论文部分内容阅读
摘 要:近年来,随着移动支付应用技术的不断发展,移动支付用户的规模逐年增大。然而,移动支付市场发展并不平衡,根据艾瑞咨询的相关报告,中国移动支付市场呈现支付宝主导,微信紧跟,一系列第三支付产品夹缝求生的局面。2016年2月18日凌晨5时,Apple Pay正式在国内上线, Apple Pay入华是否对支付宝和微信造成致命一击,以银行为首的NFC阵营能否借此“咸鱼翻身”,大多数人持观望态度,在本文中,主要对支付宝和Apple Pay自身存在的风险进行分析,并且找到两者风险的应对策略,从而促进移动支付市场健康发展。
关键词:支付宝;Apple Pay;风险分析;应对策略
中图分类号: TP393.0;F832.21 文献标识码: A 文章编号: 1673-1069(2017)06-51-2
1 支付宝风险分析
截至2015年第三季度,中国第三方移动支付交易规模市场份额组成如下:支付宝69.9%,财付通19.2%,拉卡拉2.2%,联动优势1.4%。在支付宝迅猛发展的同时,暴露了支付宝的许多问题,其风险问题尤为受公众关注。
1.1 个人信息泄露风险
个人信息泄露是广大用户非常关注的风险问题,那么个人信息是怎样通过支付宝泄露的呢?其一是当用户淘宝购物支付时,用户的姓名、联系方式、住址、以及购物信息将记录在手机的存储卡上,不法分子会通过木马病毒侵入到手机内部,从而获得存储卡上的信息,导致个人信息的泄露。这一泄露是由于支付宝的技术存在漏洞使得不法分子有机可乘。其二是当用户通过淘宝购物用支付宝支付时,会将个人的信息传递给商家,而一些商家在获取了用户的个人信息后会在网上散步或者卖给他人以获得利益,这一信息泄露是由于商家的信用不良导致的。
1.2 资金被盗风险
许多支付宝用户认为资金被盗是支付宝技术不过关造成的,其实不然,不法分子大都是利用消费者对于自身安全信息保护意识薄弱来进行的,他们可能通过给消费者发送相关的活动链接,诱使消费者进入从而使得各种木马病毒趁机侵入消费者的客户端盗取相关的信息,从而实现资金盗取。
基于电子商务的虚拟性,第三方机构有责任制定相关的政策来配合相关法律法规对诈骗行为的认定和处罚的实施,保证用户资金的安全。用户因为使用支付宝从而导致自己账户资金被窃取,支付宝依然有不可推卸的责任,支付宝系统的设计目前首要解决的是在用户点开了诈骗链接后不法分子还依旧不能获取用户的个人信息从而进行资金的窃取,这一技术是目前支付宝开发商首要解决的问题,也是长久以来用户最关注的焦点。
1.3 资金沉淀风险
支付宝资金沉淀有两方面的来源,一是在途资金的沉淀,支付宝作为信用中介进行资金沉淀,买家选购商品后先将款项转入支付宝账户内,同时支付宝通知卖家发货,待买家确认付款时再将款项转入卖家账户,这个过程中支付宝充当了信用中介的角色。这一部分沉淀的资金,支付宝可能挪作他用,很难确保这部分资金的安全。二是用户在支付宝内设有个人账户,这个账户就相当于在银行的活期存款账户,用户可以随时存取,而当用户不用于交易和转账时,这个账户内的资金就会沉淀下来,而沉淀下来的资金可能被支付宝挪用,并且这一来源的资金沉淀会有进一步扩大的趋势。
支付宝2016年9月12日宣布公告称从2016年10月12日起,支付宝将对个人用户超出免费额度(累计两万元)的提现收0.1%的服务费,这一公告的出台,必然会导致诸多用户不愿意将个人账户内的资金提现,尤其是那些已超过免费提现额度的用户,他们宁愿将资金放在个人账户内也不愿意提现,这样个人账户的资金就会越积越多,其就像一个资金池,只有不断向里输入资金,而很少向外取出资金,这一块的资金沉淀越级越大,进一步加劇了资金沉淀的风险。
1.4 合规风险
2010年出台的《非金融机构支付服务管理办法》对我国第三方支付机构性质的界定有了权威的依据,即在我国第三方支付机构为非金融机构,其管理运作正式纳入到中国人民银行的监管范围内。
