(一)保护网络安全。
网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:
(1)全面规划网络平台的安全策略。
(2)制定网络安全的管理措施。
(3)使用防火墙。
(4)尽可能记录网络上的一切活动。
(5)注意对网络设备的物理保护。
(6)检验网络平台系统的脆弱性。
(7)建立可靠的识别和鉴别机制。
(二)保护应用安全。
保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
(三)保护系统安全。
保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:
中图分类号: TN919?34; TP393 文献标识码: A 文章编号: 1004?373X(2013)08?0074?02
0 引 言
网上支付是以互联网为基础,利用银行所支持的数字金融工具,发生在购买者和销售者之间的金融交换,从而实现买者到金融机构、商家之间的在线货币支付、现金流转、资金清算、查询统计等过程,由此为电子商务服务和其他服务提供金融支持。
网上支付能够为客户提供方便、快捷的银行服务,但同时也会给作案者提供新的攻击途径,带来了新的风险,如何保证网上支付的安全性,成为网上支付系统建设的重要内容。
1 网上支付系统的安全性分析
近年电子商务在中国国内发展迅速,据电子商务研究中心数据显示,截止2012年6月,中国电子商务市场交易额达3.5万亿元,同比增长18.6%。其中B2B电子商务市场交易规模达2.95万亿,网络零售市场交易规模达5 119亿元[1]。随着电子商务在中国国内的迅速发展,网上支付成为一种新的支付方式,随之,出现了网上支付的安全和信用问题。
网上支付业务数据中含有银行客户的账户信息,如账号、密码、余额等,属于用户的隐私,这些数据是不允许公开的;而因特网是一个开放的公共网络,在这样一个开放的网络上拓展银行的传统业务,安全性是需考虑的首要因素,网上支付系统对安全性有着特殊的要求,既要保证数据在网络上传输的保密性,又要保证服务系统的正常运转。
网上支付系统的安全需求主要来自2方面:首先是交易数据安全,网上支付各业务的完成主要基于因特网的传输,因特网的开放性决定了其传输安全的脆弱性,需要保证数据传输的机密性、完整性,电子商务中需要确认交易方在网上的真实身份,确保交易的真实性和不可抵赖性;其次是网络安全,网上的公开服务器以及内部与之相连的内部服务器将不可避免地受到恶意攻击和好奇者的试探,需要保证系统较强的抗攻击性[2]。
2 网上支付系统的安全措施
网上支付的安全性极为重要,其安全手段也是全方位、多层次的。从整个支付流程来看,支付系统的安全包括服务器端安全(包括银行端和第三方支付公司系统)、客户端安全、数据传输安全,通过对各环节采用不同的安全措施来构建一个安全支付环境(如图1所示),以确保客户交易信息的保密性、完整性及不可抵赖性[3]。
2.1 服务器端安全
(1)应用系统安全:主要包括银行系统、第三方支付系统安全。对于应用系统架构,应根据不同的安全级别划分安全区域,并在各安全区域之间部署异构防火墙,在安全区域内部部署安全防护设备[4],如安全网关、漏洞扫描、抗DDOS攻击设备、入侵检测设备IDS、入侵防御设备IPS等,从而有效控制非法用户入侵、防范恶意攻击,对应用系统进行全面的安全防护。
(2)数据存储安全:通过制订并施行科学合理的数据备份机制、数据访问机制和灾难恢复计划,以确保数据存储安全。
(3)交易处理安全:主要通过数字签名技术保证网上支付交易处理安全,具体交易过程如图2所示。
商户发往银行的交易需进行数字签名,银行方进行验签,从而验证商户身份;同时支付系统发送给商户的支付结果中也包含银行方数字签名,以保证信息一定是由银行发出的并且确保其完整性。此外,银行对商户发送过来的订单信息会进行重复性、时效性等有效性检查,对于无效交易系统会自动摒弃。
(4)交易监控:建立交易监控系统,通过数据分析、数据挖掘等技术进行学习并与一般用户正常行为特征进行比对,发现异常的或有风险的操作行为,根据风险级别不同进行不同的处理。
2.2 客户端安全
由银行和第三方支付服务提供商为客户提供,具体包括动态令牌、USB Key(含第三方认证证书)、短信服务、预留信息验证、图形验证码、软键盘等。其中,动态令牌和 USB key 为物理移动设备,难以被盗用,USB key可对客户提交的交易信息进行数字签名,增强对交易过程中行为和责任的认定。通过几种方式的组合,可增强非法入侵和盗用的难度[5]。
2.3 数据传输安全
银行端与商户端通信可采用专线或VPN方式,并利用 HTTPS协议进行交易信息加密处理[6],以确保数据传输的机密性和完整性。
2.4 其他安全
(1)加强实名验证,如淘宝(支付宝)实行了收款人身份证认证和银行卡认证,可有效防范欺诈;
(2)第三方支付公司借鉴证券公司经验使用第三方存管,增强了客户资金安全性;
(3)签约过程中网上支付系统不向商户系统传输客户银行卡完整的卡号信息,网上支付系统也不保留客户的商户账户完整信息,以确保客户敏感信息安全;
(4)通过设置单笔支付限额和当日累积支付限额,以确保资金安全。
3 结 语
网上支付有效地解决了电子商务资金流的问题,大大促进了电子商务的发展,但其安全性备受关注。通过使用各种安全措施,可有效确保网上支付系统的安全,从而为客户提供安全、快捷的支付服务。
参考文献
[1] 孟凡霞.2012年(上)中国电子商务市场监测报告[J].现代情报,2012(9):91?92.
[2] 徐辉.我国网上支付安全问题及风险防范[J].华南金融电脑,2009,32(5):25?28.
[3] 钱宏,赵琳峰.构建安全支付服务体系迎接支付健康发展新纪元[J].金融电子化,2010(13):21?22.
智能手机支付存在安全风险
“目前市场上存在的支付手段多种多样,包括网银、第三方支付、手机银行、微信支付、二维码支付等。这些支付方式的服务端还是比较安全的,都采用了防火墙、入侵检测等安全手段。”中国金融认证中心(CFCA)技术支持部总经理马春旺在接受本报记者采访时表示。
然而,安全是一个链条,服务端的安全不代表整个链条的安全。马春旺介绍,目前的支付安全链条上,各种支付手段在身份认证和交易保护环节采用的安全措施上还有差别。“相对来说,网银所采用的安全措施较全面,包括数字证书、动态令牌、短信验证码、账号密码等。而其他支付方式,如快捷支付、手机银行、微信支付、二维码支付的安全措施相对薄弱一些,目前主要是采用短信验证码的方式。由于智能手机系统的开放性、运营商的业务规则存在漏洞等,导致基于短信验证码的安全机制存在很大的安全风险,基于智能手机的支付业务实际上也存在安全风险。”马春旺认为。
在马春旺看来,新的支付风险的产生主要有两方面原因,一是新的支付方式在推广初期更重视用户体验,在安全和用户体验二者之间会向用户体验一侧倾斜;二是这些支付方式都依托互联网而产生和发展,具有互联网速度,尤其是移动互联网和智能手机的快速发展,更加快了支付业务创新的节奏。相应地,与这些新的支付方式相匹配的安全技术发展就显得滞后。
安全与便捷的平衡
安全和便捷的对立是互联网支付领域存在的问题,但是随着技术的发展,这一问题正在逐步得到解决。目前,一些机构和企业是通过业务规则来平衡安全与便捷的,如一些小额的支付更倾向于便捷,而大额支付则要求更安全。
信息化被日益全球化的经济带来什么样的安全威胁?涉及到国家经济运行与监管的安全问题,比如说东南亚金融风暴问题,以后再谈金融风暴怎么进行宏观结合。在金融资本的流动和资本安全,包括证券市场,特别开展网上证券、网上银行等等。另外金融网络和系统的安全,银行、税务、证券、保险方面的一些行业。这些网络和系统的安全非常重要,影响到国计民生。如果我们对网上的炒股行为和网上银行的存储行为不进行监管,如果别人调动一千亿元进行网上招股,这样的危险就会很大。经济信息安全问题,无论是易趣网还是股票网站也好,你的信息被改动,影响交易的真实性,这些给经济安全带来很多威胁。
