金提供了便利,就算受害人第一时间发现报警,警方截留资金的难度也相当高。

此前,广东警方在办案时就发现,一些商业银行和第三方支付机构为单纯追求商业利润滥发POS机,对申领人的资料真伪不进行审核。在这种情况下,不法分子使用虚假身份和商户名就可以申领到POS机进行盗刷作案。

为了牟取暴利,一些金融机构及第三方支付平台工作人员内外勾结,与外部犯罪分子里应外合,针对网络交易过程实施犯罪,一位电子支付企业CIO对记者讲,“常言道,家贼难防,虽然通过技术手段对外部攻击进行了有效防范,但有些企业在‘防止堡垒从内部攻破'方面缺乏意识,又不愿意在防内部攻击方面进行二次投入,包括人力和财力的投入,以至于企业在防“家贼”方面存在短板,造成安全隐患。”

移动网络支付体现了“无处不在的网络、无所不能的业务”的思想,移动网络支付是一种利用无线通信技术在移动网络上展开金融活动的一种方式,继承了网络金融的诸多特点。网络金融是不同于传统金融模式,它具有市场信息快捷、支付方便、用户使用即时性强、资源配置灵活和成本低等特点。以支付宝手机钱包为例,其业务领域已经涵盖支付、保险、代售基金等传统银行领域。对于私密性与流动性很高的移动终端的手机用户来说,移动网络支付服务与产品更有生命力,但同时,在移动支付过程中,如手机钱包密码被盗、支付被劫持、短信诈骗等安全性问题,也成为移动网络支付平台面临的棘手问题。

工信部一位官员对记者讲,由于第三方支付平台规模非常庞大,关系到的用户群体为数众多,并承担着大量的商务和金融业务,对社会经济、民生可以产生重大影响。因此,第三方支付平台也是名副其实的社会基础设施。而长期以来,多数第三方支付平台建设过程中,安全防护能力的建设却相对欠缺,一味追求平台的发展速度和服务能力、范围,这就使第三方支付平台存在众多安全风险,给网络犯罪分子提供了可乘之机。

自主电子支付产业演进

起初,我国的电子支付行业主要是为B2C、B2B带来更多的电商流量,并承担起银行不愿意承担的相对边缘化的服务功能,然后逐步发展壮大到今天的产业规模,这个过程大致分为三个阶段:第一阶段(2004年以前)为启蒙发展探索阶段,中国的电子支付企业如雨后春笋般的冒出,电子支付企业在飞快发展的同时也伴随着迅速地破产或相互兼并。2005年到2010年,电子支付产业步入第二个阶段即产业全面发展阶段,这期间,除了第三方支付企业外,还有大量的发卡机构诞生,这些电子支付企业发展探索自己的商务模式,其主要服务模式涵盖B2B、B2C、C2C、B2G、C2G以及O2O,形成了较为完善的电子支付产业链体系,全面服务社会支付领域的功能已经完全显露出来。

2010年到现在,中国的电子支付产业步入第三个发展阶段即产业的成熟期,这一阶段,电子支付产业的市场规模比较稳定,余额宝、移动支付、网上理财、网上保险等形成了新的产业发展空间,产业规模、量级、影响力越来越大,支付宝首次向国内和国外公开募股(IPO)成为这一阶段最具标志性的产业事件。去年,电子支付企业为了抢夺移动支付的入口,电子支付企业推出打车软件“滴滴”和“快的”,其背后为阿里系和腾讯系。昔日,这两家国内最大的互联网企业为争夺移动用户打得不可开交,到了2015年2月14日情人节这天,二者又正式宣布握手言和,走向全面合作。

这场颇具互联网经济特色的产业博弈最终以二者的共赢而告结束,他们抓住大多数人群必不可少的叫车服务定制软件,一下子使两家重量级的支付企业抢到足够的移动支付入口,有了足够的市场容量,两家互联网巨头在移动支付领域的底气显得更足了,也立刻形成了相对于其他第三方移动支付企业的巨大优势。两家巨头的合并,可能进一步带来巨头资源的整合,其随后可能形成的产业能量不容小视,由此是否会带来新一轮的产业整合、兼容并购,我们将拭目以待。

