在支付没有与互联网、移动终端绑定时，很多人希望：有朝一日能够过上“即看即付”的快捷支付生活。但当互联网金融、第三方支付以最快的速度实现了人们上述梦想时，风险隐患也跟着来了。而今，大到轰动全球的互联网“心脏出血”事件，小到支付领域频频出现的支付安全漏洞，都在提醒着人们，对于网上支付行为要多一分谨慎……

　　未经授权的“抢票”

　　“五一”小长假之前，在北京工作的小张受老家亲友之托，帮助其在国内某知名旅游信息网上订购一张无锡至北京的飞机票。由于航班座位紧俏，小张用最快的速度抢到票，进入支付环节。

　　“我用信用卡支付，刚刚填完卡号和信用卡有效期，正准备填写之后信息时，网页突然显示‘本次操作无效，请重新输入’，当时我以为是同一时间抢票的人太多，可能有人快我一步抢走了这张票。”据小张说，恰好在这时，无锡的亲友打来电话说，考虑到节日游客太多，如果还没有买到票，就换个时间再来北京。“可我刚刚挂了电话，就收到了银行信用卡中心的短信提示，并告知我有一笔费用已经完成了预付款。紧接着，我收到了航空公司的出票提示。”

　　明明操作没有完成，甚至还没有走到输入支付密码这一步，银行和航空公司就在未获得授权的情况下“帮”小张“抢”到了这张机票，这让已经习惯使用移动支付的小张犯了懵。

　　“我给银行信用卡中心打电话，得到的答复是信用卡中心已经收到了我授权支付这笔资金的请求，并且迅速给予了支持。之后我又致电这家旅游信息网的24小时客服，对方告诉我，虽然我没有输入支付密码，但我输入了足以代替支付密码的信息，比如信用卡有效期。”小张说，从10年前开始使用信用卡至今，他从来没有认为信用卡有效期能够替代支付密码，这次经历给他最直观的感觉，就是网站储存了他的信用卡支付数据。

　　最终，小张为退票支付了近70元的违约金，对于这次经历，小张颇感无奈。事实上，就在他购买这张机票前不久，今年3月，这家旅游信息网站已经被爆出客户信息泄露的负面消息。

　　3月下旬，漏洞报告平台“乌云”（“WooYun”）对外宣称，小张所选择的这家旅游信息网站，其安全支付日志可遍历下载，导致大量用户银行卡信息泄露（包含持卡人姓名身份证、银行卡号、卡CVV码也就是人们通常所说的信用卡效验码、6位卡Bin）。对此，该网站回应称，“乌云”所爆信息系此前技术人员未删的临时日志，已在两小时内修复，并已通知93名潜在风险用户更换信用卡并适当补偿，尚未发现网站用户信用卡被盗刷情况。

　　但事情并未就此了结。银率金融研究中心信用卡组分析师孟丽伟随后表示，上述网站还涉嫌存储用户信息卡信息的问题。“在用户提供的案例中，有些用户反映说首次通过这些在线订票网站订票时，只输入信用卡卡号、姓名、信用卡有效期、CVV码以及申请信用卡时填写的身份证号就可以完成支付，整个过程不仅没有转入网银平台或第三方支付公司支付通道，也没有输入支付密码、查询密码以及交易验证码。如果只是网站商户方违规操作，是无法实现支付的，银行一方也脱不了关系。”孟丽伟称。

　　中国银联风险管理委员会印发的《银联卡收单机构账户信息安全管理标准》规定：“各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码及卡片有效期。”对此，这家平台表示，将在交易完成后删除客户的CVV信息，不再保存，以前保存的CVV信息正在予以删除。未来一旦确认因该平台漏洞引起用户损失，平台愿承担全责赔偿。但该事件引发的人们对于支付信息安全的担忧却尚未平复，小张的经历就发生在这家平台表态之后。

