黄承予 江婉清
摘 要:网络支付的广泛普及开辟了网络金融的新时代。本文旨在从国家安全层面出发,以支付宝和Apple pay为研究对象,比较研究其两种支付方式在监管中存在的风险与难点,对电子支付方式的安全风险问题进行研究,结合规范分析与实证分析,并从跨学科视角对上述问题进行科学合理的解答,呼吁社会公众重视网络信息安全风险,并为我国网络支付的制度建设和网络安全风险防范提供可资借鉴的意见和建议。
关键词:支付宝 Apple pay 网络支付 风险防范 国家安全
中图分类号:F724.6 文献标识码:A 文章编号:2096-0298(2017)04(b)-042-04
随着网络支付的广泛普及,网络金融安全存在的风险日益凸显,在国家对网络金融安全日益重视的同时,社会公眾对多种网络支付模式可能存在的风险却鲜有关注,在享受着移动支付带来的便利同时,却没能认识到着其中大量的技术或监管漏洞。本文从维护网络金融安全与国家信息安全的角度出发,就支付宝和Apple pay两种支付方式孰优孰劣、在中国实际运行中存在哪些问题以及如何加强电子商务支付方式的监管等进行研究,以期为金融消费者提供安全的移动支付方式选择,为政府监管部门及时提出可资借鉴的制度设计。
1 内涵探析:网络支付方式背后的原理探究
1.1 支付宝的实现原理及操作流程
从本质上看,支付宝仅是一个独立的第三方支付平台。较传统的交易方式而言,以支付宝为首的第三方支付平台有以下几个方面的优势:从银行的角度,银行无需直接面对终端的大量客户,极大地提高工作效率的同时也降低了服务成本;从商家的角度,第三方支付平台提供了一个统一的应用接口,从而使他们不必考虑消费者使用不同银行带来的不便,在降低成本的同时也有利于扩大线上市场;从电子商务产业角度,第三方支付平台的出现不仅推动了产业化分工,也促进了整个产业的发展进程。
2008年,支付宝启动移动电子商务战略,并推出对应的手机应用来推广手机支付业务。消费者通过手机等移动终端和近距离传感器直接或间接地向金融机构发出支付指令,完成移动支付,目前常见的方式主要有条形码和二维码的扫码付款、声波付款、指纹付款。1.2 Apple pay概念及模式解析
Apple pay将NFC(NFC即Near Field Communication,中文名称为近场通信,是一种短距高频的无线电技术,在13.56MHz频率运行于10厘米距离内。NFC近场通信技术是由非接触式射频识别(RFID)及互联互通技术整合演变而来,在单一芯片上结合感应式读卡器、感应式卡片喝点对点功能,能在短距离内与兼容设备进行识别和数据交换)、近场通信技术、指纹识别touch ID及Passbook虚拟卡等技术关键点整合在一起,使手机代替银行卡完成支付,是苹果公司推出的新型支付方式。目前Apple pay同时支持线上与线下两种支付方式。线上支付与支付宝类似,但也有所区别——其直接从银行卡中支出钱款,而不再经过第三方支付平台;线下支付的方式则为用户在实体商店购买商品或服务后,在收银台处靠近支持touch ID的销售终端并按下home键进行指纹识别,验证成功即可完成支付。整个支付过程无需输入密码甚至无需解锁手机。
Apple pay实际上就是以苹果设备替代实体卡片,以指纹识别替代手动签名。但通过深入解析,可以发现其实质远比这复杂。首先,用户需要在设备上绑定信用卡,在设备中输入信用卡信息,Apple pay把信用卡信息发送到卡组织处验证,验证通过后会为这张信用卡生成一个独有的Token数据(Token,计算机术语,令牌,标记),Apple pay再把这个加密的Token数据发回到设备。设备上不直接存储信用卡信息,而是将账户信息映射成一种Token数据存储在设备的独立安全芯片中(SE芯片,Secure Element,苹果公司研发置于苹果设备中的安全芯片),使加密的Token数据替代用户的真实账户在交易处理中的各个环节流转,尽可能地降低账号在此过程中泄漏的可能性,从而保护个人隐私数据。用户在进行支付时,只有指纹认证通过,设备才允许利用NFC读取Token出来。
2 现状管窥:两种支付方式发展近况考察
2.1 支付宝的发展现状
