第三方支付信息安全监管的多元化调查分析

李松涛，危怀安

（华中科技大学公共管理学院，武汉430074）

0 引言

我国第三方支付市场取得了世界瞩目的高速发展，在市场规模、产品创新和服务客户数量方面都进入世界前列。但是在第三方支付行业繁荣的背后，也存在着网络欺诈、身份盗窃、个人信息泄露、恶意软件破坏、操作系统漏洞等信息安全管理问题。因此，对第三方行业信息安全实施必要的监管是行业参与方和专家学者的共同认识。

国内外学者们对第三方支付行业信息安全监管进行了一定的研究。张天庆（2014）从第三方支付平台的角度对安全问题进行了总结，并针对一些问题提出相应的建议。周永战（2012）以第三方支付平台为研究对象，采用以定性为主的研究方法，探索对第三方支付平台进行信息安全等级保护监管的监管粒度及其在检查中的应用问题。谢增波（2014）从第三方支付机构的硬件、软件和网络三个方面进行分析，提出加强系统安全管理、完善用户认证机制、建立严格的内控制度等建议。孙林（2015）从列举支付服务系统和买卖双方的终端系统等技术风险，人为错误或者故意为之的操作风险，建议加强软硬件建设，防控技术及操作风险。杨丹丹（2015）梳理出第三方支付的各类风险，使用相关回归分析出第三方支付风险管理影响因素之间的相互关系，并提出实践建议。雷志高和魏恒顺（2014）分析了第三方支付行业信息安全所存在的漏洞，建议从立法的角度完善第三方支付信息安全监管制度。目前针对第三方支付信息安全监管的研究主要是从监管机构和第三方支付机构两个角色出发，实施有效履行监管机构所要求的信息安全监管政策，监管客体本身存在的信息安全漏洞等方面的定性分析。但是，对第三方支付市场存在的信息安全问题的成因缺少相应的研究，也缺少第三方支付市场所有参与角色对第三方支付市场信息安全成因的定量分析和各元素的效用分析。

本文以第三方支付市场各角色为调查目标，对调查结果中的数据进行清理和统计，运用结构方程模型进行了多元化数据分析，剖析各元素对第三方支付市场问题的效用。提出适合我国国情的第三方支付信息安全监管的对策，并给出第三方支付信息安全监管倾向和监管力度的建议。

1 调查问卷设计

为了精确了解监管机构、第三方支付公司和个人客户对第三方支付市场信息安全问题的成因，特设计此问卷。根据研究的需要，本文设计了3个潜在变量和12个观察变量，采用李克特五级量表进行测量。

此问卷的调查对象分为监管机构、第三方支付机构和个人客户。监管机构包含：中国人民银行、中国银监会、工信部、公安部、工商行政总局、商务部的总部及下属机构的监管人员。这些监管人员职位从厅局级干部到普通科员，其职责范围主要包括第三方支付机构管理、支付结算管理、信息安全管理、网络安全管理等。第三方支付机构包含：根据机构2015年网上支付业务规模、市场影响力以及地区布局，选择中等规模（网上支付市场份额排名前50名）以上，且覆盖北京、上海、广州和深圳几个重要区域的20家第三方支付机构。个人客户包含：年龄要求在18～60岁之间且各年龄段都要覆盖，具有网上购物和支付经历，并对网络信息安全有一定了解的50～60名个人客户。调研对象的男女性别尽可能等比分布，所在城市要覆盖北京、上海、广州和深圳，且包括县域地区的客户。

本调查问卷共设计了12个题项，如下页表1所示。题目全部采用李克特五级量表测量，要求答题者回答每一项对于第三方支付市场信息安全问题的影响程度，从1到5（分别代表：非常同意、比较同意、一般同意、比较不同意、非常不同意）选择自己同意的选项。

表1 第三方支付市场信息安全问题影响因素

2 信度及效度分析

2.1 信度分析

模型的有效性分析主要包括问卷的信度与效度检验两方面。信度指的是测验结果的一致性程度或者可靠性程度，信度检验主要分为两类：外在信度检验和内在信度检验。内在信度检验指在给定的相同条件下，资料收集、分析和解释能在多大程度上保持一致，最常用的内在信度系数为Alpha系数。一般而言，如果内在信度系数在0.8以上，则可认为这一组问题有较高的内在一致性；如果内在信度系数在0.6到0.8之间，表示内在一致性较好；如果低于0.6表示内部一致性较差。外在信度检验指在不同时间对同批被调查者实施重复调查时，评价结果是否具有一致性。

本文主要从问卷内在信度检验角度进行分析。通过SPSS 22统计分析软件对调研问卷中采用李克特五级量表的判别题项进行了总体信度检验，通过可靠性分析可以看出，该量表的总体信度克朗巴哈系数信度系数为0.848，其标准化后的克朗巴哈系数系数为0.857，说明问卷整体具有较高的可信度。因此根据此问卷调查得到的数据是可信的，基于问卷进行的数据统计分析结果也是可靠的。删除各观察变量后的信度分析结果如表2所示。