2013年6月,支付宝首次推出了互联网理财产品——余额宝,其功能就相当于在银行的活期存款,只要在余额宝内存放资金,它就会每天计算利息给你,因此短时间内便打开了理财市场,由于众多用户会将存放在商业银行活期存款纷纷取出,放到余额宝内,对银行的活期储蓄会造成不小的冲击。我国只授予商业银行办理存款业务,其他的金融机构以及非金融机构均无权办理存款业务。余额宝的性质就相当于存款业务,但其并没有获得存款业务的许可,用户将钱存放到余额宝内很难确保资金的安全,而支付宝用这些筹集到的资金用做什么用途,我们也毫不知情。因此为了防范支付宝利用余额宝非法集资的风险,人民银行对这种金融创新进行了控制,也使人民银行加强支付宝监管,保证其合规运行的重要举措。
2 Apple Pay风险分析
Apple Pay采用NFC近场通信技术,消费者只要将手机靠近标识有“闪付”或“云闪付银联”POS机,就可以实现指纹刷卡,过程中无须输入与绑定银行的任何信息,过程仅需要一两秒。除了在用户体验度上,Apple Pay有所改进,更重要的是Apple Pay注重保证交易的私密性及安全性,为苹果公司在iPhone的安全芯片中承载两类java卡应用程序。Apple Pay虽在支付宝的用户体验度及安全性上有所改进,但其自身依旧存在险,这是需要我们探讨的。
2.1 合规风险
Apple Pay是一种移动支付的方式,然而该支付方式进去中国的移动支付市场,是否应经过中国人民银行的审批许可,获得相应的支付业务的许可证书?Apple Pay作为一种和第三方支付机构拥有同样支付功能的移动支付方式,其能否安全规范运行,关系到公共安全及利益,必然也要受到中国人民银行的监管。 “××支付”是特指根据《中国人民银行法》和《非金融机构支付服务管理办法》等法律规章的规定,获得了《支付业务许可证》的支付机构。在中国人民银行网站的《支付业务许可证》核发信息公告中,并未发现有公司名称包含“苹果”或“APPLE”字样的公司存在。而银联,支付宝,财付通等,则是明确获得了上述《支付业务许可证》。由此可见,Apple Pay并没有获得支付业务许可证。并不独立的Apple Pay究竟是否需要获得支付业务的许可证书,笔者认为是有必要的,在Apple Pay没有获得相应的许可下,进入中国移动支付市场,经营支付业务,其本身已经纳入到了法律法规的容许范围,目前苹果公司是否应主动就获得安全评估和检测。而且在当下,苹果公司在运行过程中,应如何准守中国《国家安全法》、《反恐怖主义法》和《反洗钱法》,苹果能否主动进行安全检查,接受中国人民银行的监管,这是保证其合规的重要举措。
2.2 安全风险
Apple Pay 虽然在技术上使用了NFC近场支付技术,比支付宝,微信等第三方支付机构使用远程支付技术要安全的多,但也会有技术漏洞。
之前苹果系统出现的X code事件,就是黑客攻入苹果终端,恶意植入代码,窃取信息和远程控制的典型案例,表明了苹果用户终端会因为黑客的攻入而遭受信息泄露,远程控制的风险。其次,由于同一台苹果终端设备在Apple Pay上最多可绑定8张银行卡,而同一张银行卡可以在10台不同的苹果终端商进行绑定,而绑定银行卡的过程中,不需要对持卡人的姓名验证,也就是说苹果系统对于不同持卡人的银行卡可以绑定在同一苹果终端设备上不加以限制。所以非本人绑定的情况是可能的,那么就极易出现盗刷情形。
3 应对策略
支付宝和Apple Pay都是移动支付市场的主体,它们和其他众多的移动支付产品共组成成了移动支付市场,它们自身存在的风险,也代表整个移动支付市场存在的风险,那么针对这些风险,移动支付市场该采取哪些应对策略,具体应从以下几个方面着手。
3.1 强化合规监管
当前移动支付市场有众多产品未纳入法律法规的监管范围,它们不确定的性质状态必然会危及移动支付市场的稳定,从而难以确保用户的利益以及用户采取的相关救济措施。
首先,一些移动支付产品必须明确自身的主体性质是什么,是否为非金融机构,在没有获得支付业务许可下应尽快获得由中国人民银行颁发的《支付业务许可证》,让自身的运营管理纳入人民银行的监管范围内,从而使其运行有了约束机制,这样才能对用户的利益有所保障,有法可依。
其次,移动支付机构内部要完善风险防控,保证各项交易均符合法律法规。内控部门要建立相关风险的识别与预防机制,健全资金安全控制,账户安全控制,等。内控部门应根据《反洗钱法》制定相关的预防洗规章制度,对员工进行培训,防止出现疑似洗钱交易,从而加强行业自律。
