安全漏洞頻現 電子商務中第三方支付的安全性有待加強強

研究設計

本文采用案例分析法和問卷調查法相結合的方式，以支付寶為研究對象，梳理其網購支付流程，收集支付寶用戶對其安防系統的普遍看法，分析其支付安全性方面優點和不足。對于支付寶安保系統及支付現狀的了解工作，將借助查閱文獻及百度百科實現；對于支付流程梳理工作，將基于問卷填寫者日常使用經驗匯集整理；對于相關數據分析工作，將基于問卷數據匯總結果進行。

研究過程

案例分析一是支付流程及其安防措施。在支付前，用戶需要向支付寶后臺服務商注冊賬號。獲得個人賬號后下訂單，賬單將呈遞給支付寶后臺參與審核。通過審核后的訂單將轉送給賣方服務商，由后臺服務商為本平臺結算機構發送付款通知，用戶付款后由支付寶結算機構和賣方結算機構進行結算，最終完成訂單。支付寶有兩種付款方式，分別為掃一掃支付和付款碼支付。其中，掃一掃支付需具備密碼驗證環節，用戶可選擇通過輸入密碼或采用指紋驗證方式。此外，支付寶還開通了人臉支付和小額免密支付功能供用戶挑選。同時，支付寶設有兩套密碼，一套用于支付，一套用于登錄賬號，設置有限次試錯程序，起到了雙保險的作用。同時，支付寶賬戶還采用先進的128位SSL加密技術，確保用戶信息能夠安全傳送給后臺。此外，在支付寶賬戶提現時，系統將檢查用戶登記的銀行賬戶姓名是否與其認證姓名一致，否則不予提現。

二是支付風險分析。首先，目前尚存在相關法律法規不夠健全且監管責任不明確的問題。由于第三方支付屬于新技術范疇，我國還未出臺足夠多的相關法律政策。這不僅導致法律效力低下，還使得受害用戶無法找到合理途徑維權。我國目前依舊還未明確對第三方支付行業的具體監管部門，導致各個部門都能對該行業進行監管，造成重復監管、資源浪費。同時，行業缺乏能夠協調支配全局的主權者，消費者權益無法得到保護，極易造成第三方支付行業出現管理亂象。第二，支付寶依舊存在軟硬件、洗錢、套現風險。尤其是每年的“雙11”“6·18”等大促活動，會吸引大量用戶支付。若交易額超過系統額定上限，則很可能使整個支付系統癱瘓、卡頓支付，無法滿足用戶個人需求。如今，時代發展迅速，黑科技層出不窮，支付寶系統網絡會時刻遭受網絡攻擊、非法入侵、病毒感染等風險。此外，“海淘”交易在近幾年趨于火爆，由于交易者身份及資金流水難以查明，大大增加了國家反洗錢相關部門的工作難度。第三，支付寶用戶信用風險及防范意識仍有不足。用戶在支付時難免需要向平臺提供部分個人隱私信息，這可能會被手握黑科技的別有用心的人利用，使用戶財產安全面臨一定風險。

問卷分析通過后臺107份有效問卷可以看出，將近71.6%的填寫者認為購物時使用支付寶支付為其首選。原因主要為以下幾點：電商平臺巨頭——淘寶不支持微信支付；支付寶有余額寶功能，可以得到比銀行更高的利息；支付寶的人臉支付、指紋支付、小額免密支付方式簡單便捷，尤其是在直播間或大促活動中搶單能夠相對于密碼支付占據絕對優勢。對于支付寶的安全性體驗，96.4%的填寫者認為很安全，在使用過程中沒有遇到過資金損失問題。85.3%的填寫者表示從未在使用過程中遇到支付卡頓等系統問題。在填寫者體驗過程中，有以下幾點需要改進：平臺需完善后臺系統，避免經常性卡頓問題；平臺需要綁定銀行卡才能使用，對于無銀行卡人群（例如未成年）造成支付壁壘；雖然其采取了許多安保措施，但仍舊存在安全隱患。

