我國第三方支付的安全性問題分析

○王 哲 魏 敏

（武漢科技大學文法與經濟學院 湖北 武漢 430081）

我國第三方支付的安全性問題分析

○王 哲 魏 敏

（武漢科技大學文法與經濟學院 湖北 武漢 430081）

本文首先通過分析我國電子商務應用中第三方支付的發展現狀,提出了第三方支付發展存在的幾個主要的安全性問題，接著對國內第三方支付安全策略進行了分析，重點對比分析了幾個主流第三方支付平臺的技術安全性措施。

電子商務 第三方支付 安全性問題

一、第三方支付的概念和發展現狀

所謂第三方支付，就是一些和國內外各大銀行簽約并具備一定實力和信譽保障的第三方支付服務商提供的交易支持平臺。在通過第三方支付平臺的交易中，買方選購商品后，使用第三方平臺提供的賬戶進行貨款支付，由第三方通知賣家貨款到達、進行發貨；買方檢驗物品后，就可以通知付款給賣家，第三方再將款項轉至賣家賬戶。第三方支付分第三方網上支付、固話支付和移動支付等幾種，本文中談到的第三方支付特指第三方網上支付。

第三方支付成功解決了相互不了解的人的交易誠信問題，自身也得到了快速發展。根據艾瑞、易觀國際等咨詢公司的有關數據，2003年我國第三方支付行業的交易規模不到10億元，2004年達到74億元，2009年達到5808億元，2010年上半年達到4546億元，預計未來三年內仍會以年均70%以上的速度增長。

二、第三方支付存在的安全性問題

1、信用卡套現、洗錢問題層出不窮

由于第三方支付賬戶可以從一家商業銀行賬戶中充值，再將賬戶余額轉到在另一家商業銀行的賬戶中，因此，利用信用卡進行套現，因為有了第三方支付的幫助變得異常簡單。

同時，由于支付寶之類的第三方支付兼具資金的收付功能，因此，它不僅存在著信用卡套現的風險，更面臨諸如洗錢之類的問題。在支付中，有相當一部分交易屬于虛擬貨幣的交易，比如騰訊公司的Q幣，通訊公司的話費充值等。因而不排除有些人通過設立多個賬戶，從事虛假的虛擬貨幣交易，以此達到轉移不法資金，從而非法洗錢的目的。

2、賬戶資金被盜、網絡詐騙時有發生

在淘寶網購物，通過支付寶付款一直被認為是目前最安全的網購方式。然而，近來消費者大量網購資金并未轉入支付寶，而是被黑客劫至“中國移動通信集團湖南有限公司電子商務中心”、“北京聯動優勢科技公司”等第三方支付平臺，繼而流進騙子的賬戶。例如，一名由于第三方支付平臺監管不嚴而遭遇網絡詐騙的網友表示，自己在某大型網購網站購物時，第一次支付不成功，隨后被騙子商家用另一家小型第三方支付平臺的鏈接騙去500元。事發后，該網友分別找到兩家支付公司，它們互相推諉，最后只能不了了之，“花錢買教訓吧”，該網友很無奈。

可見，網民第三方支付賬戶資金被盜，少數人利用第三方支付工具進行網絡詐騙已經成為一個較普遍的社會現象。

3、安全保障的技術手段有待改進

網絡釣魚是指騙子以低價等作為誘餌，誘使用戶在假的網站或冒充的頁面付款，從而導致資金損失。根據殺毒軟件廠商的最新報告，網絡釣魚的黑色產業鏈初步形成，其危害已經超過傳統的病毒和木馬，成為威脅網民利益的第一殺手。近期不斷出現用戶遵循第三方支付平臺的正常操作步驟，資金卻被轉入到指定賬戶的事件。可見，第三方支付平臺的技術安全保障手段亟待加強。

另外，目前第三方支付平臺普遍采用的重要技術安全保障手段——數字證書，其并不是真正意義的獨立第三方CA認證，而是內部建設一套符合實際要求的證書注冊審計系統，使自身具備證書申請、審批、下載、證書狀態在線查詢、證書撤銷等功能，然而這種數字證書并沒有法律效力。

4、第三方支付平臺本身不是金融機構

目前，國內的第三方支付企業屬于非金融機構，是有限責任公司的性質，一旦公司出現破產等情形，則可能引發劇烈的多米諾骨牌效應，導致其他企業的資金鏈出現問題。因此，即使是附屬于某些著名的網站，第三方支付平臺也存在一個信用問題。許多第三方支付公司的在途資金已經遠遠大于它的注冊資金。那么，用戶的資金放在平臺上是否安全，如何保障這些資金的安全成為政府監管部門應思考的問題。

