移動支付中信息安全問題研究

方智富　顧琪宏　陶鴻　李定勝

摘要：隨著4G時代的到來，移動智能終端的普及，移動支付的普遍使用，移動支付過程中的各類矛盾糾紛也不斷涌現(xiàn)。整個移動支付產業(yè)鏈包括移動運營商、支付服務商、終端用戶等，其中的關系錯綜復雜。在移動支付中出現(xiàn)的各類財產安全問題可能牽涉到各方，作為弱勢群體的消費者，信息安全、財產安全往往得不到保障。理論界對移動支付這一新興產物的研究少之又少，而且主要集中于技術層面。本文旨在分析移動支付過程中各方主體的法律關系、法律責任等法律問題，明確移動運營商、支付服務商等經營者的義務，為政府的監(jiān)管以及立法的完善提供意見，以保護消費者的信息安全，從而推動移動支付整個行業(yè)的健康發(fā)展。

關鍵詞：移動支付；信息安全；研究

中圖分類號：X913.2 文獻標志碼：A 文章編號：1674-9324（2015）48-0213-03

一、研究背景

關于移動支付的定義目前理論界尚無統(tǒng)一定論，主流觀點為使用手機終端對商品和服務進行的支付方式。個人信息是指與特定個人相關聯(lián)、反映個體特征的具有可識別性的符號系統(tǒng)，包括個人身份、工作、家庭、財產、健康等各方面信息的資料。具體到移動支付中消費者的個人信息包括身份狀況如姓名、年齡、住址、身份證、工作單位等。

近幾年來隨著手機終端的高度普及，移動支付得到了的空前發(fā)展，同時，發(fā)生在手機使用過程中的各類信息泄露事件層出不窮。一方面，網絡服務經營者、服務者收集、使用信息的行為相當混亂。另一方面，黑客對服務系統(tǒng)的惡意攻擊、植入木馬和病毒等行為也屬高發(fā)。從法律制度的角度來說，我國現(xiàn)有的法律制度完全跟不上技術的飛速革新，沒有明確的、可供執(zhí)行的法律制度對此加以保護，使得信息安全的保護相當薄弱，同時制度的缺口導致技術難以推廣。移動支付過程中的各類矛盾糾紛也不斷涌現(xiàn)，尤其是信息安全問題，以及由于侵犯信息安全而導致的財產損失問題尤為突出。

二、移動支付的問題分析

（一）法律關系

移動支付中的法律主體包括消費者、銷售者、移動運營商、第三方支付平臺、銀行和認證機構。從移動支付使用者完成支付的整個流程來看，通常情況下，銷售者出售產品或提供服務給消費者，消費者對銷售者發(fā)出購買要約。銷售者在接到消費者的要約以后表示承諾與否，如果做出承諾則消費者和銷售者之間的買賣合同得以成立。在此過程中，消費者和銷售者都應當全面、誠信的履行合同中約定的義務。銷售者負有向消費者如實提供與合同約定相符的產品和服務，并保障消費者的人身、財產安全。隨后，基于消費者和第三方支付平臺的存款合同關系，銷售者向支付平臺運營商傳遞收費信息，第三方支付平臺在買賣合同履行結束后將款項支付給銷售者；銷售者在收到支付平臺運營商的收費完成信息之后，把商品提供給消費者。

（二）移動支付中幾種常見的信息泄露方式

1.手機丟失。手機支付給我們帶來許多方便的同時也存在許多安全隱患。鑒于手機與銀行卡、支付寶等綁定的情況，一旦消費者的手機丟失，應當在第一時間將該手機號碼辦理停機，并通過如QQ、微信、微博等方式盡可能多的將丟失手機的事情告知他人。如果，消費者并未采取相應的措施，而其密碼等又被惡意破解，那么在這種情況下消費者的財產損失就只能由自己承擔了。

2.各類軟件病毒、木馬攻擊。據(jù)金山毒霸安全中心對驗證碼大盜類手機病毒的感染情況公布的統(tǒng)計顯示，截止目前，共攔截驗證碼大盜病毒樣本2959個，每天被驗證碼大盜病毒感染的不同型號安卓手機達2800余部，受害者損失難以估計。此外，各種騷擾、詐騙短信也成為嚴重威脅移動支付使用者信息、財產安全的主要方式，很多用戶由于輕信、貪圖小便宜等原因而遭受損失。這種情況下消費者應該提高對手機軟件安全的重視程度，阻止手機軟件非法收集個人信息，并保護好自己的密碼等信息。

