淺議第三方支付與商業銀行金融安全

大連銀行丹東分行 刁基平

丹東銀行 徐效德

一、第三方支付存在的金融安全隱患

央視二套有一檔科學教育類綜藝節目叫“是真的嗎?”，該節目曾經推出過一個話題“如果手機丟了，支付寶賬戶中的錢能夠被盜用，是真的嗎？”節目內容顯示,由于支付寶關聯著客戶的多個商業銀行的賬戶，而支付寶快捷支付對小額支付為求快捷無需驗證商業銀行密碼等原因，只需錄入手機接收的校驗碼，最終導致客戶資金遭到盜用消費，由此欄目組論證結果為該話題是真的！這個節目很短，管窺一斑，雖然無法全析、詮釋出所有包括支付寶在內的第三方支付看似美好的背后，暗涌的金融安全隱患,但卻也可以讓我們意識到與第三方支付這個青年才俊的互聯網網戀并不輕松。

第三方支付開通的快捷支付業務看起來方便，但對其使用者和商業銀行隱藏著不容忽視的金融安全風險。具體來說,如果用戶的銀行卡一旦被綁定為快捷支付，這張銀行卡將斬斷用戶與商業銀行的雙方的直接聯系，第三方支付實際介入了用戶與商業銀行之間，并且充當了用戶這張商業銀行卡的經紀人角色，用戶發出付款要求，經紀人受理，經紀人找商業銀行拿錢替代用戶付款，客戶才能付款成功。在這一過程中,簽約快捷支付業務后，第三方支付可繞過客戶銀行卡密碼的安全設置,對使用者的個人身份信息，如身份證、銀行卡號具有記憶功能，只確認其與第三方支付的信息密碼確認即可,由此產生了一系列的金融安全隱患。近幾年來快捷支付被盜刷的案例比比皆是，除了手機丟失，有的是中木馬病毒了，有的是接入了非法網絡，有的是打開了欺詐網頁。客戶控制不了卡安全支付，商業銀行也無法控制卡安全支付是造成快捷支付被盜刷的根本原因。因此不只是使用第三方支付的客戶不輕松，與第三方支付聯系緊密的商業銀行也不輕松。

二、第三方支付與商業銀行的關系

第三方支付的存在，看似依托無形網絡，但實際離不開商業銀行這個有形平臺。眾多評論都將第三方支付比喻成商業銀行的寄生物，它是寄生于商業銀行這個成熟的金融體，利用網絡的快捷、便利等特點，衍生出的新型金融產物。具體來說，商業銀行作為傳統金融巨頭，其發卡客戶資源是第三方支付寄生發展的基礎，而商業銀行則通過第三方支付擴展商業銀行卡的支付渠道，擴大銀行卡業務占有率，提高商業銀行卡使用效率。這看似合則兩利的關系背后，卻也隱藏著寄生物對寄主的傷害。部分第三方支付接入商業銀行信息系統之后，進行了大量的變造交易類型的不合規交易，比如將轉賬、代收代付等交易的類型套用至正常POS 消費交易場景中，同時套用對公益類商戶編碼(MCC)、變造商戶資料、異地移機等，部分第三方支付甚至在銀行卡業務營銷開展過程中存在截取磁條信息、截取密碼信息、私自保留登記持卡人詳細客戶資料敏感信息等行為。這些行為容易給持卡用戶帶來風險和損失的同時，也嚴重得影響了商業銀行的金融安全。

三、第三方支付對商業銀行金融安全的影響

(一)支付網絡安全風險

第三方支付離不開網絡，其運行高度依賴計算機系統、網絡通信技術和交易軟件，并且其與商業銀行信息系統進行網絡接口連接。黑客可以利用第三方支付的系統漏洞和軟件缺陷竊取客戶的相關信息；或是截取網絡傳輸報文并破解以獲得持卡人重要信息；或是制造網絡病毒進行擴散和傳播，一旦某程序感染病毒則整個網絡很快也會被感染，破壞極大。而商業銀行大部分還處在傳統金融運營中，網絡安全風險只會帶來局部損失，可是如果一旦被病毒傳染，將會導致客戶資料泄露，交易記錄損失，甚至無法預知更加嚴重的后果。

