广西壮族自治区通信管理局│ 梁艳华
移动支付须便捷性与安全性“两条腿走路”
广西壮族自治区通信管理局│ 梁艳华
在移动支付日渐风靡的今天,安全风险成为制约移动支付发展的瓶颈,如何在提高便捷性的同时降低交易风险备受各方关注。
近年来,随着互联网与智能移动终端的迅速发展,人们的生活、娱乐、消费中越来越多地融入了互联网印记,并且受到便捷服务需求引领,支付类应用也随之“水涨船高”,手机网银、微信红包、支付宝等移动支付APP下载量暴增。移动支付为人们生活带来便捷的同时,其存在的安全风险也引起了各方的关注。即使移动支付软件开发商大多设置多重密码验证功能,甚至叠加生物识别技术以期提升移动支付的安全性,但安全隐患并未完全去除。虽然许多用户贪恋移动支付的便捷性而忽视了潜在安全威胁,但作为监管者,通信管理部门有义务加强监管服务,提高移动支付的安全性。
移动支付(MobilePayment),是指通过移动终端为载体进行电子交易支付的方式,实现购物、缴费等功能。最开始,移动支付所使用的移动终端是手机、平板或者笔记本电脑,现在发展到了通过智能手表、手环,甚至包括智能戒指。随着个性化可穿戴智能设备的发展,相信未来通过特制的耳环、项链、纽扣……就可以实现移动支付。
移动支付从技术实现方式区分,主要有远程支付与近场支付两种方式,远程支付是指通过发送支付指令或借助支付工具进行的支付方式,通常需要连接网络;而近场支付则是指采用移动设备“刷卡”支付,用户端一般无需联网。
目前我国的移动支付方式以远程支付为主,近场支付包括人们熟知的各类扫码、NFC方式。
近场支付。以现场近距离为特征,使用类似于蓝牙技术、红外线、射频识别技术或非接触式芯片等媒介实现现场的支付数据传输。如:广泛应用的公交卡、公共自行车卡、银行的“闪卡”等。
远程支付。远程支付,指依托用户的移动终端通过网络与支付系统后台服务器进行数据交互,由服务器端完成交易处理的支付方式。远程支付实现的方式包括短信支付、智能卡支付和移动智能终端支付等。它的最大特点就是用户端必须接入网络。比如:各个银行的网上银行APP、支付宝、微信等。
融合移动支付。实际上,当前越来越多的移动支付产品更多地兼具了融合移动支付的特性,如中国电信推出的“翼支付”、中国移动的“和包”、中国联通的“沃支付”、苹果公司推出的ApplePay、阿里巴巴的支付手表PayWatch,当然还有各种具备NFC功能的智能终端等,既可以实现远程支付,也可以实现线下支付。
近几年来,国内移动支付进入了高速增长阶段,央行数据显示,2015年第二季度,全国银行机构共处理电子支付业务249.76亿笔,金额594.15万亿元。其中,移动支付业务22.86亿笔,金额26.81万亿元,同比分别增长141.34%和445.14%;网上支付业务103.98亿笔,金额464.26万亿元,同比分别增长55.64%和44.57%;电话支付业务1.04亿笔,金额3.05万亿元,同比分别增长53.90%和191.78%;第二季度,非银行支付机构处理网络支付业务206.60亿笔,金额11.06万亿元,同比分别增长142.14%和107.75%。
移动支付简单、方便,不需要携带现金,省去了找零等传统交易中繁琐的过程,资金变动一目了然。移动支付的便捷性不言而喻,但这种简捷却带给我们另一个值得思考的问题——安全问题。
作为一种虚拟产物,互联网上充斥着各种不安全因素。为了套取用户信息,不法分子也是煞费苦心,利用虚假二维码、诈骗短信等方式诱导消费者访问钓鱼网站或者安装木马程序;在购物中心、酒吧餐馆等公共场所建立免费的虚假Wi-Fi,截取上网者移动终端的IP地址和上网数据,从而获得用户账号密码、资金情况等个人信息。近年来还出现了不法分子使用伪基站到人流多的地方发送诈骗信息,引诱人们登录其事先设计好的假冒银行网站,一旦有人在这个网站上输入账户和密码等关键信息,这些信息就会被获取,最终遭受资金损失。
为此,移动支付产品推出者也绞尽脑汁,推出了各种防范技术,比如设置数道防线:登录密码、手机密码、支付密码、动态验证码,甚至叠加了生物识别技术(指纹、声音、虹膜、面部识别等)。但最重要的是:确保用户的移动终端本身是安全的(没有被植入木马程序、没有被监控)、用户连接的互联网环境是安全的。二维码支付被多方指责其不安全,但仍然受到众多支付宝、微信用户的喜爱和使用;此外,号称“最安全”的ApplePay通过“安全芯片+加密指令+指纹认证”也一样被曝出存在安全漏洞,但这并不影响众多“果粉”的热情。
银联为了降低用户对闪卡“免密、免签”的恐慌,承诺建立商户交易监测体系,对于失卡未及时挂失,因“免密、免签”造成的资金损失,银联将联合发卡银行根据相关条款提供赔付。市场占有率最大的移动支付代表性应用——支付宝和微信,则分别提出了“被盗,最高100万元赔付”、“你敢付我敢赔”的口号,同时还不断地在技术上加以改进,比如对二维码设置了有效期,大大降低了二维码被复制的可能性。
由此可见,移动支付产品提供商的服务承诺也是人们愿意使用其产品的一个重要方面。所以移动支付产品获得用户认可的关键在于能否实现便捷性与安全性的平衡。
在信息通信技术迅速发展并深刻影响和改变社会生产、消费模式的时代,信息通信业监管部门需要做什么、如何做?