3.手機詐騙。傳統(tǒng)的手機詐騙主要是以手機短信的形式向手機用戶發(fā)送詐騙短信，最為典型的是偽基站詐騙。比如，不法分子為了獲得用戶的手機號、銀行賬號、銀行卡密碼，設計了一個話費中獎類的詐騙短信，誘騙用戶點擊短信中的“釣魚網站”兌取獎金。該短信將發(fā)送號碼偽裝成中國移動的官方服務號碼10086，提高了詐騙短信的迷惑度。用戶一旦進入“釣魚網站”，就會被要求填寫個人手機號、銀行賬號、銀行密碼等信息并且下載一個“中國移動客戶端”，這個看似正規(guī)的軟件，實則是一種新型手機病毒，可以攔截銀行驗證短信。另一種新型的騙術為免費WiFi，不少商家看中了手機用戶越來越依賴網絡這一特征，在其經營場所提供免費WiFi。此時難以排除商家為非法分子的情形，同時，還有不少非法分子偽裝成商家的WiFi。一旦消費者連上其設置的WiFi，不法分子即可通過技術手段獲取諸如手機號碼、手機型號、各種社交軟件中的全部信息、郵箱以及各類密碼，包括支付密碼，一旦這些信息被復制、使用，消費者的財產安全就很難得到保障。

以上兩種情況均屬于通過侵犯消費者信息安全從而影響手機安全支付的情形。而在這種情況下，由于詐騙者的隱秘性使其難以被發(fā)覺，當消費者發(fā)現(xiàn)自己遭受損失后詐騙者早已逃之夭夭。

三、建議

（一）立法建議

截至目前為止，共有15個國家有針對個人隱私問題的專門立法，從立法時間上來看，主要集中在上世紀90年代。而國際立法方面，關于信息的立法主要有歐盟《個人數(shù)據(jù)保護指令》和1996年3月11日頒布的《數(shù)據(jù)庫保護指令》。

從我國國內的相關研究來看，雖然國內對于移動支付的法律制度研究尚處于探索和起步階段，但隨著近年來移動支付在我國取得的巨大成功以及由此帶來的一系列問題，學術界加強了對移動支付的關注，研究成果也日益增多。在期刊論文方面，國內較為注重從宏觀上討論移動支付的風險或存在的法律問題，然后提出完善監(jiān)管的措施。有部分文章專注于移動支付中的消費者權益保護問題，提出了具有針對性的解決方案。但無論是從研究數(shù)量還是研究角度來說都是遠遠不夠的。另一方面，近年來我國政府對移動支付安全問題也相當重視。在監(jiān)管層面，央行陸續(xù)下發(fā)《關于加強商業(yè)銀行與第三方支付機構合作業(yè)務管理的通知》、《關于調查支付機構與商業(yè)銀行業(yè)務合作情況通知》等文件，旨在加強、引導支付業(yè)務不合規(guī)的支付機構進行整改。通過法律制度制定統(tǒng)一化的標準，規(guī)范移動產業(yè)鏈中各方主體的市場準入和經營行為，并對此進行監(jiān)管，不僅能有效避免市場的混亂，同時能有效維護作為弱勢群體的消費者的合法權益。但是，從法律的角度研究移動支付中的信息安全問題卻很少有人涉及。

1.明確對個人信息的法律保護。從我國現(xiàn)有立法來看，我國《民法通則》中僅規(guī)定了與隱私、個人信息相關的名譽權。2012年全國人民代表大會常務委員會通過關于加強網絡信息保護的決定，該決定規(guī)定國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。而行政法規(guī)方面，1996年公安部發(fā)布，2月11日經國務院批準，自1997年12月30日起施行的《計算機信息網絡國際聯(lián)網安全保護管理辦法》，主要保障通信自由和秘密。1998年國務院信息化工作領導小組制定了《計算機信息網絡國際互聯(lián)網管理辦法暫行規(guī)定實施辦法》。總的來說，我國對信息安全的相關規(guī)定尚不完整，對移動支付中的信息安全的保障則更為稀少。因此有必要從立法的角度明確對信息安全的保護。