值得一提的是,在自主技术空前高涨的信息时代,活跃在我国电子支付市场的企业几乎都是清一色的国内公司。尤其在互联网时代,中国人玩商务模式已经到了炉火纯青的地步,自主网络支付企业只要找到一种比较好的商务模式就会形成地震似的市场效应,对个人、企业的用户流和资金流会产生巨大的影响力。另外,从市场的活跃程度来看,民营的电子支付企业要比一些国营的传统企业更有优势,因为民营企业思维活跃、贴近市场、机制灵活,更具互联网经济特点,经常成为传统市场的颠覆者和后来居上者,这也正如电子商务协会政策法律委员会副主任阿拉木斯所说,电子商务和电子支付领域都具有一个鲜明的产业特色,就是要不断面对挑战,颠覆性的前进。

安全是产业上展的生命线

阿拉木斯副主任认为,当今电子支付产业的发展离不开平台化和信任两个关键词,而电子支付企业的信任一旦建立起来,企业走向成功只是一个时间问题。

“纵观当前不可或缺的社会服务信息平台,多数正在将大量的信息传播功能转化为有实实在在的社会服务能力,这些平台的服务功能大部分与支付有关,这也对相关服务系统安全、兼容性及信息安全产业的发展提出更高的要求。反过来,支付企业的大量产生和用户的信任需求,也必将进一步激发社会对第三方支付功能更加广泛的依赖性及安全渴求,促使政府和立法部门将网络交易和电子支付上升到法制层面。在这种大环境下,以消费信任为核心的电子支付安全产业将得到稳定发展。”阿拉木斯说。

《电子支付指引(第一号)》针对电子支付的安全提出了明确要求:一是要加快信用体系建设。加强政府监管、行业自律及部门间的协调与联合,鼓励企业积极参与,按照完善法规、特许经营、商业运作、专业服务的方向,建立科学、合理、权威、公正的信用服务机构;建立健全相关部门间信用信息资源的共享机制,建设在线信用信息服务平台,实现信用数据的动态采集、处理、交换;严格信用监督和失信惩戒机制,逐步形成既符合我国国情又与国际接轨的信用服务体系。

二是要建立健全安全认证体系。按照有关法律规定,制订电子商务安全认证管理办法,进一步规范密钥、证书、认证机构的管理,注重责任体系建设,发展和采用具有自主知识产权的加密和认证技术;整合现有资源,完善安全认证基础设施,建立布局合理的安全认证体系,实现行业、地方等安全认证机构的交叉认证,为社会提供可靠的电子商务安全认证服务。

第三方支付平台的出现对于电子商务快速发展的作用巨大。电子商务协会曾经做过统计,电子支付手段出现前,全国的B2C的年交易额只有区区几千万,而电子支付出现后,B2C的交易额一下子就达到千亿元量级。这主要是第三方支付平台解决了电商和用户远程交易不见面可能产生的信用问题。电商的备用金放在第三方支付平台,一旦电商出现信誉问题,买家也可到第三方支付平台寻求赔付,第三方支付平台查证属实,则从电商的备用金中拿出一部分赔偿买家,这样便解决了买家的后顾之忧,也很大程度上促使了电商信誉的提升,可谓一举两得。正如支付宝的广告词所说,“因为信任所以简单”。我们认为,如果没有这个逻辑,中国的电子商务走不到今天,更发展不到当前的体量规模。

作为第三方支付平台,有效的风险控制是必然的选择,这些风险控制的步骤大致分为三个方面:一是对从第三方支付平台上获取的用户身份信息进行身份认证核实;二是对电子支付信息系统进行有效的保护;三是在交易过程中实施切实有效的安全技术和管理手段。此外,第三方支付平台对一些重点用户及其周围的社会关系要给予必要的关注和分析,及时发现可能存在的不安全因素,作为判断用户的风险级别的重要参考。