研究結論

第三方支付行業安全現狀總結從整體來看，目前我國獲牌第三方支付廠商重視支付安全建設，整體安全情況良好。獲得網絡支付業務許可的企業在風險防控、系統安全保護、備付金管理方面均達到了央行認可標準，證明其網絡支付系統已達到較高水平。同時，部分第三方支付平臺在央行、公安部、公信部等部門的指導下，聯合銀行業、IT安全廠商等多個企業一同保障用戶支付安全，成立專門針對電子支付安全的產業大聯盟，有效地提升用戶的網絡支付安全信心。此外，通過研究發現，銀行、IT安全廠商、瀏覽器廠商等網絡支付生態鏈參與者正積極與第三方支付廠商開展戰略合作，共同防范網絡支付風險，參與網絡支付安全建設。然而，目前第三方支付平臺并不是完全無風險的，有一些安全隱患仍舊存在。

一是信息易泄露。用戶在進行支付平臺賬號注冊及支付時，可能會在各個環節產生個人隱私信息，它們均被第三方支付平臺大量保存。而安全防護能力不足、應用程序存在漏洞、內部人員管理不善等因素，均可導致信息被手持破解軟件的黑客非法竊取并利用，從而帶來財產損失。如何提升第三方支付平臺安防級別、對私密信息進行保護將成為重點關注問題。二是交易欺詐。此問題主要包括不良用戶或犯罪分子通過虛假交易或者鏈接釣魚網站等多種手段進行不法活動的問題，同時不排除商戶收款后立刻刪除聯系方式等行為。此現象產生的原因主要是支付雙方信息不明確。由于身份識別度不高，導致交易欺詐行為出現。這歸根結底是第三方支付平臺信息識別管理技術安全級別不夠高的緣故。三是經營風險。我國第三方支付機構發展時間短、各方面尚不成熟，某些平臺采用各種違規經營手段來搶占市場份額、提高盈利能力，這已成為行業潛規則。對于某些未獲牌照的中小型第三方支付企業，可能存在不善營業或不誠信營業的情況，給用戶帶來資金損失。例如，部分平臺存在在跨境交易中通過分別開設境外和境內賬戶，采用對沖換匯方式，繞開銀行換匯環節、逃避外匯監管的現象；部分平臺存在逾越牌照范圍，將線上預付費卡非法挪至線下使用等多種違規行為。

發展建議一是應增強平臺系統安全性和穩定性，提高其員工素養。想要增強安全性和穩定性，就應落實用戶隱私保密工作，建立嚴密的隱私保護系統，用更多的財力人力保證金平臺交易網絡技術的高安全性。第三方支付平臺應定時召開員工大會，為其講解保障平臺安全性和穩定性的重要意義，制定出應對突發事故的緊急預案并為員工詳細闡述，培養出能夠對用戶信息完全保密、嚴格遵守相關法律法規的員工。此外，員工應時刻督促自己，提高自身素養，針對突發事件做好服務器數據備份和應急預案，避免對公司和用戶帶來損失。二是應建立保證金制度。各個第三方支付平臺應向銀行繳納保證金，為后續工作承擔風險，方便補償用戶。此舉監管方應由中國人民銀行擔任，有了足夠的影響力和公信力，才能確保該制度的有效性。三是應完善用戶個人征信體系，繼續推進支付平臺建設。首先，第三方支付平臺應在與用戶注冊賬號時設置勾選協議，其中標明個人信息采集方法和范圍，保證信息來源是符合用戶本人意愿并合法公正的。其次，在網絡支付過程中，平臺要嚴格審查交易雙方具體信息，從根本上避免風險發生。同時，要加強與國家相關部門的合作，保存交易證明。對于如何推進平臺支付建設，可以采用相關技術使其更加多元化、智能化，滿足不同用戶的需求差異，成為以個性化、人性化為代表的平臺。

作者單位：對外經濟貿易大學信息學院