(二)支付系統安全風險

目前支付寶等第三方支付平臺基本與商業銀行就快捷支付客戶簽約模式達成了一致，有的商業銀行甚至不對客戶賬戶銀行密碼進行校對，而只核對客戶是否為第三方支付簽約客戶后即按照第三方支付機構發送的客戶姓名及賬號信息指令扣劃客戶賬戶資金。據不完全統計，目前開通了快捷支付的部分第三方支付客戶在商業銀行均都頻繁出現了資金被非法劃轉的風險案件，由此給商業銀行的支付系統安全敲響了警鐘。快捷支付業務看似快捷，但是卻省略了很多商業銀行實際操作業務中的身份認證、密碼驗證等流程，因而對客戶信息安全、客戶資金安全等問題帶來了極大的隱患。在實際業務開展中，許多商業銀行均發現過諸多游戲可以通過支付寶等第三方支付平臺進行了充值，但是客戶否認本人發出過支付交易指令的情況。在傷害廣大商業銀行客戶的利益基礎上，第三方支付更是給商業銀行的客戶信息管理、客戶資金安全、交易記錄保存、聲譽風險等方面帶來巨大的風險隱患，甚至是損失。

(三)虛假交易洗錢風險

可以說大部分第三方支付機構對商戶的資質都缺乏有效的審核與管理，對交易也嚴重缺乏審核與監督，而商業銀行又無法正常獲得關于商戶與交易的詳細信息，致使商業銀行銀行卡淪為了簡單的充值工具。在此情形下，背負著反洗錢職責的商業銀行，在網絡這個虛擬的世界中，卻無法通過有效監控手段對洗錢、欺詐等不法交易實施有效監控與預警，第三方支付幾乎成了商業銀行反洗錢管理盲區。就像如快捷支付這類無需通過網上銀行或商業銀行網上支付頁面，而是直接通過第三方支付工具就可以實現交易，由于這類第三方支付的商戶管理制度不完善，虛假交易無法禁止。

四、對商業銀行的建議

(一)重視支付安全技術的投入

第三方支付方式不再受到空間、時間限制，客戶間的資金活動場景一般都是在非面對面情況下完成的，這些特點都對支付安全技術提出了嚴格的要求。商業銀行要比以前更加關注客戶的支付安全，更關注支付技術的更新。要充分從技術上加強安全性建設，保證支付數據的保密性、完整性，不斷完善客戶身份認證和密碼驗證流程，確保支付網絡的安全、穩定和可靠及災備恢復的可用性。

(二)嚴格管理客戶信息資料

商業銀行應嚴格管理客戶信息資料，不斷加強商業銀行員工行為管理，嚴控操作風險，持續完善技術措施，強化信息保密技術手段。加強教育督導，防范員工道德風險在客戶信息資料保護工作中引發問題。對信息系統可能遇到的各種容易泄露客戶信息資料的技術風險進行評估，加大信息保護技術的科技含量，綜合運用先進的防火墻、身份識別與認證、數據加密、第三方認證以及網絡安全監控等技術并及時修補系統漏洞，同時要加大對信息前沿技術的關注度，對網上黑客論壇進行檢測，定期用一些惡意軟件對系統進行壓力測試，及時發現問題，及時進行維護，有效防范來自于內部的漏洞和外部的攻擊，確保客戶信息及信息系統安全。

(三)加強第三方支付備付金賬戶的監管

商業銀行應樹立社會責任意識，加強對第三方支付平臺在本行開立的備付金賬戶的監管，該備份金賬戶是第三方支付平臺在商業銀行開立的用于為客戶提供資金結算的支付賬戶。同時商業銀行還應充分利用數據倉庫和數據挖掘技術將第三方支付平臺備付金賬戶的變動情況進行關聯性分析，發現異常情況，要及時向屬地人行反洗錢監管部門反饋，切實履行反洗錢責任，控制洗錢犯罪的社會危害程度。

(四)謹慎穩健的發展第三方支付業務

第三方支付業務為傳統商業銀行帶來了良好的經濟收益和社會效益，并且收益頗豐。由于這兩種原因，商業銀行大力擴張推進第三方支付業務。然而第三方支付有政策風險，央行、銀監會在政策角度對于規范第三方支付準入及運營、虛擬貨幣使用政策不明朗。同時第三方支付面臨法律風險，涉及銀行法，證券法，保險法，消費者權益保護法、知識產權法等多種法律，目前我國還有待于完善相關法律。因此，筆者認為對于第三方支付業務的發展，商業銀行應持更加謹慎穩健的態度，不要盲目擴張。

五、結束語

第三方支付以其獨特的創新性、靈活性和快速發展勢頭正沖擊著商業銀行的經營和管理。商業銀行既需要順應客戶作為“電子人”在互聯網時代中的金融需求，將互聯網金融“基因”注入商業銀行的戰略管理當中，又要積極布局、沉著應對，通過多種手段和新渠道應對第三方支付對商業銀行的業務發展，特別是金融安全等方面的沖擊和影響。