信息泄露成为支付风险源

一些第三方支付机构违规操作、挪用客户资金的行为，可能引发连锁金融风险

今年“十一”期间，广州居民李文生一家到美国自由行，回国不久就收到短信，称可申请退税简易流程，他按提示拨打400开头的电话后，对方以银行客服身份要求李文生登录其提供的银行英文网页进行操作，在输入了卡号、密码、验证码等信息后，李文生发现账户资金减少，随即找到真实的银行客服电话询问才知，他的账户资金已经通过第三方支付机构在网上消费掉了。

“平时我也听说过有这种钓鱼网站，但对方掌握我去美国的详细行程，甚至连一些消费地点都知道，我才相信了。”李文生说。

“移动支付的快速发展，让支付验证开始脱离硬件设备，进入到单纯靠信息验证的阶段，这就对用户敏感信息保管提出了更高要求，一旦信息泄露，意味着可能的资金损失。”王宇说，近年来很多新出现的第三方支付机构，出于扩大市场的考虑，往往降低安全管控，对交易管理的识别、反欺诈能力相对较弱，不能很好地担负起资金把关人的职能，而技术投入上的不足，很容易造成用户支付信息外泄。

中国支付清算协会发布的报告显示，2016年有近200家网上商城或支付平台被曝出存在安全漏洞导致数据库信息被窃取，其中多家网站泄露的用户信息达数百万条，最多甚至达到上千万条。

中国人民银行副行长范一飞表示，由于互联网的虚拟化、支付服务的移动化、参与主体的多样化，支付风险呈现蔓延速度快、隐蔽性强、潜伏期长、外溢效应明显的特点，支付行业在敏感信息保护、客户资金安全、业务连续性等方面压力较大，信息泄露已成为支付安全问题的风险源头。

不仅如此，一些第三方支付机构违规操作、挪用客户资金的行为，存在引发金融风险的可能性。“一旦支付机构违规挪用资金，客户支付就会出现问题，如果众多支付风险在短时间内同时爆发，可能引发连锁金融风险。”杨驰说。

据不完全统计，近3年来，共有48家第三方支付机构被监管部门处罚71次，累计被罚近1亿元。因注销、主动申请注销、不予续展和续展合并等因素，270家非银行支付机构在2016年缩减为255家。

今年3月，非银行支付机构网络支付清算平台（简称“网联”）启动试运行，根据央行要求，自2018年6月30日起，支付机构受理的涉及银行账户的网络支付业务全部通过网联平台处理，旨在管住资金通道，防范系统性风险。

平衡效率与安全的跷跷板

支付机构看重体验、商业银行看重安全，两者需要互学、互融

虽然移动支付面临种种安全风险，但并未阻挡其快速发展的步伐，中国支付清算协会的统计显示，今年第二季度，我国移动支付业务持续保持较快增长，移动支付业务笔数和金额同比分别增长40.51%和33.84%，非银行支付机构处理网络支付业务笔数和金额同比分别增长67.85%和34.87%。

“移动支付虽然有风险，但让我退回到全靠银行U盾支付的环境也不太可能了，谁会出门消费带着U盾和电脑呢？”上海浦东的年轻白领刘婧告诉记者，自己身边很多人，哪怕是被骗过钱的人，都并没有放弃对新兴移动支付方式的使用。

中国银联发布的调查报告显示，我国移动支付已进入全面普及阶段，2016年有96%的受访者使用过手机等移动设备支付，较上年增长14%，而使用网银支付的比例仅20%，较上年下降15%。在支付验证方式上，2016年46%的被调查者使用过指纹识别方式，同比增长2.5倍，其中“95后”受访者中，这一比例高达7成，U盾、数字证书等传统验证方式使用比例呈明显下降趋势。

“以U盾为代表的支付验证措施，依然是目前最安全的验证手段，在大额支付领域短期内不可替代，但也确实存在使用繁琐、流程复杂等问题。”杨驰告诉记者，基于各自不同的发展目标，第三方支付机构往往把支付体验放在第一位，而风险偏好较低的商业银行则把支付安全放在第一位，两者需要相互学习、相互融合，共同打造便捷安全的支付环境。

“金融科技带来的支付创新都面临一分为二的挑战。”中国社科院金融研究所所长助理杨涛表示，新兴支付手段的创新，提升了经济交易效率，促进消费和投资，但同时，支付创新也要避免过犹不及，平衡好效率与安全的跷跷板。

专家和业内人士普遍认为，保护支付安全，绝不意味着不要支付创新，而是要在满足支付便利性的同时，从攻守两方面加强安全防范。

——在攻的方面，应加快支付技术的更新换代，在保障安全的基础上，最大限度给用户支付创造便利。

在指纹支付快速普及的同时，一些支付机构开始将刷脸支付、声波支付等作为创新方向，并通过多种生物特征交叉认证，进一步降低支付风险。

传统银行也不甘落后。工商银行网络金融场景合作处处长谢翔告诉记者，目前，工行已为客户提供短信、静态密码、指纹等多样化的支付认证方式，有效兼顾了支付安全与便捷的需要。

——在守的方面，应加强对现有支付方式的风险防控，用技术和保险手段保障支付安全。

“支付宝目前用一整套智能实时风控系统，对平台上每天发生的上亿笔交易进行实时扫描，从用户行为、交易环境、关联关系等多维度去分析，对风险进行稽查及处置。”蚂蚁金服高级安全专家朱通向记者介绍，这套安全系统还会通过数据分析、挖掘，自动更新完善风险监控策略，不断提升风控能力。

工行在业内率先研发投产“外部欺诈风险信息系统”，运用大数据对公安部门侦查出的电信诈骗账户进行有效布控和业务办理实时预警，从源头上实现对电信诈骗的防控。系统投产3年多来，已识别并拦截电信诈骗10.8万笔，为客户避免经济损失16亿余元。

除了技术上的措施，保险功能也在近年被引入支付风险防范，多家保险公司联合支付机构推出了“盗刷险”，发生支付损失时由保险公司进行赔偿。