用戶角度的移動支付操作風險分析

盧林

摘 要：移動支付具有先進性、便捷性和大眾性的特點，已經成為當代消費者最主要的支付方式。微信支付在其中占據著重要位置。目前微信支付主要有消費、轉賬、理財三類使用場景，用戶是這些場景的直接使用者，其在使用前缺乏安全意識，高估自己行為的理性程度，或者在使用時對支付方式認識不足，盲目信任其安全性和私密性，導致錯誤操作或者操作不當，容易因此引發密碼安全、資金安全、個人信息安全等方面的操作風險。只有用戶了解移動支付系統的運行特征、正確認識自身操作行為，才能防范用戶操作風險。本文以微信支付為例，重點分析由用戶操作引發的移動支付風險的表現，并提出對策。

關鍵詞：移動支付；微信支付；操作風險

近年來，隨著綜合國力的提升，科技的力量也在不斷壯大，互聯網走進大眾的視野；而在金融科技的創新驅動下，傳統金融與科技的大交融，互聯網金融由此誕生，成為未來的一段時間內發展態勢。在互聯網金融背景的推動下，移動支付具有移動性、即時性、便捷性的特點，加之國內移動支付技術的不斷創新，在大眾的日常消費場景中得到了廣泛的應用。目前，我國的移動支付的用戶規模、業務交易量及金額也在逐年上升，發展前景廣闊。同時，由于移動支付業務發展迅速，產生了一系列風險安全問題，如何有效及時地處理好移動支付的安全問題，有效保障移動支付用戶的資金安全，營造良好的移動支付環境，對加強對移動支付的監管思路和對策提出了更迫切和更高的要求。由于系統本身的復雜性，移動支付操作風險的防范是一項長期的綜合性工程，需要包括支付平臺、通訊商以及金融監管當局等多方面主題的通力合作。本文重點從用戶角度進行分析，以期形成一個規范自身操作行為的指南。

一、移動支付的概念和發展現狀

互聯網金融是互聯網技術和金融行業相結合的產物，相比于傳統金融行業，其依托互聯網核心技術完成各項金融服務功能。作為互聯網金融的核心分支，根據中國人民銀行2021第一季度的支付體系運行報告，移動支付指的是基于無限通信技術，利用移動終端設備，通過運營商的網絡和移動支付系統所進行的銀行轉賬、繳費和購物等商品交易活動。

相較于傳統的支付方式，移動支付更具先進性、便捷性和大眾性，因而迅速崛起，逐漸覆蓋了生活和工作的多個場景。根據第 47 次《中國互聯網絡發展狀況統計報告》，截至 2021年3月，我國手機網絡支付用戶數量已達7.65 億，較2018年年底增長1.82億。在國內的所有支付工具中，借記卡使用占比為16%，貸記卡達14%，現金使用達13%，其他工具達7%，移動支付使用的占比已達50%，說明移動支付已經成為大多數消費者支付的首選方式。

根據中國銀聯于2021年2月1日發布的《2020移動支付安全大調查研究報告》顯示，在 2020 年我國的移動支付用戶已超過8億，移動支付市場規模連續三年居全球第一，平均每人每天使用移動支付3次，使用頻率達5次的人群占比高達總調查人數的四分之一。同時，得益于居民人均收入的上漲和二維碼收款的普及，移動支付發展更加廣泛和深入，應用場景更加多元，覆蓋了個人應用、移動金融和移動消費三大板塊，對各行各業產生了重大影響。可以說，移動支付無處不在。

然而，移動支付面臨的風險卻成為其進一步發展的瓶頸。犯罪分子利用移動支付的漏洞，對公民的財產安全造成了巨大威脅。2021年，全國檢察機關共起訴電信網絡詐騙犯罪4萬人，其中未成年人和老年人受騙案件多發，網絡刷單返利、虛假投資理財、虛假網絡貸款、冒充客服、冒充公檢法是5種主要的詐騙類型。從中可以看出，移動支付風險發生的原因有很多，既有平臺技術安全與信息泄露、監管主體缺位和法律制度不完善等因素，也有用戶自身操作不當和安全意識缺失等因素。