2017年1月4日蚂蚁金服发布的2016年全国人民账单数据显示,2016年全国共有4.5亿通过实名认证的用户使用了支付宝。同时,2016年有超过10亿人次使用支付宝提供的公共服务功能,比去年增长218%,这些服务的内容涵盖了民众生活的方方面面。
同时,根据笔者前期发放的调查问卷结果,调查样本中97.5%的人承认在使用支付宝,且年龄跨度较大,但其中80后、90后的占比最大,同时被调查者对支付宝的各个功能都较为熟悉,支付宝在被调查者中的使用方式也多种多样。由此可见,支付宝作为我国目前第三方支付平台的代表,在我国的移动支付市场占据了极大的份额,并且尚不满足于现状,更是将触手伸向了各个金融领域。
2.2 Apple pay的发展现状
2016年2月18日,Apple pay正式在中国上线,当天绑定的银行卡数量就超3000万张,Apple pay入华已满一周年,但在中国市场的表现远低于预期——据《时代周报》称,2016年第三季度中国移动支付中支付宝的市场占有率达50.42%,微信支付占38.12%,银联仅占0.91%,显而易见,以银联为支撑的Apple pay的市场占有率更是微乎其微。
从笔者前期发放的调查报告中,Apple pay与支付宝的使用率也存在较大差异,支付宝作为中国本土移动支付公司以97.5%的使用率独占鳌头,而仅有11%的被调查者表示自己经常使用Apple pay。
3 追本溯源:两种支付方式存在的疏漏
3.1 支付宝存在的疏漏
查阅近几年全国各地关于支付宝被盗刷的司法案例并结合市场调研,笔者发现支付宝作为目前市场上最大的第三方支付平台,依然存在以下几个问题。
3.1.1 内部管理不当
对支付宝等第三方支付平台来说,其内部管理工作应当完善支付流程、提升网络信息安全防火墙技术以及健全平台内部规章制度管理。内部管理不当,即指第三方支付平台未能完全履行上述内部管理职责,存在过失与疏漏的情形。
根据(2014)西刑初字第579号黄春通等盗窃、信用卡诈骗案以及(2016)粤2072民终430号彭某与中国建设银行股份有限公司中山宏基支行借记卡纠纷上诉案,我们可以得知这两个案件的相同点在于第三方支付平台的账户和支付密码外泄,甚至有不法之徒通过购买他人的第三方支付平台的账户和个人信息的方式,进而达到盗刷他人支付宝账户的非法目的。據此,笔者认为,首先,支付宝内部的技术和信息安全防控存在漏洞,从而导致了用户关键信息泄露以及设计安全防控的机密信息泄露;其次,支付宝内部的规章制度管理仍不完善,内部的工作人员有可能在获取了用户个人信息之后将信息转手卖给不法分子并从中获利。需要指出的是,2013年3月27日,支付宝就曾大量泄漏支付宝用户的详细转账信息而引起用户恐慌。
据前期调查结果显示,即使有高达97.5%的受访者使用支付宝,但其中仍有50%以上的受访者表示对支付宝的安全性能感到担忧,其中更有19%的受访者表示自己的个人信息因为支付宝而向外泄露,且泄露的信息集中于个人身份信息、银行卡信息和手机号码等高度敏感信息上。由此可见,无论是第三方支付平台本身的网络安全技术存在漏洞还是内部的规章管理制度不健全,一旦事发都将引发一场社会公众对第三方支付平台甚至是整个网络金融的巨大信任危机。因此,广大第三方支付平台必须在其快速发展的同时认识到这当中潜在的恶劣后果。
3.1.2 外部欺诈问题
由于支付宝以移动网络为依托,广大客户的个人信息、交易信息等都直接曝光在整个网络系统中,这使不法之徒有了从外部以各种手段窃取信息的可能性。最常见的有以下几种方式:(1)假扮银行或者第三方支付平台的工作人员给用户拨打电话,引导用户告知账户信息;(2)假借各大银行的名义,建立类似的域名和网页内容引诱受骗者登录虚假网站,从而收集他人的账号密码信息;(3)在发送给他人的短信和电子邮件中植入木马程序,当手机或者电脑等终端感染了木马程序之后,不法分子便可获得受害者的账户信息和个人信息。
鲁0602刑初125号王某某、刘某甲信用卡诈骗案中,被告人王某某便是通过向他人手机中植入木马病毒的方式,窃取他人的身份信息、账户密码等,从而完成盗刷他人支付宝的不法行为。同时,笔者的调查结果显示,受访者中有10%的人的支付宝曾经被盗刷过,其中66.7%的人表示被盗刷的钱款无法追回。