80年代对信息安全理解为信息保密,90年代认识到除了保密以外,还有完整性,还有系统的可用性。如果我通过网上取钱,本来想取一百块钱,被改成取一万块钱,这个损失是谁的?信息和系统可用性,如果说谁打一个电话追究的力度不大,但是谁把系统破坏掉,死机一个小时,损失很大。90年代后期,对信息安全的认识又了新的变化,现在谈的比较多的是对信息和系统的可控问题,还有对信息行为的不可否认追究问题。
过去谈计算机安全,昨天谈信息安全,今天谈信息保障。
计算机安全里面用加密的方式可以基本做到保密问题。今天有人讲中文我们听得懂,如果两个人站起来讲俄文我们就听不懂,这就是加密的方法。信息安全信息的保密性、完整性、可用性,从保障角度讲,还应该提到如何检测现在的信息脆弱性入侵,死机了怎么恢复。网络犯罪新的摩尔定律,网络犯罪是18个月翻一番。
整个社会对电子商务的安全有多方面的需求,归结起来要点主要是:
一、加密保证、使用者和数据的识别和鉴别要求,对存储和加密数据进行保密,对联网交易支付的可靠性保证,比较方便的安全管理,还有对数据的完整性进行验证,防止抵赖。
二、政府关心的问题:经济安全问题,执法部门需要相应的措施、相应的证据,另外采购与使用需要,网络安全和消费者的保护问题。
三、制约电子商务发展有几个主要因素:1、基础设施问题。2、观念改变问题。3、信用机制问题。4、支付技术问题。5、法律保障问题。6、物流配送问题。7、信息安全问题。
怎么看待电子商务的安全问题?安全不是一个纯技术的概念,没有绝对的安全。安全是有成本和代价的,要采取安全措施不光会带来不方便,可能会带来成本和代价。在2000年中国人民银行出了一本信息安全保障的规范,里面明确提到在人民银行这个系统建设里面,安全保障应该投入10%的经费。这是国内第一个行业主管部门发布明确的定额10%。系统的重要性不一样,有的需要投入15%甚至50%的经费,有的可能只能投入百分之几,而且可能有很多的电子商务网站投入远远不到10%,甚至很多安全措施都没有跟上去。安全是发展的、动态的。包括病毒、攻击措施,不可能一蹴而就。
电子商务的安全支付方式,可以分为直接支付和间接支付。根据银行中是否有帐号可以分为基于帐户的支付和基于货币的支付,基于帐号的电子支付又可分为基于信用卡支付和电子支票支付,基于货币的电子支付又成为电子现金或数字现金。是否必须与第三方进行在线联系还可以分为在线支付和离线支付。
基于信用卡的支付方式采用的协议主要有两种:SSL和SET。目前我国的应用得到最广泛的就是基于信用卡的电子支付方式,中国银行的网上银行使用的是SET协议,招商银行的一卡通是SSL协议。
CA问题也是安全性问题,是电子商务里面解决可信问题的关键设施。在我们国家建立CA的时候,会出现好多问题。CA建设我们国家现在已经建了40多个,有人说80多个,地方的、政府的、行业的。很多CA认为很多问题,没有和银行结合起来,没有得到银行的认可。中国电子商务标准化方面很缺乏。国家没有电子商务关于CA的要求等等,包括信息的披露等等。
CA设备的安全性,现在国家的设备或者是自己研发,或者地方采购的,电子商务网站也好,用户也好,怎么样对设备的安全性进行验证,采取国家安全机构的检测的产品,这样放心一点。
电子商务方面技术方面缺乏统一规范,影响互联互通。国际标准一万七干多个,IF的标准有三千多个,真正在电子商务里面的标准远远不够,还需要开发。标准不仅应该先行,还应该铺路。标准是游戏规则,你先制定标准你就掌握了主动权,以后银行也好,交易也好,造成的影响非常大。管理方面,容易政出多门,造成管理混乱。法律法规不够健全。电子签章法没有出台,网上出了问题,出现邮件攻击怎么办,出现责任怎么办?安全方面是主要的问题。安全保证措施也是一个问题,跟直接投入跟相应的技术措施有关系,跟成本也有关系。我们不可能用比我们的资产价值更高的代价来做安全保护。比如网站上信用卡号被盗,这方面谁来负主要责任?这方面的法律法规如果有相应规定,应该负连带责任,对安全保护措施的问题一定要负相应责任。
人类社会的三大支柱有材料、能源和信息,说明信息非常重要。今天谈到的信息主要还是it信息技术方面的信息。互联网的迅速发展牵动了全球经济的发展,我们把互联网的发展提得非常高。近年来出现一些新的概念,网络经济、数字化生存、信息战等.
信息化被日益全球化的经济带来什么样的安全威胁?涉及到国家经济运行与监管的安全问题,比如说东南亚金融风暴问题,以后再谈金融风暴怎么进行宏观结合。在金融资本的流动和资本安全,包括证券市场,特别开展网上证券、网上银行等等。另外金融网络和系统的安全,银行、税务、证券、保险方面的一些行业。这些网络和系统的安全非常重要,影响到国计民生。如果我们对网上的炒股行为和网上银行的存储行为不进行监管,如果别人调动一千亿元进行网上招股,这样的危险就会很大。经济信息安全问题,无论是易趣网还是股票网站也好,你的信息被改动,影响交易的真实性,这些给经济安全带来很多威胁。
80年代对信息安全理解为信息保密,90年代认识到除了保密以外,还有完整性,还有系统的可用性。如果我通过网上取钱,本来想取一百块钱,被改成取一万块钱,这个损失是谁的?信息和系统可用性,如果说谁打一个电话追究的力度不大,但是谁把系统破坏掉,死机一个小时,损失很大。90年代后期,对信息安全的认识又了新的变化,现在谈的比较多的是对信息和系统的可控问题,还有对信息行为的不可否认追究问题。
过去谈计算机安全,昨天谈信息安全,今天谈信息保障。
计算机安全里面用加密的方式可以基本做到保密问题。今天有人讲中文我们听得懂,如果两个人站起来讲俄文我们就听不懂,这就是加密的方法。信息安全信息的保密性、完整性、可用性,从保障角度讲,还应该提到如何检测现在的信息脆弱性入侵,死机了怎么恢复。网络犯罪新的摩尔定律,网络犯罪是18个月翻一番。
整个社会对电子商务的安全有多方面的需求,归结起来要点主要是:
一、加密保证、使用者和数据的识别和鉴别要求,对存储和加密数据进行保密,对联网交易支付的可靠性保证,比较方便的安全管理,还有对数据的完整性进行验证,防止抵赖。
二、政府关心的问题:经济安全问题,执法部门需要相应的措施、相应的证据,另外采购与使用需要,网络安全和消费者的保护问题。
三、制约电子商务发展有几个主要因素:1、基础设施问题。2、观念改变问题。3、信用机制问题。4、支付技术问题。5、法律保障问题。6、物流配送问题。7、信息安全问题。
怎么看待电子商务的安全问题?安全不是一个纯技术的概念,没有绝对的安全。安全是有成本和代价的,要采取安全措施不光会带来不方便,可能会带来成本和代价。在2000年中国人民银行出了一本信息安全保障的规范,里面明确提到在人民银行这个系统建设里面,安全保障应该投入10%的经费。这是国内第一个行业主管部门明确的定额10%。系统的重要性不一样,有的需要投入15%甚至50%的经费,有的可能只能投入百分之几,而且可能有很多的电子商务网站投入远远不到10%,甚至很多安全措施都没有跟上去。安全是发展的、动态的。包括病毒、攻击措施,不可能一蹴而就。
电子商务的安全支付方式,可以分为直接支付和间接支付。根据银行中是否有帐号可以分为基于帐户的支付和基于货币的支付,基于帐号的电子支付又可分为基于信用卡支付和电子支票支付,基于货币的电子支付又成为电子现金或数字现金。是否必须与第三方进行在线联系还可以分为在线支付和离线支付。
基于信用卡的支付方式采用的协议主要有两种:ssl和set。目前我国的应用得到最广泛的就是基于信用卡的电子支付方式,中国银行的网上银行使用的是set协议,招商银行的一卡通是ssl协议。