為了保障移動支付業務健康有序發展，相關部門頒布了一系列政策，有效地填補了監管體系的漏洞。2010年6月，中國人民銀行發布《非金融機構支付服務管理辦法》，確立了市場準入機制。2016 年，中國支付清算協會制定了《條碼支付業務規范（征求意見稿）》，規范條碼支付業務，維護消費者的合法權益。2019 年，中國人民銀行頒布了《支付結算合規監管數據接口規范》，要求支付機構按照接口規范完成數據提取和報送工作。2020 年，中國人民銀行頒布《網上銀行系統信息安全通用規范》，對網上銀行系統安全技術要求、安全管理要求、業務運營安全要求進行了規定，為網上銀行系統建設、運營及測評提供了依據。同年，中國銀聯頒布《支付終端安全技術規范》，中國銀聯再次升級了支付終端安全技術。隨著支付安全科技的不斷創新和移動支付監管制度的不斷完善，用戶自身在防范移動支付風險中的重要性日益凸顯。

二、用戶操作風險的表現——以微信為例

用戶是移動支付的使用者和主要參與者，用戶在移動支付平臺進行交易時，由于自身的一些不當操作行為或錯誤使用方法，會阻礙用戶順利完成移動支付的過程，甚至對支付安全造成危害。按照用戶支付安全問題發生的原因的不同，可將其細化分為信用風險和操作風險兩大類。信用風險指的是得到支付授權的機構，由于違規操作或者存在違法行為等，致使其不能繼續履行職責，最后由用戶為損失買單的風險。例如，用戶在微商中購買產品后出現了質量問題，投訴無門，造成財產的損失。而操作風險指的是由移動支付使用者自我保護和網絡安全意識薄弱以及支付軟件和硬件使用不當等造成損失的風險。

微信支付憑借其社交屬性形成的高用戶黏性在移動支付領域占據著重要位置。中國支付清算協會發布的《2020年移動支付用戶問卷調查報告》顯示，微信支付是該年度用戶最常使用的移動支付產品之一，其使用率高達92.7%，微信支付已與百姓生活息息相關。目前，微信支付的主要應用情景可分為三類：第一類是消費，包括移動端應用 App支付、H5支付、付款碼支付“和掃一掃”支付以及小程序支付五種，根據是否需要輸入密碼還可以分為普通支付和免密支付、小額免通知支付。第二類是轉賬，即用戶將銀行卡與微信財付通綁定使之具備支付功能的業務，其中還有微信于2014年春節期間推出的“紅包”業務，這是在原有支付基礎上開發的一種新的轉賬形式。第三類是理財，微信支付于2014年1月推出理財通服務，上線貨幣基金、保險類理財、債券基金、指數基金、混合型基金、境外型基金等多元化理財產品，以及工資理財、指數定投等多種便捷功能，旨在滿足用戶的多元化財富管理需求。

微信支付的多元、便捷、智能使其用戶規模逐漸變大，成為備受歡迎的支付方式。但是，在使用的過程中，環節眾多、流程復雜，操作頻繁、操作失誤或惡意事件等都會導致操作風險的產生。

赫伯特·西蒙最早提出“有限理性”（bounded rationality）概念，他認為人的行為“意欲合理，但只能有限達到”。按照這一理論，用戶操作風險來源于對移動支付系統及潛在風險認識不足，從而對自身操作行為的理性程度過分高估，做出了獲取便利性而犧牲安全性的選擇。具體來講，用戶的操作風險成因可以分為以下兩類：

1.使用前缺乏安全意識，高估自己行為的理性程度

部分用戶在使用微信支付過程中，對于各種各樣可能造成自身財產損失的行為缺乏戒備和警覺，為一時方便而對未來的風險估計不足，這種心理狀態導致用戶過分高估自身行為的理性程度，從而造成移動支付的操作風險。

