无忧支付网首页
囊括国内所有第三方支付公司信息
为客户提供最优质的支付接口服务
24小时服务电话
182-2176-9212
站内搜索
您当前的位置:主页 > 相关文档 >

移动支付产品翼支付主要风险与管控

添加时间:2018-04-20 18:03
  随着信息技术的高速发展,智能手机快速普及,支付技术与业务不断创新,移动支付业务发展迅猛。随着2012年我国移动支付标准的正式确立,通信运营商、银行、第三方支付机构积极布局和拓展移动支付市场,我国移动支付产业进入了快速发展期,也对风险管控提出了强有力的挑战。
  
  一、何为移动支付
  
  移动支付是近年来发展起来的技术与业务,根据阐述角度的不同,相关行业、组织给予的定义各有不同。根据2002年“移动支付论坛”(Mobile Payment Forum)的说法,移动支付就是交易双方使用移动设备转移货币价值以清偿获得商品和服务债务。这是一种依靠短信、HTTP、WAP或NFC(近场通信技术)等无线方式完成支付行为的新型支付方式。移动支付所使用的移动终端可以是手机、PDA、移动PC等,目前手机是主要的移动支付终端,因此也有人把移动支付成为手机支付。移动支付是通信工具向信用支付工具的一种功能性扩展,也是移动电子商务过程实现的一种价值体现。
  
  翼支付是中国电信在移动支付领域的产品。2011年3月,中国电信成立中国电信天翼电子商务有限公司,获得央行核发的支付牌照,基于移动互联网技术提供金融信息服务,推出自有品牌--冀支付。翼支付属于移动通信支付平台模式,运营商处于主导地位,管理交易账户并制定支付流程,直接与用户联系,银行参与程度低。作为进军支付金融领域从事新业态的央企,在线上线下深度拓展,在为个人用户提供民生支付应用的同时,还可为个人、商户提供综合性的互联网金融服务。2017年翼支付APP活跃用户已达到1772.6万人,一定程度上促进了我国移动支付的快速发展。
  
  二、我国移动支付发展现状
  
  我国移动支付产业已进入加速发展期。据中国互联网信息中心(CNNIC)数据,2016年12月我国手机网民规模达6.95亿,增长率连续三年超过10%.2016年我国手机网上支付用户规模达到4.69亿,年增长率为31.2%,网民使用手机网上支付的比例达到67.5%,有50.3%的网民在线下实体店购物时使用手机支付结算。从央行发布的年度支付体系运行数据来看,我国移动支付业务保持四年快速增长,2013年移动支付业务和金额分别增长2.1倍和3.2倍,2014年增长1.7倍和1.3倍,2015年增长2.1倍和3.8倍,2016年增长0.85倍和0.46倍,远远高于其他支付手段的增长速度,预计未来几年仍将成倍高速增长。2016年移动支付业务及金额已占我国电子支付业务总量的18.42%和6.32%,已然成为我国电子支付的重要组成部分。
  
  向好的市场反应和发展趋势给移动支付相关行业以极大信心,我国移动支付市场已然形成了三个梯队。根据比达咨询(BigData-research)最新发布的《2016中国第三方移动支付市场研究报告》,2016年中国第三方支付总交易额为57.9万亿元,其中移动支付交易规模为38.6万亿元。目前央行发放了267张支付牌照,从2016年市场份额来看,支付宝占比52.3%居首位,财付通以33.7%位列第二,形成双寡头局面,组成第一梯队:8家支付企业,即拉卡拉、易宝等瓜分剩下12.6%的份额,组成第二梯队;中国电信的翼支付、中国移动的和包、中国联通的沃支付,与其他的257张支付牌照共同分割其余1.4%的份额,组成第三梯队。
  
  中国电信在互联网金融领域积极探索,目前市场上比较通行的模式,翼支付基本上都有尝试,如支付、征信、分期、白条、小贷、理财等;翼支付补贴、与众安保险在用户与数据方面的合作等,逐渐形成更贴近市场的运营套路:基于通信运营商的数据资源形成大数据技术能力,实现金融解决方案的输出。
  
  三、移动支付主要风险
  
  在快速发展同时,移动支付的风险制约因素也开始频频出现,甚至威胁到用户资金及信息安全,有必要对这些风险进行全面梳理、系统分析并有效防控,才能进一步推动其健康有序发展。笔者在国内外学者研究成果的基础上,结合实际工作经验,归纳出目前面临的主要风险制约因素有以下几个方面:
  