ca问题也是安全性问题,是电子商务里面解决可信问题的关键设施。在我们国家建立ca的时候,会出现好多问题。ca建设我们国家现在已经建了40多个,有人说80多个,地方的、政府的、行业的。很多ca认为很多问题,没有和银行结合起来,没有得到银行的认可。中国电子商务标准化方面很缺乏。国家没有电子商务关于ca的要求等等,包括信息的披露等等。
ca设备的安全性,现在国家的设备或者是自己研发,或者地方采购的,电子商务网站也好,用户也好,怎么样对设备的安全性进行验证,采取国家安全机构的检测的产品,这样放心一点。
电子商务方面技术方面缺乏统一规范,影响互联互通。国际标准一万七干多个,if的标准有三千多个,真正在电子商务里面的标准远远不够,还需要开发。标准不仅应该先行,还应该铺路。标准是游戏规则,你先制定标准你就掌握了主动权,以后银行也好,交易也好,造成的影响非常大。管理方面,容易政出多门,造成管理混乱。法律法规不够健全。电子签章法没有出台,网上出了问题,出现邮件攻击怎么办,出现责任怎么办?安全方面是主要的问题。安全保证措施
也是一个问题,跟直接投入跟相应的技术措施有关系,跟成本也有关系。我们不可能用比我们的资产价值更高的代价来做安全保护。比如网站上信用卡号被盗,这方面谁来负主要责任?这方面的法律法规如果有相应规定,应该负连带责任,对安全保护措施的问题一定要负相应责任。
中图分类号:F626.5 文献标识码:A
文章编号:1004-4914(2011)10-058-02
当前,电子商务已经深入到千家万户。无论是企业的商品交易,还是个人的网络购物都有可能选择进行电子商务,就是在企业的资金筹集和资金投放活动中也经常需要通过网络结算。可以说网络结算正在深人到我们生活和生产经营的方方面面。在电子商务中网络支付结算业务是网络银行的核心,也是银行业和网络会计的发展趋势。网络支付结算的发展有力地促进了电子商务的发展,但是,网络支付的安全问题却一直困扰着人们。在开放的网络环境中,网络支付的风险有些来自银行外部的黑客,也有些来自银行内部的工作人员。有预谋的诈骗,也有无意的失误造成的危害。有系统遭受破坏的风险,也有交易过程中人为的损失造成的风险。最近上网搜索一下网络支付风险案例,就有130多条触目惊心的事件出现在我们的面前。为此,笔者认真分析了网络支付风险以及产生的原因,并探讨防范风险的具体措施,以利于网络支付结算业务的正常开展。
一、网络支付结算的风险及其产生的原因
在企业理财活动中,存在着三大理财观念,即:现金为王、资金时间价值和风险价值。其中的风险价值和现金有着密切的联系,也是经营者必须考虑的问题。而网络支付结算中的风险一般都涉及到现金的损失。风险的一般概念是指某一事件其结果的不确定性。电子商务中的网络支付结算风险是指由于网络银行遭到黑客攻击、病毒泛滥以及其他人为的或自然的原因,致使网络支付结算数据丢失、被窃、遭到破坏等等。从大的方面来说,可以分为两类,一类是由于网络银行技术性和管理性问题引起的风险;另一类是由于网络支付结算业务本身问题引起的风险。具体内容分析如下:
1 由于网络银行的技术性和管理性问题带来的风险。首先,网络银行要正常地开展运营,必须选择一种成熟的技术解决方案。但是,在技术选择上存在着选择失误的风险。这种风险一方面来自网络银行所选择的技术系统与客户终端软件的兼容性差异而导致的信息传输中断或速度偏慢;另一方面来自于网络银行选择了落后技术而造成的巨大商业机会的损失。由于网络结算业务选择了落后的技术,就很容易出现网络钓鱼、木马病毒等风险。其次,网络银行要正常运营,必须保证其信息的安全性。但是,随着银行网络与互联网的互联,网络银行的信息丢失、信息被盗、信息被攻击一直威胁着网络银行业务的发展,从而也威胁着网络支付结算业务的正常发展。一些别有用心的人利用电子商务信息盗取客户信息用以诈骗已经成为常见的违法行为,可见网络结算业务是有一定风险的。第三,网络银行系统运行必须依赖计算机硬件系统、磁盘阵列和计算机系统软件以及应用软件的高度精准协调。但是,我们却不能有效地避免由于某种设计缺陷、容错能力差、兼容性差等原因引起系统故障,严重的甚至导致系统崩溃。第四,网络支付结算业务系统的运营必须有银行网络安全性做保证。但是,由于网络系统设计的不完善、不合理、加密技术落后,反病毒措施不力等原因,往往不能保证网络支付结算业务所需要的银行网络的安全环境。
2 由于网络支付结算业务本身的问题带来的风险。首先,是由于网络支付结算系统的可靠性、稳定性、安全性和产品设计的缺陷,可能使用户在业务上的疏忽、无意间的错误操作等等严重影响网络支付结算业务的正确性、及时性和安全性。其次,由于网络支付结算的虚拟性,使交易双方只有通过网络而发生联系,不能像传统交易那样见面交谈,使得交易身份、交易真实性和交易者的信用历史验证难度增大。另外,出于我国国情,网络支付结算业务不仅存在网络虚拟性风险,同时存在社会信用体系的不完善而导致的违约风险。第三,由于网络支付结算业务的发展.纸币的流通需求量相对减少,国家的纸币发行量可能会减少。这就给电子货币变现成为纸币带来了流动性风险。一旦计算机发生故障,或者网络通讯系统发生故障,再或者系统受到病毒的破坏,甚至是大规模停电,都可能影响正常的纸币兑现业务,从而造成一定的流动性风险。第四,由于网络支付结算的开放性,导致支付结算系统的国际化,而各个国家的结算制度和法律有很大的差异,从而加大了支付清算的国际性风险。第五,由于在虚拟的银行市场上,存在着信息的不对称性,所以,很可能造成客户选择了服务质量和信誉都不好的网络银行,这就构成了市场信息风险。第六,由于中国网络银行发展刚起步,经验不足和各方面法律制度不健全,所以很可能客户遇到法律空白而得不到法律的保护。这就是所谓的法律风险。
二、网络支付结算风险的防范
所谓风险价值,是指企业理财活动因冒一定的风险而要求的超出时间价值的那部分额外收益(或损失减少),它是对理财可能遇到风险的一种价值补偿。网络支付结算风险的防范是指的为了确保网络支付结算系统的安全可靠,确保网络支付结算数据的完整、真实和保密性,所采取的技术措施、制度建设、网络管理等一系列切实可行的手段。这种对风险的防范也是对可能遇到风险的一种补偿。笔者以为,可以从以下几个方面做起。
1 安全技术方面。可以使用网络层加密技术、生物特征技术、认证和鉴别技术等,以确保网络支付结算业务的安全性。具体工作由各大商业银行联手去研究和开发。
2 访问控制技术方面。可以组织软件人员开发研究更好的防火墙技术、访问权限控制技术和监督控制、审计技术。这个具体工作应该由国务院财政部门出面解决。
3 病毒防治技术方面。各个商业银行可以联合开发新的适合中国实际情况的网络支付结算所需要的杀毒软件。以保证中国网络支付结算业务的健康发展。
4 其他安全技术方面。主要是通过技术评估、安全评估、备份恢复、隔离等等技术措施,确保网络支付结算业务的安全运行。
5 制度建设方面。主要是大力发展中国的自有知识产权和先进信息技术;建立银行机构总体发展规划和统一的行业技术标准;加强网络支付结算业务风险控制和管理,并且寻求这方面的国际合作,以求早日建立与国际协调一致的网络支付系统;加强网络支付乃至网络银行的立法;加强网络银行的社会信用制度建设,彻底改变中国社会信用整体素质低的局面;加强网络银行的内部风险防范控制制度;建立健全信息保密、系统维护、安全管理以及审计等制度。使网络支付结算业务走向法制的轨道,为我国的电子商务和网络会计现代化奠定坚实的基础。
6 加强网络基础设施建设,对现有网络资源进行整合,提升金融网络现代化水平。目前,我国的中国国家金融网络(CNFN)是以我国各类金融信息的传输为基点,提供公用数据通信服务而设计的网络。CNFN网络结构和独立、完善的网络管理系统,使其不仅具有普通公用网的可靠性高、稳定性强的特点,而且也具备专网的封闭性和效率高的特点。
中图分类号:F831 文献标识码:A 文章编号:1007―4392(2010)10―0048―03
