淺析我國移動支付發展中存在的安全問題及應對措施

摘 要：目前，我國移動支付應用呈現多元化迅速發展態勢，NFC、微信支付、支付寶支付、二維碼支付等模式不斷涌現，移動支付可信生態圈格局正在初步形成。但移動支付的安全問題一直是制約其能否快速推廣的一個瓶頸，如何最大限度的降低移動支付的潛在風險是目前急需研究的一個重要課題。

關鍵詞：移動支付 安全 措施

一、概述

移動支付是指在商務處理流程中，基于移動網絡平臺，隨時隨地地利用現代智能設備，如手機、PDA、筆記本電腦等工具，為服務商務交易而進行的資金流動。簡而言之，就是允許移動用戶使用其移動終端對所消費的商品或服務進行賬務支付的一種服務方式。近期，國際市場研究機構KantarTNS發布研報稱，亞太區在全球移動支付領域已經領先，從使用人數占比看，中國內地、中國香港和韓國是當前全球移動支付市場的前三甲。同時，中國支付清算協會發布的2016年移動支付用戶調研報告顯示，安全隱患仍是移動支付用戶最擔心的問題，占比約為46.5%。此外，用戶認為未來移動支付的安全性、應用場景范圍最需要改善。

二、移動支付快速發展中面臨的安全問題

1.移動支付應用市場較為混亂，監管力度相對薄弱。近年來，隨著移動支付在我國的迅猛發展，許多商家紛紛發布了自己品牌的移動支付APP客戶端，以此來吸引消費者，但在這些APP背后由于安全監管力度相對薄弱，常常出現很多意想不到的問題，往往給用戶造成不必要的資金損失。目前，我國在移動支付方面的法律法規還不夠完善，交易各方權利和義務規定的也不十分明確，信息的機密性、完整性、不可抵賴性、支付模式、身份驗證、支付終端的安全性、移動支付各環節的法律保障還不很健全。正是由于用戶通過電子媒介所達成協議的有效性具有不確定性，使得移動支付在交易中也存在著一定法律風險。

2.手機本身安全無法保證，缺乏安全身份識別機制。缺乏絕對安全的身份識別機制是限制移動支付應用推廣速度的第二大原因。移動終端一旦丟失或被竊就意味著別人將獲取電話號碼、數字證書等重要支付數據，拿到設備的人就可以訪問內部文件系統及各類應用，從而通過移動支付進行資金轉移。同時，無線通信網絡作為一個開放性的信道，也帶來了諸多不安全因素，如通信內容容易被竊聽、針對無線通信標準的攻擊、對數據完整性的威脅、通信雙方的身份容易被假冒以及通信內容被篡改等。移動互聯網環境下，現有的身份識別方式通常是基于客戶預留手機號的短信驗證，一旦手機卡被復制或驗證短信被劫持轉發等情況發生，犯罪分子便可以非法控制被害人的設備或用自己的設備登錄被害人帳戶，從而完成資金轉移。隨著移動支付習慣的養成，針對移動支付用戶的木馬與病毒呈迅速上升趨勢。如果手機中了木馬或病毒，不法分子便可能遠程控制手機或者竊取用戶帳戶、密碼等信息，從而完成轉賬等相關功能。可以看出，移動支付的安全可能會嚴重受制于移動終端的安全，一旦移動終端不安全，移動支付必然存在安全隱患。

3.個人網絡安全意識淡薄，風險防范知識欠缺。在目前各類病毒、木馬、系統漏洞數量激增、網絡攻擊愈演愈烈、網絡犯罪日益猖獗的網絡安全形勢下，廣大移動支付用戶對網絡安全重要性的認識還普遍不足、網絡安全知識相對缺乏、網絡安全防護技能薄弱、網絡安全意識淡薄，不利于防范移動支付風險、應對網絡安全威脅，隨時可能遭受因疏忽大意而導致的財產損失。移動支付應用中出現的風險有多種，包括口令安全、系統賬戶權限、數據存儲安全、操作系統安全等問題。個人網絡安全的防護，三分靠技術，七分靠意識，要防護這些問題，安全意識的提高不可忽視。