表2 删除各观测变量后的信度分析结果

从表2可以看出，删除各观测变量后的克朗巴哈系数都比原量表的克朗巴哈系数0.848小，说明不需要删除题项来提高信度。

2.2 效度分析

效度检验主要是指问卷取样的足够度，本文所进行的效度检验主要通过检验因子分析适用性来进行。通过SPSS 22软件对调研问卷进行因素分析，采用KMO度量和巴特利特球形度检验对李克特五级量表的判别题项进行内容效度分析可以看出：总体样本KMO度量为0.915，远大于0.5的经验值，说明变量间的共同因素很多，适合进行因子分析，该问卷具有很好的取样足够度。另外，巴特利特球形度检验的近似卡方值为187.937，自由度为66，显著性为0.000，显著性小于0.001，拒绝了相关系数矩阵为单位矩阵的原假设，说明适合进行因子分析，该问卷具有良好的效度。

3 结构方程模型构建与分析

3.1 模型构建

本文通过结构方程模型对第三方支付市场信息安全问题影响因素的理论假设进行验证性因子分析，验证各个变量之间的关系。以12个观测变量为建构基础，验证3个潜在变量（监管机构因素、个人客户因素和第三方支付机构因素）的关系，采用Amos21软件建模，如图1所示。

图1 第三方支付市场信息安全问题成因

3.2 模型分析

本文将调查问卷的原始数据读入Amos 21软件，计算估计值后输出报表内容，对模型进行分析。

（1）模型参数显著性检验

通过解读报表的未标准化回归系数表分析模型图载荷系数的显著性，如下页表3所示。

从表3可以看出，模型中临界比率值均大于2.58，则均满足显著性水平小于0.01,说明模型中的所有载荷系数在0.01水平下与零有显著性差异。其中，只有人为的无意操作失误对于个人客户的显著性水平略大于0.001，其他载荷系数的显著性水平均小于0.001,说明模型中的载荷系数差异比较显著。

（2）模型拟合度检验

如下页表4所示，为输出报表的拟合度指标，各种指标均呈现出三种模型：预设模型、饱和模型、独立模型。

表3 非标准化回归系数（第1组-预设模型）

表4 卡方差异值

从表4可以看出，模型绝对拟合度指标的卡方差异值χ2=13.606，自由度df=51,二者的比值为χ2/df=0.267,满足理想值（小于3），表示模型与数据配合程度很好。显著性P=1.000，大于0.05，故可判断该模型适合数据。

从表5、表6可以看出：模型的绝对拟合度指标均方根残差=0.048,小于标准值0.05；拟合优度指数=0.961,大于标准值0.9；近似误差均方根=0.000,接近于0，小于标准值0.1；接近适合性检验的概率=1.000，大于0.05。故可接受“近似误差均方根小于0.05”的虚无假设，可以判断模型具有良好的拟合度。

表5 均方根残差,拟合优度指数

表6 近似误差均方根

从表5和表7可以看出：模型的调整拟合优度指数=0.941,大于标准值0.9；基准化拟合指数=0.934,大于标准值0.9；相对拟合指数=0.914,大于标准值0.9；比较拟合指数=1.000,大于标准值0.9；增量拟合指数=1.243,大于标准值0.9，略高于1。说明模型具有良好的拟合度。

表7 基准比较

（3）模型潜在变量信度检验

潜在变量的建构信度是模型内在质量的判断标准之一。若潜在变量的建构信度大于0.60,则表示模型的内在质量良好。通过完全标准化系数值估计值可用来计算潜在变量的组合信度，也即建构信度。通过Amos 21软件输出所建模型标准化回归系数值如表8所示。

表8 标准化回归系数（第1组-预设模型）

建构信度计算公式如下：

其中，pc为建构信度；λ为指标变量在潜在变量上完全标准化参数估计值（因素负荷量或回归系数）；θ为观察变量的误差变异量，也就是δ与ε的变异量。

在所建模型中，“监管机构因素”这个潜在变量的建构信度是：

同样的计算方法计算“第三方支付机构因素”与“个人客户因素”这两个潜在变量的建构信度分别是0.69与0.63。三个潜在变量的建构信度均比标准值0.6略高，说明模型内在质量良好。