一、新欧盟电子货币机构监管制度内容
欧盟电子货币监管制度从电子货币机构的准人条件、活动范同、限制以及电子货币可赎回性等各个方面对电子货币机构开业、经营和审慎监管等方面进行了规范:
(一)电子货币和电子货币机构的定义
电子货币是电子货币发行商通过收取货币资金,发行的用于支付交易目的、且能够被其他自然人或法人接受的电子化的货币价值,它表现为持有人对发行人所享有的要求权。电子货币机构是指满足准入条件、经授权可以发行电子货币的法人。
(二)电子货币机构的设立、运行和审慎监管要求
对电子货币机构监管的一般审慎原则,仍沿用2007/64/EC第5款“申请授权”条款,第10-15款的“决议的传达”、“授权的撤销”、“登记”、“授权的维持”、“核算和法定审计”条款,及第17款(第7条)“支付服务外包”条款,并做了必要的修订。
1.建立授权、登记和撤销制度。在欧盟国家,从事第三方网上支付的机构须取得银行业执照或电子货币公司的执照才能开展业务。要获得电子货币机构资格,申请者须向所在会员国主管当局提交一份包含操作方案、商业计划、初始资本金证明、保证资金安全措施、内控机制(符合反洗钱和反恐融资规定)、组织结构、董事和管理者身份、总公司地址等内容在内的申请材料。主管当局在收到该申请材料起三个月内通知申请者是否批准对其授权,若拒绝授权须给出原因。获得授权的电子货币机构需要在主管当局设立的登记部门登记备案,并按照授权从事相关业务。同时,主管当局在特定情况下(如电子货币机构通过错误陈述或非正常手段获得授权,或12个月内未对授权采取行动、6个月以上未从事相应商业活动,或继续经营将对支付系统稳定性构成威胁等),有公开撤销电子货币机构经营资格的权利。
2.重要事项报告制度。明确规定当机构的资金保障措施发生重大变动或决策层出现重大调整时,电子货币机构必须要向主管当局报告并必须获得主管当局的同意,以确保主管当局及时掌握电子货币机构的经营情况。须报告的事项包括但不限于:当已发行电子货币所收取款项的安全措施发生实质变化时,须提前报告主管当局:当电子货币机构中的法人或自然人所持有限定资产资本比例或选举权比例达到、超出或低于20%、30%、50%时,或决定并购或处置、增加或减少这些限定资产时,须向主管当局报告。
3.初始资本金。充足的资本金是电子货币机构安全运转、顺利履行各项义务以及防范化解各种风险的最基本的物质保障。欧盟电子货币监管法令明确提出电子货币机构必须具备不低于35万欧元的初始资本金。而原法令2007/64/EC对以电信、数字或IT设备为支付载体本身只起支付中介作用的第三方支付机构初始资金的界定为不低于50万欧元。
4.自有资金。明确规定电子货币机构持续性自有资金的最低要求。分别对电子货币机构开展电子货币发行业务和其他业务设定了不同的计算标准,如果发行电子货币,其自有资本金的最低持有量不得少于近六个月未兑现电子货币的相关负债总额平均值的2%。
如果不发行电子货币,其自有资金要求按规定的3种方法之一(均来自于条令2007/64/EC第8款,此处不再赘述)来计算。最合适的计算方法由主管当局在国家法令下制定。
5.定义活动范围。除发行电子货币外,电子货币机构还有权从事以下活动:2007/64/EC法令加条款中的支付服务,如开立资本账户、现金存取、支付转账、授予信用、发行或取得电子票据、汇兑、电子支付中介等。对于发行电子货币的机构而言,不得挪用公众的保证金或偿债资金,沿用2006/48/EC的条款5。不发行电子货币的机构可沿用2007/64/EC条令,设立专用的支付交易账户,不得挪用保证金和可偿债资金用于其它商业活动一(第16款第2、第4条)。
6.用户资金保护措施。为保护支付用户的利益不受损害,明确规定电子货币机构要确保通过发行电子货币所获得资金的安全。电子货币机构要将自有资金与未兑现的电子货币兑换资金完全分离,为电子货币兑换资金专门开立账户,此账户只能投资于主管当局认定的具有充分流动性的低风险资产。会员国要求发行电子货币的机构遵循2007/64/EC指令第9款的第1条和第2条。不发行电子货币的机构适用于2007/64/EC的第9款。
(三)电子货币的发行和赎回
2009/110/EC条令第三部分对电子货币的发行和赋回条款中,对有资格发行电子货币的机构发行货币作了相关规定,包括平价发行、随时赎回条款、赎回条件、赎回费用和合同终止。并禁止支付电子货币持有人持有电子货币期间的利息:争议解决的庭外控告和补偿程序:最后的条款和执行措施:委员会程序:成员国间的协调;过渡性条款及对法令2005/60/EC、2006/48/EC的修订。
二、我国对第三方支付机构的监管现状
(一)监管主体不明确
网上第三方支付业务是集团网络和金融业务为一体的综合性业务,与网络运营和金融业务相关的监管机构。如人民银行、银监会、信息产业部门等都可以对网上第三方支付业务的某一方业务进行监管,但目前尚未明确由哪一方机构负责对第三方网上支付业务的全面监管。对第三方网上支付机构的运行管理、银行与第三方支付机构的权责关系等监管都处于真空状态。
(二、监管法律依据不足
我国还没有出台专门针对第三方支付的法律法规,可以依据的只有“三个参考和一个办法”,即2005年4月1日起施行的《电子签名法》,同年10月26日施行的《电子支付指引(第一号)》和2005年6月10日的《支付清算组织管理办法》(征求意见稿),以及2010年6月14日的《非金融机构支付服务管理办法》。其中《非金融机构支付服务管理办法》对第三方支付的市场准入、监督管理等方面问题第一次做出了规定。但是有关的监管法律依据仍存在明显缺陷。
一是电子货币发行的主体资格、电子货币发行量的控制、电子支付业务资格的确定、电子支付活动的监管、客户应负的义务与银行应承担的责任等,还缺乏具体的法律条款加以规范。
二是第三方支付机构法律地位不明确,缺乏市场准入监管条例。第三方网上支付业务主要面临三大法律问题:第一类,通过银行、第三方支付平台或者网络交易平台提供网络服务中的法律问题:第二类,电子货币的法律问题,包括电子货币的范围、监管与规范、安全性等;第三类,安全问题的法律问题,如虚假支付网站、网络支付证据认定、电子认证及网络支付责任承担等问题。
三是第三方支付机构开立结算账户并提供支付结算服务,突破了特许经营限制。根据《中华人民共和国商业银行法》(修正)第三条的规定,结算业务属于商业银行的中间业务必须经过银监会的批准才能从事。而第三方支付平台显然已突破了这种特许经营限制,急需监管部门出台相应的管理措施。规范业务范围,消除“灰色地带”。
(三)滞留资金监管
对第三方支付平台中的大量资金沉淀,缺乏有效的流动性管理。大量的客户资金沉淀可能引发资金流动性风险或引发第三方支付机构从事风险较高的投资活动或其他活动,造成资金安全隐患,引发支付风险、道德风险和企业平台信用风险,从而波及到我国的国家金融体系的安全稳定。但我国并未有相关法律对滞留资金的监管作出解释。此外,滞留资金产生的利息归属也尚未有定论。
(四)对网上支付交易过程的监管
由于网络交易的匿名性、隐蔽性,利用支付平台的网络违法犯罪活动不断出现,其造成的危害令人堪忧。第三方支付平台很难辨别资金的真实来源和去向,使得利用第三方平台进行资金的非法转移、洗钱、贿赂、诈骗、赌博、恐怖融资、套现以及逃税漏税等活动有了可乘之机。
三、建议
(一)出台针对第三方支付的监管法律和政策
在现有的法令基础上尽快出台专门针对第三方支付机构监管的支付清算法规。明确规定第三方支付机构的授权、登记及撤销制度、初始资金额、自有资金额、业务范围、资金安全措施、重要事项报批等条款。加强交易过程中防范信用卡套现、欺诈、洗钱、赌贿、贿赂、反恐融资的监管。向具有一定规模或雄厚实力并符合法律、法规的机构颁发营业执照,明确限定最低注册资本金额并作为进入市场的准入条件,以保障第三方支付机构的支付能力。
