李松濤,危懷安
(華中科技大學公共管理學院,武漢430074)
我國第三方支付市場取得了世界矚目的高速發(fā)展,在市場規(guī)模、產(chǎn)品創(chuàng)新和服務客戶數(shù)量方面都進入世界前列。但是在第三方支付行業(yè)繁榮的背后,也存在著網(wǎng)絡欺詐、身份盜竊、個人信息泄露、惡意軟件破壞、操作系統(tǒng)漏洞等信息安全管理問題。因此,對第三方行業(yè)信息安全實施必要的監(jiān)管是行業(yè)參與方和專家學者的共同認識。
國內(nèi)外學者們對第三方支付行業(yè)信息安全監(jiān)管進行了一定的研究。張?zhí)鞈c(2014)從第三方支付平臺的角度對安全問題進行了總結(jié),并針對一些問題提出相應的建議。周永戰(zhàn)(2012)以第三方支付平臺為研究對象,采用以定性為主的研究方法,探索對第三方支付平臺進行信息安全等級保護監(jiān)管的監(jiān)管粒度及其在檢查中的應用問題。謝增波(2014)從第三方支付機構(gòu)的硬件、軟件和網(wǎng)絡三個方面進行分析,提出加強系統(tǒng)安全管理、完善用戶認證機制、建立嚴格的內(nèi)控制度等建議。孫林(2015)從列舉支付服務系統(tǒng)和買賣雙方的終端系統(tǒng)等技術(shù)風險,人為錯誤或者故意為之的操作風險,建議加強軟硬件建設,防控技術(shù)及操作風險。楊丹丹(2015)梳理出第三方支付的各類風險,使用相關回歸分析出第三方支付風險管理影響因素之間的相互關系,并提出實踐建議。雷志高和魏恒順(2014)分析了第三方支付行業(yè)信息安全所存在的漏洞,建議從立法的角度完善第三方支付信息安全監(jiān)管制度。目前針對第三方支付信息安全監(jiān)管的研究主要是從監(jiān)管機構(gòu)和第三方支付機構(gòu)兩個角色出發(fā),實施有效履行監(jiān)管機構(gòu)所要求的信息安全監(jiān)管政策,監(jiān)管客體本身存在的信息安全漏洞等方面的定性分析。但是,對第三方支付市場存在的信息安全問題的成因缺少相應的研究,也缺少第三方支付市場所有參與角色對第三方支付市場信息安全成因的定量分析和各元素的效用分析。
本文以第三方支付市場各角色為調(diào)查目標,對調(diào)查結(jié)果中的數(shù)據(jù)進行清理和統(tǒng)計,運用結(jié)構(gòu)方程模型進行了多元化數(shù)據(jù)分析,剖析各元素對第三方支付市場問題的效用。提出適合我國國情的第三方支付信息安全監(jiān)管的對策,并給出第三方支付信息安全監(jiān)管傾向和監(jiān)管力度的建議。
為了精確了解監(jiān)管機構(gòu)、第三方支付公司和個人客戶對第三方支付市場信息安全問題的成因,特設計此問卷。根據(jù)研究的需要,本文設計了3個潛在變量和12個觀察變量,采用李克特五級量表進行測量。
此問卷的調(diào)查對象分為監(jiān)管機構(gòu)、第三方支付機構(gòu)和個人客戶。監(jiān)管機構(gòu)包含:中國人民銀行、中國銀監(jiān)會、工信部、公安部、工商行政總局、商務部的總部及下屬機構(gòu)的監(jiān)管人員。這些監(jiān)管人員職位從廳局級干部到普通科員,其職責范圍主要包括第三方支付機構(gòu)管理、支付結(jié)算管理、信息安全管理、網(wǎng)絡安全管理等。第三方支付機構(gòu)包含:根據(jù)機構(gòu)2015年網(wǎng)上支付業(yè)務規(guī)模、市場影響力以及地區(qū)布局,選擇中等規(guī)模(網(wǎng)上支付市場份額排名前50名)以上,且覆蓋北京、上海、廣州和深圳幾個重要區(qū)域的20家第三方支付機構(gòu)。個人客戶包含:年齡要求在18~60歲之間且各年齡段都要覆蓋,具有網(wǎng)上購物和支付經(jīng)歷,并對網(wǎng)絡信息安全有一定了解的50~60名個人客戶。調(diào)研對象的男女性別盡可能等比分布,所在城市要覆蓋北京、上海、廣州和深圳,且包括縣域地區(qū)的客戶。
本調(diào)查問卷共設計了12個題項,如下頁表1所示。題目全部采用李克特五級量表測量,要求答題者回答每一項對于第三方支付市場信息安全問題的影響程度,從1到5(分別代表:非常同意、比較同意、一般同意、比較不同意、非常不同意)選擇自己同意的選項。