三、國內主流第三方支付平臺的安全策略分析

1、配合央行加大力度打擊信用卡套現、洗錢

中國人民銀行2010年6月21日公布的《非金融機構支付服務管理辦法》，不僅對作為第三方支付平臺的非金融機構作出嚴格規定，同時也對支付平臺的用戶加以嚴格管理，此舉無疑會對網絡非法套現行為造成打擊。例如，支付寶通過其自行研發的網上支付風險監控系統對檢控到的違規操作，將凍結該賬戶資金，支付寶同時還主動和銀行聯系，要求發卡銀行針對套現現象作信用卡網上支付單筆限額的規定。

對于杜絕洗錢問題，關鍵在于對交易雙方的身份核查。不少第三方支付平臺推出實名認證服務。例如，2005年7月25日開始，支付寶公司推出了“支付寶認證”服務，支付寶公司一直嚴格遵循《中華人民共和國反洗錢法》，對用戶進行了雙重身份認證——身份證認證和銀行卡認證。

2、實名認證、全額賠付應對資金被盜、網絡詐騙

國內領先的第三方支付平臺如支付寶、快錢等目前都采用了多種安全措施。例如，快錢除了從技術手段上防范盜卡之外，還在安全方面加設了用戶的認證系統等六道功能，試圖將安全隱患壓低到最小程度。

作為國內最大的第三方支付平臺，支付寶的做法更為完備。早在2006年7月，支付寶就推出“支付寶認證”服務，對所有使用支付寶的賣家進行雙重身份認證，即身份證認證和銀行卡認證。除了與公安部全國公民身份證號碼查詢服務中心合作校驗身份證的真偽，支付寶還與各大商業銀行進行合作，利用銀行賬戶實名制信息來校驗用戶填寫的姓名和銀行賬戶號碼是否準確。支付寶公司還在國內率先推出了“全額賠付”制度和交易安全基金，網絡欺詐發生率僅為萬分之二。

3、采用多重技術手段保障用戶安全

按照艾瑞咨詢發布的2010年第三季度第三方支付的市場份額，對比前幾名的第三方支付企業的安全技術保障措施（截至2010年12月20日），結果如表1所示。

表1 主流第三方支付企業的安全技術保障措施

（1）采用SSL協議保障底層安全。從表1可以看出，到目前為止，幾乎所有主流第三方支付都采用安全套接層協議（SSL協議）作為底層協議，客戶機和服務器交換信息前都必須構建安全通道，所有信息都經過加密傳輸，安全性將大為提高。

（2）采用數字證書保護用戶賬戶安全。分析的五家第三方支付平臺除了中國銀聯在線外都推薦使用數字證書，即使用戶發送的信息在網上被他人截獲，甚至丟失了個人的賬戶、密碼等信息，仍可以保證用戶的賬戶、資金安全。

（3）采用手機驗證保護用戶賬戶安全。數字證書安全級別雖然較高，但對于不少計算機入門者來說使用有一定難度，于是支付寶推出了手機短信的動態口令登陸的方式，財付通、支付寶等推出了短信驗證服務、信使服務等，既可以保護用戶賬戶安全，又為用戶對數字證書的備份、導入等難題提供了解決方案。

（4）采用U盾或和銀行U盾綁定保護用戶賬戶安全。第三方支付雖然現在還是民營企業，但是為了保護用戶賬戶安全，不少企業向金融機構看齊，不斷提升安全保障措施?，F在不少第三方支付還可以提供類似于銀行網銀U盾這樣的工具，既方便了用戶又保證了用戶的使用安全，還有的第三方支付平臺和銀行加強合作，銀行的U盾即可用來登錄、管理第三方支付平臺的賬戶。

（5）多重安全技術策略確保用戶安全。第三方支付平臺越來越重視安全性能的開發，從表1中看出像支付寶這樣的領軍企業，為了用戶安全不斷創新，采取數字證書、手機動態口令、安全控件和風險實時監控等多重安全策略齊下的方案，大大降低了技術風險。

同時，對于數字證書的管理，第三方支付企業應加快與第三方CA機構的合作，使第三方支付企業從證書的頒發者、管理者真正轉變成為被認證者。這樣，用戶的權益將得到法律更多的保護，這對于從根本上保障電子商務交易的安全具有重大的現實意義。

4、爭取早日拿到央行的電子支付牌照

據中國之聲《新聞縱橫》報道，央行支付結算司相關負責人表示，首批第三方支付牌照可能在2011年發放。這意味著像支付寶、快錢、財富通等第三方支付企業將很快被“正名”，獲得官方認可的支付牌照。

可見，第三方支付的民營出身將正式納入央行的金融機構管轄范圍，第三方支付本身的信用問題將隨之得到圓滿解決。用戶也不必擔心由于第三方支付企業的破產而帶來的種種金融風險，正名后的第三方支付將迎來發展的大好明天。

[1]彭暉、吳擁政、張愛莉：網絡金融理論與實踐[M]．西安交通大學出版社，2008．

[2]楊興凱、張笑楠：電子商務中的第三方支付比較分析[J].商業研究，2008（5）．

[3]劉洪波：論網上銀行與第三方支付平臺的競合關系[J].商業時代，2009（34）．

（責任編輯：胡冬梅）