制定相应的法规确保第三方支付平台交易的安全,明确第三方支付平台在现实经济中的法律定位,降低第三方支付平台的资金(包括保证金和准备金),给第三方支付系统中在途资金的安全提供制度上的保证。
(二)明确监管主体和监管对象
建立以人民银行为监管主体,商业银行代为保管第三方支付平台的滞留资金的监管体系,可由中国人民银行制定保证金制度,商业银行规范结算周期,提高第三方支付系统整体的支付效率,避免由支付周期带来的其他问题。监管对象为以电信、工作、数字技术为载体从事支付中介业务的第三方支付机构。
(三)明确界定第三方支付机构的业务范围及对交易过程的监管
中国人民银行须详细界定第三方支付机构的业务范围、规范其运作。对发行电子货币的第三方支付机构,应该规范准入审批制度、发行电子货币条件、持续性自有资金、赎回条款、审慎监管等。对未发行电子货币的第三方支付机构,应加强对其沉淀资金的监管,防止沉淀资金的挪用。如果人民银行批准,可以适当投资于人民银行规定的低风险高流动性资产。
在交易过程中,加强立法,防范虚拟交易中的欺诈、洗钱、贿赂等非法活动。对除开展支付服务以外业务的电子货币机构,应加强对其发行电子货币业务的监管。按照审慎原则对其投资、业务范围及风险管理予以监管。建立重大事项报批制度、电子货币发行及其赎回机制和破产保护制度。
一、引言
随着移动互联网的快速发展以及智能手机的普及,人们通过移动支付来完成消费的行为越来越普遍,移动支付为人们的生活提供了更加便捷与高效的服务,但是在移动支付的过程中存在一定的安全风险。因此,对安全问题研究以及对策分析就显得尤为重要,其意义有三方面,第一,能够提高用户的个人隐私安全,使其得到安全保障。第二,移动支付安全是移动电子商务的生存保障。第三,移动支付安全涉及国家金融安全。为此,本文从实际角度出发,针对移动支付安全问题展开深入的分析,并提出解决的对策,希望能为移动支付的健康发展起到一份微薄的力量。
二、移动支付简介以及发展现状
移动支付(Mobile Payment),也称为手机支付,移动支付论坛(MPF)定义其为,交易双方为了某种服务或者商品,以移动终端设备为载体,通过移动通信网络实现的商业网络交易。这里,支付所使用的移动设备可以是智能手机、计算机、掌上电脑(PDA)等等。移动支付将移动终端设备、智能互联网、应用软件开发商以及大型金融机构四种业界相融合,为手机用户提快捷缴费、便捷转账等金融业务。移动支付的特性有移动性、集成性、及时性、定制化等等。移动支付的方式有短信支付、扫码支付、扫脸支付、声波支付、指纹支付等等。但大体上分为两类,近场支付和远程支付,近场支付常见的有手机刷卡的方式坐公交车、商场购物等。远程支付有手机支付、电话银行、网上银行、邮寄、汇款等方式。
早在1999年,我国就已经在一些省市开始进行移动支付业务试运行工作,但是在2009年之前移动支付发展的较为缓慢,直到2009年后,移动支付才迅速发展起来。到2010年,中国银联(China Union Pay)联合工行、农行、交行、建行等18家大型商业银行,以及中国联通公司、中国电信公司两家电信运营商,以及部分手机开发商,与他们共同成立了“移动支付产业联盟”。到了2013年,移动支付因春晚的红包大战突然开始变得火爆起来,引起了各界广泛的关注。到了今天,根据比达咨询(Big Data)的《2015年度中国第三方移动支付市场研究报告》显示,截止到2015年12月,中国手机网民规模已达到6.19亿,相比去年增长11.1%,移动支付应用作为移动互联网经济和消费的底层,也因此飞速增长,如:京东商城618下单量超过1500万单,移动端订单量占比超过60%。阿里巴巴2015年双11全天交易额突破912.17亿,其中移动端交易额为626亿元,占比为68%。同时根据中央银行的《2015年支付体系运行总体情况》显示,2015年移动支付业务138.37亿笔,同比增长了205.86%;移动支付金额108.22万亿元,同比增长了379.06%。这足以说明了移动支付产业的规模在日益增大,有着广阔的前景。
三、移动支付存在的安全问题分析
纵观历史,智能手机更新换代的速度极快,几乎是目不暇接,从最初仅有的通话和短信功能发展到如今的互联网链接和各种应用软件,智能手机用户的规模越来越广,但与此同时,移动支付的安全风险也必然会随之加大。这里从三个角度来分析安全问题,第一,用户角度,即手机的支付环境安全问题,日常生活中常见的盗刷技术。第二,商家角度,即商家对用户信息管理不善,泄露用户个人信息。三是客观角度,我国相关的法律法规不够完善。
(一)手机的支付环境安全问题
1.移动终端自身的安全风险。一方面是手机安全漏洞,这是对手机移动支付的安全最大的威胁,非法分子利用智能手机操作系统自身漏洞,可以在不破坏App数字签名的情况下,偷窥账号密码、盗窃用户个人隐私、自动播打电话或发短信等违法行为,今年来,手机漏洞事件频频发生,但到目前位置并没有一个统一的漏洞与补丁更新机制,于是就造成了当前的尴尬局面。例如去年发现的Stagefright的安全漏洞,通过Stagefright漏洞,黑客只需一条极其简单的彩信,就能够完全控制用户手机,其波及范围包括从安卓2.2系统到安卓4.0系统,甚至可以避开ASLR的防护,进而侵入Android安卓5.0系统到安卓5.1系统的应用设备,粗略估计影响当前约95%的安卓设备,大约近9亿台安卓设备存在被恶意入侵的危险。Sagefright漏洞影响之大,危害之大,堪称移动界的“心脏滴血”,它也被称为“安卓系统漏洞的始祖”。
另一方面,手机自身的基础网络风险也是不可忽视的,最常见的是伪基站钓鱼网站的诈骗方式,不法分子利用与电信运营商的相同频率的伪基站点,搜索用户SIM手机卡信息,然后伪装成运营发送诈骗短信。推送的诈骗短信中包含着钓鱼网站,犯罪分子趁机盗刷手机账户资金。根据360的《2016年第二季度手C安全状况报告》显示,360手机安全卫士为全国的手机用户拦截各类钓鱼网站恶意攻击已达4.7亿次,移动端占360各类安全终端产品拦截钓鱼网站总量60.6亿次的7.8%。又例如在2016上半年范围最广、变种最多、影响最恶劣的“粗口木马”病毒,同样的,犯罪分子通过伪基站伪装成官方号码,向用户短信,用户一旦点击带有病毒APK下载的链接,就会立即激活“粗口木马”。该木马可后台自动运作,截获手机用户的所有短信,并发送到犯罪分子指定的邮箱,以便于p骗团伙盗取个人隐私和盗刷银行卡等犯罪行为。
2.移动终端应用软件App的安全风险。如今手机应用软件App种类繁多,数不胜数,但App作为第三方应用,它的开发者和开发过程并没有相关部门进行监管,只是在进入下载商店时才进行安全性和合法性检测,如果App中存在病毒,那么这些病毒能够未经允许私自下载软件并安装,窃取银行账号及密码,盗走资金,有时连安全管理软件也无法分辨。据腾讯的《2016年上半年手机安全报告》显示,2016年上半年安卓病毒包呈爬坡式飞速增长,新增918.25万个、感染用户超过2亿。其中,支付类病毒最为猖獗,同比增长986.14%,被感染用户数达1670.33万,增长45.82%。说明支付病毒已成为增长速度最快、危害最大的“黑暗势力”。究其原因,用户如果在此前有过使用电脑的经验,则防范意识可能会稍好,而目前智能手机的快速普及,使得很多用户在使用智能手机前并没有使用电脑的经验,所以对病毒与木马的防范意识和能力更弱。
(二)商家对用户信息管理不善
在商家内部最常出现的情况是,一些工作人员私下把用户信息卖给其他非法组织,这往往暴露了人员管理是商家移动支付平台安全管理中比较薄弱的环节这个问题。没未经过有效的训练,并且不具有优秀职业习惯和良好职业道德的员工本身,对安全系统也是一种潜在的威胁。因此,工作人员素质和保密观念是一个不容忽视的问题,无论系统本身有多么完善的保护措施,也难以抵抗内部人员带来的影响。我国很多大型商家对职工安全教育做的不够,又缺乏有效的管理和监督机制,有些非法组织买通对手的管理人员,窃取对手的商业机密,甚至破坏对方的系统,这给企业带来极大的安全隐患。