然而,电子支付过程中存在的诸多隐患也不能忽视,主要包括:用户端信息失窃、客户端被劫持、交易欺诈、用户遭遇钓鱼网站、服务端系统漏洞等。仅在2014年前4个月时间内,就先后出现了“携程漏洞门”、“二维码支付欺诈”、“OpenSSL‘心脏出血'漏洞”等一系列与网上支付相关的信息安全风险事件。可以说,网络安全风险对电子支付产业威胁甚大。

对于金融管理部门如何有效解决电子支付面临的种种安全风险,中国金融认证中心(CFCA)业务部总经理赵宇谈出自己的看法:多年来,金融管理部门在规范电子支付企业方面做了许多工作。例如在网络信任体系、数据安全保护和电子凭证推广等方面做了许多工作。特别是电子凭证推广方面,传统的纸质凭证无法满足互联网金融的发展需要。以线上供应链融资为例,大量的合同、订单、仓单、提货单等各类凭证都需要实现电子化,在线支付、P2P等其他业态中同样有类似的需求,电子凭证发展滞后必将阻碍互联网金融的发展。在目前的技术条件下,基于电子签名的方案是解决电子凭证有效性的最佳方案之一。

赵宇介绍,目前已经有98%的银行开设了网上银行服务、包括政策性银行、商业银行、外资银行等等。他们都采用了基于PKI技术的CFCA的电子认证服务,安全性大为提高。

作为央行直属的金融安全认证机构,CFCA在维护网上金融安全方面担负着特殊的责任,也有着其他金融认证机构不具备的优势。中国金融认证中心技术支持部总经理马春旺对记者说,CFCA是中国人民银行牵头建立的国家重要的金融信息安全基础设施,致力于全方位网络信任安全体系的构建。其优势主要体现在国家政策支持、技术自主可控、银行级别的运维能力和服务能力。目前CFCA主要为银行提供服务,所以其运维能力和服务能力都达到了银行级别的要求,这种级别的安全能力,是普通第三方支付企业难以匹及的。

针对如何有效保障电子支付的安全,马春旺谈到,首先,支付系统中必须采用密码技术尤其是电子认证技术,其次要定期对支付系统进行安全评估并及时地修补安全漏洞,以有效降低在线支付面临的风险;技术上的自主可控是降低网上支付安全风险的一个关键点。作为网上支付系统安全的技术基础,密码技术的国产化是十分关键的问题,只有在这一核心环节充分实现密码算法的自主可控,才能为网上支付业务的安全起到支撑作用。

近日,CFCA携手腾讯、百度、中国科学院信息工程研究所、上海交通大学信息安全工程学院成立了移动金融安全研究联合实验室。拓展移动金融安全产业,将智能卡、移动通信、电子认证等信息科学技术与金融服务融合发展,为电子支付用户提供随时、随地、随身的支付安全服务。

为了有效疏导网上交易的安全与信任问题,调解网上交易中面临的种种矛盾、问题,并整合各种社会资源参与其中,我国第一家全面保障网上交易的第三方服务平台——网上交易保障中心在北京成立,它整合与网上交易有关的各个领域权威的专业机构资源,形成从法律、信用、安全、其他增值服务等各个角度强力支持电子商务的优势格局,化解网上交易者面临的各类风险和难题。

为了保证交易主体身份的真实性,该中心的业务涵盖:对电子商务企业(卖家)的主体身份真实性、合法性进行审查,并以认证并公开主体信息的方式进行确认,确保卖方信息透明和主体真实有效。此外,该中心还相继开发出与电子证据有关的服务,如交易证据留存,包括网购订单锁定、交易凭证托管、电子取证服务等,其功能是确保网络交易过程中的电子化交易凭证得以妥善保存,为网络交易纠纷提供证据保障。

从最初电子支付产业形成结构来看,有大致来自五个方面的力量组成:一是来自电子交易行业;二是来自传统 IT 行业;三是来自银行系统;四是来自电信行业;五是来自于商业卖场行业。这几方面的力量由于“出身”的不同,对于安全的理解角度也不尽相同,以至于在安全保护方面也有不同的优势和侧重。

来自电子交易领域的支付企业,其互联网企业背景甚深,且财大气粗,发展和创新始终是它们考量企业定位的首要因素,近年来,互联网企业自身安全需求和意识已经形成,由于企业用户和系统的庞大,围绕系统自身安全的需求形成的安全体系不容安全圈小视,金钱效应也使得这类企业在安全技术团队的引进方面舍得投入;