2.規(guī)范對個人信息的采集和查閱。（1）規(guī)范信息采集的主體。現(xiàn)實中信息采集的方式主要分為兩種。第一方式為自然人與平等的民事主體之間依據(jù)契約的相關規(guī)定，允許對方采集的情形。例如移動支付使用者在移動支付使用過程中允許網絡服務經營、電信服務經營者、第三方支付平臺等采集其姓名、聯(lián)系方式、住址等個人信息。第二種方式為依據(jù)法律享有采集、管理個人信息的機關、單位等，比如國家行政機關。該研究課題主要針對第一種信息采集的情況。（2）信息采集的方式。信息采集的方式必須經過被采集者的同意，在移動支付過程中則需要經過移動支付使用者的同意，也就是說任何網絡服務提供者、網絡服務經營者、電信服務經營者、第三方支付平臺等未經移動支付使用者的同意擅自采集、非法披露、向第三人提供等行為均應當受到法律的明確規(guī)制，并承擔相應的法律責任。

3.規(guī)范對個人信息的處理。關于對個人信息的修正、更新和請求刪除等處理行為，主要包括敏感數(shù)據(jù)原則上禁止處理、告知當事人、當事人享有反對的權利、當事人同意四個方面的內容。具體來說，原則上數(shù)據(jù)的管理者應將數(shù)據(jù)處理的具體內容告知當事人，個人信息必須經當事人明確同意方能處理，同時諸如健康和性、政治意向和種族血緣等敏感問題應當禁止處理。同時，當事人對相關資料的處理享有反對的權利。如果處理行為違反雙方合同約定，比如資料不完整或不正確，管理者應予適當更正、刪除或封存。

4.明確侵犯移動支付中個人信息的相關責任。我國現(xiàn)行《刑法》中明確規(guī)定了非法出售個人信息罪等罪名，《網絡信息保護決定》也規(guī)定了侵害個人信息依法應承擔的行政責任，但是現(xiàn)行法律對侵害個人信息的民事責任尚未做出規(guī)定，同時，由于上訴法律中并沒有對個人信息做出明確規(guī)定，因此，可操作性不強。而且《網絡信息保護決定》中規(guī)定，網絡服務提供者和其他企業(yè)事業(yè)單位在發(fā)生或者可能發(fā)生信息泄露、毀損、丟失的情況時，只采取補救措施。我認為這樣的保護程度是遠遠不夠的。一方面，作為經營者的網絡服務提供者、支付平臺、移動運營商和認證中心等，應該負有保證其提供服務的環(huán)境的安全性義務，而在消費者在移動支付過程中遭受損失時僅僅承擔補救責任，這對弱勢群體的消費者來說顯然是不夠的。我認為，經營者不僅應當承擔證明消費者信息何時受何者侵犯的義務，而且還應當和侵犯者承擔連帶責任。另一方面，由于個人信息泄露涉及的權利人往往眾多，因此應當擴大公益訴訟的范圍，使得消費者可以更方便、更容易的維權。

綜上，要對侵犯個人信息的行為進行分析，對各種侵犯行為的危害結果加以考量。因此只有確定了究竟應當承擔哪些民事責任，如賠償損失（確定相應的賠償標準）、消除影響等，還是在危害行為極其惡劣、危害結果極其嚴重的情況下承擔刑事責任，受害人才能以此維護自身權利，并對加害人懲罰、對加害行為起到規(guī)制的作用。