  (一)从管理层面来看,主要是政策风险、法律风险、监管风险
  
  1.政策风险。移动支付是银行与通信运营商跨界融合的业务,边界不够明确,在产业链上的主体不同,业务类型和运营模式不同,所适用的政策也有所不同:移动支付涉及通信运营商、银行及第三方支付机构等多个行业,相应地,工业与信息化部、中国人民银行、银监会等多个政府部门在移动支付有关行业政策和标准规范的制定工作中均有参与,但各部门的关注点与着力点不同,交叉与遗漏均有可能存在。近年来,我国先后出台了一些相关政策性文件,如《电子支付指引(第一号)》《支付清算组织管理办法(征求意见稿)》、《非金融机构支付服务管理办法》、《中国金融移动支付系列技术标准》、《支付机构客户备付金存管办法》等,但这些大多是原则性的监管框架,操作性内容较少,针对性不够强。
  
  2.法律风险。到目前为止我国暂未形成完善的法律法规体系来规范和保护移动支付领域。目前出台的一些规范文件,绝大多数是由央行或银监会制定的,在法律层次上属于部门行政规章,其效力低于法律和行政法规,强制力、约束力不足;这些规章大多是用来规范我国电子支付领域或非金融机构支付领域的,而并非专门针对移动支付的,内容比较笼统。
  
  3.监管风险。对移动支付产业链的监管,目前分散在央行、银监会、工信部、财政部、工商总局、税务总局等多个部门,缺少明确的牵头监管部门,各部门都有权力对移动支付的某一个或多个参与方、相关环节和业务进行监管,不可避免地存在交叉重叠与管理盲区。2015年7月,央行与工信部等十部委联合发布了《关于促进互联网金融健康发展的指导意见》,明确了由央行负责监管移动支付的职责,初步确立了以央行为主、跨行业监管机构相互合作、协同监管的移动支付监管体系。但是,具体的监管职责分配仍不够具体。同时,移动支付是创新板块,产品形态不断更新迭代,使得移动支付行业的监管尤其需要及时跟进。
  
  (二)从技术层面来看,主要是支付系统技术风险、网络安全风险
  
  1.支付系统技术风险。移动支付技术日新月异,在快速迭代的过程中不可避免地存在技术原因导致的业务运营风险,如因软件设计缺陷造成的用户及系统数据偏差,因存储空间、运行能力有限造成系统无法保障支付业务正常进行,因支付系统平台的硬件或技术故障造成正在进行中的交易中断、信息泄露等。移动支付涉及的技术,包括移动设备、移动支付系统平台、通信运营商/金融机构,商户之间的每一个接口、支付数据传输的技术方式等,技术风险存在于整个业务流程。
  
  2.网络安全风险。移动支付基于无线网络实现支付行为,而无线网络的安全问题不可避免地始终存在。移动支付系统和服务网络可能受到病毒攻击,也可能因权限管理疏漏造成人为网安事故,使得用户或支付机构的数据遭受破坏、丢失或篡改等。
  
  (三)从服务层面来看,主要是信用风险、操作风险
  
  1.信用风险。通常也称为违约风险,是指交易的一方未能履行约定义务而造成另一方经济损失的风险,对移动支付业务来说,信用风险主要来自于交易双方对移动支付交易的否定。一是移动支付基于无线网络,在信息的生成和传递过程中存在被攻击和篡改的可能性,导致交易双方否认交易而产生信用风险。二是由于交易双方的地位不平等或信息不对称引发诚信问题。我国的社会信用体系建设刚刚起步,仅仅依靠道德观念来约束是远远不够的,亟待健全的法律法规体系和失信惩戒机制出现。
  
  2.操作风险。包括无意的误操作和有意的非法操作。无意的误操作主要是指当事人无意的操作纰漏或错误操作,导致用户、商户或支付机构遭受直接或间接损失:有意的非法操作一般是指非法经营、信息窃取、资金诈骗、黑客攻击、木马入侵等。由于移动支付流程涉及多方操作,通信运营商、金融机构、第三方支付机构、商户和用户等其中任何一个环节出现不正确操作都可能带来风险。
  
  四、主要风险的管控建议
  
  移动支付快速发展势不可挡,而国内领先的互联网金融公司易宝支付曾发布主题为“互联网金融未来最需要推进的基础工作有哪些”的调研报告,参与调研的网民中,47%认为互联网金融最需要推进的基础性工作是完善相关的法规法则,43%认为应完善互联网金融公司的风控体系,33%认为需要完善征信体系建设。移动支付兼具金融业的风险性与互联网的灵活性,风险管控可谓是移动支付产业可持续健康发展的立身之本。2014年互联网金融首次被写入政府工作报告,2015年政府工作报告两处提到互联网金融,2016年的政府工作报告提出加快改革完善现代金融监管体制,提高金融服务实体经济效率,实现金融风险监管全覆盖。2017年,李克强总理再次提及互联网金融,指出当前系统性风险总体可控,但对不良资产、影子银行、互联网金融等累积风险要高度警惕,积极推进金融监管体制改革,有序化解处置突出风险点,整顿规范金融秩序,筑牢金融风险“防火墙”.可见,监管仍然是我国今年互联网金融的关键,在金融监管上的力度势必只增不减。
  
