美国加强电子支付安全的主要举措及启示

91746部队 李纪舟 霍宏霞 王 瑜

美国加强电子支付安全的主要举措及启示

91746部队 李纪舟 霍宏霞 王 瑜

随着互联网和信息技术的广泛普及,特别是电子商务规模的不断增长,电子支付发展迅速,成为人类日常生活中最重要的货币支付方式之一。与此同时,电子支付安全问题也日益突出,已发展成为一个社会安全问题,危及国家经济安全。美国做为全球最早发展电子商务和电子政务的国家之一,建立了比较完善的电子支付系统,探索出了一系列确保电子支付安全的有效举措,其中,一些有益的做法,具有普遍的借鉴意义。

美国电子支付上展历程与现状

美国真正意义上的电子支付大约有50多年的历史。20世纪60年代,随着计算机的广泛应用,美国政府开始引入电子税务管理系统,使纳税人或企业通过电子支付方式进行税费管理。1972年,美国建立起了第一个自动清算系统(ACH),用于商业、金融和政府机构之间的电子支付活动。20世纪80年代初,美国政府实现了从美联储国库单一账户到商业银行账户之间的电子转账支付。1987年,美国财政部财务管理局开始利用电子支付方式向联邦机构供应商支付资金。随后,又推行了“支付直达项目”,将联邦雇员工资、社会保险支出、退伍军人津贴等,由传统的支票支付改为电子转账支付。20世纪90年代,美国建立了“联邦税收电子支付系统”(EFTPS)、“税收和工薪简明报告系统”(STAWRS),全面推广应用电子支付方式进行税款管理。

1993年9月,美国创建基于国家信息基础(NII)的顾问委员会,提出信息高速公路计划。1995年,推出“全球信息基础(GII)合作议程”,为发展电子商务提供信息基础。随着这些计划的逐步实施,促使美国电子商务发展水平跃为世界领先水平。1994年,世界上第一个互联网支付公司CyberSource在美国硅谷创立,除提供网关支付处理外,还提供反欺诈和网上支付安全服务。1997年,美国发布《全球电子商务框架》,阐述了发展电子支付系统的重大意义。

1998年,美国政府与兰德公司合作开展了一系列有关电子支付发展及安全的研究,引起了美国白宫、国会及其他一系列相关机构的关注。1999年1月1日,美国要求联邦政府所有对外采购均采用电子商务方式,所有支付必须采用电子转账,不得再用支票支付。12月,美国公布了世界上第一个《互联网商务标准》,对电子商务中的电子支付进行了规范。

2000年,美国纽约Jupiter通信公司的报告称,美国通过互联网的商务营业额达73亿美元,其中几乎有一半的金额通过电子支付来完成。2001年2月16日,美国电子支付协会公布的数据显示,2000年美国各商品零售点使用了3200万张电子支票,电子支付交易超过9亿笔,支付总金额超过11万亿美元。2001年,美国公布的数据显示,自动清算系统(ACH)处理了56亿笔电子支付交易,交易金额5.67万亿美元,其中51%都是非现金交易。

2004年12月6日,美联储公布的支付业务报告显示,与2000年相比,美国的支票支付量由419亿减至367亿美元,年均递减4.3%;而电子支付量由306亿增至445亿美元,年均递增13.2%。2003年,美国电子支付交易量首次超过支票交易量。美联储预测,2007年借记卡及信用卡的交易量均将超过支票使用量。

2009年,美联储支付报告称,电子支付已经占据了美国整个支付交易笔数的78%。2010年,美国发布《电子资金传输规则》,要求联邦资金原则上通过电子方式进行支付,规定自2013年3月1日起,要全部实行支付电子化管理。2011年2月,iResearch艾瑞咨询公司的研究数据显示,由于电子支付的使用,预测2011年美国现金使用全年将减少354.1亿美元,到2015年将减少450.8亿美元。2011年底,美国财政部公布资料显示,2011年10月,美国的电子支付方式占比为89.2%,预计到2013年7月上升至97.3%。

截至2013年7月,美国联邦本级电子支付覆盖率达到了95.3%,已成为联邦资金支付的主要方式。2014年11月,惠普公司的电子支付发展趋势报告显示,美国79%的受访者表示在未来会支持数字货币,80%的人预计数字货币在未来会取代纸币。60%的受访者表示,数字货币是他们所在机构电子支付战略的重要组成部分。75%的人证实,在不久的将来他们的机构会支持移动支付。目前,美国80%以上的美元支付是通过电子方式进行的,每天大约有2万美元通过美联储电子资金系统(Fdewire)及清算银行间支付系统(CHIPS)进行电子支付。