移动支付行业也应建立自律性组织加强规范与协调,制定符合本行业发展的章程制度,将法律法规具体化,以便顺应不断发展的移动支付市场的要求以及移动支付用户的要求。移动支付机构也应配合自律性组织尽快出台行业的具体运行标准,并且能遵循该标准来规范自身的运营行为。
3.2 加强网络安全建设
加强移动支付的网络安全建设,最主要的是加强网络基础设施建设,由于移动支付的特殊性,完善软硬件设施显得尤为重要。
就硬件设施而言,支付宝目前存在的主要问题是当出现购物高峰期时,系统就会崩溃以及调单等事件的发生。Apple Pay存在的問题是系统升级成本较高,目前,具备闪付功能的银联POS机均支持Apple Pay功能,不法分子就有可能在POS机上做相关改动,恶意扣划资金。
就软件设施而言,移动支付资金沉淀以及其易受黑客攻入和木马病毒的侵入,使得资金和个人信息处于不安全的状态。因此,移动支付机构应致力于软件开发和升级,将用户的利益放在第一位,满足用户的支付需求,为客户提供良好的支付体验。同时,移动支付机构应着力于相关技术的研究,保证用户的支付安全和资金安全,使得移动支付市场朝着良好的方向发展。
参 考 文 献
[1] 李晓枫,汪东艳.Apple Pay安全机制分析——兼论对我国移动支付产业发展的政策启[J].金融电子化,2014(12):24-27.
[2] 胡刚.Apple Pay抢跑《网络安全法》[J].法网时空,2016(02):120-122.
[3] 方毅.Apple Pay进入中国,机遇还是挑战[J].市场研究,2016(02):001-003.
[4] 吕侃徽.支付宝交易中的安全问题研究[J].科技信息,2014(04):62-65.
[5] 关绍云,马慧颖.移动支付应用中的自我安全防范[J].中国对外贸易,2016(03):77.
课题项目:本项目由“大学生实践创新训练计划项目”资助,项目编号:201611287009Z。
作者简介:刘鑫(1992-)女,本科,南京审计大学,研究方向:法务金融;任子夜(1996-),女,本科,南京审计大学,研究方向:金融学;颜姚(1994-),女,本科,南京审计大学金融工程专业;胡晓雪(1995-),女,本科,南京审计大学审计学专业。
指导老师:严伟祥(1974-),男,博士,南京审计大学金融学院金融学专业,研究方向:资本市场与风险管理。
关键词:支付宝;Apple Pay;风险分析;应对策略
中图分类号: TP393.0;F832.21 文献标识码: A 文章编号: 1673-1069(2017)06-51-2
1 支付宝风险分析
截至2015年第三季度,中国第三方移动支付交易规模市场份额组成如下:支付宝69.9%,财付通19.2%,拉卡拉2.2%,联动优势1.4%。在支付宝迅猛发展的同时,暴露了支付宝的许多问题,其风险问题尤为受公众关注。
1.1 个人信息泄露风险
个人信息泄露是广大用户非常关注的风险问题,那么个人信息是怎样通过支付宝泄露的呢?其一是当用户淘宝购物支付时,用户的姓名、联系方式、住址、以及购物信息将记录在手机的存储卡上,不法分子会通过木马病毒侵入到手机内部,从而获得存储卡上的信息,导致个人信息的泄露。这一泄露是由于支付宝的技术存在漏洞使得不法分子有机可乘。其二是当用户通过淘宝购物用支付宝支付时,会将个人的信息传递给商家,而一些商家在获取了用户的个人信息后会在网上散步或者卖给他人以获得利益,这一信息泄露是由于商家的信用不良导致的。
1.2 资金被盗风险
许多支付宝用户认为资金被盗是支付宝技术不过关造成的,其实不然,不法分子大都是利用消费者对于自身安全信息保护意识薄弱来进行的,他们可能通过给消费者发送相关的活动链接,诱使消费者进入从而使得各种木马病毒趁机侵入消费者的客户端盗取相关的信息,从而实现资金盗取。
基于电子商务的虚拟性,第三方机构有责任制定相关的政策来配合相关法律法规对诈骗行为的认定和处罚的实施,保证用户资金的安全。用户因为使用支付宝从而导致自己账户资金被窃取,支付宝依然有不可推卸的责任,支付宝系统的设计目前首要解决的是在用户点开了诈骗链接后不法分子还依旧不能获取用户的个人信息从而进行资金的窃取,这一技术是目前支付宝开发商首要解决的问题,也是长久以来用户最关注的焦点。
