沈志翔

揚州市人民檢察院，江蘇　揚州　225000

?

論快捷支付業(yè)務的風險及防控

沈志翔

揚州市人民檢察院，江蘇揚州225000

快捷支付業(yè)務具有一次認證、無使用門檻、無終端平臺限制的優(yōu)點，也存在身份驗證強度不足、支付軟件存在安全風險、個人信息易泄漏的問題。本文從支付軟件使用者風險防范意識的提高、軟件開發(fā)者責任意識的增強與技術手段的改進、政府有關部門對第三方支付平臺監(jiān)管的強化、立法與司法的完善等四個方面提出建議，以期為快捷支付業(yè)務的健康發(fā)展提供借鑒。

快捷支付；便捷性；風險性；風險防控

2015年“雙十一”天貓平臺全天交易額突破912.17億，其中移動端交易占比68%。同日，京東移動端產品下單量也迅速增長，移動訂單占比達74%。蘇寧易購全網(wǎng)銷售訂單量同比增長358%，移動端訂單量占比67%。①移動端交易飛速增長的背后是快捷支付方式的大范圍普及。

一、快捷支付的便捷性

“快捷支付”由支付寶公司2011年4月18日首次宣布并推出，是一種新型的互聯(lián)網(wǎng)支付模式。與傳統(tǒng)的網(wǎng)銀支付模式相比，快捷支付具有以下特征：

(一)一次認證

用戶在首次使用該業(yè)務時，需要支付平臺與綁定的銀行賬戶通過有效身份證件、手機號碼、銀行賬戶等信息進行身份認定。此后，用戶再次發(fā)生支付行為時，只需輸入支付平臺注冊信息進行校驗即可實現(xiàn)支付。快捷支付節(jié)省了交易時間，降低了交易復雜度，優(yōu)化了用戶體驗，在互聯(lián)網(wǎng)小額支付領域有極大的市場空間。

(二)無使用門檻

相對于傳統(tǒng)的網(wǎng)上銀行業(yè)務，快捷支付業(yè)務的開通與身份認證一般沒有簽訂書面開通協(xié)議、紙質授權等程序，所有操作均在線完成。在支付過程中，也無需在移動終端安裝安全控件或使用U盾、電子動態(tài)密碼器等軟硬件要求。消費者只要有銀行卡，即可通過相關操作完成支付。

(三)無終端平臺限制

伴隨移動通信技術的發(fā)展，手機、平板電腦等移動終端作為支付媒介正被越來越多的用戶接受。與傳統(tǒng)的網(wǎng)銀支付不同，快捷支付無復雜的安全政策限制，交易時也無需插入硬件設備進行身份認證，可以在不同的操作系統(tǒng)和瀏覽器上進行操作，這一特征使得快捷支付可應用于移動終端，為使用移動終端購物創(chuàng)造了條件。

二、快捷支付的風險性

快捷支付在擁有極大便捷性的同時也存在諸多風險，主要有以下方面：

(一)身份驗證強度不足

如前所述，用戶僅在首次使用快捷支付業(yè)務時需要進行嚴格的身份認證，而后只需輸入支付平臺注冊信息進行校驗即可完成支付，本質上是一種基于“what you know”的驗證手段。②這類驗證方式存在認證強度低的問題。一旦支付密碼被非法獲取，用戶的資金將面臨被轉移的風險。相比之下，用戶在使用網(wǎng)銀進行支付時，需要插入硬件設備完成身份認證，雖然流程略微繁瑣，但認證強度較高，可靠性更強。

(二)個人信息易泄漏

在快捷支付業(yè)務未推出時，“支付寶”等第三方平臺僅承擔在線購物的轉接支付職能，扮演擔保網(wǎng)上交易的“第三人”角色。但在快捷支付業(yè)務出現(xiàn)之后，網(wǎng)銀的登錄程序被排除在支付環(huán)節(jié)之外，銀行從承接用戶支付結算業(yè)務的臺前退居第三方清算的幕后，被動處理來自支付機構的指令，不再對交易用戶的身份進行認證。大量的用戶資料從銀行流入支付機構。支付機構如在未經客戶授權的情況下，將信息挪作他用，將帶來嚴重的法律風險。

(三)支付軟件存在安全風險

快捷支付功能的實現(xiàn)需要借助于支付軟件。用戶一般通過互聯(lián)網(wǎng)從應用平臺上將支付軟件下載到個人終端上使用。目前，互聯(lián)網(wǎng)上大量存在的第三方下載平臺由于缺乏嚴格的審核機制，為惡意軟件和山寨應用提供了生存的土壤。不法分子通過對支付軟件進行修改，植入木馬或其他惡意程序，后上傳至下載平臺供用戶使用。用戶一旦使用惡意軟件，個人財產即面臨被盜的可能。