美国电子支付面临的安全形势

随着电子支付的快速发展,美国的电子支付安全问题也日益突出,主要表现在如下两个方面:

一是电子支付信息安全问题时有发生。2005年6月17日,美国万事达卡国际组织宣布,美国专门为银行、会员、机构、特约商店处理卡片交易资料的外包厂商的数据库遭到黑客入侵,包括万事达、威士、运通、Discover在内的高达4000多万信用卡用户的银行资料面临被泄露的风险。其中,万事达信用卡用户数量达1390万,威士信用卡用户高达2200万,这是美国有史以来规模最大的信用卡个人数据外泄事件。2012年3月,美国“克雷布斯安全”博客网站报道,万事达和维萨信用卡公司向全美范围内的银行发出警告,称一个“重大的”安全漏洞可能会对1000多万持卡人造成影响。该网站称,在2012年1月21日到2月25日之间开户的信用卡账户都可能受到影响。3月30日,维萨和万事达公司表示,他们旗下的信用卡账户信息遭窃,将可能影响到所有主要信用卡服务商的数据安全。随后,“全球支付”公司表示,在3月初发现该公司的信用卡数据可能被黑客入侵。

2014年5月21日,美国电子商务公司eBay宣布,该公司一个包含加密密码和非财务数据的数据库,在两个月前遭到黑客攻击,大量用户的姓名、加密密码、电子邮件地址、通信地址、电话号码和生日可能被盗取。2014年12月26日,美国《连线》杂志发表的文章称,2013年11月27日至12月15日之间,黑客窃取了美国零售商巨头塔吉特公司的7000万客户的个人信息。大型家居连锁店家得宝也表示,其支付系统遭黑客长达5个月的持续攻击,导致客户的5600万张支付卡信息被窃。美国百货零售商Neiman Marcus受到黑客长达3个月的攻击,导致110万信用卡信息泄露。黑客还多次入侵美国食品杂货零售巨头SupervaluInc公司下的数千家门店。同时,美国最大中餐连锁店P.F.Chang旗下8家门店发生客户信用卡数据被盗。电子商务支付管理服务商Cyber Source的报告显示,在这些严重的黑客攻击事件发生前,因信用卡诈骗,这些零售商在电子商务的销售中一年可能损失约35亿美元。

二是美国民众对电子支付安全仍存疑虑。2011年12月,iResearch艾瑞咨询公司的报告称,在未选择移动支付的美国居民中,有64%的受访者认为移动支付不安全,这成为美国居民选择移动支付的最大障碍。另有61%的受访者表示,目前仍希望使用其他支付方式,此外还有46%的居民只使用移动设备接打电话或收发邮件。2014年12月18日,互联网零售市场研究公司BizrateInsights在对6200名美国网购用户所做的调查报告显示,大部分网购消费者对大型零售商和互联网公司并不信任。76%的受访者对网络零售商的银行信息和个人隐私信息的安全保密性有所疑虑,对支付安全信心不足。72%的被调查者指出,自己更愿意相信银行,并向银行提供自己的信用卡信息和个人隐私。

美国加强电子支付安全的主要举措

针对电子支付中的安全问题,美国政府采取了出台政策战略、完善监管机构、颁布安全法规、制定安全标准、研发安全技术、健全安全机制等一系列举措,来加强电子支付安全,为电子商务和电子政务的健康发展提供可靠的环境。

1.出台政策战略

通过出台安全政策和实施战略规划进行顶层指导,是美国加强电子支付安全的重要举措。1996年下半年,美国财政部颁布《全球电子商务选择税收政策》白皮书,明确了电子交易中的安全政策。1997年5月,美国电子商务工作委员会发布《关于电子商务最佳实施方案调查的总结》,指出为了使电子商务取得成功,有必要建立一个安全、可靠的电子支付系统,并发展多种电子支付方式抵抗电子交易风险。1997年7月,美国发布《全球电子商务框架》政策,明确指出要大力发展安全可靠的电子支付系统,为美国电子商务发展提供基础。该框架是一部通过完善基础环境促进电子支付发展的战略文件,从整体上对电子支付系统的发展起到了保驾护航的作用。1998年,美国颁布《保护美国关键基础设施》总统令和《信息保障技术框架》,提出了加强包括电子商务安全在内的信息安全政策。2003年2月14日,美国正式发布《确保网络空间安全的国家战略》,明确把银行与金融部门列为国家关键基础设施组成部分加以保护。2015年1月26日,美国发布《改善美国支付系统战略报告》,对电子支付系统的重要性和面临的威胁进行了分析,要求升级国内的ACH、电汇和电子支票系统等电子支付系统,提高端对端支付的速度和安全性。并要求制定电子支付安全标准和协议,推进电子支付行业合作,实现“一个安全、高效、广泛可用的支付网络”战略目标。

