第三方支付的隐患及防范建议

　　2014 年 4 月，银监会与人民银行联合下发《关于加强商业银行与第三方支付机构合作业务管理的通知》（银监发 [2014]10 号），对商业银行同第三方支付平台的业务关联进一步规范，加强了客户金融信息的安全防范管理。这是自 3 月份人民银行就第三方支付机构相关业务管理办法征求意见并暂停二维码支付业务以来，加强第三方支付安全风险防范的又一举措。

　　一、第三方支付风险与相关案例。

　　截至 2014 年 2 月 , 全国共有 250 家第三方支付公司获得支付牌照。一直以来，第三方支付公司以非金融机构小额互联网支付服务为主营业务，随着业务类型的多样化，以及企业和个人用户需求的多样化，第三方支付的业务类型逐渐从线上走向线下，并向收单、结算、信贷、供应链融资以及金融理财等金融增值服务延伸。此外，随着移动互联网和智能手机的发展，越来越多的第三方支付开始发力以远程支付（如电话银行、手机网上银行、二维码支付等）为主的移动支付和跨境支付市场。

　　第三方支付弥补了传统商业银行支付结算服务的不足，降低了经济运行成本，提高了商户交易效率，助推了电子商务的快速发展，促进了服务领域的升级拓展。

　　以支付宝和微信支付为代表的二维码移动支付更是为大众提供了随时随地、方便快捷的支付服务。然而，由于第三方支付平台安全防范技术、内控风险管理存在的诸多漏洞以及木马、钓鱼网站等网络安全问题，从而导致用户支付信息泄露和资金被恶意盗走等事件频发。第三方支付存在如下风险问题。

　　（1）网络安全风险。第三方支付是一种网络交易，其潜在的网络安全风险主要体现在支付过程中用户个人隐秘信息遭到窃取和篡改；第三方支付应用系统及支付流程本身存在的安全漏洞被恶意利用，从而危害系统及支付安全；木马、病毒等恶意程序突破网络和系统防范，入侵第三方支付的服务系统，从而造成用户数据泄露或丢失。

　　（2）金融风险。第三方支付可直接支配交易资金，存在越权调用交易资金的风险；第三方支付可能利用网上交易的隐蔽性和匿名性特点，通过制造虚假交易来实现诈骗、洗钱、贿赂、套现等；第三方支付如果对巨大数额的客户备付金（在途资金）缺乏有效管理，很可能引发系统性支付风险和信用风险。

　　由于以上风险问题而导致的第三方支付风险案件频发。据网易科技报道，2014 年 3 月 22 日，乌云漏洞报告平台（位于厂商和安全研究者之间的第三方安全问题反馈平台）在其官网公布的一条网络安全漏洞信息，指出由于携程网用于处理用户支付的安全支付服务器接口具有调试功能，使部分向银行验证持卡所有者接口传输的数据包（包括用户支付记录文本）均直接保存在本地服务器。同时，因为保存支付日志的服务器未做严格的基线安全配置，存在目录遍历漏洞，安全支付日志可被遍历下载，导致所有支付过程中的调试信息可被“骇客”任意读取，大量用户银行卡信息 （ 包含持卡人姓名、身份证、银行卡号、卡 CVV 码、6 位BIN） 遭泄露。事件曝光后，携程公司承认在技术调试过程中，记录了用户的安全日志，确认共有 93 名用户的支付信息存在潜在风险，并通知相关用户尽快更换信用卡。尽管如此，该安全风险的发布给用户带来很大的恐慌并对正常用卡造成影响，事后多家银行陆续接到用户电话要求挂失或更换信用卡。

　　二、对第三方支付的风险防范建议。

　　1. 第三方支付公司。

　　（1）在不断创新业务、拓展市场的同时，应增强行业自律，提高金融安全意识和社会责任意识，维护良好的信用形象，成为普惠金融、服务民生的重要推动力量。

　　（2）主动加强同移动运营商、银行、监管机构的合作力度，共同构建完善的风险防控体系，打造一个诚信、安全、便捷的支付环境，实现利益双赢。

　　（3）在技术层面，加强技术人员培训，加大网络安全软硬件设施建设，对应用开发（安全控件、加密认证、数据存储等）进行严格的安全测评和漏洞扫描，实时监控和评估系统运行情况，及时修补安全漏洞。同时，加强应急与灾备管理，保障支付业务的连续性。

　　（4）在管理层面，加强信息安全队伍建设，完善激励机制，建立完整的信息安全策略，包括安全基线、规章制度、操作流程、应急处置、风险评估、等级保护等。

　　同时，增强资金流转的风控能力，严格监控系统的运维管理，确保用户信息和资金的安全存储，保障数据完整性、一致性和保密性。

　　（5）第三方支付公司之间应深度携手，互通合作，共享如恶意程序、钓鱼网站、木马、病毒等库资源信息等，以实现互惠互利，共同构建安全可持续发展的第三方支付产业。

　　2. 监管机构。

　　（1）根据第三方支付发展变化尽快完善相关管理办法，在鼓励包容的同时，给予刚性监管，促进第三方支付重组洗牌，加大违规公司惩罚力度，吊销不合格公司牌照，净化第三方支付环境。同时，在关于个人隐私权保护立法前，对第三方支付公司在用户信息获取、存储、管理等方面进行规范，以保护用户信息安全。

　　（2）完善第三方支付行业安全标准，包括技术层面、交易流程、后续补救、风险管理等，特别是以二维码为代表的移动支付标准，从二维码编码、符号标识、应用规范、质量判定、公共服务等多领域多层面进行规范，保障交易信息传递和确认的完整性、一致性以及防篡改和不可抵赖性。

　　（3）第三方支付的业务边界、商业模式以及技术都在不断变化和创新，监管部门应转变监管理念和方式，由静态管理转向动态的风险防控，积极关注第三方支付行业动态，实时调整监管政策，及时规范业务要求。

　　（4）坚持延续“第三方支付服务电子商务、成为传统银行业的补充及便捷的小额支付”定位。若第三方支付具备了大额、支付、结算、存款、贷款业务功能，应纳入金融机构接受银行级别的监管，以防范系统性金融风险，维护金融稳定。同时，鼓励商业银行依托信用度、资金把控、数据安全等优势直接为电商企业提供 B2C支付服务。

　　（5）建立第三方支付公司综合信息平台，涵盖业务类型、信用评级、违规情况、安全事件、投诉建议、用户评价等内容，定期发布第三方支付行业运行情况，接受媒体和公众监督。

　　3. 终端用户。

　　（1）提高风险意识，重视个人信息保密，养成良好的网络安全习惯，身份证号、银行卡号、口令密码、地址、手机号码等个人核心信息，一定不要提交给不信任的网站，尽量使用虚拟身份，非必要情况下，不要提交真实信息。

　　（2）在线支付时，注意识别支付链接，选择大中型商业银行和信用度高的第三方支付机构，尽量避免快捷支付方式。

　　（3）银行卡和第三方支付账户应设置交易限额、资金变动通知、多重身份认证等安全等级保护。

　　（4）移动终端尽量不要刷 root 权限或越狱，安装安全防护软件并及时升级病毒库，App 的下载要有选择性，特别是二维码扫描要选择安全的扫描软件和正规商家或媒体的二维码。