从业务的角度而言,移动支付涉及金融业、信息通信业;从产业的角度而言,移动支付涉及电子元器件研发与制造、互联网信息服务提供、互联网接入提供等众多产业环节,对其监管也呈现出多元的特点。所以各个行业的监管部门依据各自的监管职能履行职责,建立健全明确的监管制度,促进移动支付的健康发展。
首先,无论是金融业还是信息通信行业,都必须清楚地看到,实名制是减少犯罪重要的一环。进一步强化电话、账户实名制是从根本上降低电子支付安全风险的关键,所以电话实名制工作需要坚定不移地加大力度推进,提升人们对移动支付便捷性和资金安全性的满意度。
其次,协同相关部门继续加大对各种诈骗信息、钓鱼网站的管理力度,营造一个安全稳定的网络氛围,减少移动支付之中混杂的不安全因素;加大电子支付诈骗案例的宣传,提高用户的安全防范意识,帮助用户远离风险。
创新监管模式,有必要进一步“简政放权”、提升监管效率,跳出以前按技术、业务监管的模式,转变为对市场参与各方的监管。追随技术、业务脚步监管的模式已经不能满足近数年来技术、业务加速更新的新形势,如果沿用以前的监管模式,只会处于被动监管之中,甚至当一个新规范、新标准千辛万苦最终制定出来的时候,却面临所针对的技术、业务已经不再是主流的尴尬局面。
平衡市场参与各方彼此之间的关系才是永恒的课题,存在竞争关系的主体之间如何避免垄断出现,存在服务关系的主体之间如何避免权益损害的发生,这些关系的平衡内涵丰富而伴随业务的产生及发展永恒存在。
此外,面对新技术、新业务应用推出,监管部门应及时研究公布监管原则,避免“野蛮生长”。新事物推出的开始,很难在短时间内完成技术标准等详细的监管规则的制定,但监管部门不应长时间地沉默,应尽快制定出规范原则、指导意见,并在实践中不断改善。如今已经家喻户晓的支付宝在发展过程中曾经历坎坷和艰辛,因为支付宝在当时如何定位,很长一段时间没有监管部门明确。按马云的话说,作为第三方支付平台巨额流动资金带来的收益,他们“战战兢兢,不敢越雷池半步”,取得的成功与他们对道德底线清醒的认识和恪守是分不开的。正是因为他们未被贪婪控制,没有兀自在监管的真空中“野蛮生长”,所以才发展到今天。受制于市场地位、财力、企业领导人的思想水平,并不是所有企业都能自律的,一个良性发展的环境,监管规则是不能缺席的。监管规则,不是限制,而是保护。
最后,监管原则的设立应从“公开、公平、分正”原则,体现对移动支付产业扶持、对弱势主体保护的理念。尤其是公平原则,存在于企业与企业之间,还有企业与消费者之间。比如:在企业与企业之间,通过监管原则调节市场绝对占有者与后进入者的平衡,防止垄断,促进产业多元化发展;督促产业链直接相关企业建立安全风险防范责任机制,提高安全风险意识,界定安全风险发生后所应承担的责任。在企业与用户之间,通过监管原则督促企业建立服务承诺、安全风险赔付原则,保护相对弱势的消费者个体利益。
如同没有绝对的安全一样,也没有一开始就完美科学的监管规则,在发展中逐步完善的科学合理监管将为移动支付健康成长营造良好的环境。
编辑|赵艳薇 zhaoyanwei@bjxintong.com.cn