三、應對措施

1.進一步完善移動支付法律體系，強化監管力度。雖然目前我國已出臺《電子支付指引 （第一號）》、《非金融機構支付服務管理辦法》、《電子銀行業務管理辦法》和《非銀行支付機構網絡支付業務管理辦法》等一系列相關制度法規，但移動支付業務發展迅猛，新技術新應用層出不窮，現有部分法律和規定已經很難適應移動支付產業高速發展要求，也不能夠完全滿足移動支付創新的要求，很難全面規范電子支付業務、防范支付的風險，需要進一步進行細化、完善與補充。同時，應由移動支付產業相關管理機構協調制定專門的移動支付管理辦法，為移動支付業務持續健康發展構建完整的管理框架。移動支付市場參與者涵蓋了商業銀行、電信運營商、移動內容提供商、運營支持服務的技術供應商等眾多機構。發達國家的移動支付一般都具有明確的監管部門和清晰的職責分工。例如：韓國對電子支付的監管側重準入管理，要求所有從事支付業務的機構都要取得準入許可，接受金融監管委員會的監管 ；日本的信用卡、預付費卡以及移動支付業務均屬經濟產業省管轄。在我國分業監管的格局下，移動支付急需建立協同監管機制，促進產業融合發展。首先，要按法定職權，梳理移動支付產業各監管機構的監管職責和分工 ；其次，應在日常監管中積極探索建立由人民銀行主導，銀監會、工信部等配合的移動支付聯席工作機制，共同研究移動支付監管的最新問題和主要風險點，協調出臺聯合產業政策，形成監管合力。

2.完善支付設備安全措施，提升移動支付技術保障水平。移動支付安全問題涉及交易雙方身份的真實性、信息傳輸的保密性和完整性、交易的不可否認性等內容。為了確保支付的安全，數字簽名、電子認證和SET標準等安全控制技術應運而生。雖然銀行和設備廠商采取各種措施用于填補技術上的安全漏洞，但今天復雜、適應性較強的欺詐應用和具備消息攔截能力的惡意軟件還是不斷涌現。為了堵住這些漏洞，各相關機構還必須采用更先進的認證技術來提高安全水平，并保證其移動通道安全可靠。移動支付時代，人、設備、賬戶共同形成一個鏈條，當賬戶數據泄露，被他人操作時，賬戶不變，人和設備會發生轉移。可以通過指紋、虹膜等生物認證信息將設備這一環節固定，即使數據泄露、設備遺失，也無法操作賬戶。同時，傳統的安全驗證模式往往只是在銀行服務器和用戶設備之間直接發生支付和驗證指令傳輸，而在兩者之間加入可信的第三方驗證可以達到更好的效果。傳統的方式中，支付指令和驗證指令通過單一通道傳輸，易被黑客短時間內劫持，而加入第三方，形成雙通道，將支付指令和驗證指令分離，從而可以大大增加安全系數。

3.加強全民網絡安全教育，提高個人安全防范意識。隨著互聯網與移動支付的迅猛發展，網絡安全“全民意識”的強化已經迫在眉睫。政府主導的宣傳很有必要，要經常性地組織宣傳，使更多的移動支付用戶感受到網絡安全的重要性，并逐漸學習掌握保障網絡安全、支付安全的技能，在全社會形成共同關注網絡安全、支付安全、維護網絡秩序的良好氛圍。同時，用戶也必須要強化自己的移動支付風險防范意識，盡量做到：在支付設備上安裝安全類應用軟件，定期查殺病毒，開啟實時安全防護系統，定期清理插件；選擇正規的有信譽的應用市場下載安裝支付app應用；使用多重密碼來保障支付賬戶的安全，根據支付應用內的提示，將所有安全防御措施打開，比如手機支付密碼、圖形密碼、手機驗證碼，有條件的話最好開啟指紋密碼；手機丟失后及時申請凍結手機號碼、銀行卡和相關聯的支付服務。

四、結語

移動支付產業鏈涉及通信運營商、應用提供商、設備提供商、支付服務商、系統集成商、終端用戶等多個參與方，沒有一家機構能主導整個產業鏈的格局，在運營模式、安全標準、技術方案等方面，相關各方應在監管體系的框架內加強溝通協作，采取合作的態度共同致力提升移動支付的安全，形成合力，聯手共筑安全防線。

作者簡介：陸煒（1973—）男，天津市人。工作單位：中國人民銀行吳忠市中心支行。職務：行長助理。研究方向：計算機應用。