3.1.3 监管不够完善
近年来网络金融高速发展,国家相继出台了与第三方支付相关的法律法规。虽然国家已经意识到支付宝在某些方面存在一些漏洞需要法律法规调整,也加强了对其监管,但我国的电子商务在强势发展,支付宝等第三方支付平台也不断地在各个新领域内探索前进,相关法律政策的出台尚无法做到与其探索的步伐齐平,如何定义传统的金融机构与新型的第三方支付平台,又要如何规范第三方支付平台提供的与金融业务相重合的领域等新的监管问题仍在不断涌现。
3.1.4 对国家安全潜在威胁
目前,第三方支付市场虽有各式各样的第三方支付平台出现,但其中依旧是支付宝占据了主要地位,甚至可以说在整个行业存在一定的垄断现象。而支付宝坐拥广大用户的账户,拥有巨额的沉淀资金,这些沉淀资金的去向在日常的金融活动中并不明朗。这在一定程度上意味着,支付宝能够开展更多的金融业务从而影响整个现有的金融体系。从国家安全的角度上看,人民的大量资产存在于一个企业中而不是交由银行进行管理,这必然是对国家金融安全的一大潜在威胁。
3.2 Apple pay存在的疏漏
3.2.1 数据安全存在隐患
Apple pay对Tokenization的应用(Tokenization,令牌化技术,取代敏感信息条目的处理过程),是互联网支付的一大革新。用户无须重复输入如身份证号、银行卡号、手机号码、家庭住址等各项敏感度极高的隐私数据,而是通过早已存储于安全芯片的Token数据进行支付。该项技术实现了私密性、易用性与安全性的相互统一,使用户得以体会高科技带来的安全与便捷。
但Apple pay的本质仍然是银行卡支付,如果用户不慎丢失手机或使用Apple pay绑定银行卡失败,可能会让不法分子通过Apple ID获得信用卡信息,进而存在被盗刷的风险。Apple pay在国内上线不到一周,就发生了因用户Apple pay绑定银行卡失败,导致银行卡被盗刷的风险事件。据《上海新闻晨报》报道,2016年2月22日凌晨,上海一苹果手机用户王某某通过Apple pay绑定银行卡未成功,在约40分钟的时间里,个人信用卡共被盗刷7次,合计人民币1054元,美元1862元。某行初步调查,为不法分子盗用该用户外币信用卡,多次在苹果商店进行在线消费。 此外,根据国外媒体报道,Apple pay上线的其他国家也曾发生过多起盗刷信用卡案件。
3.2.2 配套法律法规的缺位
以Apple pay为代表的NFC支付虽然属于移动支付范畴,但又不同于传统的依赖互联网和云端的支付技术。作为一项新兴领域,当前国内并没有健全的相关法律法规进行规制,我国亟需出台相应法律法规,将该种支付方式框定于法律体系之下。
3.2.3 危害国家安全的潜在风险
Apple pay带给用户私密性、易用性与安全性的同时,潜在危害国家安全的可能。Apple pay利用Tokeniation技术,对中国的Apple pay用户的个人私密信息进行加密,使用户在支付过程中免于泄漏交易信息,维护了用户个人信息安全。然而从宏观角度看,苹果公司通过该项技术获取了成千上万中国用户的身份证号、银行卡号、家庭住址、手机号码甚至指纹等敏感度极高的个人隐私数据,并存储于置于苹果设备中的SE芯片之中,是对于国家安全的重大危胁。
Tokenization本身是一项先进且安全的技术,有利于更好地在互联网上保护个人隐私数据,前提是中国掌握该项技术并且通过运用该项技术获得的个人信息也被中国所掌握。苹果公司作为美国成立的公司,必然受制于美国政府。2016年库克(苹果公司现CEO)通过公开信公开“美国政府要求苹果公司采取一项史无前例的措施”,即FBI以反恐为由,要求苹果公司“开发一个全新的操作系统”,并提出解除多个现有苹果手机重要的安全功能,安装到“圣博纳迪诺枪击案”发现的iPhone上。虽然苹果曾多次公开表示并不认可主动向政府敞开大门,但中国用户大量私人信息被掌握在一家美国政府管辖范围内的公司信息库中,无疑使中国信息安全存在巨大安全隐患。如果美国政府可以利用美国法律轻易解锁苹果用户的手机,那么也意味着其有了从任何设备上获取私人数据的权利。同时,也不排除美国政府要求苹果公司开发监控软件以拦截用户私人信息、银行卡信息的可能性,使用户在不知情的情况下陷入被美国政府监控的境地。