三、風險防控

如何在享受快捷支付帶來便利的同時規(guī)避財產安全風險是我們需要探討的問題，筆者提出以下幾點：

(一)支付軟件使用者風險防范意識的提高

案例表明，支付軟件的使用者之所以遭受財產損失主要是由于不注意保護個人信息，以至于不法分子能夠輕易獲知其賬號和密碼。因此，在日常使用各類支付軟件的過程中，用戶要不斷提高風險防范意識并掌握一定的應急處理技能。例如，用戶要不定期地修改支付密碼，并避免使用生日、手機號碼、身份證號碼等易于被他人獲知的信息作為密碼。同時，用戶還可以將已開通快捷支付功能的銀行卡設置每日交易限額，以便在賬戶被盜時最大限度地減少財產損失。在發(fā)現(xiàn)自己的賬戶發(fā)生異常情況時，也可通過支付寶登

陸頁面輸入賬號，“三次”輸入錯誤密碼進行賬號的臨時凍結，然后聯(lián)系支付寶客服確認賬戶的資金情況。③

(二)軟件開發(fā)者責任意識的增強與技術手段的改進

針對不法分子通過篡改支付軟件、植入木馬病毒被害人財產的情況，軟件的開發(fā)者和提供者應當加強配合，共同對軟件的安全性進行升級和維護。具體來說，軟件提供者如蘋果公司的apple store、谷歌公司的google store應當在軟件開發(fā)者將具有快捷支付功能的軟件提交審核時采取技術手段進行安全性檢測，確保其未攜帶木馬病毒或者存在安全漏洞。同時，軟件提供者還應當對軟件開發(fā)者的身份進行審查，登記其身份信息、IP地址等，以便將來查找。在此過程中，軟件開發(fā)者應當積極配合軟件提供者對支付軟件安全性的檢測，并對軟件提供者提出的疑問作出解釋。

(三)政府有關部門對第三方支付平臺監(jiān)管的強化

目前，我國對于第三方支付平臺的監(jiān)管規(guī)則、準入門檻等內容則尚無明確規(guī)定。這一漏洞使得不法分子有機可趁。因此，現(xiàn)階段應對第三方支付企業(yè)設立準入門檻，進行資質審核，比照金融機構對其注冊資本、內控制度、公司治理結構等提出要求，并建立行業(yè)規(guī)范，對第三方支付的模式、渠道和結算方式進行管理。④值得慶幸的是，我國將加強互聯(lián)網(wǎng)立法，依靠嚴密的的法律網(wǎng)來打造規(guī)范的互聯(lián)網(wǎng)。

(四)立法與司法的完善

目前，在實體法方面，我國現(xiàn)行刑法規(guī)定過于籠統(tǒng)、抽象，難以為打擊與預防利用第三方支付平臺侵害用戶財產權益的犯罪行為提供法律依據(jù)。因此，“兩高”應當在法律尚未修改前，及時發(fā)布司法解釋，為各級司法機關打擊相關犯罪提供依據(jù)。同時，立法機關也應當適時修改刑法，使刑法在打擊此類犯罪的過程中更具針對性和明確性。在程序法方面，盡管《刑事訴訟法》第四十八條第二款第(八)項將電子數(shù)據(jù)確立為一類刑事訴訟證據(jù)，但由于電子證據(jù)具有易剪裁、拼湊、篡改、添加等特點，因此，司法機關在如何采信電子證據(jù)方面可借鑒的經驗并不多，往往表現(xiàn)出“猶豫”的態(tài)度。⑤而在利用第三方支付平臺侵害用戶財產權利的案件中，司法機關所能獲得的主要證據(jù)就是電子數(shù)據(jù)。所以，司法機關也應當進一步加強對證據(jù)標準的探討，明確定罪證據(jù)的規(guī)格，強化對新類型證據(jù)的收集、審查能力。

[注釋]

①2015天貓雙十一移動平臺交易額數(shù)據(jù)[EB/OL].http：//www.cnrencai.com/bbs/271850.html，2016-7-1.

②吳曉光.快捷支付業(yè)務風險及防控策略分析[J].金融與經濟，2013，5：62.

③李星廷.支付寶快捷支付與盜竊銀行卡資金犯罪[J].河北公安警察職業(yè)學院學報，2014(1)：26.

④王罡，李鍇樂.網(wǎng)絡第三方支付的風險及監(jiān)管[J].中國證券期貨，2007(3)：24.

⑤張曉敏.利用木馬軟件騙取賬戶密碼竊取錢財[N].人民法院報，2013-1-10.

F832.2

A

2095-4379-(2016)27-0122-02

沈志翔，男，江蘇揚州人，中國政法大學法律碩士，揚州市人民檢察院工作。