移动支付中信息安全问题研究

2015-12-16 14:58方智富顾琪宏陶鸿李定胜
教育教学论坛 2015年48期
关键词:移动支付信息安全研究

方智富 顾琪宏 陶鸿 李定胜

摘要:随着4G时代的到来,移动智能终端的普及,移动支付的普遍使用,移动支付过程中的各类矛盾纠纷也不断涌现。整个移动支付产业链包括移动运营商、支付服务商、终端用户等,其中的关系错综复杂。在移动支付中出现的各类财产安全问题可能牽涉到各方,作为弱势群体的消费者,信息安全、财产安全往往得不到保障。理论界对移动支付这一新兴产物的研究少之又少,而且主要集中于技术层面。本文旨在分析移动支付过程中各方主体的法律关系、法律责任等法律问题,明确移动运营商、支付服务商等经营者的义务,为政府的监管以及立法的完善提供意见,以保护消费者的信息安全,从而推动移动支付整个行业的健康发展。

关键词:移动支付;信息安全;研究

中图分类号:X913.2 文献标志码:A 文章编号:1674-9324(2015)48-0213-03

一、研究背景

关于移动支付的定义目前理论界尚无统一定论,主流观点为使用手机终端对商品和服务进行的支付方式。个人信息是指与特定个人相关联、反映个体特征的具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面信息的资料。具体到移动支付中消费者的个人信息包括身份状况如姓名、年龄、住址、身份证、工作单位等。

近几年来随着手机终端的高度普及,移动支付得到了的空前发展,同时,发生在手机使用过程中的各类信息泄露事件层出不穷。一方面,网络服务经营者、服务者收集、使用信息的行为相当混乱。另一方面,黑客对服务系统的恶意攻击、植入木马和病毒等行为也属高发。从法律制度的角度来说,我国现有的法律制度完全跟不上技术的飞速革新,没有明确的、可供执行的法律制度对此加以保护,使得信息安全的保护相当薄弱,同时制度的缺口导致技术难以推广。移动支付过程中的各类矛盾纠纷也不断涌现,尤其是信息安全问题,以及由于侵犯信息安全而导致的财产损失问题尤为突出。

二、移动支付的问题分析

(一)法律关系

移动支付中的法律主体包括消费者、销售者、移动运营商、第三方支付平台、银行和认证机构。从移动支付使用者完成支付的整个流程来看,通常情况下,销售者出售产品或提供服务给消费者,消费者对销售者发出购买要约。销售者在接到消费者的要约以后表示承诺与否,如果做出承诺则消费者和销售者之间的买卖合同得以成立。在此过程中,消费者和销售者都应当全面、诚信的履行合同中约定的义务。销售者负有向消费者如实提供与合同约定相符的产品和服务,并保障消费者的人身、财产安全。随后,基于消费者和第三方支付平台的存款合同关系,销售者向支付平台运营商传递收费信息,第三方支付平台在买卖合同履行结束后将款项支付给销售者;销售者在收到支付平台运营商的收费完成信息之后,把商品提供给消费者。

(二)移动支付中几种常见的信息泄露方式

1.手机丢失。手机支付给我们带来许多方便的同时也存在许多安全隐患。鉴于手机与银行卡、支付宝等绑定的情况,一旦消费者的手机丢失,应当在第一时间将该手机号码办理停机,并通过如QQ、微信、微博等方式尽可能多的将丢失手机的事情告知他人。如果,消费者并未采取相应的措施,而其密码等又被恶意破解,那么在这种情况下消费者的财产损失就只能由自己承担了。

2.各类软件病毒、木马攻击。据金山毒霸安全中心对验证码大盗类手机病毒的感染情况公布的统计显示,截止目前,共拦截验证码大盗病毒样本2959个,每天被验证码大盗病毒感染的不同型号安卓手机达2800余部,受害者损失难以估计。此外,各种骚扰、诈骗短信也成为严重威胁移动支付使用者信息、财产安全的主要方式,很多用户由于轻信、贪图小便宜等原因而遭受损失。这种情况下消费者应该提高对手机软件安全的重视程度,阻止手机软件非法收集个人信息,并保护好自己的密码等信息。

3.手机诈骗。传统的手机诈骗主要是以手机短信的形式向手机用户发送诈骗短信,最为典型的是伪基站诈骗。比如,不法分子为了获得用户的手机号、银行账号、银行卡密码,设计了一个话费中奖类的诈骗短信,诱骗用户点击短信中的“钓鱼网站”兑取奖金。该短信将发送号码伪装成中国移动的官方服务号码10086,提高了诈骗短信的迷惑度。用户一旦进入“钓鱼网站”,就会被要求填写个人手机号、银行账号、银行密码等信息并且下载一个“中国移动客户端”,这个看似正规的软件,实则是一种新型手机病毒,可以拦截银行验证短信。另一种新型的骗术为免费WiFi,不少商家看中了手机用户越来越依赖网络这一特征,在其经营场所提供免费WiFi。此时难以排除商家为非法分子的情形,同时,还有不少非法分子伪装成商家的WiFi。一旦消费者连上其设置的WiFi,不法分子即可通过技术手段获取诸如手机号码、手机型号、各种社交软件中的全部信息、邮箱以及各类密码,包括支付密码,一旦这些信息被复制、使用,消费者的财产安全就很难得到保障。