（二）執(zhí)法建議

1.完善監(jiān)管體系。整個移動支付產業(yè)鏈包括移動運商、支付服務商、終端用戶等，其中的關系錯綜復雜，在移動支付中出現(xiàn)的各類財產安全問題可能牽涉到各方。而目前我國對這些經營者的管理體制卻相當完善，相較于移動支付中其他經營者而言，我國《銀行法》對商業(yè)銀行的設立、組織機構、業(yè)務范圍、監(jiān)督管理、接管和終止以及法律責任等都有明確而系統(tǒng)的規(guī)定，但是，移動網絡運營商、金融機構、移動設備制造商、系統(tǒng)集成商、支付機構等企業(yè)卻沒有相關法律制度對其設立、運營、監(jiān)督以及法律責任等加以規(guī)定。尤其是對軟件廠商，主要是手機APP，首先其數(shù)量用“海量”來形容不足為過，不管是安卓系統(tǒng)還是iOS系統(tǒng)，其內的APP數(shù)量都是極其龐大的。但是從APP的研發(fā)至投入使用的這一過程來看，并無相關部門進行嚴格的管理和規(guī)制，除非一款APP出現(xiàn)問題遭到投訴以后，系統(tǒng)才可能會對其進行下架處理。因此，主要是由于高管理成本，導致APP市場比較混亂。我認為，有針對性的對包括APP在內的經營者制定相關監(jiān)管辦法是相當有必要的。

2.完善相關保障體系。如上所述，移動支付中信息安全問題錯綜復雜，涉及各方利益，案件本身具有高技術性、高隱秘性，而且在同一事件中受害者人數(shù)眾多，案件處理過程中往往因為高成本、舉證難、低效率等問題使得眾多受害者在遭受損害后放棄維權，即使及時做了諸如報警等相關救護措施也很難等到有效解決，無法得到相應的賠償。因此，除了完善立法和加大監(jiān)管以外，建立健全相關保障體系也相當重要。具體來說可以從以下兩個方面著手：（1）充分發(fā)揮行業(yè)自身的力量。例如美國是典型的采取行業(yè)自律模式的國家，其行業(yè)自律模式在保護個人信息方面取得了一定的效果，我國可以借鑒相關經驗。具體而言可以由行業(yè)協(xié)會制定相關的規(guī)章，為行業(yè)的信息保護提供模板，同時監(jiān)督公司和企業(yè)的行為，對相關違法行為按照行業(yè)規(guī)章予以批評、處罰。同時，大眾也可以參與監(jiān)督，提出建議。（2）完善公益訴訟制度。我國現(xiàn)有的公益訴訟制度僅針對國有資產流失案件、環(huán)境污染案件、限制競爭及壟斷案件、損害公共設施案件、侵害無主財產案件和其他損害公共利益的行為（包括：損害消費者權益行為；損害社會保險基金案件等）。鑒于移動支付中信息侵犯等類似案件的特殊性，尤其是在受害者眾多的情況下，采取公益訴訟節(jié)約了訴訟成本，對保障受害者的利益大有裨益。

總之，目前我國對個人信息的保護還相當薄弱，在依法治國的大環(huán)境下，保護個人信息除了技術的革新，更重要的是依賴立法、執(zhí)法以及相關配套制度的建設和有效運作。

3.對移動支付使用者的個人建議。從移動支付中信息泄露事件的實際處理方式、處理結果來看，對于移動支付中信息泄露事件，受害人通常會選擇報警以挽回損失。但是，警方在處理該類案件時也面臨諸多困難。首先，從法律制度的角度來說，我國現(xiàn)有的法律制度完全跟不上技術的飛速革新，沒有明確的、可供執(zhí)行的法律制度對此加以保護，使得信息安全的保護相當薄弱，同時制度的缺口導致技術難以推廣和實行。其次，該類案件牽涉受害人員一般較多，且較為分散，難以串并集中查處，嚴厲打擊。最后，調查取證過程困難。移動支付詐騙屬于新興詐騙形式，支付平臺在技術防范上存在不到位情況。同時詐騙者一般都會采取隱蔽自己身份的手段，其留下的個人資料通常為虛假信息。所以在大多數(shù)情況下，由于受害人對詐騙者的信息掌握不多，警方對其違法犯罪行為的查處也就較為困難。案件偵破需要一定的時間，此時可能被詐騙錢財已被詐騙人揮霍或轉移。總的來說，相關案件最終難以得到相應補償。

參考文獻：

[1]王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心[J].現(xiàn)代法學，2013，（4）.

[2]莫萬友.移動支付法律問題探析[EB/OL].

http：//www.studa.net/faxuelialun/090824/08260640.html

[3]李真，安陽.我國移動支付法律問題探析——基于歸責原則及法律責任配置的視角[C].云南大學學報（法學版），2014，（04）.