当然,有时不只是商家内部人员在泄露用户个人隐私,还包括外部黑客入侵,有些不法分子利用黑客技术,来侵入商家后台数据库,致使大量用户数据隐私泄露。例如2013年12月,继全球最大中文IT技术社区(CSDN)、天涯社区的用户数据泄露后,在最为重要的电商领域,也传出了存在漏洞致使用户信息泄露的消息,漏洞报告平台漏洞报告称,支付宝用户数据大量被泄露,泄露总量达1500万到2500万之多,泄露时间不明,数据中只有支付用户的账号,但没有密码,被用于网络营销。已经被卷入的企业有京东商城、支付宝和当当网,其中有些商家否认数据泄露,但这样也不能掩盖泄露的事实。曾经说过“没有网络安全,就没有国家安全”,这从另一个角度诠释了皮之不存毛之焉附的道理,这也说明了支付安全问题已经不仅危及到个人隐私安全,更是已经上升到了国家安全的层次。大型商业企业应当对这个问题引起高度的关注,并且加强对数据的安保措施。
还有一种情况,有些不法分子冒充商家进行注册来诈骗,由此带来的安全隐患更大,现在第三方支付平台的通过实名注册、采用身份证和银行卡来进行认证,较之以前的无条件注册,确实取得了一定进步。但随着移动支付交易规模的不断扩大,很难进行面对面认证,而且现在的认证方法很难确定商家的真实身份,这就给诈骗分子利用认证监管缺陷实施欺诈提供了可操作的空间,而且对欺诈的惩罚仅限于警告、账户冻结等行为,处罚力度不够。这不仅要靠国家监督,也同时商家本身也应经常检查市场中是否有冒充同名商家,才能减少诈骗事件发生的概率。
(三)我国相关的法律法规不够完善
我国移动支付较国外相比,发展起步比较晚,尽管发展速度很快,但是很多方面还是不够健全,国外对于移动支付法制方面,早己立法,通过法律来监管移动支付的正常运作。但目前我国还没有针对移动商务安全的专门法律。虽然已经实施的《非金融机构支付服务管理办法》、《电子银行业务管理办法》、《电子支付指引(第一号)》、《电子银行安全u估指引》、和《关于规范移动信息服务资费和收费行为的通知》等法律法规。中国人民银行于2015年12月28日《非银行支付机构网络支付业务管理办法》,自2016年7月1日起施行。虽然在这里已对非银行支付机构明确了相关法律地位,移动支付也有了其存在的法律依据,但是它对移动支付管理的安全性仍值得商榷,投入使用还有待时日。如今,移动支付缺乏一致的被广泛认可的支付安全相关法律,因为法律的制定是一个反复循环的过程,需在实践中不断修正,且法律的实施有一定延迟性,而且法律的实施与移动支付发展的速度极其不匹配,一般只是当问题出现了才进行处罚,而不能对其进行前置管理。所以,如何尽可能地保护用户移动支付的安全以及合法权益仍是需要长期研究的问题。
除了以上存在的针对用户的法律问题外,对于国家来说,移动支付最大的问题就是沉淀资金和洗钱的违法行为,这会使得国家遭受巨大的损失。在进行移动支付的过程中,因为在用户资金与支付的时间之间存在一定的时间差,就会产生沉淀资金,有些机构人员就会考虑使用该资金获得非法利益,可能出现擅自挪用资金的现象,这就很容易导致金融风险。而且存在洗钱的法律凤险,因为移动支付本身的具有快捷性特点,就很有可能被一些不法分子用于对非法收益的漂白。针对这一点还需我国移动支付法律完善,才能防止这种损害国家利益的事情发生。
四、移动支付安全问题的解决对策
承接上文三个角度的问题分析,这里也是从这三个角度来分析解决方法,第一,用户角度,如何提高手机的支付环境安全性能。第二,商家角度,如何使商家内部管理更完善。三是客观角度,如何加强我国相关的法律法规。
(一)用户加强手机的安全意识
1.提高用户移动支付安全意识。要防止被不法分子诈骗,仅仅只提高技术的安全性是远远不够的,还必须从用户的安全意识着手,用户的安全意识不提升,再厉害的安全技术也没有用武之地。如何提高用户的安全意识呢?第一,利用网络积极宣传手机安全知识,如今手机都能够上网,可以在网络上加大宣传力度,同时公布一些关于手机安全的数据,以及近年来发生的较为重大的安全事件,使得手机用户对于移动支付安全有足够的警觉性。第二,用户要养成良好的使用手机的习惯。例如对移动支付涉及的支付密码、账户信息、电子邮箱、手机短信、验证码等信息要妥善保管,提高保密性,并且要不定期更换各个账户的密码,保证密码的安全性。用户应意识到不是所有的免费Wi-Fi都是安全的,不是方便的App就可以随手下载使用,不要随意的扫描二维码,他们其中或许就隐藏着木马病毒,给用户造成不可挽回的损失。所以一定要确认免费Wi-Fi是安全的再上网,一定要从官方网站或App商店下载更新软件,下载安全手机软件,以便随时检查手机是否存在病毒并及时更新手机系统。第三,手机属于个人随身物品,要随时保管好,不要随意离身,丢失后应立即召回或挂失,不要去二手手机市场随便买来历不明的手机,如果一定要买二手的,一定要保证有安全可靠的来源。
2.加强对移动支付安全技术的研发投入。首先,可以加强研究芯片技术,因为如果要加强手机安全性,则要加强手机本身在加密解密方面的能力,在电脑中支付时常使用的数字证书,SET和SSL协议技术,能够提供更安全的支付环境。手机要实现则相对困难,但我们可以考虑在手机中使用专业芯片,它的执行速度足够快,时间足够短,并且尽可能的不能影响系统中其他程序的运行,也可以大大加快加密解密的执行速度。它的优点是既可以保持安全性,也可以使获得用户良好体验,但它也有也有相应的缺点,如成本高、升级难等。其次可以加强入侵检测和监控,他们是保障支付安全的关键因素之一。在电脑有线网络环境中,入侵检测技术比较成熟,但要将它应用到Wi-Fi中,仍有些难题有待解决,例如如何判断某一无线网络信号是合法行为还是非法行为等。我们可以加强对无线网络Wi-Fi的监控,监测无线网络的使用情况和用户接入个人信息,一旦用户受到病毒攻击或非法接入,系统可以及时采取有效措施来确保支付安全。
(二)如何使商家内部管理更完善
移动支付是由电子商务发展而来,是通信技术和传统电子商务的有效结合。从事移动支付技术的人员都是知识分子,既有专业基础知识,同时还有比较强的操作能力,和支付系统的安全有着直接关系。因此,对于商务系统的参与人员的管理就显得十分必要。以下列举了如何管理这些人员的措施:一是要在工作人员的选拔上进行严格控制。选拔一些基本品质良好、有相关专业知识、懂得如何管理的人员来任职。二是对上岗人员进行培训。培训的内容应包括:基础理论培训、专业技术能力实践和管理技能培训,以此来提高支付系统人员的整体道德素质,尤其是安全意识方面。三是严格遵循交易系统安全运作的基本原则。比如对一些较为重要的业务实行多人负责,使其相互制约,实行激励保障措施,对举报的人员予以奖赏;对于安全管理人员,要经常调换其岗位;落实责任制度,安全监管人员不得越权操作,只能在本职责范围内工作。
对工作人员进行管理后,还应当加强保密措施,尤其是对非授权人员的管理,所以要加强公司的保密工作,同时防止外部黑客的非法入侵。具体措施有如下。一是将保密内容分类,例如可以按照轻重级别不同,分为秘密,机密和绝密三种级别,分别由不同级别的保密人员进行专职管理,级别越高的人管理越高级别的秘密。二是加强保密技术,可以引进外国先进的保密技术,加以改造,并合理运用于本公司中去。但不论用什么方法,都要注重密钥的管理工作。密钥管理会涉及到密钥的产生、分配、更新、储存和销毁等方面,管理人员对任何一方面都不能大意。三是最后一点,也是不可忽视的一点,任何电子系统都需要经常定期维护,移动支付系统也是如此。系统管理人员要定期对通信站点、交换机和服务器等设备进行修理维护,借用一些相关软件来判断系统是否正常工作。对于系统软件方面,定期对系统进行优化更新,完成对数据库系统备份,最好采用双数据库系统来保障数据信息的安全性,要对木马和病毒做好防范工作,通^安装防火墙和杀毒软件来增强系统安全性能。