以上两种情况均属于通过侵犯消费者信息安全从而影响手机安全支付的情形。而在这种情况下,由于诈骗者的隐秘性使其难以被发觉,当消费者发现自己遭受损失后诈骗者早已逃之夭夭。

三、建议

(一)立法建议

截至目前为止,共有15个国家有针对个人隐私问题的专门立法,从立法时间上来看,主要集中在上世纪90年代。而国际立法方面,关于信息的立法主要有欧盟《个人数据保护指令》和1996年3月11日颁布的《数据库保护指令》。

从我国国内的相关研究来看,虽然国内对于移动支付的法律制度研究尚处于探索和起步阶段,但随着近年来移动支付在我国取得的巨大成功以及由此带来的一系列问题,学术界加强了对移动支付的关注,研究成果也日益增多。在期刊论文方面,国内较为注重从宏观上讨论移动支付的风险或存在的法律问题,然后提出完善监管的措施。有部分文章专注于移动支付中的消费者权益保护问题,提出了具有针对性的解决方案。但无论是从研究数量还是研究角度来说都是远远不够的。另一方面,近年来我国政府对移动支付安全问题也相当重视。在监管层面,央行陆续下发《关于加强商业银行与第三方支付机构合作业务管理的通知》、《关于调查支付机构与商业银行业务合作情况通知》等文件,旨在加强、引导支付业务不合规的支付机构进行整改。通过法律制度制定统一化的标准,规范移动产业链中各方主体的市场准入和经营行为,并对此进行监管,不仅能有效避免市场的混乱,同时能有效维护作为弱势群体的消费者的合法权益。但是,从法律的角度研究移动支付中的信息安全问题却很少有人涉及。

1.明确对个人信息的法律保护。从我国现有立法来看,我国《民法通则》中仅规定了与隐私、个人信息相关的名誉权。2012年全国人民代表大会常务委员会通过关于加强网络信息保护的决定,该决定规定国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。而行政法规方面,1996年公安部发布,2月11日经国务院批准,自1997年12月30日起施行的《计算机信息网络国际联网安全保护管理办法》,主要保障通信自由和秘密。1998年国务院信息化工作领导小组制定了《计算机信息网络国际互联网管理办法暂行规定实施办法》。总的来说,我国对信息安全的相关规定尚不完整,对移动支付中的信息安全的保障则更为稀少。因此有必要从立法的角度明确对信息安全的保护。

2.规范对个人信息的采集和查阅。(1)规范信息采集的主体。现实中信息采集的方式主要分为两种。第一方式为自然人与平等的民事主体之间依据契约的相关规定,允许对方采集的情形。例如移动支付使用者在移动支付使用过程中允许网络服务经营、电信服务经营者、第三方支付平台等采集其姓名、联系方式、住址等个人信息。第二种方式为依据法律享有采集、管理个人信息的机关、单位等,比如国家行政机关。该研究课题主要针对第一种信息采集的情况。(2)信息采集的方式。信息采集的方式必须经过被采集者的同意,在移动支付过程中则需要经过移动支付使用者的同意,也就是说任何网络服务提供者、网络服务经营者、电信服务经营者、第三方支付平台等未经移动支付使用者的同意擅自采集、非法披露、向第三人提供等行为均应当受到法律的明确规制,并承担相应的法律责任。

3.规范对个人信息的处理。关于对个人信息的修正、更新和请求删除等处理行为,主要包括敏感数据原则上禁止处理、告知当事人、当事人享有反对的权利、当事人同意四个方面的内容。具体来说,原则上数据的管理者应将数据处理的具体内容告知当事人,个人信息必须经当事人明确同意方能处理,同时诸如健康和性、政治意向和种族血缘等敏感问题应当禁止处理。同时,当事人对相关资料的处理享有反对的权利。如果处理行为违反双方合同约定,比如资料不完整或不正确,管理者应予适当更正、删除或封存。

4.明确侵犯移动支付中个人信息的相关责任。我国现行《刑法》中明确规定了非法出售个人信息罪等罪名,《网络信息保护决定》也规定了侵害个人信息依法应承担的行政责任,但是现行法律对侵害个人信息的民事责任尚未做出规定,同时,由于上诉法律中并没有对个人信息做出明确规定,因此,可操作性不强。而且《网络信息保护决定》中规定,网络服务提供者和其他企业事业单位在发生或者可能发生信息泄露、毁损、丢失的情况时,只采取补救措施。我认为这样的保护程度是远远不够的。一方面,作为经营者的网络服务提供者、支付平台、移动运营商和认证中心等,应该负有保证其提供服务的环境的安全性义务,而在消费者在移动支付过程中遭受损失时仅仅承担补救责任,这对弱势群体的消费者来说显然是不够的。我认为,经营者不仅应当承担证明消费者信息何时受何者侵犯的义务,而且还应当和侵犯者承担连带责任。另一方面,由于个人信息泄露涉及的权利人往往众多,因此应当扩大公益诉讼的范围,使得消费者可以更方便、更容易的维权。