综上所述,Apple pay通过加密存入iPhone手机随机安全芯片而获得的个人隐私数据,产生的隐患足以影响到国家信息安全。由此可见,Apple pay引入中国,引发的不仅仅是经济金融上的影响,更深层次即是对于中国互联网金融法制的影响。中国互联网金融法制依旧存在许多问题亟待解决。
4 大道何归:网络金融安全风险的防范建议
4.1 针对支付宝的安全风险防范建议
4.1.1 完善相关立法
当前我国虽出台了一些与网络金融相关的法律法规,但是这些法律法规大多言语笼统,分布零散,在实际的网络金融活动中所起的作用有限。
首先,我国应当在现有的《中华人民共和国中国银行法》《中华人民共和国银行业监督管理法》等法律法规中加强对第三方支付平台的相应规制。如在立法上设置第三方支付平台的行业准入标准,通过立法规定第三方支付平台申请进入行业许可应当具备的实质条件与形式要件,以及已获得许可但不具有继续经营资质的第三方支付平台退出市场的机制,使符合标准的第三方支付平台能够在合法的空间范围内发展。
其次,我国应当立法增设监管机构。目前我国对于网络金融领域负有监管职责的主要是中国人民银行、中国银行业监督管理委员会、中国保险监督管理委员会和中国证券监督管理委员会四个部门。为预防各个监管部门的监管细则难以落实,在对第三方支付平台的监管中出现互相推诿的情况,还应建立一个衔接第三方支付平台与监管部门的机构,该机构可由第三方支付平台的代表与监管部门的代表共同组成,直接对接各个第三方支付平台和机构,从而自觉地对第三方平台的准入与常规的金融业务进行监督。
4.1.2 加强法律监管
互联网环境下,第三方支付平台的业务涉及网络和金融的方方面面,也潜伏了错综复杂的法律关系与风险,加强法律法规对第三方支付平台的监管迫在眉睫。
首先,设立统一的客户备用金账户。客户备付金是支付机构预收其客户的待付货币资金,不属于支付机构的自有财产,但实际金融活动中曾发生过第三方支付平台挪用客户备用金、违规占用客户备用金,以及借客户备用金来变相行使央行的清算职能。设立统一的客户备用金账户,实现支付平台客户备付金的集中存管,并由中央银行进行统一的监管,各第三方支付平台不得挪用、占用客户备付金。
其次,完善第三方支付市场的信息公开制度。支付机构应向社会公众公开必要的经营信息和交易信息,包括但不限于以下几个方面:双方的交易渠道、交易类型、交易金额、交易时间,以及直接向客户提供商品或者服务的特约商户名称、编码和按照国家与金融行业标准设置的商户类别码;收付款客户名称,收付款支付账户账号或者银行账户的开户银行名称及账号;付款客户的身份验证和交易授权信息。
4.1.3 完善司法救济
目前我国网络金融方面的消费者权益保护尚不健全《,消费者权益保护法》的立法目的虽为保护消费者的合法权益,但其中有关网络金融用户的权益保护条文涉及甚少。纵观当前的第三方支付平台发展,消费者最容易受到侵害的权益主要包括财产权、求偿权、个人信息安全等。因此,完善司法救济首先应当完善《消费者权益保护法》,为消费者在以上权益遭受侵害规定相应的和解、诉讼与赔偿的具体规定。
同时,还应当确立第三方支付平台与用户之间的责任分担与举证责任分配的相关制度。在责任承担上,应当区分第三方支付平台的过错与用户方的过错,然后根据过错责任原则,由存在过错一方承担主要责任。但也应区分一般过失与严重过失,只有在用户存在欺诈、故意或者重大过失的情况下才承担责任,同时还应规定用户在一般过失情形下,对及时挂失后的损失不承担责任。在举证责任分配上,不能完全依赖民事诉讼举证责任分配中的“谁提出,谁举证”规则,而应结合案件实际情况,从立法上尽量减轻用户的举证责任,将举证责任转移至第三方支付平台,必要时可采取举证责任倒置的方式,并应从立法上禁止第三方支付平台利用技术手段修改、隐匿用户支付过程中所形成的电子证据,否则第三方支付平台应当承担相应的不利后果和败诉风险。
4.2 针对Apple pay的安全风险防范建议
4.2.1 不依赖于外国引进的技术