(三)如何加强我国相关的法律法规
目前我国关于移动支付的法律还不够完善,但令人振奋的是,中国人民银行于2015年12月28日《非银行支付机构网络支付业务管理办法》,自2016年7月1日起施行,这也说明了国家已对移动支付行业有了高度重视,但还是仍然需加强监管力度,完善相关法律法规。我认为具体措施可以有如下这些,首先,最紧要的是完善移动支付的法律法规,通过借鉴参考国际标准并且结合本国实际情况,来制定一些适合我国国情的移动支付安全标准,全国人大会议需通过制定移动电子商务安全领域的法律条文,并完善配套的法律规章和司法解释,以此不断完善国内安全领域法律法规。其次,明确监管主体,加强对支付安全的监督管理,由人民银行和银监会共同监管移动支付平台的支付安全,切实发挥商业银行等机构在监管过程中的作用,同时要求移动支付平台加入中央银行反洗钱系统,严格监控移动支付平台的非法交易行为,例如洗钱、欺诈、套现等。一经发现如上违法行为应当报告相关部门,通过移动支付系统严格监控并有效制止违法行为,有效实施对移动支付平台的日常监管。最后,建立备付金制度,加强沉淀资金的管理,我国颁布的《非金融机构支付管理办法》规定了支付机构的备付金不是机构的自有财产,且不允许私自挪用,可以增加特别针对支付机构的备付金渠道,统一管理备付金的交纳和监管,加强对移动支付机构的沉淀资金的管理,防范因支付机构的问题而已引发的金融凤险。当然,只有靠政府相关部门、电信运营商、金融行业协会以及各类应用软件运营商共同的努力,才能创建由政府严格监控、刑事打击到移动支付行业能够自律全方位的安全保护体系,进而改善移动支付的安全环境。
五、结束语
随着移动支付技术的快速发展,移动支付已经应用在我们生活的各个方面,并带来巨大的便利,使人们的工作和生活都离不开它。但是由于不法分子的恶意行为,导致我们的支付安全性大为下降,这也使得移动支付安全成为用户最为关心的问题,但我相信,伴随着新的安全理论与技术的不断出现,以及监管机构和参与移动支付的各主体不断努力的方向,能够快速提升整个产业链的安全水平,完善电子商务相关的法律法规并提升用户的安全意识,会使得移动支付环境更加安全,从而让移动支付的用户能够有更好的体验。
参考文献
[1]古贞.移动电子商务存在的安全问题及对策研究[J].时代金融,2016,27:212-217.
一、银行在第三方支付中的作用
(一)银行与第三方支付平台的互通确认买家的银行支付能力,为第三方支付提供担保
在电子商务缺乏信用保证体系的情况下,卖家在接到订单发货后能不能顺利收款,成为卖家面对的第一问题。信用保证体系的缺失成为了交易双方要解决的首要问题。而第三方支付的担保为其起到了弥补的作用,让卖家可以放心的交易。这种担保的实现主要还是来源于第三方支付和银行的互通,借助银行确认买家的信用,从而为第三方支付平台提供可靠的保障。也进一步提高了第三方支付的信誉度。
(二)银行为第三方支付平台提供技术支持
网上支付的安全性要求很高,必须有足够的技术及资金的支持。第三方支付平台由于资金及技术能力的限制很难建设自己的安全和认证系统,也就缺乏足够的技术防止网上支付信息的被盗取。为了支付信息的安全,必须依赖银行的专业技术和安全交易平台。同时技术保障也不是第三方支付的核心业务,没有必要在此投入过多的精力。
(三)为第三方支付平台的支付业务进行结算
第三方支付企业的业务流程较不完善,与银行差距很大,因此第三方支付平台的支付业务是完全交给银行去做的。像支付宝、贝宝这样的第三方支付平台其实是没有金融功能的,支付功能的实现必须通过银行完成。大多数第三方支付平台并不直接经手和管理来往资金,而是将其交给银行管理。
(四)传统的银行支付方式只具备资金的传递功能,不能对交易双方进行约束和监督;支付手段也比较单一。
二、银行在网上支付中的风险
(一)支付密码泄漏
一旦攻击者通过某种方式得到支付密码,可以轻易地冒充持卡人通过互联网进行消费,给持卡人带来损失。这是人们对网上支付安全的主要担心所在。
(二)支付数据被篡改
在缺乏必要的安全防范措施情况下,攻击者可以通过修改互联网传输中的支付数据。譬如,攻击者可以修改付款银行卡号、修改支付金额、修改收款人帐号等,达到谋利目的。
(三)否认支付
网上支付是一个通过商业银行提供的网上结算服务将资金从付款人账户划拨到收款人账户的过程。对于资金划出操作,若付款人否认发出资金划出指令,商业银行将处于被动局面;对于资金划入操作,若商业银行否认资金划入操作,收款人将处于不利境地。
(四)假消费、真套现
从第三方支付和虚拟货币的特征来看,洗钱、诈骗等犯罪行为或被利用,“洗钱”的过程会较之传统的“壳公司”方式更为隐蔽,且成本更加低廉。
三、银行在网上支付中采取的措施
针对上述问题,以往银行及第三方支付采用的认证手段主要包括静态密码认证、动态密码认证和数字证书的使用。这些手段在一定程度上可维护银行或第三方支付平台的信息安全。但是,随着技术研究的深入,静态密码面临各种盗取木马的威胁,早已变得不堪一击;同时,动态密码仍旧无法解决身份认证的问题。
数字证书,相比前两种认证方式更为安全的数字证书虽然采用了当下流行的PKI认证方式,可以有效解决身份认证问题,但是由于数字证书是以软件形式存在的,自身的保管问题无法保证安全,黑客可以使用木马程序盗取证书密码,然后从用户的计算机获取和盗用数字证书。数字证书的使用,是目前消费者和商业银行现实的具有高安全强度、简洁的解决方案。继续与消费者之间的后续商务交易活动。通过证书:
(一)消费者登录到商业银行网上支付系统后,需要验证该系统的服务器数字证书可信,以避免登陆到假冒网站。
(二)消费者浏览器与商业银行支付系统间建立安全通道,提供端对端的、基于认证的数据完整性保护,该通道提供支付信息加密保障。
(三)消费者对支付信息(通常为确认支付信息)数字签名,并发送到商业银行支付系统。商业银行据此认证消费者身份该数字签名,商业银行通知商务网站支付成功信息。
(四)商业银行保存该签名,该签名为消费者确认支付的证据。
同时,第三方支付平台也开始采用“硬证书”来保证支付安全。2009年10月,国内最大第三方电子支付组织支付宝开始向其用户推广一种用于登录和身份认证的“支付”,其外形、功能与现在广泛使用的网银盾类似。用户在使用支付宝付款的时候,在电脑上插入“支付盾”,即可有效保障支付宝账户资金的安全,防止电脑黑客和病毒程序非法侵入,盗转用户资金。
四、银行与第三方支付平台的关系分析
银行在第三方支付中起到了重要的作用。银行在电子支付领域中的巨大作用是无法取代的。同时我们也要看到,随着电子支付的发展,二者的关系也在发生着不断的变化。目前来看,银行与第三方支付平台之间更多的是合作关系,但长远看来,由于第三方支付的形式和传统银行业的中间业务、信用卡业务模式有很强的类似性。第三方支付机构和传统银行之间势必在众多领域发生竞争,博弈刚刚开始。二者在多领域内的竞争
摘 要:近几年,辽宁电子商务虽保持了持续快速发展的良好态势,但仍然存在着一些诸如电子商务发展的制度环境差,电商信誉不佳,第三方物流滞后、法规缺失等问题,应采取相应的措施加以完善。
关键词 :辽宁;电子商务;发展环境;优化
中图分类号:F724.6文献标志码:A文章编号:1000-8772(2015)01-0245-01
一、辽宁电子商务发展环境存在的问题
(一)基础设施有待改善
基础设施环境是电子商务发展的基础,没有遍布各个角落的信息基础设施网络,就会制约电子商务的发展。就当前辽宁的情况而言,信息化基础建设目前尚不能满足电商产业高速的需要。具体包括通讯设施、信息应用技术、标准信息设备生产制造等方面供给不足,特别是对于经济发展相对落后的地区。所以,应重点加强与电商业务B2B、B2C、C2C相关的基础设施建设。
