我國第三方網上支付存在的安全性問題及應對策略

劉秀琦+崔學敏

（中國海洋大學嶗山校區，山東青島266000）

【摘要】本文首先通過分析我國電子商務應用中第三方支付的發展現狀，提出了第三方支付發展存在的幾個主要的安全性問題，從不同主體入手，逐一提出了建議與策略分析。

【關鍵詞】電子商務；第三方支付；安全性問題

一、第三方支付的概念和發展現狀

所謂第三方支付，就是一些和國內外各大銀行簽約并具備一定實力和信譽保障的第三方支付服務商提供的交易支持平臺。在通過第三方支付平臺的交易中，買方選購商品后，使用第三方平臺提供的賬戶進行貨款支付，由第三方通知賣家貨款到達進行發貨；買方檢驗物品后，就可以通知付款給賣家，第三方再將款項轉至賣家賬戶。第三方支付分第三方網上支付、固話支付和移動支付等幾種，本文中談到的第三方支付特指第三方網上支付。

隨著B2B、B2C、C2C等形式的電子商務的發展，第三方支付將成為中國金融支付體系中重要的組成部分。這其中，我國國內的第三方支付產品主要有支付寶、財付通、快錢等等。但是，在第三方支付市場不斷做大，業務蓬勃發展的同時，第三方支付也面臨著安全性受到威脅的困境。

二、第三方支付存在的安全性問題

（一）信用卡套現、洗錢問題層出不窮

由于第三方支付賬戶可以從一家商業銀行賬戶中充值，再將賬戶余額轉到在另一家商業銀行的賬戶中，因此，利用信用卡進行套現，因為有了第三方支付的幫助變得異常簡單的同時，由于支付寶之類的第三方支付兼具資金的收付功能，因此，它不僅存在著信用卡套現的風險，更面臨諸如洗錢之類的問題。

（二）賬戶資金被盜網絡詐騙時有發生

在淘寶網購物，通過支付寶付款一直被認為是目前最安全的網購方式。然而，近來消費者大量網購資金并未轉入支付寶，而是被黑客劫至中國移動通信集團湖南有限公司電子商務中心、北京聯動優勢科技公司等第三方支付平臺，繼而流進騙子的賬戶。第三方支付賬戶資金被盜，少數人利用第三方支付工具進行網絡詐騙已經成為一個較普遍的社會現象。

（三）安全保障的技術手段有待改進

網絡釣魚是指騙子以低價等作為誘餌，誘使用戶在假的網站或冒充的頁面付款，從而導致資金損失。根據殺毒軟件廠商的最新報告，網絡釣魚的黑色產業鏈初步形成，其危害已經超過傳統的病毒和木馬，成為威脅網民利益的第一殺手。近期不斷出現用戶遵循第三方支付平臺的正常操作步驟，資金卻被轉入到指定賬戶的事件。可見，第三方支付平臺的技術安全保障手段亟待加強。另外，目前第三方支付平臺普遍采用的重要技術安全保障手段——數字證書，其并不是真正意義的獨立第三方認證，而是內部建設一套符合實際要求的證書注冊審計系統，使自身具備證書申請、審批、下載、證書狀態在線查詢、證書撤銷等功能，然而這種數字證書并沒有法律效力。

（四）第三方支付平臺本身不是金融機構

目前，國內的第三方支付企業屬于非金融機構，是有限責任公司的性質，一旦公司出現破產等情形，則可能引發劇烈的多米諾骨牌效應，導致其他企業的資金鏈出現問題。因此，即使是附屬于某些著名的網站，第三方支付平臺也存在一個信用問題。許多第三方支付公司的在途資金已經遠遠大于它的注冊資金。那么，用戶的資金放在平臺上是否安全，如何保障這些資金的安全成為政府監管部門應思考的問題。