表1 第三方支付市場信息安全問題影響因素
模型的有效性分析主要包括問卷的信度與效度檢驗兩方面。信度指的是測驗結(jié)果的一致性程度或者可靠性程度,信度檢驗主要分為兩類:外在信度檢驗和內(nèi)在信度檢驗。內(nèi)在信度檢驗指在給定的相同條件下,資料收集、分析和解釋能在多大程度上保持一致,最常用的內(nèi)在信度系數(shù)為Alpha系數(shù)。一般而言,如果內(nèi)在信度系數(shù)在0.8以上,則可認為這一組問題有較高的內(nèi)在一致性;如果內(nèi)在信度系數(shù)在0.6到0.8之間,表示內(nèi)在一致性較好;如果低于0.6表示內(nèi)部一致性較差。外在信度檢驗指在不同時間對同批被調(diào)查者實施重復調(diào)查時,評價結(jié)果是否具有一致性。
本文主要從問卷內(nèi)在信度檢驗角度進行分析。通過SPSS 22統(tǒng)計分析軟件對調(diào)研問卷中采用李克特五級量表的判別題項進行了總體信度檢驗,通過可靠性分析可以看出,該量表的總體信度克朗巴哈系數(shù)信度系數(shù)為0.848,其標準化后的克朗巴哈系數(shù)系數(shù)為0.857,說明問卷整體具有較高的可信度。因此根據(jù)此問卷調(diào)查得到的數(shù)據(jù)是可信的,基于問卷進行的數(shù)據(jù)統(tǒng)計分析結(jié)果也是可靠的。刪除各觀察變量后的信度分析結(jié)果如表2所示。
表2 刪除各觀測變量后的信度分析結(jié)果
從表2可以看出,刪除各觀測變量后的克朗巴哈系數(shù)都比原量表的克朗巴哈系數(shù)0.848小,說明不需要刪除題項來提高信度。
效度檢驗主要是指問卷取樣的足夠度,本文所進行的效度檢驗主要通過檢驗因子分析適用性來進行。通過SPSS 22軟件對調(diào)研問卷進行因素分析,采用KMO度量和巴特利特球形度檢驗對李克特五級量表的判別題項進行內(nèi)容效度分析可以看出:總體樣本KMO度量為0.915,遠大于0.5的經(jīng)驗值,說明變量間的共同因素很多,適合進行因子分析,該問卷具有很好的取樣足夠度。另外,巴特利特球形度檢驗的近似卡方值為187.937,自由度為66,顯著性為0.000,顯著性小于0.001,拒絕了相關系數(shù)矩陣為單位矩陣的原假設,說明適合進行因子分析,該問卷具有良好的效度。
本文通過結(jié)構(gòu)方程模型對第三方支付市場信息安全問題影響因素的理論假設進行驗證性因子分析,驗證各個變量之間的關系。以12個觀測變量為建構(gòu)基礎,驗證3個潛在變量(監(jiān)管機構(gòu)因素、個人客戶因素和第三方支付機構(gòu)因素)的關系,采用Amos21軟件建模,如圖1所示。
圖1 第三方支付市場信息安全問題成因
本文將調(diào)查問卷的原始數(shù)據(jù)讀入Amos 21軟件,計算估計值后輸出報表內(nèi)容,對模型進行分析。
(1)模型參數(shù)顯著性檢驗
通過解讀報表的未標準化回歸系數(shù)表分析模型圖載荷系數(shù)的顯著性,如下頁表3所示。
從表3可以看出,模型中臨界比率值均大于2.58,則均滿足顯著性水平小于0.01,說明模型中的所有載荷系數(shù)在0.01水平下與零有顯著性差異。其中,只有人為的無意操作失誤對于個人客戶的顯著性水平略大于0.001,其他載荷系數(shù)的顯著性水平均小于0.001,說明模型中的載荷系數(shù)差異比較顯著。
(2)模型擬合度檢驗
如下頁表4所示,為輸出報表的擬合度指標,各種指標均呈現(xiàn)出三種模型:預設模型、飽和模型、獨立模型。
表3 非標準化回歸系數(shù)(第1組-預設模型)
表4 卡方差異值
從表4可以看出,模型絕對擬合度指標的卡方差異值χ2=13.606,自由度df=51,二者的比值為χ2/df=0.267,滿足理想值(小于3),表示模型與數(shù)據(jù)配合程度很好。顯著性P=1.000,大于0.05,故可判斷該模型適合數(shù)據(jù)。
