看护钱包 规范支付补漏洞

本报记者 董丝雨

去年12月，中国人民银行针对网民难防的支付风险，发布《条码支付业务规范（试行）》，规定银行、支付机构提供付款扫码服务的，应具备差异化的风控措施和完善的客户权益受损解决机制，在条码生成、识读、支付等核心业务流程中明确提示客户支付风险。

更早时候，《非银行支付机构网络支付业务管理办法》发布，要求支付机构应当向客户充分提示网络支付业务的潜在风险，及时揭示不法分子新型作案手段。

近年来，随着网络支付的广泛使用，与之相关的业务规范和技术标准逐步升级完善。

防范网络支付陷阱、保障网民财产安全，已成为我国网络安全工作的一大重点。但记者调查发现，虚假二维码、支付软件木马病毒、克隆网银等网上支付问题仍层出不穷，花样百出。

4月，北京市朝阳区李先生收到某购物平台发来的短信，称他之前购买的一件商品降价，点击短信中的链接可退差价。李先生按照短信操作后，发现不仅没有收到退款，支付宝中的4000元也被盗刷。

中国互联网协会发布的数据显示，最常遇到的手机安全软件问题中，支付陷阱比例占88.3%。在猎网平台2017年接到的用户举报中，有15911人通过银行转账、第三方支付、扫二维码支付等方式主动给不法分子转账，有7442人在虚假的钓鱼网站上支付，安装木马软件而被盗刷的用户有328人。

中国人民大学法学院教授刘俊海认为，从事网络支付违法行为的犯罪收益较高、成本较低。此外，网络支付的监管力度有所欠缺，各部门尚未形成监管合力，消费者的自我保护意识也较为薄弱。

“除了出台法律法规规范网络支付业务外，支付平台也要为消费者站好岗、放好哨、把好关。”刘俊海表示，支付平台需加大技术投入，填补支付程序上的漏洞，提高网络支付产品的技术标准。

辨识“高仿” 用户注册须谨慎

本报记者 王玉琳

日前，国家互联网应急中心发布《2017年我国互联网网络安全态势报告》显示，全年监测发现约4.9万个仿冒页面，较2016年的17.8万个大幅下降，虚假网站治理正向纵深推进。

业内人士指出，“蹭热点、傍大牌”的山寨网站，是当前迷惑性最大的虚假网站。

近期，“山寨德邦”事件引发大量关注。调查发现，有的“山寨德邦”公司坐拥上百个经过备案审批的“高仿”网站，猖獗之势令人咋舌。

德邦物流股份有限公司相关负责人称，仅2017年，德邦就收到超过3641次客户投诉，反映自己遭遇“假德邦”。针对线上的山寨网站，德邦一方面与各大搜索引擎公司沟通，建立商标保护机制；一方面与互联网监管部门合作，及时关停假冒网站。通过与上海等多地公安部门建立对接，2018年3月至今，共关停假冒德邦网站20余个。

数据显示，截至2018年4月底，国家互联网金融安全技术专家委员会监测发现互联网金融仿冒网页4.6万个，受害用户达9.98万人次。此类仿冒网站往往通过冒充知名互联网金融平台官网，诱使用户访问虚假站点，骗取或窃取用户账号、密码等信息，进而盗取用户钱财。

中国政法大学知识产权研究中心特约研究员李俊慧认为，虚假网站之所以容易使网民上当受骗，一是因为网民缺乏辨别网站真伪的能力；其次是大多数被骗的案例中，虚假网站只是不法分子完成诈骗犯罪的其中一环；再者，很多浏览器及应用厂商的虚假网站屏蔽、拦截机制并不健全。

“监管部门需要从源头加强治理，在域名注册、网站服务器租赁以及网络接入等环节，严格落实实名验证机制。”李俊慧说，官方网站也应当尽量选择简单易记易识别的域名作为网站主域名，并通过各种宣传渠道提醒网民识别网站真伪。

注重隐私 索权不可太任性

本报记者 钱一彬

去年7月以来，中央网信办、工信部、公安部、国家标准委四部门联合开展隐私条款专项工作，首批十款互联网产品和服务的评测结果向社会公布。近一年来，多地消协就手机APP越界索取隐私权限等行为，采取要求整改、提起诉讼等措施，让隐私索权不再任性。

北京市消协的一项调查显示，接近九成的受访者认为手机APP存在过度采集个人信息现象，近八成受访者认为手机APP上的个人信息不安全。

除了任性索取，有的手机APP甚至“态度强硬”，给用户出了一道“要么同意授权，要么无法正常使用”的单选题。日前，有用户在下载某网上营业厅APP后发现该应用要求获取“读取并修改通话记录”等敏感权限，因担心隐私泄露而选择“不同意”后，却发现已退出应用，无法继续使用。

获取隐私权限理应有界有度。今年5月起实行的《信息安全技术个人信息安全规范》，明确规定个人信息处理中的“最少够用原则”，即除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。

权限获取，用户明晰才能授权放心。“个人信息的控制权应由用户决定。互联网产品获取隐私权限，不仅要在告知用户的前提下征得用户同意，还应做到不超范围获取。”中国政法大学传播法研究中心副主任朱巍认为，完善现有互联网产品的隐私政策是治理任性索权现象的重点之一。“隐私政策既要内容明晰，更要保证用户自由选择的权利，不能令其成摆设或是‘被架空’。”

在隐私条款专项工作中，微信、淘宝网、支付宝、滴滴出行、京东商城等五款产品和服务在主动告知提示、允许用户选择的基础上，还为用户提供“一站式”撤回和关闭授权操作。

数据显示，去年下半年仍有9%安卓系统手机应用存在越界获取用户隐私权限现象。

“在《网络安全法》基础上，针对个人数据保护的法律法规制定仍需加快脚步。”朱巍认为，相比于快速发展的互联网技术，立法进程具有相对滞后性，但在实际相关部门治理过程中，可以考虑以部门规章、行业规范等形式及时规范，明确隐私权限获取的界限，做到合理获取、规范使用、妥善保护。

《 人民日报 》（ 2018年05月31日 14 版）