  (一)监管侧,完善行业政策和监管手段,促进行业良性发展
  
  1.完善政策与法律法规。近一年来,从支付牌照收紧,到96费率改革执行,再到二维码支付的开闸放水,可以看到监管部门连续出台的这一系列政策都加大了对业务发展过程中出现的乱象的治理力度,有效地引导移动支付回归业务本源。中国人民银行副行长范一飞在2017年两会记者会上表示,把非银支付基本规矩建立起来,符合其发展的规律。政府监管工作需要在坚持底线思维的同时,采取更富弹性、更具针对性的监管措施。
  
  2.明确监管主体及监管责任,央行作为当前我国支付清算的监管部门,在其整体协调下,工信、工商行政管理及税务部门则分别从移动信息技术标准、消费者权益保护及税收征管等方面对移动支付进行全方位监管,提高对移动支付发展监管的有效性。同时,可研究建立移动支付行业管理协会,由其负责移动支付的日常事务协调,促进移动支付行业自律与行政监管的有机结合,进而实现对移动支付的全方位监管。
  
  (二)企业侧,从技术角度加强监测与处理,有效保障用户利益
  
  1.加强技术检测与处理。从技术角度来看,移动支付安全实现主要从移动终端、通信协议和支付机制等方面着手。如,手机制造商严格对移动设备推行定期的补丁机制,一旦发现漏洞快速打补丁,杜绝质量不过关的移动设备流入市场:对应用软件进行严格管理,保证应用市场和发布渠道的安全性,用户从任意非官方应用商店下载安装的支付APP,都可能存在携带可盗取用户信息的恶意代码,要杜绝恶意程序对用户的不利影响。移动支付系统与用户之间的通信如果采用端到端的安全模式可以提高移动支付的安全性,即在移动用户终端与移动支付系统之间直接建立安全传输层协议(Transport Layer Security)的安全连接,交易的两端进行数据加密处理,中间环节不解密,全部传输过程为密文传送,即便传输的信息被恶意分子截获,其破解的难度和成本也会较高。同时,在网络边界部署防火墙、病毒防范系统和入侵检测系统等设备并配置相关的安全选项和规则等:通过数据校验和保密等措施来保证数据传输过程和存储过程的安全:对接入到支付系统的各银行、移动通信网元等实体作网段隔离处理等。在支付机制上,可采用双重身份验证可以提高支付的安全性,除了使用用户名口令这种方式以外,增加使用生物特征、数字证书或其他有效的方式,可增加其安全性。
  
  2.规范及简化业务操作。建立覆盖移动支付整个交易环节的内部控制制度及监督机制,落实内部控制考核,确保移动支付各交易环节操作的规范性,并在确保信息安全的基础上,尽量简化现场支付与远程支付的业务操作,最大限度地利用移动支付的便利性为客户提供高效安全的支付清算服务。
  
  笔者在对翼支付的风险管控体系进行研究中看到,在六年的发展过程中,翼支付已经覆盖全国近400个主要城市,拥有超过110万线下合作商户、超过3亿的用户,积累了大量用户数据、消费场景、合作商户等核心资源,通过积极应对各类风险事件,形成了一定的技术沉淀,尝试拓展多维度合作,建立了包括监管平台、生态圈合作、风控运营、风控核心决策在内的风控体系。一方面,通过深入了解翼支付的风险管控机制,笔者认为,企业侧主动地对已发生的风险事件进行统计细分,针对性地建立消费者产品使用过程中事前、事中、事后分阶段的安全隐患防范机制是行之有效的。翼支付在事前,强化产品风险控制、严格商户准入规范;事中,利用智能风控系统进行7*24小时操作监控,以个人交易、企业交易大数据进行用户行为画像、智能设备识别建立防撞库机制,进而识别正常交易与可疑交易,并建立商户及支付通道熔断机制,切实保护用户利益;事后,建立先行补偿制度,在安全事件发生后积极配合警方打击犯罪分子,建立案件库进行大数据分析。另一方面,在2017年7月27日举办的天翼智能生态博览会上,笔者了解到,翼支付依托中国电信大数据能力和金融科技创新优势,结合翼支付及天翼征信自身风控平台长期反欺诈实战经验,聚焦金融企业端客户,发布了一款自主研发的具有运营商特色的大数据风控产品“甜橙欺诈盾”产品。甜橙欺诈盾包含三大风险评估模块、六大风险识别单品。其中,账户风险评估模块综合评估“用户账户风险、银行卡活跃性风险、二次放号风险、号码关系风险、号码状态风险”等,重点解决“账户盗用、盗卡盗刷、二次放号、异常号码状态”等问题;营销风险评估模块对用户“是否存在历史套利行为、小号风险、设备一致性”等进行评估,重点解决“恶意注册、套利刷单”等问题;环境风险评估模块综合评估“用户登录设备环境风险、实时位置风险、历史位置风险”等,重点解决“异常设备登录、异常IP、异常地址”等问题。六大风险识别单品包括“社交关系风险预警、位置风险预警、羊毛党风险预警、设备风险预警、二次放号风险预警、号码风险预警”.甜橙欺诈盾基于亿级用户行为数据及多行业联防联控信息,使用先进机器学习算法,精准识别欺诈风险,通过对手机号码状态、终端信息、位置等进行评估,可有效识别多种场景下盗卡盗刷、羊毛党、异常设备、异常登录等欺诈风险。业内人士评价,该产品深挖目标客户痛点,定制化开发解决方案,合作模式灵活高效、产品对接简单快速,为翼支付强化风控手段、提升风险抵御能力,为用户与合作伙伴筑牢互联网金融安全,其积极效果值得期待。
  
