1、我国第三方网上支付存在的安全性问题及应对策略 (中国海洋大学崂山校区,山东青岛 266000) 【摘要】本文首先通过分析我国电子商务应用中第三方支付的发展现状,提出了第三方支付发展存在的几个主要的安全性问题,从不同主体入手,逐一提出了建议与策略分析。 【关键词】电子商务;第三方支付;安全性问题 一、第三方支付的概念和发展现状 所谓第三方支付,就是一些和国内外各大银行签约并具备一定实力和信誉保障的第三方支付服务商提供的交易支持平台。在通过第三方支付平台的交易中,买方选购商品后,使用第三方平台提供的账户进行货款支付,由第三方通知卖家货款到达进行发货;买方检验物品后,就可以通知付款给卖家,第三方再将
2、款项转至卖家账户。第三方支付分第三方网上支付、固话支付和移动支付等几种,本文中谈到的第三方支付特指第三方网上支付。 随着 B2B、 B2C、 C2C 等形式的电子商务的发展,第三方支付将成为中国金融支付体系中重要的组成部分。这其中, 我国国内的第三方支付产品主要有支付宝、财付通、快钱等等。但是,在第三方支付市场不断做大,业务蓬勃发展的同时,第三方支付也面临着安全性受到威胁的困境。 二、第三方支付存在的安全性问题 (一)信用卡套现、洗钱问题层出不穷 由于第三方支付账户可以从一家商业银行账户中充值,再将账户余额转到在另一家商业银行的账户中,因此,利用信用卡进行套现,因为有了第三方支付的帮助变得异常
3、简单的同时,由于支付宝之类的第三方支付兼具资金的收付功能,因此,它不仅存在着信用卡套现的风险,更面临诸如洗钱之类的问 题。 (二)账户资金被盗网络诈骗时有发生 在淘宝网购物,通过支付宝付款一直被认为是目前最安全的网购方式。然而,近来消费者大量网购资金并未转入支付宝,而是被黑客劫至中国移动通信集团湖南有限公司电子商务中心、北京联动优势科技公司等第三方支付平台,继而流进骗子的账户。第三方支付账户资金被盗,少数人利用第三方支付工具进行网络诈骗已经成为一个较普遍的社会现象。 (三)安全保障的技术手段有待改进 网络钓鱼是指骗子以低价等作为诱饵,诱使用户在假的网站或冒充的页面付款,从而导致资金损 失。根据
4、杀毒软件厂商的最新报告,网络钓鱼的黑色产业链初步形成,其危害已经超过传统的病毒和木马,成为威胁网民利益的第一杀手。近期不断出现用户遵循第三方支付平台的正常操作步骤,资金却被转入到指定账户的事件。可见,第三方支付平台的技术安全保障手段亟待加强。另外,目前第三方支付平台普遍采用的重要技术安全保障手段 数字证书,其并不是真正意义的独立第三方认证,而是内部建设一套符合实际要求的证书注册审计系统,使自身具备证书申请、审批、下载、证书状态在线查询、证书撤销等功能,然而这种数字证书并没有法律效力。 ( 四)第三方支付平台本身不是金融机构 目前,国内的第三方支付企业属于非金融机构,是有限责任公司的性质,一旦公
5、司出现破产等情形,则可能引发剧烈的多米诺骨牌效应,导致其他企业的资金链出现问题。因此,即使是附属于某些著名的网站,第三方支付平台也存在一个信用问题。许多第三方支付公司的在途资金已经远远大于它的注册资金。那么,用户的资金放在平台上是否安全,如何保障这些资金的安全成 ?檎 ?府监管部门应思考的问题。 三、国内主流第三方支付平台的安全策略分析 (一)配合央行加大力度打击信用卡套现、洗 钱 近年来,中国人民银行公布的非金融机构支付服务管理办法,不仅对作为第三方支付平台的非金融机构作出严格规定,同时也对支付平台的用户加以严格管理,此举无疑会对网络非法套现行为造成打击。例如,支付宝通过其自行研发的网上支付
6、风险监控系统对检控到的违规操作。 (二)实名认证、全额赔付应对资金被盗、网络诈骗 国内领先的第三方支付平台如支付宝、快钱等目前都采用了多种安全措施。例如,快钱除了从技术手段上防范盗卡之外,还在安全方面加设了用户的认证系统等六道功能,试图将安全隐患压低到最小程度 。支付宝推出“ 支付宝认证 ” 服务,对所有使用支付宝的卖家进行双重身份认证,即身份证认证和银行卡认证。支付宝公司还在国内率先推出了 “ 全额赔付 ” 制度和交易安全基金,网络欺诈发生率仅为万分之二。 (三)采用多重技术手段保障用户安全 1.采用 SSL 协议保障底层安全 到目前为止,几乎所有主流第三方支付都采用安全套接层协议( SSL
7、 协议)作为底层协议,客户机和服务器交换信息前都必须构建安全通道,所有信息都经过加密传输,安全性将大为提高。 2.采用数字证书保护用户账户安全 依 据调查,第三方支付平台除了中国银联在线外都推荐使用数字证书,即使用户发送的信息在网上被他人截获,甚至丢失了个人的账户、密码等信息,仍可以保证用户的账户、资金安全。 3.采用手机验证保护用户账户安全 数字证书安全级别虽然较高,但对于不少计算机入门者来说使用有一定难度,于是支付宝推出了手机短信的动态口令登陆的方式,财付通、支付宝等推出了短信验证服务、信使服务等,既可以保护用户账户安全,又为用户对数字证书的备份、导入等难题提供了解决方案。 4.采用 U
8、盾或和银行 U 盾绑定保护用户账户安全 第三方支付虽然现在还是民营企业,但是为了保护用户账户安全,不少企业向金融机构看齐,不断提升安全保障措施。现在不少第三方支付还可以提供类似于银行网银、 U 盾这样的工具,既方便了用户又保证了用户的使用安全,还有的第三方支付平台和银行加强合作,银行的 U盾即可用来登录、管理第三方支付平台的账户。 5.多重安全技术策略确保用户安全 第三方支付平台越来越重视安全性能的开发,像支付宝这样的领军企业,为了用户安全不断创新,采取数字证书、手机动态口令、安全控件和风险实时监控等多重安全策略齐下的方 案,大大降低了技术风险。 同时,对于数字证书的管理,第三方支付企业应加快
9、与第三方 CA机构的合作,使第三方支付企业从证书的颁发者、管理者真正转变成为被认证者。这样,用户的权益将得到法律更多的保护,这对于从根本上保障电子商务交易的安全具有重大的现实意义。 (四)争取早日拿到央行的电子支付牌照 第三方支付的民营出身将正式纳入央行的金融机构管辖范围,第三方支付本身的信用问题将随之得到圆满解决。用户也不必担心由于第三方支付企业的破产而带来的种种金融风险,正名后的第三方支付将迎来发展的大好 明天。 参考文献: 杨兴凯 .张笑楠 .电子商务中的支付比较分析 J.商业研究, 2008( 5) 郑建友 .第三方网上支付市场的现状问题及监管建议 J.金融会计,2006.07 黄牧 .中国特色 B2C及 C2C电子商务支付方式研究 J.商场现代化, 2006( 13) 董仁涛 .我国电子商务支付业务存在的问题及对策 J.经济纵横, 2004( 5) 2326 阿拉木斯 .第三方网络支付平台所面临的七大法律风险 J.电子商务,2007.2