（4）第三方支付信息安全问题成因影响比重分析

为了解监管部门对目前国内导致第三方支付市场信息安全问题主要原因的基本看法，模型设计三个潜在变量：“监管机构因素”“第三方支付机构因素”“个人客户因素”，分别对应十二个观察变量：“利用网络攻击和病毒窃取信息”“支付机构信息安全系统不完善”“支付机构信息安全风控缺失”“支付机构存储大量敏感客户信息”“目前政府部门监管力度还不够”“多个管理部门没有形成监管合力”“对信息安全违规、违法处罚太轻”“相关法律制度和有效监管措施缺乏”“管理模式滞后于新技术发展和业务创新”“社会公众信息安全保护意识不强”“人为的无意操作失误”“利用网络攻击和病毒窃取信息”，利用李克特五级量表进行问卷调查并进行了建模分析变量之间的关系。

从表8可以得出，“多个管理部门没有形成监管合力”对“监管机构因素”的影响最大，其次是“支付机构信息安全风控缺失”对“第三方支付机构因素”的影响和“社会公众信息安全保护意识不强”对“个人客户因素”的影响，说明“监管机构”“第三方支付机构”“个人客户”三个参与方均对第三方支付市场信息安全问题有重要影响。其中，监管机构的影响最大，而在监管机构的影响中，“多个管理部门没有形成监管合力”“相关法律制度和有效监管措施缺乏”“对信息安全违规、违法处罚太轻”三个因素影响又最大。

4 对策及建议

根据结构方程模型的分析数据得出：此次问卷调查的各观察变量对潜变量有着显著影响，并且调查问卷数据和模型的拟合度较好，模型的内在质量良好。适合使用本次问卷调查的数据和模型对第三方支付信息安全问题成因进行多元化的分析和数据挖掘，本文建议：

（1）建议多个监管部门通力合作，形成监管合力，一起承担监管责任，对第三方支付机构的信息安全进行监管，发挥多部门联合监管的系统化治理作用，在各自规制领域的基础上形成信息共享、目标统一的监管机制，将可以很大降低第三方支付机构在信息安全方面规避监管的可能性。因此，人民银行、公安部门、工商局、工信部以及银监会应协调多方监管力量，共同承担监管责任，共同加强对第三方支付机构的信息安全管理，发挥多部门联合监管的系统化治理作用。

（2）要求第三方支付机构必须健全信息安全风险控制机制，完善支付机构信息安全系统，严格遵守我国对第三方支付市场实施的法律法规，明确第三方支付机构信息安全管理细则以及人员、系统资源投入要求。必须制定信息安全风险事件应急预案和提取信息安全风险补偿金，央行和行业协会协会建立第三方支付机构信息安全评级标准，定期评比奖励和处罚；同时，第三方支付机构也需要提高自己的软件、硬件。管理水平来应对外部网络威胁，减少信息风险攻击事件，进一步完善信息安全风险管控机制。

（3）加强社会公众网上个人信息保护意识和维权手段的教育，提高用户的安全意识。

（4）在第三方支付信息安全领域中，监管机构应起主导作用，除了多个监管部门需要通力合作形成监管合力之外，还需要监管部门制定相关法律制度和有效监管措施；对第三方支付机构信息安全违法事件加大处罚，明确的处罚责任，加大第三方支付机构的违法成本。因此，针对第三方支付机构信息安全违法情况，设置不同程度的罚款的行政处罚，甚至对于大范围和数据极大的信息泄漏风险事件。除了处罚意外还要责令第三方支付机构停业整改，即加大违规行为的处罚力度。

[1] Babbie E.The Practice of Social Research[J].Wadsworth Publishing Co Inc,2012.

[2] Abdul J K,et al.Information Security and Mutual Trust as Determin⁃ing Factors for Information Technology Outsourcing Success[J].Afri⁃can Journal of Business Management，2012，6(1).

[3] Akindemowo E.Recalibrating Abstract Payments Regulatory Policy:A Retrospective After the Dodd-Frank Act[J].Kansas Journal of Law&Public Policy，2011，6(21)．

[4] 袁方.社会研究方法教程[M].北京：北京大学出版社,2013.

[5] 薛薇.统计分析与SPSS的应用[M].北京：中国人民大学出版社，2014.

[6] 张小山.社会统计学与SPSS应用[M].武汉：华中科技大学出版社，2010.

[7] 荣泰生.AMOS与研究方法[M].重庆：重庆大学出版社，2016.

[8] 张天庆.第三方支付机构信息安全问题分析[J].信息网络安全,2014,(7).

[9] 周永战.第三方支付平台信息安全等级保护监管粒度及其应用探析[D].北京：北京大学硕士论文，2012.

[10] 谢增波.第三方支付的风险管理研究[D].北京：北京邮电大学硕士论文，2014.

[11] 孙林.我国互联网金融之第三方支付的风险评价与控制研究[D].太原：山西财经大学硕士论文,2015.

[12] 杨丹丹.第三方支付风险管理实证研究[D].北京：首都经济贸易大学硕士论文,2015.

[13] 雷志高，魏恒顺.第三方支付的信息安全法律风险分析[J].信息网络安全,2014，(11).