淺議第三方支付與商業(yè)銀行金融安全

大連銀行丹東分行 刁基平

丹東銀行 徐效德

一、第三方支付存在的金融安全隱患

央視二套有一檔科學(xué)教育類綜藝節(jié)目叫“是真的嗎?”，該節(jié)目曾經(jīng)推出過一個話題“如果手機丟了，支付寶賬戶中的錢能夠被盜用，是真的嗎？”節(jié)目內(nèi)容顯示,由于支付寶關(guān)聯(lián)著客戶的多個商業(yè)銀行的賬戶，而支付寶快捷支付對小額支付為求快捷無需驗證商業(yè)銀行密碼等原因，只需錄入手機接收的校驗碼，最終導(dǎo)致客戶資金遭到盜用消費，由此欄目組論證結(jié)果為該話題是真的！這個節(jié)目很短，管窺一斑，雖然無法全析、詮釋出所有包括支付寶在內(nèi)的第三方支付看似美好的背后，暗涌的金融安全隱患,但卻也可以讓我們意識到與第三方支付這個青年才俊的互聯(lián)網(wǎng)網(wǎng)戀并不輕松。

第三方支付開通的快捷支付業(yè)務(wù)看起來方便，但對其使用者和商業(yè)銀行隱藏著不容忽視的金融安全風(fēng)險。具體來說,如果用戶的銀行卡一旦被綁定為快捷支付，這張銀行卡將斬斷用戶與商業(yè)銀行的雙方的直接聯(lián)系，第三方支付實際介入了用戶與商業(yè)銀行之間，并且充當(dāng)了用戶這張商業(yè)銀行卡的經(jīng)紀(jì)人角色，用戶發(fā)出付款要求，經(jīng)紀(jì)人受理，經(jīng)紀(jì)人找商業(yè)銀行拿錢替代用戶付款，客戶才能付款成功。在這一過程中,簽約快捷支付業(yè)務(wù)后，第三方支付可繞過客戶銀行卡密碼的安全設(shè)置,對使用者的個人身份信息，如身份證、銀行卡號具有記憶功能，只確認(rèn)其與第三方支付的信息密碼確認(rèn)即可,由此產(chǎn)生了一系列的金融安全隱患。近幾年來快捷支付被盜刷的案例比比皆是，除了手機丟失，有的是中木馬病毒了，有的是接入了非法網(wǎng)絡(luò)，有的是打開了欺詐網(wǎng)頁。客戶控制不了卡安全支付，商業(yè)銀行也無法控制卡安全支付是造成快捷支付被盜刷的根本原因。因此不只是使用第三方支付的客戶不輕松，與第三方支付聯(lián)系緊密的商業(yè)銀行也不輕松。

二、第三方支付與商業(yè)銀行的關(guān)系

第三方支付的存在，看似依托無形網(wǎng)絡(luò)，但實際離不開商業(yè)銀行這個有形平臺。眾多評論都將第三方支付比喻成商業(yè)銀行的寄生物，它是寄生于商業(yè)銀行這個成熟的金融體，利用網(wǎng)絡(luò)的快捷、便利等特點，衍生出的新型金融產(chǎn)物。具體來說，商業(yè)銀行作為傳統(tǒng)金融巨頭，其發(fā)卡客戶資源是第三方支付寄生發(fā)展的基礎(chǔ)，而商業(yè)銀行則通過第三方支付擴展商業(yè)銀行卡的支付渠道，擴大銀行卡業(yè)務(wù)占有率，提高商業(yè)銀行卡使用效率。這看似合則兩利的關(guān)系背后，卻也隱藏著寄生物對寄主的傷害。部分第三方支付接入商業(yè)銀行信息系統(tǒng)之后，進(jìn)行了大量的變造交易類型的不合規(guī)交易，比如將轉(zhuǎn)賬、代收代付等交易的類型套用至正常POS 消費交易場景中，同時套用對公益類商戶編碼(MCC)、變造商戶資料、異地移機等，部分第三方支付甚至在銀行卡業(yè)務(wù)營銷開展過程中存在截取磁條信息、截取密碼信息、私自保留登記持卡人詳細(xì)客戶資料敏感信息等行為。這些行為容易給持卡用戶帶來風(fēng)險和損失的同時，也嚴(yán)重得影響了商業(yè)銀行的金融安全。