　　“便捷”双刃剑

　　微信钱包、支付宝钱包、银行各种移动支付平台……这几年，很多人享受到了“边走边结账”的快速支付带来的便利。但正如来谊电子CEO徐海光所言，在支付领域，便捷性和安全性某种程度上存在矛盾，必须平衡好两者的关系。而业界人士总结，仅在今年短短4个月时间内，就先后出现了“携程漏洞门”、“二维码支付欺诈”、“OpenSSL‘心脏出血’漏洞”等一系列信息安全风险事件，将互联网金融的信息安全风险推向了风口浪尖，也让如何有效防范此类风险事件成为业内广泛探讨的焦点。

　　“表面上看，用户完成一笔支付或许是几秒钟的事，但在其后台，用户个人信息游走于电商平台、第三方支付机构和银行之间，其中任何一个环节出现问题，都有可能泄露用户信息，给用户的资金安全带来影响。”对此，一位互联网行业分析师这样表示。

　　对此，银监会法规部副主任王科进表示，第三方支付的出现便捷了人们的支付，同时也有一些漏洞，时有发生银行账户被盗用，个人信息被泄漏，被不法分子利用个人信息突破了银行和第三方支付识别的关口，“我们处理过很多起这类案件”。

　　“第三方支付更讲客户体验的便捷，但是也要考虑安全的问题。目前第三方支付也提出了很多保护措施，比如推行的用户保障计划，对客户的资金损失进行补偿，很多提出了‘你敢用我敢赔’，如果发生了支付的错误损失，我就赔付你，这是根据大数原理进行赔付的，以提高客户对第三方支付安全的信心，应该说这种补偿方式是有一定效果的，但是它是一个事后的补偿方式，也仅适合于小额的资金损失。所以，我们应该更重视事前的风险防范。”王科进表示。

　　“怀揣敬畏之心”

　　5月上旬，“清华五道口互联网金融全球论坛”上，央行支付结算司副司长樊爽文表示，从事金融活动者应有敬畏之心。

　　“电子商务企业或其他互联网企业不能以搅局、颠覆或是革命的心态去做金融，否则对金融环境是灾难。因为归根结底，互联网金融属于金融范畴。互联网企业一旦经营难以为继、关门大吉，影响有限，损失的可能只是自有资本或者加上几个PE/VC。但是，任何一家金融服务提供者，其生死存续已经不仅仅是自己的事，而是关乎一定群体、一定区域，甚至影响整个金融系统，不可不慎。”樊爽文这样说。

　　就支付安全领域而言，一些个案的发生也催促着客户与机构提高对支付信息安全的关注度。比如，针对小张的经历，业界表示，这属于无需密码支付的信用卡“离线交易”，这种支付方式只需信用卡卡号、有效期、卡背上的3位CVV安全码等便可以完成交易。CVV安全码相当于信用卡“第二密码”，因此持卡人不妨用贴纸把背面CVV码盖住，刷卡时做到卡片不离开本人视线，不提供卡片信息给他人。

　　在P2P领域，北京某P2P平台负责人表示，虽然有越来越多的P2P平台选择利用第三方支付来保障用户的支付安全，但任何平台都有数据安全方面的潜在威胁，去年底就发生了一些P2P平台在兑付日遭受黑客攻击的情况，现在很多平台也在着手完善风控技术。

　　目前，IT行业也逐步认识到安全问题的重要性。据了解，百度、阿里巴巴、腾讯等为代表的IT企业都在加强各自在移动互联网及移动支付领域的安全投入和布局。

　　在中国金融认证中心总经理季小杰看来，数据安全在技术方面主要体现在3个方面，一是后台数据库安全，二是数据传输安全，三是数据容灾备份。后台数据库安全要解决核心数据资源面临的“越权使用、权限滥用、权限盗用”等安全威胁；数据传输安全可以通过结合数字证书等安全认证机制和传输加密机制来保障；数据容灾备份是数据安全的一项基础安全防护措施。