安全漏洞频现 电子商务中第三方支付的安全性有待加强强

研究设计

本文采用案例分析法和问卷调查法相结合的方式，以支付宝为研究对象，梳理其网购支付流程，收集支付宝用户对其安防系统的普遍看法，分析其支付安全性方面优点和不足。对于支付宝安保系统及支付现状的了解工作，将借助查阅文献及百度百科实现；对于支付流程梳理工作，将基于问卷填写者日常使用经验汇集整理；对于相关数据分析工作，将基于问卷数据汇总结果进行。

研究过程

案例分析一是支付流程及其安防措施。在支付前，用户需要向支付宝后台服务商注册账号。获得个人账号后下订单，账单将呈递给支付宝后台参与审核。通过审核后的订单将转送给卖方服务商，由后台服务商为本平台结算机构发送付款通知，用户付款后由支付宝结算机构和卖方结算机构进行结算，最终完成订单。支付宝有两种付款方式，分别为扫一扫支付和付款码支付。其中，扫一扫支付需具备密码验证环节，用户可选择通过输入密码或采用指纹验证方式。此外，支付宝还开通了人脸支付和小额免密支付功能供用户挑选。同时，支付宝设有两套密码，一套用于支付，一套用于登录账号，设置有限次试错程序，起到了双保险的作用。同时，支付宝账户还采用先进的128位SSL加密技术，确保用户信息能够安全传送给后台。此外，在支付宝账户提现时，系统将检查用户登记的银行账户姓名是否与其认证姓名一致，否则不予提现。

二是支付风险分析。首先，目前尚存在相关法律法规不够健全且监管责任不明确的问题。由于第三方支付属于新技术范畴，我国还未出台足够多的相关法律政策。这不仅导致法律效力低下，还使得受害用户无法找到合理途径维权。我国目前依旧还未明确对第三方支付行业的具体监管部门，导致各个部门都能对该行业进行监管，造成重复监管、资源浪费。同时，行业缺乏能够协调支配全局的主权者，消费者权益无法得到保护，极易造成第三方支付行业出现管理乱象。第二，支付宝依旧存在软硬件、洗钱、套现风险。尤其是每年的“双11”“6·18”等大促活动，会吸引大量用户支付。若交易额超过系统额定上限，则很可能使整个支付系统瘫痪、卡顿支付，无法满足用户个人需求。如今，时代发展迅速，黑科技层出不穷，支付宝系统网络会时刻遭受网络攻击、非法入侵、病毒感染等风险。此外，“海淘”交易在近几年趋于火爆，由于交易者身份及资金流水难以查明，大大增加了国家反洗钱相关部门的工作难度。第三，支付宝用户信用风险及防范意识仍有不足。用户在支付时难免需要向平台提供部分个人隐私信息，这可能会被手握黑科技的别有用心的人利用，使用户财产安全面临一定风险。

问卷分析通过后台107份有效问卷可以看出，将近71.6%的填写者认为购物时使用支付宝支付为其首选。原因主要为以下几点：电商平台巨头——淘宝不支持微信支付；支付宝有余额宝功能，可以得到比银行更高的利息；支付宝的人脸支付、指纹支付、小额免密支付方式简单便捷，尤其是在直播间或大促活动中抢单能够相对于密码支付占据绝对优势。对于支付宝的安全性体验，96.4%的填写者认为很安全，在使用过程中没有遇到过资金损失问题。85.3%的填写者表示从未在使用过程中遇到支付卡顿等系统问题。在填写者体验过程中，有以下几点需要改进：平台需完善后台系统，避免经常性卡顿问题；平台需要绑定银行卡才能使用，对于无银行卡人群（例如未成年）造成支付壁垒；虽然其采取了许多安保措施，但仍旧存在安全隐患。

研究结论

第三方支付行业安全现状总结从整体来看，目前我国获牌第三方支付厂商重视支付安全建设，整体安全情况良好。获得网络支付业务许可的企业在风险防控、系统安全保护、备付金管理方面均达到了央行认可标准，证明其网络支付系统已达到较高水平。同时，部分第三方支付平台在央行、公安部、公信部等部门的指导下，联合银行业、IT安全厂商等多个企业一同保障用户支付安全，成立专门针对电子支付安全的产业大联盟，有效地提升用户的网络支付安全信心。此外，通过研究发现，银行、IT安全厂商、浏览器厂商等网络支付生态链参与者正积极与第三方支付厂商开展战略合作，共同防范网络支付风险，参与网络支付安全建设。然而，目前第三方支付平台并不是完全无风险的，有一些安全隐患仍旧存在。

一是信息易泄露。用户在进行支付平台账号注册及支付时，可能会在各个环节产生个人隐私信息，它们均被第三方支付平台大量保存。而安全防护能力不足、应用程序存在漏洞、内部人员管理不善等因素，均可导致信息被手持破解软件的黑客非法窃取并利用，从而带来财产损失。如何提升第三方支付平台安防级别、对私密信息进行保护将成为重点关注问题。二是交易欺诈。此问题主要包括不良用户或犯罪分子通过虚假交易或者链接钓鱼网站等多种手段进行不法活动的问题，同时不排除商户收款后立刻删除联系方式等行为。此现象产生的原因主要是支付双方信息不明确。由于身份识别度不高，导致交易欺诈行为出现。这归根结底是第三方支付平台信息识别管理技术安全级别不够高的缘故。三是经营风险。我国第三方支付机构发展时间短、各方面尚不成熟，某些平台采用各种违规经营手段来抢占市场份额、提高盈利能力，这已成为行业潜规则。对于某些未获牌照的中小型第三方支付企业，可能存在不善营业或不诚信营业的情况，给用户带来资金损失。例如，部分平台存在在跨境交易中通过分别开设境外和境内账户，采用对冲换汇方式，绕开银行换汇环节、逃避外汇监管的现象；部分平台存在逾越牌照范围，将线上预付费卡非法挪至线下使用等多种违规行为。

发展建议一是应增强平台系统安全性和稳定性，提高其员工素养。想要增强安全性和稳定性，就应落实用户隐私保密工作，建立严密的隐私保护系统，用更多的财力人力保证金平台交易网络技术的高安全性。第三方支付平台应定时召开员工大会，为其讲解保障平台安全性和稳定性的重要意义，制定出应对突发事故的紧急预案并为员工详细阐述，培养出能够对用户信息完全保密、严格遵守相关法律法规的员工。此外，员工应时刻督促自己，提高自身素养，针对突发事件做好服务器数据备份和应急预案，避免对公司和用户带来损失。二是应建立保证金制度。各个第三方支付平台应向银行缴纳保证金，为后续工作承担风险，方便补偿用户。此举监管方应由中国人民银行担任，有了足够的影响力和公信力，才能确保该制度的有效性。三是应完善用户个人征信体系，继续推进支付平台建设。首先，第三方支付平台应在与用户注册账号时设置勾选协议，其中标明个人信息采集方法和范围，保证信息来源是符合用户本人意愿并合法公正的。其次，在网络支付过程中，平台要严格审查交易双方具体信息，从根本上避免风险发生。同时，要加强与国家相关部门的合作，保存交易证明。对于如何推进平台支付建设，可以采用相关技术使其更加多元化、智能化，满足不同用户的需求差异，成为以个性化、人性化为代表的平台。

作者单位：对外经济贸易大学信息学院