2.完善监管机构

完善的监管机构是加强电子支付安全的有力保障。为此,美国建立了由政府部门及行业协会分工负责、相互配合的电子支付监管机构。在政府层面,美国赋予联邦贸易委员会、司法部、联邦调查局等机构的监管职责。全国性问题由联邦证券委员会管理,地方性问题通过司法程序解决。其中,与股票证券有关的电子支付问题由证券委员会管理;与股票证券无关的电子支付欺诈问题由联邦调查局管理。白宫科技委员会负责电子支付安全技术的研发指导;联邦贸易委员会负责运用实体市场的法律对有电子支付欺诈行为的公司进行查处;美联储负责对电子支付方式中的第三方支付系统进行监管,也充当各支付机构间的最大运营商和便利服务商,以保证整个第三方支付体系的安全。在行业层面。美国的相关电子支付行业,在政府鼓励支持下,由企业出资设立了众多的非盈利性机构,负责行业管理和协调工作。1974年,成立全国自动清算中心协会,在联邦层面为跨地区的支付清算建立框架、标准和规则。1998年7月,设立电子税务管理顾问委员会,推动通过电子支付方式进行税收管理。2000年3月,设立电子税务管理政策委员会,为电子税务项目提供政策指导。2006年,美国运通、美国发现金融服务、万事达和Visa国际组织五家支付企业共同筹办设立了统一的支付卡产业安全标准委员会(PCI SSC),为电子支付中的数据安全提供行业标准。2012年8月13日,由美国电子交易协会(ETA)牵头组织谷歌、Paypal、惠尔丰以及美国四大运营商AT&T、Sprint、T-Mobile和 Verizon等成立移动支付委员会,推动移动支付行业标准的制定,打造可靠高效的移动支付体系。

3.颁布安全法规

为了确保电子支付系统的稳健运行,美国出台了一系列法律和规定。1968年,美国颁布关于信用卡的《借贷真实法》,随后又颁布了其实施细则Z条例,用于规范信用卡交易,防止交易欺诈,保护消费者权益。1977年,颁布关于借记卡的《资金电子划拨法》,随后又颁布了其实施细则E条例,用于所有形式的电子资金转移,包括互联网、通过自助取款机进行的交易和通过借记卡进行的电子支付等。1989年,颁布《统一商业法》第4A编,对大额电子支付系统进行调整,第一次通过法律对电子支付进行定义。1997年,出台同时支持国内和全球电子商务的统一商业法律框架,促进美国及全世界的电子商务交易,对电子支付安全进行了规范。1999年7月,公布《统一电子交易法》,对电子交易相关内容提出定义与规范,包括法律地位与效力、书面要件等。2000年,通过《全球与国内商务电子签名法案》,规定电子签名和手写签名具有相同的法律效力,消除了电子签名无效在交易中造成的障碍。2002年12月,颁布《联邦信息管理法》(FISMA),提出了加强电子政务中的电子支付安全措施。2010年12月21日 ,颁布《联邦机构支付规则》,明确规定联邦政府电子支付相关要求、收费标准、信息传输规范等,要求联邦所有非税收入与政府支出必须通过电子支付方式(EFT)进行,除非得到国库秘书官的批准。国库秘书官负责确保同意使用电子支付方式的个人,在合理负担内接受电子支付方式,并提供技术保障。此外,美国还出台了《全球电子商务纲要》、《互联网税收自由法案》、《互联网商务标准》、《网上电子支付安全标准》、《互联网保护个人隐私法案》等法规,都对电子支付中的安全进行了明确规范。

4.制定安全标准

为了推动电子支付的广泛应用、加强支付行业的技术合作,提升美国电子商务在全球市场的竞争力,美国十分重视电子支付安全标准的制定。1994年,美国Netscape公司制定了安全套接字(Secure Socket Layer,SSL)数据安全通信标准,用于Web浏览器与Web服务器之间安全交换信息,目前已成为世界上最著名的数据安全标准,所有主要的浏览器都支持SSL协议。SSL标准提供了数据加密、服务器认证、报文完整以及TCP/IP联接用可选客户认证等安全技术,能确保信息在传输过程中不被修改,实现数据的保密与完整性,广泛应用于电子支付中的敏感信息传输。