来自IT行业的支付企业,它们对于信息安全有天然的敏感,在安全投入方面更注重技术的引进,系统安全运维能力建设、系统优化更是此类企业的强项;

来自银行体系的支付企业,信誉保证是此类企业始终挂在嘴边的,与银行天然形成的关联性使它们在为用户保管资金方面具有更强的自信,近年来,银行系支付企业在技术设备自主可控方面也有了更加强烈的意识;

来自电信系统的支付企业,它们在运行维护方面有着先天优势,在支付管道的安全性方面和用户身份认证方面,以及安全事件处理的响应速度方面,此类支付企业具有一定优势;

来自商业卖场的支付企业,它们兼具电商和坐商的双重血统,企业让客户有看得见摸得着的感觉,其在商业卖场环节积累的大量资金流管理经验也给客户带来安全感,此外,一般这样的卖场企业多为大型企业,资金安全信誉度相对较高。

认证产业上展步入关键期

从工信部公布的数据看,数字证书的发放量持续上涨,随着电子商务的高速发展,电子认证产业发展态势还是很好的。但同时我们也要看到,目前全国有 36家被国家认可的电子认证企业,所以当前电子认证产业竞争还是很激烈的。目前,我国认证产业应用的主要算法有RSA、AES、SHA2、SM2、SM3、SM4等。目前使用的电子支付安全产品包括:USBKEY证书、OTP令牌、用户名口令、短信验证码等。目前的安全产品已经能够满足社会和百姓的需求,不过随着支付业务和技术的发展,还会不断的有新的安全需求出现,因此支付安全产品还是要保持不断的创新。

本届政府十分重视网络安全问题,已经将构建可信网络上升到国家层面进行统一规划。构建我国的可信网络是一项艰巨的任务,未来十年是关键期。首先,我国政府应结合重点应用领域的特点对安全认证产业进行总体规划,制定科学合理的产业布局;其次,政府可以出台税收优惠政策,设立产业扶持基金、科技创新基金,并对相关领域的科研单位、企业的产品和项目给予较高比例的专项资金支持。最后,政府还可以对安全认证产业的从业人员,特别是高水平的技术人才给予相应奖励。

与其他重点领域一样,在电子支付相关技术手段和配套安全技术的引进中,我们面临的首要问题是自主可控,必须对新技术、新工具的实现原理安全机制做到知其所以然,同时对随之而来的潜在风险做到清楚认识、主动防控;其次是迅速建立检测认证体系,对外来的新产品、新技术仅从密码应用、安全防护等方面进行安全检测。

CFCA技术支持部总经理马春旺对记者讲:“安全技术的核心就是算法和芯片,目前我们国家自主的支持国产密码算法的安全芯片已经很成熟,并且已经在我国自主的安全产品中应用。我国自主的安全产品在各个领域中都有广泛应用,随着技术的进一步发展和自主产品推广力度的不断加大,我们自主的安全技术和产品必将成为支付领域安全产品的主角。”他还说,“近年来,无论是在资金方面还是政策方面,国家对于支付安全企业的发展和创新都给予了大力支持。我个人认为,为了促进产业进步,满足社会需求,国家还应该在人才培养和基础研究方面加大投入,为支付安全产业的发展奠定良好的基础。”目前电商产业在中国高速发展,电商产业是架构在互联网上的,互联网业务中的身份认证、不可否认、安全传输问题也是电商产业要解决的主要安全问题。而电子认证技术正是解决这些问题的最有效的手段。所以随着电商产业的高速发展,电子认证产业也有着广阔的前景。当前的电子认证产业前景广阔,但竞争也很激烈。针对构建共赢的认证产业生态环境,CFCA技术支持部总经理马春旺提出三点建议:

1)电子认证产业需要做好人才培养和基础理论研究,才能真正做到自主可控;

2)需要加大电子认证技术的推广力度,发挥电子认证技术更大的作用,而不仅仅把它作为一种技术手段;