三、國內主流第三方支付平臺的安全策略分析

（一）配合央行加大力度打擊信用卡套現、洗錢

近年來，中國人民銀行公布的《非金融機構支付服務管理辦法》，不僅對作為第三方支付平臺的非金融機構作出嚴格規定，同時也對支付平臺的用戶加以嚴格管理，此舉無疑會對網絡非法套現行為造成打擊。例如，支付寶通過其自行研發的網上支付風險監控系統對檢控到的違規操作。

（二）實名認證、全額賠付應對資金被盜、網絡詐騙

國內領先的第三方支付平臺如支付寶、快錢等目前都采用了多種安全措施。例如，快錢除了從技術手段上防范盜卡之外，還在安全方面加設了用戶的認證系統等六道功能，試圖將安全隱患壓低到最小程度。支付寶推出“支付寶認證”服務，對所有使用支付寶的賣家進行雙重身份認證，即身份證認證和銀行卡認證。支付寶公司還在國內率先推出了“全額賠付”制度和交易安全基金，網絡欺詐發生率僅為萬分之二。

（三）采用多重技術手段保障用戶安全

1.采用SSL協議保障底層安全

到目前為止，幾乎所有主流第三方支付都采用安全套接層協議（SSL協議）作為底層協議，客戶機和服務器交換信息前都必須構建安全通道，所有信息都經過加密傳輸，安全性將大為提高。

2.采用數字證書保護用戶賬戶安全

依據調查，第三方支付平臺除了中國銀聯在線外都推薦使用數字證書，即使用戶發送的信息在網上被他人截獲，甚至丟失了個人的賬戶、密碼等信息，仍可以保證用戶的賬戶、資金安全。

3.采用手機驗證保護用戶賬戶安全

數字證書安全級別雖然較高，但對于不少計算機入門者來說使用有一定難度，于是支付寶推出了手機短信的動態口令登陸的方式，財付通、支付寶等推出了短信驗證服務、信使服務等，既可以保護用戶賬戶安全，又為用戶對數字證書的備份、導入等難題提供了解決方案。

4.采用U盾或和銀行U盾綁定保護用戶賬戶安全

第三方支付雖然現在還是民營企業，但是為了保護用戶賬戶安全，不少企業向金融機構看齊，不斷提升安全保障措施。現在不少第三方支付還可以提供類似于銀行網銀、U盾這樣的工具，既方便了用戶又保證了用戶的使用安全，還有的第三方支付平臺和銀行加強合作，銀行的U盾即可用來登錄、管理第三方支付平臺的賬戶。

5.多重安全技術策略確保用戶安全

第三方支付平臺越來越重視安全性能的開發，像支付寶這樣的領軍企業，為了用戶安全不斷創新，采取數字證書、手機動態口令、安全控件和風險實時監控等多重安全策略齊下的方案，大大降低了技術風險。

同時，對于數字證書的管理，第三方支付企業應加快與第三方CA機構的合作，使第三方支付企業從證書的頒發者、管理者真正轉變成為被認證者。這樣，用戶的權益將得到法律更多的保護，這對于從根本上保障電子商務交易的安全具有重大的現實意義。

（四）爭取早日拿到央行的電子支付牌照

第三方支付的民營出身將正式納入央行的金融機構管轄范圍，第三方支付本身的信用問題將隨之得到圓滿解決。用戶也不必擔心由于第三方支付企業的破產而帶來的種種金融風險，正名后的第三方支付將迎來發展的大好明天。

參考文獻：

[1]楊興凱.張笑楠.電子商務中的支付比較分析[J].商業研究，2008（5）

[2]鄭建友.第三方網上支付市場的現狀問題及監管建議[J].金融會計，2006.07

[3]黃牧.中國特色B2C及C2C電子商務支付方式研究[J].商場現代化，2006（13）

[4]董仁濤.我國電子商務支付業務存在的問題及對策[J].經濟縱橫，2004（5）2326

[5]阿拉木斯.第三方網絡支付平臺所面臨的七大法律風險[J].電子商務，2007.2