1996年,美国两大信用卡组织Visa和MasterCard集团共同推出“安全电子交易标准(SET)”,用来保证信用卡信息在网上支付时的安全,1997年到2001年间,成为全球范围内的电子支付安全标准。2000年,Visa公司开始研发新一代电子支付认证标准—“付款人认证”标准,主要用于消费者身份的认证。2001年到2002年间,Visa公司正式推出了这项服务,并将其命名为“Visa验证”安全标准。该标准比SET标准更加方便,安全性也未降低,并减少了欺诈行为的发生。2002年9月,Master Card公司推出了Secure Code安全标准,以适用于不同的网络交易平台,其中包括:个人计算机认证程序、芯片认证程序和万事达卡3D安全机制,无论在方便性还是安全性方面都给网上支付带来了诸多便利。目前,这两种安全标准已成为国际通用的电子支付安全标准。

2000年,美国Visa公司开始实施持卡人信息安全计划(CISP),这也是第一个全球范围内保护持卡人敏感信息的数据安全标准,适用于所有从事持卡人敏感数据储存、处理、传输的相关机构。2004年,CISP成为全球通用的安全标准,即支付卡行业数据安全标准(PCI DSS)。它不仅是全球信用卡支付必须的认证标准,也为各机构提供了一个最高级别的保障敏感信息安全性的产业工具和方法的通用集合。2007年下半年,PCI安全标准委员会决定采用Visa的“支付应用最佳案例”作为支付行业内新的第三方应用软件安全标准,并将其命名为“支付应用数据安全标准(PA-DSS)”。此外,随着电子支付的不断发展,美国相继公布了《网上电子支付安全标准》和一系列相关的信息安全标准,较好地解决了电子支付中存在的一些突出问题。

5.研上安全技术

安全技术是电子支付系统防护的关键,美国政府高度重视电子支付安全技术的研发。1994年制定的安全套接字协议(SSL)中,就使用了电子证书、数字签名、以及加密技术(基于RSA)等多种安全技术。1996年颁布的安全电子交易协议(SET),本身就是为了在互联网上进行在线交易而设立的一个开放的、以电子货币为基础的电子付款系统技术规范。同时,该协议也使用了对称密钥系统、公钥系统、消息摘要、数字签名、电子证书、双重签名、数字信封、身份认证技术等多种安全技术。

密码是信息安全技术的基础和核心技术。美国政府特别重视通过研发新的数据加密技术,来为电子支付系统提供可靠的安全防护。1976年,美国政府将数据加密标准(DES)确定为联邦信息处理标准(FIPS),DES是一种使用密钥加密的块算法,密钥强度可达56位。1977年,美国提出RSA公钥加密算法,能够抵抗绝大多数的密码攻击,已被ISO推荐为公钥数据加密标准。1994年,美国国家标准与技术研究院(NIST)和国家安全局共同开发了数字签名标准,主要用于与美国政府做生意的商业公司。2001年11月26日,美国NIST将高级加密标准(AES)确定为FIPSPUB197标准。AES是一种区块加密标准,提供128位密钥,是56位DES加密强度的1021倍还多。AES是一种难以破解的密码技术,主要用于美国联邦政府的商业及政府数据加密,预计将在未来几十年里代替DES在各个领域中得到广泛应用。

此外,美国的电子商务公司还根据自身电子支付系统的实际情况,研发了一系列安全技术。例如,移动支付解决公司Square研发了信用卡数据加密技术;在线支付服务商Stripe研发了能对信用卡数据进行AES-256位加密的安全防保护技术,并能在不同的机器上储存解密密钥。2007年1月15日,美国著名网上支付服务企业贝宝(PayPal)公司宣称,将推出一种同步密码匙,以增强网上支付的安全性,防止用户数据被窃取。该同步密码匙使用了VeriSign技术,每30秒生成一个只能使用一次的6位数字密码。用户在使用贝宝账户时,除平时所用密码,还必须输入当时同步密码匙上的密码才能正确登录。即使“黑客”盗取了账户名和密码,没有密码匙也无法登录。2013年2月22日,美国媒体报道,一项具有最新安全技术的指纹支付系统已经在美国南卡州试行,该技术基于生物密码学技术,融合了生物统计学和密码学相关技术,能让指纹识别技术更加安全可靠。

