隨著電子商務的發(fā)展,電子支付以方便快捷的特點正逐漸替代傳統(tǒng)的網(wǎng)絡支付方式(如電話���、傳真�����、郵局匯款����,銀行轉(zhuǎn)帳�����、匯款等)����,成為人們網(wǎng)絡交易中普遍接受的方式。電子支付比重最大的是POS機消費��,其次是網(wǎng)上支付�����,而第三方支付是網(wǎng)上支付很重要一部分。
根據(jù)中國人民銀行2009年的統(tǒng)計��,我國已經(jīng)有各類電子支付企業(yè)300多家�����,大多集中在北京���、上海�、廣東等經(jīng)濟發(fā)達地區(qū)����,業(yè)務種類覆蓋網(wǎng)上支付、電子貨幣發(fā)行與清算���、銀行卡和票據(jù)跨行清算及集中代收付等各種業(yè)態(tài)�。根據(jù)易觀國際2010年2月發(fā)布的統(tǒng)計數(shù)據(jù)����,2009年全年中國第三方支付交易規(guī)模達到5808.4億元;2010年第一季度國內(nèi)第三方支付市場規(guī)模達2081.6億元����,其中互聯(lián)網(wǎng)支付達1999.4億元,環(huán)比增長13%;預計到2012年��,第三方支付市場的規(guī)模有望達到12000億元。
第三方支付方式雖然方便快捷�,但由于當前我國電子支付方面的法律較為滯后,對第三方支付市場監(jiān)管不夠���,法律地位和責任均不明確�,目前存在的300多家第三方支付產(chǎn)品質(zhì)量參差不齊�����,魚龍混雜���,用戶的交易安全和個人信息存在很大的風險��。主要問題集中在以下幾個方面:
(1)網(wǎng)絡釣魚導致賬戶信息泄露
網(wǎng)絡釣魚是在網(wǎng)上支付中常見一種攻擊方式���,據(jù)稱9成網(wǎng)民遇到過網(wǎng)絡釣魚,其發(fā)生率已超過木馬��,成為危害最大的一種安全威脅����。其模式一般為,用戶進行網(wǎng)上交易進入支付環(huán)節(jié)時,被誘導點擊不安全的鏈接����,進入與網(wǎng)銀登錄界面幾乎一樣的偽造界面,輸入用戶名和密碼登錄后����,其銀行賬戶和密碼就被偽造頁面的惡意用戶全部獲取。
這種方式非常隱蔽���,警惕性不高的用戶往往在賬戶內(nèi)的資金發(fā)生較大改變時才會發(fā)現(xiàn)����,造成的后果非常嚴重��。
造成網(wǎng)絡釣魚的原因可能有二:一是該第三方平臺本身存在安全漏洞���,被惡意用戶利用篡改了正常的頁面�,或利用平臺賬戶發(fā)送了偽造的電子郵件誘導用戶中招;二是用戶安全意識不足����,輕信賣家提供的鏈接或電子郵件,主動點擊了不安全的頁面���。
(2)未提供安全的登錄方式導致賬戶信息被盜
使用HTTPS安全登錄可以很大程度上保障用戶在登錄過程中的安全性�����,目前規(guī)模較大的�����、用戶數(shù)量較多的支付平臺都采用這種安全登錄方式����,但仍有不少小網(wǎng)站未采用此方式�����,一旦被惡意用戶盯上���,該平臺上賬戶信息被盜取的風險極大���。
(3)第三方支付平臺的設計問題導致信息泄露
目前不少大型第三方支付平臺要求用戶提供真實姓名、聯(lián)系方式�、住址、銀行賬號甚至身份證復印件��,作為交易雙方信用擔保的憑證,這是一把雙刃劍���,一旦網(wǎng)站設計有疏漏��,這些信息很容易泄露�。
另外一個例子���,百度通過圖片上的關(guān)鍵字抓取信息����,某交易網(wǎng)站—第四媒體分類信息網(wǎng)—了難網(wǎng)”由于安全保密措施不足�,用戶提交的身份證信息被百度抓取,放在互聯(lián)網(wǎng)上任人查閱����。