首先,对于一些涉及中国用户高度敏感性信息的技术,我国应做一定限制,尽量研发与使用国产的相应技术与信息存储硬件以替代外国引进的软硬件,防止我国信息泄漏到他国而造成不利影响,在互联网上更全面地保护中国国民的个人隐私数据。并且,我国可以考虑着手建设金融行业移动支付Tokenization业务服务中心。Tokenization技术兼顾了私密性、易用性与安全性,我国理应欢迎先进技术的引进,就我国现状来看,该项技术并未真正普及,但不难预见该项技术在未来的巨大潜力,科技的进步与更替是必然趋势,故而我国应抓住机遇,及早掌握该项技术,使该项技术受控于我国政府,而非蘋果公司或是其他外资企业。该服务中心可以成为独立、可信的第三方中介服务商,服务于银行卡组织、商户、商业银行、手机厂商或通信运营商。这项举措有助于在我国境内实现真正线上线下安全的支付模式,从而防止客户敏感信息泄漏、网络交易过程中遭劫持等安全事件的发生,也是保护我国国家信息安全的一大屏障。
4.2.2 重视Apple pay的潜在威胁
从市场分析可知,Apple pay在进入我国市场一年后仍无法与国内本土移动支付——支付宝匹敌,但是以Apple pay为代表的基于NFC的手机支付功能作为一种先进的技术,无疑是移动支付领域的一大创新。即便在现阶段,中国市场二维码普及范围更大,也并不代表这一现状会一直延續下去,笔者在文中虽高呼使用Apple pay有对国家安全危害的风险,但Apple pay代表的NFC技术在安全性、易用性、私密性上的优势,使它有存在的必要,也使二维码扫描支付被取代和淘汰存在可能性,Apple pay未来也可能衍生出更多的金融模式。彻底消除Apple pay潜在威胁的最好方法,是我国能够尽快掌握该项技术,使先进科技能够尽早为我国民众所用而无后顾之忧。
4.2.3 对Apple pay的准入实行有效监管
我国应在对Apple pay准入持欢迎态度的同时,依据我国的政策法规实施有效监管。根据我国个人隐私数据的保护要求,在涉及用户银行账号、交易等敏感信息方面,Apple pay所使用的Token信息加密技术是核心,该业务服务中心应该落地在我国境内,应与苹果公司独立,并由我国政府授权进行监管。同时,虽然Apple pay采取匿名收集交易信息,但其储存的数据涉及我国用户的多项敏感度极高的信息,因此,Apple pay架构下的服务器也应设立在我国境内,使其操作在我国管辖权范围内进行,以便于在我国法律框架下实施监管。
4.2.4 加快立法进程
《网络安全法》的出台是推进互联网法制建设的重大举措。2015年中国人民银行根据《中华人民共和国人民银行法》、《非金融机构支付服务管理办法》等法律法规制定《非银行支付机构网络支付业务管理办法》,对“非银行支付机构”进行了一定限度的法律规制。但以Apple pay为代表的NFC支付,由于其并非传统第三方支付平台,而使用者在使用时也与银行卡直接关联,对于该种支付方式的法律性质并不明确,既不能将其笼统归类于非银行支付机构,也显然不是银行支付机构。面对新式的网络支付方式,我国亟须加快立法进程,即时对以Apple pay为代表的NFC支付进行法律规制。
参考文献
[1] 舒忆秦.移动支付安全风险评估及应对策略——基于支付宝用户的实证研究[J].国际商务财会,2016(12).
[2] 叶文辉.Apple pay与国内互联网支付工具的比较分析及启示[J].国际金融,2016(9).
[3] 李晓枫,汪东艳.Apple pay安全机制分析——兼论对我国移动支付产业发展的政策启迪[J].金融电子化,2014(12).
[4] 张慧琳.浅析基于标记化技术的移动支付安全方案[J].信息安全与技术,2015(7).
[5] 秦安.苹果支付落地,国家金融业自主可控路在何方[J].中国信息安全,2016(2).
[6] 宁连举,刘茜.互联网金融的创新发展及监管建议[J].宏观经济管理,2015(1).
[7] 于海龙.互联网金融第三方支付发展战略研究——以支付宝为例[D].青岛科技大学,2016.
[8] 蔡丽娇.网络第三方支付平台监管法律问题研究[D].山西财经大学,2013.
[9] 李嘉敏.我国第三方互联网支付平台民事责任研究[D].湘潭大学,2016.
[10] 马永保.第三方互联网支付经济法规制研究[D].安徽大学, 2014.