淺析第三方支付現狀及安全風險

■楊 樂

（青島大學）

1 第三方支付的概述

1.1 第三方支付的概念

第三方支付是指具備一定實力和榮譽保障的交易支持平臺，在與國內外各大銀行簽約以后，與銀行支付結算系統接口對接，從而促成交易達成的一種網絡支付模式。

1.2 第三方支付的特征

（1）便捷。第三方作為溝通買賣雙方的紐帶，本身帶有一定的中介性質，買賣雙方的信息和資金均可通平臺進行交換和轉移，大大提高了交易效率。

（2）安全性高。第三方支付平臺伴隨著互聯網技術的發展產生，一切經其傳遞的信息都能以加密信息的形式進行傳輸。由第三方其掌握著買賣雙方的信息，一方面保證了買方在收貨前的資金安全，另一方面也確保了賣方可以及時收到貨款。

（3）成本低。互聯網技術是電子商務運轉的基礎。若沒有第三方支付，資金的收付則會嚴重依賴商業銀行與各大電商企業建立的專用接口，而電商行業的迅速發展無疑意味著大量專用接口的建立，這給銀行網關的開發帶來了巨大的壓力。而第三方支付通過與銀行合作、建立統一接口，使得無需每個銀行建立自有接口，大大降低了銀行的網關開發費用。

（4）信息處理集中。第三方支付可以獲取電子商務交易中的各種信息，并有權利對其進行整合：用戶不但可以使用第三方支付進行支付，還可以查看商品的物流信息、選擇退換貨等；商家也可以隨時查看資金情況，有效實現了電子商務交易中資金流、信息流和物流三者的統一。

（5）受眾人群廣。隨著電商產業的不斷擴大，電子商務涉及的領域和服務類型也逐漸精細化，這樣一來，其消費群體在年輕一代的基礎上，又增加了各個年齡段消費者。

2 第三方支付的發展現狀

2.1 交易規模不斷擴大，增長率趨于平穩

根據艾瑞咨詢《2020年中國第三方支付行業研究報告》顯示：2019年中國第三方產業支付交易規模高達119.6萬億元，同比增長13.1%。盡管增長率有所下降，第三方交易規模還是處在不斷擴大的狀態，且增速基本保持在10%以上，預計2020年的交易規模可達140萬億元（如圖1）。

圖1 2015—2021年中國第三方產業支付交易規模

2.2 線下掃碼呈爆發式增長

根據艾瑞咨詢的數據顯示，自2016年第一季度到2019年第一季度，線上電商交易規模由9654億元增長到19820.9億元，增長了105.3%，同期線下掃碼支付交易規模從830億元增長到了73805.3億元，增長了8792.2%，其增長率遠高于線上電商支付。

2.3 支付寶和財付通依舊為第三方支付的兩大寡頭

截止到2019年，第三方支付的交易市場份額主要集中在支付寶和財付通兩巨頭身上，形成了寡頭壟斷的市場局面。根據艾瑞咨詢的數據顯示，支付寶的互聯網交易份額占了市場的一半以上，高達54.4%；財付通以39.4%的市場占有率位居第二；其他機構占比較少。

2.4 國家進行規范監管

雖然第三方支付的出現為人們的生活帶來了極大的便利，但是各種問題也隨之產生，同時，由于第三方支付規模龐大，這些問題的出現也對我國的傳統金融市場產生了一定的負面影響。在這種情況下，我國政府也陸續頒布了一系列文件，加強對第三方支付行業的監管，規范和引導其發展。

3 第三方服務存在的安全風險

3.1 個人信息風險

（1）支付場景復雜多樣，信息泄露風險上升。隨著互聯網和網絡支付的普及，第三方支付的消費場景范圍也不斷擴大，醫療、交通、娛樂和餐飲等領域均開始采用第三方支付，消費者的支付信息也隨著消費場景的增加不斷擴散，增大了個人信息泄露的可能性。除此之外，不同場合的網絡安全程度也有所差異，當用戶使用安全等級較低的公共網絡時，個人信息很容易會被不法分子竊取。

（2）隱私信息過于密集，個人識別幾率增大。第三方支付企業在運營過程中往往會收集用戶的個人信息，而這些信息多為隱私性極強的私密信息，如：身份證信息、生物特征、用戶所在地等等。同時，在使用第三方支付時，用戶會產生一定的商品消費記錄，不法分子通過大數據即可推算用戶的消費習慣和用戶身份，從而鎖定用戶的資金賬戶，并對其進行攻擊。

（3）支付終端安全性低。第三方支付往往是通過智能手機完成的，但是手機的防火墻遠比不上PC端防火墻，使得智能手機更容易被犯罪分子突破。

（4）數據跨境流通風險高。伴隨著經濟全球化和“一帶一路”政策的推動，我國部分傳統中小型企業和電商企業開始轉型為跨境電商企業。然而，境外業務產生的數據將直接儲存在境外，或者根據當地的法律法規進行存儲，難以保證數據的安全性。

（5）第三方企業的不當利用。在使用第三方支付時，用戶可在平臺上使用各種第三方應用。在使用第三方應用的過程中，自然會在第三方應用上產生相應的數據，而大部分第三方支付企業默認將用戶信息與第三方合作企業共享，并明確表示用戶使用第三方應用時受其隱私政策的約束，在這樣的情況下，個人信息的傳輸和存儲風險會進一步提高。