據(jù)有關(guān)資料顯示,2006年6月�����,由于安全漏洞被利用�����,某第三方支付公司的數(shù)據(jù)被竊取,約4000萬張信用卡資料被泄露�����,有人甚至在網(wǎng)上公開出售這些信息��。
(4)第三方支付平臺隱私政策不合理
由于第三方平臺掌握了大量用戶的真實信息�,它除了應采用技術(shù)手段進行保護之外�����,還應該以文件��、政策或公告的方式在網(wǎng)站上公開對用戶信息進行安全承諾���。
但目前網(wǎng)站隱私政策的普遍不完整���,內(nèi)容不合理,免責條款過多��,不少網(wǎng)站公然將黑客��、病毒等引發(fā)的安全問題當做“不可抗力”��,推卸責任。用戶為了使用其服務只能同意該條款�,導致發(fā)生問題時維權(quán)艱難����。
(5)網(wǎng)站服務終止或權(quán)利人發(fā)生轉(zhuǎn)移時個人信息不能得到保護
由于目前第三方支付行業(yè)競爭激烈�,《非金融機構(gòu)支付服務管理辦法》實施之后����,一些競爭力不足的機構(gòu)必將被淘汰�,這些公司掌握的用戶信息應該屬于保密信息予以嚴格保護�,但第三方平臺普遍都沒有這方面的承諾,甚至有的網(wǎng)站將“本網(wǎng)站可以隨時終止服務”作為服務協(xié)議的一部分迫使用戶默認�����。
2009年10月�����,工業(yè)和信息化部發(fā)布《個人信息保護指南》(征求意見稿)(簡稱《指南》)�,針對使用信息系統(tǒng)的企事業(yè)單位進行的個人信息處理行為進行了規(guī)定,是第一個專門轉(zhuǎn)對個人信息保護制定的指導性文件���?!吨改稀芬?guī)定相關(guān)企事業(yè)單位應制定完善、合理的個人信息保護政策;在信息收集����、存儲、交換����、轉(zhuǎn)移�、披露、公開����、傳輸、交換�、刪除、銷毀等等針對信息所進行的所有行為中����,保障個人信息安全;對個人信息管理單位內(nèi)部機構(gòu)、風險管理���、內(nèi)控機制等進行了規(guī)定�。
其次�,為了規(guī)范第三方支付市場��,保障網(wǎng)民利益�,中國人民銀行于2010年6月21日發(fā)布《非金融機構(gòu)支付服務管理辦法》���,對第三方支付機構(gòu)的資質(zhì)��、安全要求等進行了規(guī)定���,并將于2010年9月1日正式執(zhí)行。
辦法規(guī)定���,辦法實施前已經(jīng)從事支付業(yè)務的非金融機構(gòu)����,應當在辦法實施之日起1年內(nèi)申請取得《支付業(yè)務許可證》;逾期未取得的�,不得繼續(xù)從事支付業(yè)務。 辦法第三十二條:“支付機構(gòu)應當具備必要的技術(shù)手段�����,確保支付指令的完整性����、一致性和不可抵賴性�,支付業(yè)務處理的及時性���、準確性和支付業(yè)務的安全性;具備災難恢復處理能力和應急處理能力�����,確保支付業(yè)務的連續(xù)性����?���!?�,其次�����,支付機構(gòu)應當依法保守客戶的商業(yè)秘密�����,不得對外泄露。法律法規(guī)另有規(guī)定的除外���。
國內(nèi)支付企業(yè)從出生之日就處于監(jiān)管的灰色地帶���,涉黃、涉賭��、欺詐等行為給支付企業(yè)帶來巨大的風險和壓力�����,有些支付企業(yè)甚至違法參與網(wǎng)絡賭球等行為�。新規(guī)實施在即,第三方支付要想順利獲得“牌照”必先自檢�����。同時�����,辦法的出臺��,也客觀上促使支付企業(yè)進一步加強內(nèi)控管理���,避免卷入黃����、賭、毒中����,更好的為廣大商戶和消費者服務。