從表5、表6可以看出:模型的絕對擬合度指標均方根殘差=0.048,小于標準值0.05;擬合優(yōu)度指數(shù)=0.961,大于標準值0.9;近似誤差均方根=0.000,接近于0,小于標準值0.1;接近適合性檢驗的概率=1.000,大于0.05。故可接受“近似誤差均方根小于0.05”的虛無假設,可以判斷模型具有良好的擬合度。
表5 均方根殘差,擬合優(yōu)度指數(shù)
表6 近似誤差均方根
從表5和表7可以看出:模型的調(diào)整擬合優(yōu)度指數(shù)=0.941,大于標準值0.9;基準化擬合指數(shù)=0.934,大于標準值0.9;相對擬合指數(shù)=0.914,大于標準值0.9;比較擬合指數(shù)=1.000,大于標準值0.9;增量擬合指數(shù)=1.243,大于標準值0.9,略高于1。說明模型具有良好的擬合度。
表7 基準比較
(3)模型潛在變量信度檢驗
潛在變量的建構(gòu)信度是模型內(nèi)在質(zhì)量的判斷標準之一。若潛在變量的建構(gòu)信度大于0.60,則表示模型的內(nèi)在質(zhì)量良好。通過完全標準化系數(shù)值估計值可用來計算潛在變量的組合信度,也即建構(gòu)信度。通過Amos 21軟件輸出所建模型標準化回歸系數(shù)值如表8所示。
表8 標準化回歸系數(shù)(第1組-預設模型)
建構(gòu)信度計算公式如下:
其中,pc為建構(gòu)信度;λ為指標變量在潛在變量上完全標準化參數(shù)估計值(因素負荷量或回歸系數(shù));θ為觀察變量的誤差變異量,也就是δ與ε的變異量。
在所建模型中,“監(jiān)管機構(gòu)因素”這個潛在變量的建構(gòu)信度是:
同樣的計算方法計算“第三方支付機構(gòu)因素”與“個人客戶因素”這兩個潛在變量的建構(gòu)信度分別是0.69與0.63。三個潛在變量的建構(gòu)信度均比標準值0.6略高,說明模型內(nèi)在質(zhì)量良好。
(4)第三方支付信息安全問題成因影響比重分析
為了解監(jiān)管部門對目前國內(nèi)導致第三方支付市場信息安全問題主要原因的基本看法,模型設計三個潛在變量:“監(jiān)管機構(gòu)因素”“第三方支付機構(gòu)因素”“個人客戶因素”,分別對應十二個觀察變量:“利用網(wǎng)絡攻擊和病毒竊取信息”“支付機構(gòu)信息安全系統(tǒng)不完善”“支付機構(gòu)信息安全風控缺失”“支付機構(gòu)存儲大量敏感客戶信息”“目前政府部門監(jiān)管力度還不夠”“多個管理部門沒有形成監(jiān)管合力”“對信息安全違規(guī)、違法處罰太輕”“相關法律制度和有效監(jiān)管措施缺乏”“管理模式滯后于新技術(shù)發(fā)展和業(yè)務創(chuàng)新”“社會公眾信息安全保護意識不強”“人為的無意操作失誤”“利用網(wǎng)絡攻擊和病毒竊取信息”,利用李克特五級量表進行問卷調(diào)查并進行了建模分析變量之間的關系。
從表8可以得出,“多個管理部門沒有形成監(jiān)管合力”對“監(jiān)管機構(gòu)因素”的影響最大,其次是“支付機構(gòu)信息安全風控缺失”對“第三方支付機構(gòu)因素”的影響和“社會公眾信息安全保護意識不強”對“個人客戶因素”的影響,說明“監(jiān)管機構(gòu)”“第三方支付機構(gòu)”“個人客戶”三個參與方均對第三方支付市場信息安全問題有重要影響。其中,監(jiān)管機構(gòu)的影響最大,而在監(jiān)管機構(gòu)的影響中,“多個管理部門沒有形成監(jiān)管合力”“相關法律制度和有效監(jiān)管措施缺乏”“對信息安全違規(guī)、違法處罰太輕”三個因素影響又最大。
根據(jù)結(jié)構(gòu)方程模型的分析數(shù)據(jù)得出:此次問卷調(diào)查的各觀察變量對潛變量有著顯著影響,并且調(diào)查問卷數(shù)據(jù)和模型的擬合度較好,模型的內(nèi)在質(zhì)量良好。適合使用本次問卷調(diào)查的數(shù)據(jù)和模型對第三方支付信息安全問題成因進行多元化的分析和數(shù)據(jù)挖掘,本文建議:
(1)建議多個監(jiān)管部門通力合作,形成監(jiān)管合力,一起承擔監(jiān)管責任,對第三方支付機構(gòu)的信息安全進行監(jiān)管,發(fā)揮多部門聯(lián)合監(jiān)管的系統(tǒng)化治理作用,在各自規(guī)制領域的基礎上形成信息共享、目標統(tǒng)一的監(jiān)管機制,將可以很大降低第三方支付機構(gòu)在信息安全方面規(guī)避監(jiān)管的可能性。因此,人民銀行、公安部門、工商局、工信部以及銀監(jiān)會應協(xié)調(diào)多方監(jiān)管力量,共同承擔監(jiān)管責任,共同加強對第三方支付機構(gòu)的信息安全管理,發(fā)揮多部門聯(lián)合監(jiān)管的系統(tǒng)化治理作用。
(2)要求第三方支付機構(gòu)必須健全信息安全風險控制機制,完善支付機構(gòu)信息安全系統(tǒng),嚴格遵守我國對第三方支付市場實施的法律法規(guī),明確第三方支付機構(gòu)信息安全管理細則以及人員、系統(tǒng)資源投入要求。必須制定信息安全風險事件應急預案和提取信息安全風險補償金,央行和行業(yè)協(xié)會協(xié)會建立第三方支付機構(gòu)信息安全評級標準,定期評比獎勵和處罰;同時,第三方支付機構(gòu)也需要提高自己的軟件、硬件。管理水平來應對外部網(wǎng)絡威脅,減少信息風險攻擊事件,進一步完善信息安全風險管控機制。
(3)加強社會公眾網(wǎng)上個人信息保護意識和維權(quán)手段的教育,提高用戶的安全意識。
(4)在第三方支付信息安全領域中,監(jiān)管機構(gòu)應起主導作用,除了多個監(jiān)管部門需要通力合作形成監(jiān)管合力之外,還需要監(jiān)管部門制定相關法律制度和有效監(jiān)管措施;對第三方支付機構(gòu)信息安全違法事件加大處罰,明確的處罰責任,加大第三方支付機構(gòu)的違法成本。因此,針對第三方支付機構(gòu)信息安全違法情況,設置不同程度的罰款的行政處罰,甚至對于大范圍和數(shù)據(jù)極大的信息泄漏風險事件。除了處罰意外還要責令第三方支付機構(gòu)停業(yè)整改,即加大違規(guī)行為的處罰力度。
[1] Babbie E.The Practice of Social Research[J].Wadsworth Publishing Co Inc,2012.
[2] Abdul J K,et al.Information Security and Mutual Trust as Determin?ing Factors for Information Technology Outsourcing Success[J].Afri?can Journal of Business Management,2012,6(1).
[3] Akindemowo E.Recalibrating Abstract Payments Regulatory Policy:A Retrospective After the Dodd-Frank Act[J].Kansas Journal of Law&Public Policy,2011,6(21).
[4] 袁方.社會研究方法教程[M].北京:北京大學出版社,2013.
[5] 薛薇.統(tǒng)計分析與SPSS的應用[M].北京:中國人民大學出版社,2014.
[6] 張小山.社會統(tǒng)計學與SPSS應用[M].武漢:華中科技大學出版社,2010.
[7] 榮泰生.AMOS與研究方法[M].重慶:重慶大學出版社,2016.
[8] 張?zhí)鞈c.第三方支付機構(gòu)信息安全問題分析[J].信息網(wǎng)絡安全,2014,(7).
[9] 周永戰(zhàn).第三方支付平臺信息安全等級保護監(jiān)管粒度及其應用探析[D].北京:北京大學碩士論文,2012.
[10] 謝增波.第三方支付的風險管理研究[D].北京:北京郵電大學碩士論文,2014.
[11] 孫林.我國互聯(lián)網(wǎng)金融之第三方支付的風險評價與控制研究[D].太原:山西財經(jīng)大學碩士論文,2015.
[12] 楊丹丹.第三方支付風險管理實證研究[D].北京:首都經(jīng)濟貿(mào)易大學碩士論文,2015.
[13] 雷志高,魏恒順.第三方支付的信息安全法律風險分析[J].信息網(wǎng)絡安全,2014,(11).