1.3 资金沉淀风险
支付宝资金沉淀有两方面的来源,一是在途资金的沉淀,支付宝作为信用中介进行资金沉淀,买家选购商品后先将款项转入支付宝账户内,同时支付宝通知卖家发货,待买家确认付款时再将款项转入卖家账户,这个过程中支付宝充当了信用中介的角色。这一部分沉淀的资金,支付宝可能挪作他用,很难确保这部分资金的安全。二是用户在支付宝内设有个人账户,这个账户就相当于在银行的活期存款账户,用户可以随时存取,而当用户不用于交易和转账时,这个账户内的资金就会沉淀下来,而沉淀下来的资金可能被支付宝挪用,并且这一来源的资金沉淀会有进一步扩大的趋势。
支付宝2016年9月12日宣布公告称从2016年10月12日起,支付宝将对个人用户超出免费额度(累计两万元)的提现收0.1%的服务费,这一公告的出台,必然会导致诸多用户不愿意将个人账户内的资金提现,尤其是那些已超过免费提现额度的用户,他们宁愿将资金放在个人账户内也不愿意提现,这样个人账户的资金就会越积越多,其就像一个资金池,只有不断向里输入资金,而很少向外取出资金,这一块的资金沉淀越级越大,进一步加劇了资金沉淀的风险。
1.4 合规风险
2010年出台的《非金融机构支付服务管理办法》对我国第三方支付机构性质的界定有了权威的依据,即在我国第三方支付机构为非金融机构,其管理运作正式纳入到中国人民银行的监管范围内。
2013年6月,支付宝首次推出了互联网理财产品——余额宝,其功能就相当于在银行的活期存款,只要在余额宝内存放资金,它就会每天计算利息给你,因此短时间内便打开了理财市场,由于众多用户会将存放在商业银行活期存款纷纷取出,放到余额宝内,对银行的活期储蓄会造成不小的冲击。我国只授予商业银行办理存款业务,其他的金融机构以及非金融机构均无权办理存款业务。余额宝的性质就相当于存款业务,但其并没有获得存款业务的许可,用户将钱存放到余额宝内很难确保资金的安全,而支付宝用这些筹集到的资金用做什么用途,我们也毫不知情。因此为了防范支付宝利用余额宝非法集资的风险,人民银行对这种金融创新进行了控制,也使人民银行加强支付宝监管,保证其合规运行的重要举措。
2 Apple Pay风险分析
Apple Pay采用NFC近场通信技术,消费者只要将手机靠近标识有“闪付”或“云闪付银联”POS机,就可以实现指纹刷卡,过程中无须输入与绑定银行的任何信息,过程仅需要一两秒。除了在用户体验度上,Apple Pay有所改进,更重要的是Apple Pay注重保证交易的私密性及安全性,为苹果公司在iPhone的安全芯片中承载两类java卡应用程序。Apple Pay虽在支付宝的用户体验度及安全性上有所改进,但其自身依旧存在险,这是需要我们探讨的。
2.1 合规风险
Apple Pay是一种移动支付的方式,然而该支付方式进去中国的移动支付市场,是否应经过中国人民银行的审批许可,获得相应的支付业务的许可证书?Apple Pay作为一种和第三方支付机构拥有同样支付功能的移动支付方式,其能否安全规范运行,关系到公共安全及利益,必然也要受到中国人民银行的监管。 “××支付”是特指根据《中国人民银行法》和《非金融机构支付服务管理办法》等法律规章的规定,获得了《支付业务许可证》的支付机构。在中国人民银行网站的《支付业务许可证》核发信息公告中,并未发现有公司名称包含“苹果”或“APPLE”字样的公司存在。而银联,支付宝,财付通等,则是明确获得了上述《支付业务许可证》。由此可见,Apple Pay并没有获得支付业务许可证。并不独立的Apple Pay究竟是否需要获得支付业务的许可证书,笔者认为是有必要的,在Apple Pay没有获得相应的许可下,进入中国移动支付市场,经营支付业务,其本身已经纳入到了法律法规的容许范围,目前苹果公司是否应主动就获得安全评估和检测。而且在当下,苹果公司在运行过程中,应如何准守中国《国家安全法》、《反恐怖主义法》和《反洗钱法》,苹果能否主动进行安全检查,接受中国人民银行的监管,这是保证其合规的重要举措。
2.2 安全风险