综上,要对侵犯个人信息的行为进行分析,对各种侵犯行为的危害结果加以考量。因此只有确定了究竟应当承担哪些民事责任,如赔偿损失(确定相应的赔偿标准)、消除影响等,还是在危害行为极其恶劣、危害结果极其严重的情况下承担刑事责任,受害人才能以此维护自身权利,并对加害人惩罚、对加害行为起到规制的作用。

(二)执法建议

1.完善监管体系。整个移动支付产业链包括移动运商、支付服务商、终端用户等,其中的关系错综复杂,在移动支付中出现的各类财产安全问题可能牵涉到各方。而目前我国对这些经营者的管理体制却相当完善,相较于移动支付中其他经营者而言,我国《银行法》对商业银行的设立、组织机构、业务范围、监督管理、接管和终止以及法律责任等都有明确而系统的规定,但是,移动网络运营商、金融机构、移动设备制造商、系统集成商、支付机构等企业却没有相关法律制度对其设立、运营、监督以及法律责任等加以规定。尤其是对软件厂商,主要是手机APP,首先其数量用“海量”来形容不足为过,不管是安卓系统还是iOS系统,其内的APP数量都是极其庞大的。但是从APP的研发至投入使用的这一过程来看,并无相关部门进行严格的管理和规制,除非一款APP出现问题遭到投诉以后,系统才可能会对其进行下架处理。因此,主要是由于高管理成本,导致APP市场比较混乱。我认为,有針对性的对包括APP在内的经营者制定相关监管办法是相当有必要的。

2.完善相关保障体系。如上所述,移动支付中信息安全问题错综复杂,涉及各方利益,案件本身具有高技术性、高隐秘性,而且在同一事件中受害者人数众多,案件处理过程中往往因为高成本、举证难、低效率等问题使得众多受害者在遭受损害后放弃维权,即使及时做了诸如报警等相关救护措施也很难等到有效解决,无法得到相应的赔偿。因此,除了完善立法和加大监管以外,建立健全相关保障体系也相当重要。具体来说可以从以下两个方面着手:(1)充分发挥行业自身的力量。例如美国是典型的采取行业自律模式的国家,其行业自律模式在保护个人信息方面取得了一定的效果,我国可以借鉴相关经验。具体而言可以由行业协会制定相关的规章,为行业的信息保护提供模板,同时监督公司和企业的行为,对相关违法行为按照行业规章予以批评、处罚。同时,大众也可以参与监督,提出建议。(2)完善公益诉讼制度。我国现有的公益诉讼制度仅针对国有资产流失案件、环境污染案件、限制竞争及垄断案件、损害公共设施案件、侵害无主财产案件和其他损害公共利益的行为(包括:损害消费者权益行为;损害社会保险基金案件等)。鉴于移动支付中信息侵犯等类似案件的特殊性,尤其是在受害者众多的情况下,采取公益诉讼节约了诉讼成本,对保障受害者的利益大有裨益。

总之,目前我国对个人信息的保护还相当薄弱,在依法治国的大环境下,保护个人信息除了技术的革新,更重要的是依赖立法、执法以及相关配套制度的建设和有效运作。

3.对移动支付使用者的个人建议。从移动支付中信息泄露事件的实际处理方式、处理结果来看,对于移动支付中信息泄露事件,受害人通常会选择报警以挽回损失。但是,警方在处理该类案件时也面临诸多困难。首先,从法律制度的角度来说,我国现有的法律制度完全跟不上技术的飞速革新,没有明确的、可供执行的法律制度对此加以保护,使得信息安全的保护相当薄弱,同时制度的缺口导致技术难以推广和实行。其次,该类案件牵涉受害人员一般较多,且较为分散,难以串并集中查处,严厉打击。最后,调查取证过程困难。移动支付诈骗属于新兴诈骗形式,支付平台在技术防范上存在不到位情况。同时诈骗者一般都会采取隐蔽自己身份的手段,其留下的个人资料通常为虚假信息。所以在大多数情况下,由于受害人对诈骗者的信息掌握不多,警方对其违法犯罪行为的查处也就较为困难。案件侦破需要一定的时间,此时可能被诈骗钱财已被诈骗人挥霍或转移。总的来说,相关案件最终难以得到相应补偿。

参考文献:

[1]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013,(4).

[2]莫万友.移动支付法律问题探析[EB/OL].

http://www.studa.net/faxuelialun/090824/08260640.html

[3]李真,安阳.我国移动支付法律问题探析——基于归责原则及法律责任配置的视角[C].云南大学学报(法学版),2014,(04).

猜你喜欢
移动支付信息安全研究
FMS与YBT相关性的实证研究
辽代千人邑研究述论
视错觉在平面设计中的应用与研究
EMA伺服控制系统研究
保护信息安全要滴水不漏
高校信息安全防护
保护个人信息安全刻不容缓
信息安全