三、第三方支付對商業(yè)銀行金融安全的影響

(一)支付網(wǎng)絡(luò)安全風(fēng)險

第三方支付離不開網(wǎng)絡(luò)，其運行高度依賴計算機系統(tǒng)、網(wǎng)絡(luò)通信技術(shù)和交易軟件，并且其與商業(yè)銀行信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)接口連接。黑客可以利用第三方支付的系統(tǒng)漏洞和軟件缺陷竊取客戶的相關(guān)信息；或是截取網(wǎng)絡(luò)傳輸報文并破解以獲得持卡人重要信息；或是制造網(wǎng)絡(luò)病毒進(jìn)行擴散和傳播，一旦某程序感染病毒則整個網(wǎng)絡(luò)很快也會被感染，破壞極大。而商業(yè)銀行大部分還處在傳統(tǒng)金融運營中，網(wǎng)絡(luò)安全風(fēng)險只會帶來局部損失，可是如果一旦被病毒傳染，將會導(dǎo)致客戶資料泄露，交易記錄損失，甚至無法預(yù)知更加嚴(yán)重的后果。

(二)支付系統(tǒng)安全風(fēng)險

目前支付寶等第三方支付平臺基本與商業(yè)銀行就快捷支付客戶簽約模式達(dá)成了一致，有的商業(yè)銀行甚至不對客戶賬戶銀行密碼進(jìn)行校對，而只核對客戶是否為第三方支付簽約客戶后即按照第三方支付機構(gòu)發(fā)送的客戶姓名及賬號信息指令扣劃客戶賬戶資金。據(jù)不完全統(tǒng)計，目前開通了快捷支付的部分第三方支付客戶在商業(yè)銀行均都頻繁出現(xiàn)了資金被非法劃轉(zhuǎn)的風(fēng)險案件，由此給商業(yè)銀行的支付系統(tǒng)安全敲響了警鐘。快捷支付業(yè)務(wù)看似快捷，但是卻省略了很多商業(yè)銀行實際操作業(yè)務(wù)中的身份認(rèn)證、密碼驗證等流程，因而對客戶信息安全、客戶資金安全等問題帶來了極大的隱患。在實際業(yè)務(wù)開展中，許多商業(yè)銀行均發(fā)現(xiàn)過諸多游戲可以通過支付寶等第三方支付平臺進(jìn)行了充值，但是客戶否認(rèn)本人發(fā)出過支付交易指令的情況。在傷害廣大商業(yè)銀行客戶的利益基礎(chǔ)上，第三方支付更是給商業(yè)銀行的客戶信息管理、客戶資金安全、交易記錄保存、聲譽風(fēng)險等方面帶來巨大的風(fēng)險隱患，甚至是損失。

(三)虛假交易洗錢風(fēng)險

可以說大部分第三方支付機構(gòu)對商戶的資質(zhì)都缺乏有效的審核與管理，對交易也嚴(yán)重缺乏審核與監(jiān)督，而商業(yè)銀行又無法正常獲得關(guān)于商戶與交易的詳細(xì)信息，致使商業(yè)銀行銀行卡淪為了簡單的充值工具。在此情形下，背負(fù)著反洗錢職責(zé)的商業(yè)銀行，在網(wǎng)絡(luò)這個虛擬的世界中，卻無法通過有效監(jiān)控手段對洗錢、欺詐等不法交易實施有效監(jiān)控與預(yù)警，第三方支付幾乎成了商業(yè)銀行反洗錢管理盲區(qū)。就像如快捷支付這類無需通過網(wǎng)上銀行或商業(yè)銀行網(wǎng)上支付頁面，而是直接通過第三方支付工具就可以實現(xiàn)交易，由于這類第三方支付的商戶管理制度不完善，虛假交易無法禁止。

四、對商業(yè)銀行的建議

(一)重視支付安全技術(shù)的投入

第三方支付方式不再受到空間、時間限制，客戶間的資金活動場景一般都是在非面對面情況下完成的，這些特點都對支付安全技術(shù)提出了嚴(yán)格的要求。商業(yè)銀行要比以前更加關(guān)注客戶的支付安全，更關(guān)注支付技術(shù)的更新。要充分從技術(shù)上加強安全性建設(shè)，保證支付數(shù)據(jù)的保密性、完整性，不斷完善客戶身份認(rèn)證和密碼驗證流程，確保支付網(wǎng)絡(luò)的安全、穩(wěn)定和可靠及災(zāi)備恢復(fù)的可用性。