  (三)用户侧,增强防范意识,减少错误或不安全操作
  
  1.增强用户的风险防范意识。互联网金融在互联网发展过程中同步面临不断出现的诸多新型信息安全风险,如互联网金融黑客的侵袭、系统漏洞、病毒木马攻击、假冒网站或诈骗网站、垃圾诈骗短信等。在不断提升政府、企业技术防范手段的同时,加强对长尾用户的金融知识、风险意识的科普显得十分迫切。
  
  可通过宣传正面引导消费者建立手机支付安全意识,了解最新的互联网金融案件及套路,培养良好的使用移动设备的习惯,下载手机APP时要仔细谨慎地选择官方网站或可信赖的渠道下载,不要在任何非官方网站上填写姓名、身份证号、银行卡号及密码等重要信息。现阶段移动支付广泛使用的双因子认证方法是验证码机制,由于验证码本身的简单性和易泄露等特点,可引导用户提高信息安全防范意识,妥善保管收到的验证码信息,不轻信误信套取验证码信息等类似信息,未来广泛采用生物识别技术作为交易口令在一定程度上提高了复杂度,或可增强其安全性。不转发、不回复、不点开陌生的彩信及链接,尤其注意以运营商、银行公众服务号名义发送的链接,一定要慎点:谨慎使用免费WiFi,在公共WiFi环境下不要输入CA敏感信息,尽量不进行移动支付交易,因为一些恶意分子能通过侵入并攻击安全陛较低的公共无线网络来获取用户信息,即便用户的支付信息是加密的,也有可能被其破解,从而造成用户的支付账户、卡号和密码等重要信息泄漏。
  
  2.强化信用环境建设。可积极开展社会信用体系建设,加强对移动支付交易双方的信用分析,将目前分散在公安、司法、财政、金融等部门的信用信息进行有效整合与共享,通过信用评价体系将信用状况输出给社会。对长期自律的守信者给予各类的优惠待遇,以示点赞与激励,对失信企业及失信个人视其影响范围、频次、造成的经济损失等给予各类的惩戒处罚,以示警告,并及时纳入“黑名单”管理,降低移动支付交易的信用风险。
  
  翼支付客服专家结合一些投诉案例提出,有必要通过服务创新影响用户意识。如提前预警,在线上线下移动支付应用场景制作简单明了的安全提示语等。为此,翼支付盘点了用户在使用手机过程中的十大不良习惯,包括不设手机屏保密码、无视APP直接通过手机浏览器购物、应用程序退出“不彻底”、到处蹭免费网络、蓝牙保持开启状态、淘汰手机中的私人信息删除不彻底、下载山寨软件、在手机上存储敏感信息、随意点击手机短信链接、见二维码就扫等。这些不良使用习惯往往都是造成用户信息泄露甚至经济损失的直接原因,用户应注重对自身信息安全的保护,减少恶意分子可乘之机。
  
  五、未来展望
  
  移动支付的未来值得期待。拥有完善的移动支付工具,无疑对于互联网业务发展起到了增强用户粘性的重要作用,因此各方积极推进移动支付场景渗透,从线上快速拓展到线下,将促进移动支付快速发展。当移动支付成为商业基础设施并充当消费场景入口,众多企业发力生态建设,中国电信在2017年提出的转型3.0战略中已明确提出“互联网金融生态圈”,将翼支付作为其第三次战略转型中的一个重点。移动支付使前向客户与后向商户的交易信息沉淀为丰富的数据源,伴随着人工智能、大数据、云计算等运用,势必发展称为真正的金融科技。市场研究机构Forrester乐观预测,到2019年时仅美国市场移动支付将成为一项价值高达1420亿美元的业务。全球移动支付的交易规模预计会在未来5年内增长近4倍,交易金额将超过1.3万亿美元。