（1） 密碼安全

首先，通過特定變換，如字母大小寫、數字、特殊符號混用等方法，密碼能夠對信息等進行加密保護和安全認證。部分用戶在密碼設置上過于簡單，或者多賬號同一密碼，雖然能夠享受一時的方便，但在復雜的網絡環境下，簡單的密碼容易被破解和利用，從而造成個人信息的泄露甚至財產損失。

其次，目前很多網站和App采取特定手機號碼加驗證碼的方式進行身份驗證，用戶只需要輸入手機號碼和正確的驗證碼就可以登錄，不法分子可能利用各種手段騙取驗證碼進行登錄，竊取用戶的賬號密碼和個人信息。

最后，部分用戶選擇不對手機設置鎖屏密碼，短期來看，這種行為十分便捷，卻大大降低了安全效應，阻礙了密碼安全屏障功能的發揮，由此產生的操作風險，對個人信息和財產安全造成了威脅。

（2） 個人信息保護

在移動支付背景下，個人信息的多向流動強化了企業對這一資源的利用效率，但同時也削弱了公民對其個人信息安全的控制能力。由于監管不力和用戶自身的信息安全素養不足等原因，被非法鏈接、釣魚網站或者具有迷惑性的表述等方式誘導輸入了個人信息，導致個人信息泄露的情況屢見不鮮。即使是合法經營的商戶，如果用戶在不了解具體支付流程和原理的情況下填寫個人信息或者簽署相關使用條款，也會造成個人信息的無意識泄露。如支付寶年度賬單事件，2018年支付寶開啟了用戶“個人年度賬單”的查詢通道，附加了一行選項——“我同意《芝麻服務協議》”，字體很小并且已默認勾選了“同意”。該份用戶協議的內容涉及“信息第三方共享”的格式條款即支付寶可從第三方直接獲取用戶信息而不需要用戶再次授權。此舉侵犯到了用戶的知情權，損害了用戶對個人信息資源享有的權益。此外，出售自己使用過的舊手機時不徹底刪除手機內信息也容易導致個人信息泄露。

（3） 資金風險

隨著互聯網金融的發展，多個平臺推出了理財業務，余額寶、悟空理財、零錢通等新型的互聯網金融理財產品相繼出現，魚龍混雜，良莠不齊，而缺乏專業知識的用戶容易跟隨平臺的宣傳，盲目追求高收益，而忽略了對風險的考慮。在這種情況下，做出投入大量資金的非理性選擇。“P2P爆雷”等惡性事件的發生印證了這一點，用戶資金風險的薄弱使其無法對選擇合適的平臺形成科學的判斷，因而面臨著潛在的高風險。

2.使用時對支付方式認識不足，盲目信任其安全性和私密性

移動支付依托于高科技，用戶并不了解移動支付的原理和過程，被動地將移動支付的安全性寄托在開發者身上。這一盲區可能被不法分子利用，盜取個人信息和賬戶資金。

（1） 二維碼安全

二維碼是用某種特定的幾何圖形按一定規律在平面分布的圖形，記錄著文本鏈接文件、圖片、視頻以及安裝包等數據信息。在騰訊公司的網絡安全報告中，僅2021年下半年，以二維碼為載體的病毒木馬數量每月新增約30.54萬個。因此，日常生活中的“掃一掃”“連一連”“點一點”等舉動其實潛伏著巨大隱患。“二維碼”并不只具有單純的付款和收款功能，一些不法分子利用這一盲區，將安裝有木馬病毒的二維碼與普通二維碼相替換，套取密碼，造成了個人信息和賬戶資金的損失。

（2） 小額支付免密

在用戶使用移動支付時，正常支付時需要輸入支付密碼，部分用戶處于效率的考量和對平臺安全的信任開通了免密支付，即一定額度以下的支付無須密碼和消費者簽名便可完成，這也符合用戶使用移動支付時追求快捷便利的初衷。但是，2019年央視“3·15”晚會曝光的“銀聯默認開通銀行卡小額免密免簽功能，且存在被盜刷風險”表明，這種方便快捷是以犧牲用戶權益為代價的。