(二)嚴(yán)格管理客戶信息資料

商業(yè)銀行應(yīng)嚴(yán)格管理客戶信息資料，不斷加強商業(yè)銀行員工行為管理，嚴(yán)控操作風(fēng)險，持續(xù)完善技術(shù)措施，強化信息保密技術(shù)手段。加強教育督導(dǎo)，防范員工道德風(fēng)險在客戶信息資料保護(hù)工作中引發(fā)問題。對信息系統(tǒng)可能遇到的各種容易泄露客戶信息資料的技術(shù)風(fēng)險進(jìn)行評估，加大信息保護(hù)技術(shù)的科技含量，綜合運用先進(jìn)的防火墻、身份識別與認(rèn)證、數(shù)據(jù)加密、第三方認(rèn)證以及網(wǎng)絡(luò)安全監(jiān)控等技術(shù)并及時修補系統(tǒng)漏洞，同時要加大對信息前沿技術(shù)的關(guān)注度，對網(wǎng)上黑客論壇進(jìn)行檢測，定期用一些惡意軟件對系統(tǒng)進(jìn)行壓力測試，及時發(fā)現(xiàn)問題，及時進(jìn)行維護(hù)，有效防范來自于內(nèi)部的漏洞和外部的攻擊，確保客戶信息及信息系統(tǒng)安全。

(三)加強第三方支付備付金賬戶的監(jiān)管

商業(yè)銀行應(yīng)樹立社會責(zé)任意識，加強對第三方支付平臺在本行開立的備付金賬戶的監(jiān)管，該備份金賬戶是第三方支付平臺在商業(yè)銀行開立的用于為客戶提供資金結(jié)算的支付賬戶。同時商業(yè)銀行還應(yīng)充分利用數(shù)據(jù)倉庫和數(shù)據(jù)挖掘技術(shù)將第三方支付平臺備付金賬戶的變動情況進(jìn)行關(guān)聯(lián)性分析，發(fā)現(xiàn)異常情況，要及時向?qū)俚厝诵蟹聪村X監(jiān)管部門反饋，切實履行反洗錢責(zé)任，控制洗錢犯罪的社會危害程度。

(四)謹(jǐn)慎穩(wěn)健的發(fā)展第三方支付業(yè)務(wù)

第三方支付業(yè)務(wù)為傳統(tǒng)商業(yè)銀行帶來了良好的經(jīng)濟收益和社會效益，并且收益頗豐。由于這兩種原因，商業(yè)銀行大力擴張推進(jìn)第三方支付業(yè)務(wù)。然而第三方支付有政策風(fēng)險，央行、銀監(jiān)會在政策角度對于規(guī)范第三方支付準(zhǔn)入及運營、虛擬貨幣使用政策不明朗。同時第三方支付面臨法律風(fēng)險，涉及銀行法，證券法，保險法，消費者權(quán)益保護(hù)法、知識產(chǎn)權(quán)法等多種法律，目前我國還有待于完善相關(guān)法律。因此，筆者認(rèn)為對于第三方支付業(yè)務(wù)的發(fā)展，商業(yè)銀行應(yīng)持更加謹(jǐn)慎穩(wěn)健的態(tài)度，不要盲目擴張。

五、結(jié)束語

第三方支付以其獨特的創(chuàng)新性、靈活性和快速發(fā)展勢頭正沖擊著商業(yè)銀行的經(jīng)營和管理。商業(yè)銀行既需要順應(yīng)客戶作為“電子人”在互聯(lián)網(wǎng)時代中的金融需求，將互聯(lián)網(wǎng)金融“基因”注入商業(yè)銀行的戰(zhàn)略管理當(dāng)中，又要積極布局、沉著應(yīng)對，通過多種手段和新渠道應(yīng)對第三方支付對商業(yè)銀行的業(yè)務(wù)發(fā)展，特別是金融安全等方面的沖擊和影響。