(二)网上交易的安全性没有保障
从辽宁电子商务的发展情况来看,涉及多方面的安全问题,如信息安全、资金安全、货物安全等。目前电子商务缺少有关电子合同、电子凭证等网上交易法律法规。致使用户对网上交易不托底。虽然从政府和企业层面均采取了一些防范性措施,但网络诈骗仍履履发生,目前的技术防范措施显然不能让消费者放心。法律对电商违法、欺诈认定可操作性不强,致使网络交易的投诉案日渐增多,这些问题都需要组织专门力量迅速加以解决。
(三)消费者投诉比例较高
近几年,电子商务在居民生活中越发重要,尤其在城市年轻人群中,忙碌的上班族为了节省时间,许多消费都选择网购,电商的业务无处不在,甚至一些边远地区和农村地区也有部分人热衷于网购。随着电子商务业务的迅速发展,消费者网购中权益受到不法侵害的案例也逐年增多,消费者投诉量增长迅速。目前来看,在传统市场当中消费者与经营者之间产生的纠纷,都已在电子商务领域显现,并且电子商务领域出现的某些问题甚至比传统商业模式更复杂。已经在一定程度上影响到消费者对电商的信心,给辽宁电子商务的进一步发展造成了不利影响。
(四)电商企业的诚信管理需要加强
电子商务发迅速发展的一个结果是,电商企业的队伍迅速壮大,由于法规和管理措施没有及时跟进,一些电商企业利用法规制度的空白,违规操作,欺骗消费者现象也时有发生。特别是一些中小电商企业,由于短期行为的存在,这些电商企业诚信受到质疑。政府、企业及行业协会应发挥其应有的作用,为消费者创造安全放心的电子商务环境。
二、应对辽宁电子商务发展环境问题的措施
(一)优化电商发展的法律环境
为了电子商务的健康发展,必须完善相应的电子商务法律体系,提供一个透明的、和谐的商务法律环境,及时解决电子商务活动中发生的各种纠纷,防止和制裁电子商务活动中的不法行为,保障电子商务活动正常进行;必须在借鉴世界各国的电子商务法律基础上,制定相对统一的电上网上交易规范,以解决可能发生的纠纷。
(二)改善电商发展的基础设施
完善电子商务交易、物流配送、网络拍卖等领域电子商务应用的相关政策、管理制度及标准规范。具体包括,建设智能物流信息平台,构建全省性的智能物流和仓储体系,以进一步统筹推进智能物流基础设施建设布局,实现物流快递的智能调配,提高物流快递效率,降低物流成本,并针对快递行业人工成本高的情况,采用借助信息技术的集中配送方式
(三)加强电子商务服务平台建设
利用中小企业发展专项资金,支持面向中小企业的电商交易平台建设,支持网络零售平台做大做强。重点是鼓励中小企业应用电子商务开展在线销售、采购等活动,降低中小企业的电子商务应用成本,提高生产经营和流通效率,拓展网络零售商品和服务种类,拓宽网络零售渠道,满足不同层次的消费需求。
(四)推动跨境贸易电子商务发展
加快跨境电子商务通关试点建设,加快电子口岸结汇退税系统与大型电子商务平台的系统对接。研究出台鼓励和规范互联网支付机构发展的政策,以推进国内支付体系的完善,满足跨境电子商务企业、网商等的多样化支付需要。
(五)改善电子商务发展的其他环境
电子商务发展的环境是多方面的,主要包括技术环境、经济环境、法规环境、政策环境等。前述已对法规、政策这些主要环境因素进行讨论,这里重点阐述怎样营造一个有利于我国电子商务发展的安全环境。主要包括,增强交易参与方的支付安全意识,规范网上支付、电话支付、移动支付等电子支付行为。
参考文献:
警惕“微信红包”的贿赂风险
收发微信红包必须绑定银行卡。据腾讯初步统计,仅除夕当天绑定的银行卡就超过了两亿张。而在绑定银行卡以后,消费者就可以利用微信支付“我的钱包”进行各种消费,包括买机票火车票、滴滴打车、网上购物、信用卡还款,等等。
实际上,“微信红包”就是“电子红包”,最早是由银行推出的一项业务,后来被引入第三方支付和电子商务领域。电子红包与传统的红包最大的区别在于电子红包不需要与接收人见面,也无须征得对方同意即可发出。发放电子红包的金额可大可小,也可以多次发放,特别是“电子红包”没有实物让人看见,相对隐蔽。因此“电子红包”也是通过互联网的方式实施贿赂的最好方式,应当引起相关部门的高度重视,并依法予以规制。
“微信红包”沉淀资金利息归谁
从表面上看,“微信红包”更多的是一种互联网社交行为,不是一种经济行为。然而,“微信红包”却创造了数十亿元的现金流,众多没有被领取的红包以及没有被提现的红包,都使微信积累了大量的沉淀资金。从流程及微信支付说明来看,“微信红包”本质上仍然是基于腾讯旗下第三方支付平台财付通开发的操作程序。第三方支付中的各方权利义务关系及其法律性质,目前在法律上尚未作出明确的界定。
从第三方支付业务本身看,第三方支付平台只是提供了一项支付服务,但是这个平台却聚集了大量的资金,已经具备了商业银行储蓄的性质,但是却又不受相关商业银行法律法规的规制,用户资金的时间价值(利息)已近成为其主要的利润来源。
关于“微信红包”沉淀资金及其利息的归属问题,属于基本的金融业务范畴,是互联网第三方支付平台都存在的问题。根据中国人民银行的有关规定,沉淀资金本身归属于客户,由支付机构保管,根据客户的支付指令进行操作。笔者认为,关于“微信红包”的利息归属问题应当分为两个阶段:首先,在转账制作红包到红包接受前这段时间所沉淀资金产生的利息,应当属于发放者;在红包到达接受者的账户,且在接受者提现前这段时间沉淀资金所产生的利息,应当属于接受者。
建议国家尽快修改商业银行基本法,增加有关互联网金融安全、准入、交易、认证、监管、退出、消费者权益保护和法律责任等规定,尤其要规制网络支付安全给互联网金融带来的系统性风险,同时要提高互联网金融行业的违法成本。
“微信红包”涉及用户信息安全问题
“微信红包”必须与银行卡绑定之后才能实现其应有的功能,但是“微信红包”一旦与用户的信用卡绑定就不再只是社交游戏了,而包含了个人手机号、银行卡号、密码等敏感信息。
最近,笔者发现有几款所谓的抢“微信红包”的外挂软件,比如有一款名为“关云藏”的抢红包外挂软件,该软件的安装界面中自称通过了安全认证。下载安装后,软件会提醒用户,将收集手机中的所有文本,包括个人信用卡号、手机交互数据等信息。有些网友反映,其收到朋友发来的链接,点开后竟然能看到对方手机里收发红包和提现的全部记录,甚至包括银行卡尾号和姓名等。笔者建议,“微信红包”的经营者应当从网络安全的战略出发,采取必要的技术措施和手段,严禁泄露用户的个人信息。对此,我国《消费者权益保护法》有明确规定,经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失,在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。“微信红包”作为一款互联网支付产品,经营者必须采取严格的安全手段和措施确保用户的信息安全,如果因为技术漏洞泄露用户信息,给用户造成损失应当立即采取补救措施,并应当承担相应的法律责任。
关于“微信红包”的涉税问题
关于收受“微信红包”是否缴纳所得税的问题,笔者以为有两种情况,需要分别对待:首先,亲朋好友之间通过微信发红包,且金额也不大,是互相赠予,按照目前的税法不涉及个人所得税问题;其次,如果企业明确表示通过“微信红包”的形式,对用户或潜在客户的附赠行为,或通过“微信红包”奖励成绩突出的员工以及通过“微信红包”形式向员工发放奖金等福利,就应按累计数额缴纳个人所得税。
我国税法规定,取得偶然所得的个人为个人所得税的纳税义务人,应依法纳税;向个人支付偶然所得的单位为个人所得税的扣缴义务人。不论在何地兑奖或颁奖,偶然所得应纳的个人所得税一律由支付单位扣缴。偶然所得以收入金额为应纳税所得额,纳税率以20%计算。对于大家常说的1万元的起征点,是专指个人购买福利、体育彩票(奖券)一次中奖收入不超过1万元(含1万元)的暂免征收个人所得税;一次中奖收入超过1万元的,应按税法规定全额征税。
