科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全支付宝微信崛起,支付业务中的监管失位却不可忽视

支付宝微信崛起,支付业务中的监管失位却不可忽视

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

快捷支付行为,存在如此多、如此大的隐患,而且可能造成巨量的资金损失,今天就着一个具体案例,再来说说支付业务中的监管失位。为什么说”再“呢,因为在我去年的文章中,已经提到了这个问题,并将其视为支付业务发展中最大的隐患。

来源:虎嗅网 2014年2月3日

关键字: 支付宝 微信 监管

  • 评论
  • 分享微博
  • 分享邮件
支付宝微信崛起,支付业务中的监管失位却不可忽视
今天就着一个具体案例,再来说说支付业务中的监管失位。为什么说”再“呢,因为在我去年的文章中,已经提到了这个问题,并将其视为支付业务发展中最大的隐患。
 
快捷支付(包括无卡支付),可说是当前最方便的银行卡支付方式,尤其是在移动互联网环境中,因为前期各方的技术储备不足,几乎是唯一的可用方式。
 
快捷支付相比传统支付而言,在用户侧是极其简单的,只需输入银行卡上的几个关键要素、卡主姓名与证件号、手机号,即可开通并支付、提现。其中,卡片要素也逐渐精简为只需要卡号即可,连传统的信用卡三要素都进一步省略了。
 
首先要夸一夸,这是一种进步和创新。在可控的风险下,为用户带来了最大程度的便利。什么叫可控风险呢?主要是基于移动时代的特征做出假设:手机是随身带的,通常不会随便借给别人,如果丢失了也可以迅速挂失补办。在此假设前提下,设计了这么一种:卡片、个人隐私(姓名与身份证)、常用辅助设备(手机)的三维分离式验证,风险模型确实成立,风险并不大。
 
当然,只想着正常情况是不够的,还要设计异常情况的处理办法,才能最大程度上将风险管控住。于是我们看到,大部分银行都提出了比较谨慎的支付限额,并在与用户的协议中明确权责、强调风险。鉴于银行的一贯特色,通常都是要求用户自行承担可能的损失的。虽然不爽,但是确实合理。既然想要得到一个更方便的支付能力,自然就要付出一些代价。
 
好吧,背景就描述到如此。回到主题,先说一说这套风险模型的天然不足之处。关键在于国内的信息安全环境较差,身份证被窃取、手机卡被复制等事情真的已经习以为常了,在上述风控模型下,只要被人盯上了,吃亏就属于必然。各种案例网上有很多,我就不赘述了。
 
而且,这跟前几年大家所讨论的信用卡被盗用还不一样。信用卡在中国这样的失信环境下,传统的三要素验证虽然非常危险,但至少是有国际处理办法作为参照依据的,只是国内银行做大爷惯了,迟迟不跟进而已。但是现在,快捷支付的风险已经远远超出了信用卡,扩展到了借记卡,而且产生了完全不同的风险漏洞,这就只能靠中国的监管自行来解决了。现状大家都看了,除了报警之后与银行扯皮,基本上无法可依。
 
不过,在我看来,上述这些都还是小事。更严重的在这呢——
 
快捷支付的时候,如果支付过程完全由银行监控,就像网银跳转一样,那总体来说安全还是有保障的,并且权责也相对容易界定清楚。但鉴于银行在移动互联网时代的迟钝落后,而且确实存在一定的技术门槛,要所有银行都能支持、并且商户愿意一家家去接入,也不太现实。那好吧,就由银联来做,大家也放心。事实上,银联也确实很积极,很早就整合银行推出了”无卡支付“,目前仍然是移动互联网远程支付的绝对主力之一,但是在涉及到风险责任的时候又怂了,又拿那套经典而老朽的发卡、清算、收单体系来说事,明面上把责任都归结到收单银行、收单银行再归结到商户,但事实上用户出问题了只会直接找发卡行,于是各种纠结……哎不说了。总之,就是各种原因下,银联积极创新了半步,又有理有据得停住了,完全无视这个新市场的真实需求。
 
于是,最早提出快捷支付的支付宝成了这个新兴的移动远程支付市场上最大的赢家,多好啊:用户方便、商户统一接入、支付宝还愿意承担责任(你敢付我敢赔)。接下来,就是微信5.0以后的微信支付,也是通过快捷支付的方式,迅速成为了新的有力竞争者。
 
可是,这时候支付过程就变味了。所有的敏感信息:卡号、姓名身份证、手机号都是在支付宝、微信的环境下填写输入的,连手机号的短信验证都是他们给代劳了,虽然有个不起眼的”用户协议“作为法律依据,但是他们就真的如此可信么?
 
抛开个人喜好不谈,先说事实:
 
1、支付宝、微信支付(财付通)的信息安全防护技术,是没有经过检测认证的。当然了,国内也没有这样的检测认证机构。但我想说的是:他们的安全,完全靠自觉,是没有任何公允的方式、或者担保机构来做保障的。事实上,前段时间的支付宝信息泄露已经闹得纷纷扬扬了。他们现在通过另一种方式来变相弥补:财产保险,虽然说用户的安全“错觉”更好了,但并没有解决本质问题。而且,你如果真的去申请一次“你敢付我敢赔”,就知道有多郁闷了。
 
2、支付宝、微信支付完全有能力不经过用户同意,直接扣款。请注意:我说的是”有能力“,而非他们现在已经这么做了。估计很多朋友也会有同样的认知,比如你在支付宝快捷支付中绑定了很多银行卡,当支付宝向你突然发短信”是否愿意支付XXX”时,你回答是,银行卡就被扣款了;或者声波支付时,你同意付款,银行卡就被扣款了。也许你不在意,甚至觉得他很合理,但是请再认真想一想,如果是从你的支付宝账户余额、余额宝、集分宝中扣款,我觉得都能接受;但是从你的绑定银行卡中扣款,且如果第一张卡中没钱,会自动从有钱的某张卡中扣款。你真觉得,你给支付宝有过这么大的授权么?
 
3、如果出现某家公司,与支付宝、微信深入合作,那完全有可能在所有人都不知道的情况下,获取到这些敏感信息,并天然具备从用户银行卡扣费的能力,且无迹可寻。
 
在这里,我不想多议论支付宝、微信公司是否合法合理,有句话说的好:存在即合理。更何况有这么多人愿意如此,相对银行、银联而言,可能绝大多数人更愿意把信息主动泄露给支付宝和微信。
 
但是,这其实是监管失位的问题,这种支付行为,存在如此多、如此大的隐患,而且可能造成巨量的资金损失。这种风险,不能依赖于某某公司的道德,更不能推诿给市场和用户,而应在初期还能管控的情况下,提出合理合规的条令并监督执行,帮助和保护这样的创新能够持续发展下去。
 
比如:
1、对收集银行卡信息的过程,应进行严格规定和检测。支付公司不得存储这些信息,只能以加密的方式传给发卡行;出现账户问题时,发卡行承担首要查询责任,并追责至支付宝等支付公司;
 
2、对手机号短信验证,这样的核心验证机制,一定不能开放给支付公司,必须由银行自行验证。或者也可以委托给中国银联,或其他公允的第三方机构。银行应将验证信息全部备案,监管机构定期核查,确保银行没有违规授权。
 
这,才是监管机构应该做的事。
 
否则,随着这种模式完全盛行和普及、治无可治的时候,一旦出现集中爆发的问题(简直是必然的),监管机构能做的只能是强行关停和谴责支付公司了。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章