6.健全安全机制

健全的安全防护机制是确保电子支付系统可靠运行的有效途径。为此,美国针对电子支付中可能出现的安全问题,建立健全了多项安全防护机制。一是建立电子支付风险管理机制。美国将电子支付风险管理分为计划、实施、检测和监控等三个环节。计划阶段的工作是对风险进行识别和量化,主要是针对某一个具体项目的采用而言;实施阶段的工作是将各种相应风险控制和防范措施加以实际运用,以控制项目运行后造成的风险。检测和监控阶段则同巴塞尔委员会的风险监控大同小异。二是建立电子支付灾难备份机制。电子支付是国家经济活动的基础,也是电子商务交易的组成部分,如果电子支付系统遇到重大灾难,不能及时恢复,将引发社会动乱,危及国家安全,为此,美国十分重视电子支付系统的备灾机制建设。2001年的“9.11”事件造成美国世贸大楼被袭,美联储立刻关闭美国的三大金融市场(股市、汇市、债市),并立刻停止靠近纽约的新泽西美元支付系统的运行,启动灾难备份系统,将美元支付系统切换到里士满和达拉斯的备份系统。在整个切换过程中,电子支付系统没有中断服务,也没有丢失一个数据,保证了美国金融系统免遭破坏,保证了美元的地位和在全球的支付结算。“9·11"事件后,美国政府更进一步建立了独立于互联网之外的金融信息系统,健全完善了各类电子支付系统的灾难备份机制,以确保国家经济安全。目前,美国财政部财务管理局下设两个分支付中心,都达到了金融级备份水平,一旦一个中心遭受网络攻击、地震、飓风等意外而终止服务,另一个中心可立即接管该中心的全部服务,实现7X24小时的不间断运行。三是建立电子支付系统审计管理机制。美国联邦政府各部门以及国库支付管理机构都建有单独的审计系统,由专人负责监控电子支付系统和网络的运行情况,并且每年审计电子支付系统的有效性,不断丰富和完善审计系统的控制规则,提高整个电子支付系统的安全水平。

启示与思考

当前,我国电子支付行业呈现高速发展态势,2013年第一季度,全国共发生电子支付业务56.12亿笔,金额217.59万亿元,同比分别增长29.99%和26.20%。但是由于用户对电子支付的安全意识不足、相关法规不完善、安全技术还未实现自主可控等问题,使我国的电子支付安全形势复杂严峻。美国的电子支付起步早、发展快,探索出了一系列有效的安全举措。为此,应积极借鉴美国的有益经验,结合我国的实际情况,探索一条具有中国特色的电子支付安全发展模式。

1.营造电子支付安全环境

电子支付在我国的发展时间还不长,用户对电子支付的安全意识还不足,全社会对电子支付的监管也不完善。因此,要加强电子支付的安全知识宣传,培养民众的安全意识,提高用户对电子支付系统的使用水平,营造良好的电子支付安全环境。一是加强消费者对身份验证或密码钥匙的常规了解,通过实施防火墙技术、加密技术、认证技术、防病毒软件等基本技术来保障电子交易安全;同时,也让消费者对电子支付企业和第三方支付平台有足够的认知。二是培养消费者的维权意识。当权益受到侵害后,消费者能立即向有关部门及时投诉。如果涉嫌诈骗,能及时报案,以保障自身和其他消费者的合法权益。三是电子支付企业有责任帮助消费者形成安全支付习惯和维权意识,保障用户的合法权益,也有责任协助消费者使用司法程序追偿经济损失。

2.完善电子支付法律规范

当前,我国的电子支付领域法律制度不完善,相关法律条文责权不明。应加快推进电子支付体系法规建设,制定和完善网络支付、移动支付等新兴电子支付方式的管理办法,为电子支付的持续发展提供完善的法律保障体系和服务支持体系。一是要与国际电子支付法律接轨,完善相关的法律规范。二是要制定有关电子货币、电子支付管理制度以及电子支付结算等标准,为行业发展提供规范。三是加强对第三方支付机构的规范,重点从准入审批逐步转向风险防控和高管准入等方面。四是要加快完善网上支付信用机制建设,规范合同条款,保护消费者利益。五是要密切关注电子支付业务的最新发展和科技创新,及时研究制定有关法律法规,明确界定电子支付产业链各参与者的职责、权利和义务。六是加强对网络犯罪的监控,联合第三方支付企业、安全厂商,通过技术手段严厉打击侵犯网上支付安全的犯罪行为。

3.健全电子支付安全体系

电子支付方式多样、系统复杂,保障其安全是一个综合性的工程,涉及到技术、机制、法律、政策、人才等多个方面的有机统一和协调发展,必须建立一个全面的保障体系,才能确保电子支付的安全运行。一是要积极研发访问控制、存储保护、身份验证、安全服务协议、入侵检测、数据备份、病毒防范等全方位的安全技术,打好基础工程。二是要完善电子支付监管机构,提供强力的组织保障。三是要健全电子支付管理制度和风险管控等机制,提高安全监管效果。四是加强安全人才培养,提供智力支撑。五是构筑由银行、第三方支付机构、安全厂商、商户、监管机构共同合作的电子支付安全生态系统,提供全面的安全防护。