3)需要通过竞争提升这个产业的创新能力和服务质量,实现优胜劣汰。

呼唤法治支付时代到来

从电子支付产业发展的第二个阶段起,电子支付领域的安全问题便逐一显现。其中,利用第三方支付平台从事网络违法犯罪活动成为此类问题的主要方面,而此时社会依法治理电子支付的呼声也是一浪高过一浪。

有些第三方支付平台为网络黄赌毒提供了便利的支付服务,从而促进了一大批网络黑恶势力的快速蔓延和网上违法犯罪利益链条的形成,给社会环境和依法治网带来了很大的负面因素。据悉,此类问题的爆发点在2006年世界杯期间,一些第三方支付平台为抢夺利益铤而走险,提供了网络赌博的电子支付渠道,例如,江苏苏州警方侦破的‘乐天堂'开设赌场案中,抓获第三方支付平台“快钱”公司的高级管理人员梅某,经查,梅某与境外赌博集团勾结,协助境外赌博集团流转资金30余亿元,‘快钱'公司从中获利1700余万。此外,色情网站收费、不良信息收费、网上洗钱、网上套现等违法犯罪行为也纷纷搭上第三方支付的“快车”,“业务量”一路飙升。

为遏止这一黑色利益链条,多年来,中宣部、最高人民法院、最高人民检察院、公安部、工业和信息化部、中国人民银行、中国银行业监督管理委员会等部门多次开展打击网络黑色产业的专项行动,其中,严查网络黑色利益链条中资金流转环节的安全风险成为重中之重。

第三方支付企业也意识到只有更加主动地向安全风险宣战,与网络违法行为划清界限,才能真正维护产业荣誉,获得社会和用户的真正信任。支付宝(中国)网络技术有限公司就曾与银行启动风险联防计划。通过与银行的紧密合作,在支付时智能判断订单状态,防止用户陷入网络钓鱼陷阱。此举实施后,相关案件发生率降低98%。

除了部分电子支付企业攫取黑色利益外,一些与网上交易各方息息相关的法律问题也始终为社会所关注。例如:围绕第三方支付平台用户的注册账号审核是否应该采用实名制,用户、产业界和政府有关机构的讨论声此起彼伏;为了保证电子商务交易的信誉度,一些第三方支付平台会采取缴纳备付金的形式来规避信誉风险,这就带来电子支付企业通常都会设置若干天不等的账期,在这个账期中,电子支付企业是否会卷款外逃,电子交易各方也纷纷提出这样的质疑;备付金生出利息,其权属应当属于电子支付企业,还是交付抵押款的电商企业,如若采用分成制处理,利益应当如何分割,也是各说各的理;还有法律界人士对第三方交易平台设置账期押款的行为是否合法也提出了疑问,由于第三方支付平台并非银行,其不能获得与银行同等的信誉和业务能力,因此,备付金放在第三方支付平台是否合规,以及第三方主体资格是否合法也颇具争议。

上述问题暴露出来后,引起了政府和立法机构的关注,并寻找解决对策,《电子支付指引(第一号)》文件的发布和《非金融机构支付服务管理办法》的实施,使得上述问题以及电子支付产业成长中的种种“烦恼”,能够在法律的框架内不断的得到解决与调和。

长期以来,社会对电子支付法治环境建设一直非常关心,消费者存在大量资金安全的问题,近年来电子支付环节资金被盗也引发电子支付产业不小的震荡,还有个人信息泄露的问题,电子支付环节个人隐私遭到侵犯等问题,都是经常引发业界热议并希望上升到法律的高度加以规制的问题。近年来,尽管中国人民银行、证监会、银监会相继出台了一些部门规章,但与电子支付产业的全面健康发展和电子支付安全的实际需求还有较大差距。因此,我们也期待,电子支付企业希望促进产业发展,消费者希望更大程度上维护自身合法权益等诉求,也能够在紧锣密鼓制定中的我国电子商务法的条款中有所体现。此外,通过电子商务的立法,能够达到有效带动监管创新和治理转型升级,保护和促进产业创新之目的,进而探索一条信息网络时代实现国家治理体系和能力现代化的道路。