3.2 支付信息被惡意篡改

現有的支付平臺一般會提供多個銀行的網絡銀行接口，若第三方支付平臺的技術有所欠缺，用戶的賬戶信息和支付信息很容易會被不法分子所竊取甚至篡改，價值平臺會與多家銀行進行合作，嚴重的話甚至會導致平臺上所有的網絡銀行遭受損失。

3.3 平臺準入門檻低，難以保證用戶信息安全

一方面，雖然企業需拿到第三方支付牌照才能夠從事支付業務，但是仍有部分企業利用國家的鼓勵政策和法律的灰色地帶從事非法金融活動，他們通過支付平臺獲取的用戶信息、進行非法交易；另一方面，也存在著謀求私利的員工主動盜取用戶信息，將其泄露給不法分子，嚴重威脅著網絡安全。

3.4 平臺運行風險

第三方支付平臺在設計之初是為了滿足基本的交易需求，隨著其不斷完善，第三方支付的業務范圍也開始逐漸擴大，用戶數量、每日訪問量和交易數額等都會出現大幅增長，當超過系統的預設處理范疇時，系統運行則會容易出現障礙，引起交易風險。

3.5 網絡認證風險

雖然通過大數據和云計算等技術加大了信息認證的準確性，但是單純的信息認證仍然難以保證用戶身份的唯一性。此外，盡管生物特征等識別技術已經投入使用，AI換臉等技術的產生還是導致生物特征識別面臨著新困境，識別機制依舊不夠完善。

3.6 客戶端認證風險

若用戶的手機遭受病毒或第三方插件襲擊，不法分子極容易獲取用戶的賬戶、密碼、驗證碼等信息，通過非法網絡，在未經客戶端認證的情況下竊取敏感信息和平臺資金。

4 對策和建議

4.1 完善法律法規

目前，我國針對第三方支付的立法主要立足于用戶資金安全的保護，忽略了個人信息的重要性。在加強立法保護時，應注重統一立法和分別立法相結合，因為如今的第三方平臺不止提供收付款服務，其業務類型也日趨多樣化，對于個人信息的收集也有不同的側重點，統一立法很難避免灰色地帶的產生，無法周全地保護公民個人信息。因此，應加強各行業的信息保護，建立有針對性、適應性的執法和保護標準。其次，相關法律應明細和規范各方職責，建立第三方平臺和用戶個人黑名單，對違法違規的企業或個人進行嚴肅處理。此外，通過立法明確跨境電商企業的境外數據保護職責，以提高境外數據流通的安全性也很有必要。

4.2 設置專門的行政機構進行監管

“互聯網+”的提出吸引了各個行業進入到互聯網領域來，豐富了互聯網經濟的同時，也使得不同的部門分別下發文件進行監督和管理。然而，各部門之間沒有形成聯動，無法開展有效合作，致使第三方監管部門之間權限不分、責任不明，難以保護用戶信息的安全。因此，應設置專門的數據保護機構，細化監管流程、針對性地管理用戶信息、監督執行個人隱私保護條款，推動整個行業的規范發展。

4.3 優化隱私條款

支付平臺之所以收集信息，是為了驗證用戶身份、改善產品服務，但是在企業在收集個人信息時，應充分明確信息用途，且將信息收集量控制在“完成相應驗證”的范圍內，將信息收集控制在最小量，并對存儲的信息采取充分的保護措施。除此之外，第三方企業應對于收集的信息設置相應的儲存時限，使信息信息的時效性，在完成收集目的后要及時處理系統內的用戶信息，不再繼續儲存。

4.4 倡導行業自律

一般來說，行政部門的技術水平往往會高于科技型企業，但是在第三方市場競爭激烈的今天，第三方企業收集了的國內外大量數據，其技術創新有可能會優于國家行政部門。在這種情況下，行政部門的技術水平往往會因為缺少競爭壓力而滯后，使得企業技術水平遠高于體制內的機構。因此，為了防止技術濫用導致信息泄露，在充分完善政策和立法的基礎上，也應倡導行業自律。

4.5 建立完善的市場準入機制

市場需求和行業監管都要求第三方企業達到一定的標準才可擁有行業資質。因此，在頒發第三方支付牌照時，應充分考慮第三方企業的最低資本金、內部控制能力、風險管理、保險和技術等，避免不法分子利用政策漏洞違法犯罪。

4.6 提高技術手段

（1）終端企業的技術提升。由于第三方支付以移動終端作為支付，終端設備的安全性與可靠性就極大地影響了第三方用戶的信息安全。

（2）完善網絡基礎設施。除了部分地區網絡發展過慢以外，對于公共網絡安全性的建設也不可忽視。我國應加大對網絡基礎設施建設的投資力度，推動互聯網安全的進一步發展。

（3）強化用戶身份認證機制。第三方平臺應提高本身的技術水平，強化用戶身份認證機制、擴大數據承載冗余、建立可信的網絡識別體系，從而保障信息存儲和傳輸安全，有助于營造可信的網絡平臺、樹立良好的信用形象，降低信息泄露的安全風險。