（3） 支付對象未確認

主要是指用戶未確認被支付者的真實身份，這類操作風險有時發生在冒充的親朋好友、同事、領導、老師等“熟人”之間，有時發生在冒充的銀行工作人員、醫生、公檢法等公務人員之間，后者常以團伙作案居多。傳統的線下支付通常是面對面進行的，用戶能夠親眼確認對方的情況，而支付方式轉換到線上支付時這一點往往被忽略，導致用戶高估了自己對于交易另一方身份的判斷。根據網絡違法犯罪舉報平臺舉報受理處置情況統計，2018 年收到網民網絡詐騙類有效舉報 20603 條，人均損失達 24586 元。

三、對策

移動支付因具有移動性、即時性、便捷性的優點而廣受好評，自誕生以來快速發展。如今，雖然這種支付方式已經普及，但是部分用戶在進行移動支付時并沒有意識到交易過程中因自身不當行為引發的風險，以及由此帶來的不良后果。所以，在提升移動支付技術透明度，出臺金融和用戶個人信息保護方面的法律法規并且推進多部門協同監管的同時，培養公民的安全意識也至關重要。

一方面，用戶自身要加強安全意識，加強對移動支付方式的認識，形成風險防范行為和習慣，避免因操作不當產生風險；另一方面，要開展必要的應對策略教育，通過傳統媒體和新媒體平臺等多種渠道進行宣傳，借助典型案例是公眾認識到移動支付可能帶來的風險，使用戶掌握在損害發生時如何最大化減少損失并且保存證據、了解如《網絡安全法》等個人信息安全法律，知悉損害發生或者權益受損時的求助于申訴對象，以便用戶及時地維護個人權益。

通過以上措施，促使公民形成良好的網絡道德修養，自覺遵守社會公德、自覺履行網絡行為規范，不去侵害他人權益，依上網法；并且能夠保護自身，辨認且自覺防范套取個人信息、虛假交易等違規違法行為。由于系統本身的復雜性，移動支付操作風險的防范是一項長期的綜合性工程，需要包括支付平臺、通訊商以及金融監管當局等多方面主體的通力合作。本文重點從用戶角度進行分析，以期形成一個規范自身操作行為的指南。

參考文獻：

[1]吳曉求.互聯網金融：成長的邏輯[J].財貿經濟， 2015（2）：5-15.

[2]中國互聯網絡信息中心網站第.47 次中國互聯網絡發展狀況統計報告[Ｒ/OL].（2021-2-3）.http：//www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/202102/P020210203 334633480104.pdf

[3]姚雨秋，閆育蕓，靳倩，等.互聯網環境下移動支付發展及對策研究[J].網絡安全和信息化，2021（8）：25-26.

[4]艾瑞網.2020Q2 中國第三方支付行業數據發布[EB/OL].（2020-09-30）.https：//report.iresearch.cn/report_pdf.aspx？id=3785

[5]袁圣蘭，封思賢.移動支付操作風險測度問題研究[J].軟科學，2018，32（3）：128-133.

[6]移動支付網.中國支付清算協會發布《2020年移動支付用戶問卷調查報告》[EB/OL].（2021-01-12）.https：//www.mpaypass.com.cn/news/202101/12171328.html.

[7]謝平，劉海二.ICT、移動支付與電子貨幣[J].金融研究，2013（10）：1-14.

[8]程天擎.互聯網金融下移動支付風險的監管研究[D].內蒙古財經大學，2022.

[9]肖成俊，許玉鎮.大數據時代個人信息泄露及其多中心治理[J].內蒙古社會科學，2017，38（2）：185-192.

[10]王心禾.“支付寶賬單”事件 4 個疑問：“默認勾選”錯在哪？[N].檢察日報，2018-1-17-5.

[11]張璇.投資者視角下P2P網貸平臺風險問題研究[J].財會通訊，2020（10）：126-130.