Apple Pay 虽然在技术上使用了NFC近场支付技术,比支付宝,微信等第三方支付机构使用远程支付技术要安全的多,但也会有技术漏洞。
之前苹果系统出现的X code事件,就是黑客攻入苹果终端,恶意植入代码,窃取信息和远程控制的典型案例,表明了苹果用户终端会因为黑客的攻入而遭受信息泄露,远程控制的风险。其次,由于同一台苹果终端设备在Apple Pay上最多可绑定8张银行卡,而同一张银行卡可以在10台不同的苹果终端商进行绑定,而绑定银行卡的过程中,不需要对持卡人的姓名验证,也就是说苹果系统对于不同持卡人的银行卡可以绑定在同一苹果终端设备上不加以限制。所以非本人绑定的情况是可能的,那么就极易出现盗刷情形。
3 应对策略
支付宝和Apple Pay都是移动支付市场的主体,它们和其他众多的移动支付产品共组成成了移动支付市场,它们自身存在的风险,也代表整个移动支付市场存在的风险,那么针对这些风险,移动支付市场该采取哪些应对策略,具体应从以下几个方面着手。
3.1 强化合规监管
当前移动支付市场有众多产品未纳入法律法规的监管范围,它们不确定的性质状态必然会危及移动支付市场的稳定,从而难以确保用户的利益以及用户采取的相关救济措施。
首先,一些移动支付产品必须明确自身的主体性质是什么,是否为非金融机构,在没有获得支付业务许可下应尽快获得由中国人民银行颁发的《支付业务许可证》,让自身的运营管理纳入人民银行的监管范围内,从而使其运行有了约束机制,这样才能对用户的利益有所保障,有法可依。
其次,移动支付机构内部要完善风险防控,保证各项交易均符合法律法规。内控部门要建立相关风险的识别与预防机制,健全资金安全控制,账户安全控制,等。内控部门应根据《反洗钱法》制定相关的预防洗规章制度,对员工进行培训,防止出现疑似洗钱交易,从而加强行业自律。
移动支付行业也应建立自律性组织加强规范与协调,制定符合本行业发展的章程制度,将法律法规具体化,以便顺应不断发展的移动支付市场的要求以及移动支付用户的要求。移动支付机构也应配合自律性组织尽快出台行业的具体运行标准,并且能遵循该标准来规范自身的运营行为。
3.2 加强网络安全建设
加强移动支付的网络安全建设,最主要的是加强网络基础设施建设,由于移动支付的特殊性,完善软硬件设施显得尤为重要。
就硬件设施而言,支付宝目前存在的主要问题是当出现购物高峰期时,系统就会崩溃以及调单等事件的发生。Apple Pay存在的問题是系统升级成本较高,目前,具备闪付功能的银联POS机均支持Apple Pay功能,不法分子就有可能在POS机上做相关改动,恶意扣划资金。
就软件设施而言,移动支付资金沉淀以及其易受黑客攻入和木马病毒的侵入,使得资金和个人信息处于不安全的状态。因此,移动支付机构应致力于软件开发和升级,将用户的利益放在第一位,满足用户的支付需求,为客户提供良好的支付体验。同时,移动支付机构应着力于相关技术的研究,保证用户的支付安全和资金安全,使得移动支付市场朝着良好的方向发展。
参 考 文 献
[1] 李晓枫,汪东艳.Apple Pay安全机制分析——兼论对我国移动支付产业发展的政策启[J].金融电子化,2014(12):24-27.
[2] 胡刚.Apple Pay抢跑《网络安全法》[J].法网时空,2016(02):120-122.
[3] 方毅.Apple Pay进入中国,机遇还是挑战[J].市场研究,2016(02):001-003.
[4] 吕侃徽.支付宝交易中的安全问题研究[J].科技信息,2014(04):62-65.
[5] 关绍云,马慧颖.移动支付应用中的自我安全防范[J].中国对外贸易,2016(03):77.
课题项目:本项目由“大学生实践创新训练计划项目”资助,项目编号:201611287009Z。
作者简介:刘鑫(1992-)女,本科,南京审计大学,研究方向:法务金融;任子夜(1996-),女,本科,南京审计大学,研究方向:金融学;颜姚(1994-),女,本科,南京审计大学金融工程专业;胡晓雪(1995-),女,本科,南京审计大学审计学专业。
指导老师:严伟祥(1974-),男,博士,南京审计大学金融学院金融学专业,研究方向:资本市场与风险管理。