物聯傳媒 旗下網站
登錄 注冊
RFID世界網 >  新聞中心  >  行業動態  >  正文

第三方支付整改在即 安全問題遭拷問

作者:千陽
來源:賽迪網
日期:2010-08-25 13:25:52
摘要:第三方支付方式雖然方便快捷,但由于當前我國電子支付方面的法律較為滯后,對第三方支付市場監管不夠,法律地位和責任均不明確,目前存在的300多家第三方支付產品質量參差不齊,魚龍混雜,用戶的交易安全和個人信息存在很大的風險。
  隨著電子商務的發展,電子支付以方便快捷的特點正逐漸替代傳統的網絡支付方式(如電話、傳真、郵局匯款,銀行轉帳、匯款等),成為人們網絡交易中普遍接受的方式。電子支付比重最大的是POS機消費,其次是網上支付,而第三方支付是網上支付很重要一部分。

  根據中國人民銀行2009年的統計,我國已經有各類電子支付企業300多家,大多集中在北京、上海、廣東等經濟發達地區,業務種類覆蓋網上支付、電子貨幣發行與清算、銀行卡和票據跨行清算及集中代收付等各種業態。根據易觀國際2010年2月發布的統計數據,2009年全年中國第三方支付交易規模達到5808.4億元;2010年第一季度國內第三方支付市場規模達2081.6億元,其中互聯網支付達1999.4億元,環比增長13%;預計到2012年,第三方支付市場的規模有望達到12000億元。

  第三方支付方式雖然方便快捷,但由于當前我國電子支付方面的法律較為滯后,對第三方支付市場監管不夠,法律地位和責任均不明確,目前存在的300多家第三方支付產品質量參差不齊,魚龍混雜,用戶的交易安全和個人信息存在很大的風險。主要問題集中在以下幾個方面:

  (1)網絡釣魚導致賬戶信息泄露

  網絡釣魚是在網上支付中常見一種攻擊方式,據稱9成網民遇到過網絡釣魚,其發生率已超過木馬,成為危害最大的一種安全威脅。其模式一般為,用戶進行網上交易進入支付環節時,被誘導點擊不安全的鏈接,進入與網銀登錄界面幾乎一樣的偽造界面,輸入用戶名和密碼登錄后,其銀行賬戶和密碼就被偽造頁面的惡意用戶全部獲取。

  這種方式非常隱蔽,警惕性不高的用戶往往在賬戶內的資金發生較大改變時才會發現,造成的后果非常嚴重。

  造成網絡釣魚的原因可能有二:一是該第三方平臺本身存在安全漏洞,被惡意用戶利用篡改了正常的頁面,或利用平臺賬戶發送了偽造的電子郵件誘導用戶中招;二是用戶安全意識不足,輕信賣家提供的鏈接或電子郵件,主動點擊了不安全的頁面。

  (2)未提供安全的登錄方式導致賬戶信息被盜

  使用HTTPS安全登錄可以很大程度上保障用戶在登錄過程中的安全性,目前規模較大的、用戶數量較多的支付平臺都采用這種安全登錄方式,但仍有不少小網站未采用此方式,一旦被惡意用戶盯上,該平臺上賬戶信息被盜取的風險極大。

  (3)第三方支付平臺的設計問題導致信息泄露

  目前不少大型第三方支付平臺要求用戶提供真實姓名、聯系方式、住址、銀行賬號甚至身份證復印件,作為交易雙方信用擔保的憑證,這是一把雙刃劍,一旦網站設計有疏漏,這些信息很容易泄露。

  另外一個例子,百度通過圖片上的關鍵字抓取信息,某交易網站—第四媒體分類信息網—了難網”由于安全保密措施不足,用戶提交的身份證信息被百度抓取,放在互聯網上任人查閱。

  據有關資料顯示,2006年6月,由于安全漏洞被利用,某第三方支付公司的數據被竊取,約4000萬張信用卡資料被泄露,有人甚至在網上公開出售這些信息。

  (4)第三方支付平臺隱私政策不合理

  由于第三方平臺掌握了大量用戶的真實信息,它除了應采用技術手段進行保護之外,還應該以文件、政策或公告的方式在網站上公開對用戶信息進行安全承諾。

  但目前網站隱私政策的普遍不完整,內容不合理,免責條款過多,不少網站公然將黑客、病毒等引發的安全問題當做“不可抗力”,推卸責任。用戶為了使用其服務只能同意該條款,導致發生問題時維權艱難。

  (5)網站服務終止或權利人發生轉移時個人信息不能得到保護

  由于目前第三方支付行業競爭激烈,《非金融機構支付服務管理辦法》實施之后,一些競爭力不足的機構必將被淘汰,這些公司掌握的用戶信息應該屬于保密信息予以嚴格保護,但第三方平臺普遍都沒有這方面的承諾,甚至有的網站將“本網站可以隨時終止服務”作為服務協議的一部分迫使用戶默認。

  2009年10月,工業和信息化部發布《個人信息保護指南》(征求意見稿)(簡稱《指南》),針對使用信息系統的企事業單位進行的個人信息處理行為進行了規定,是第一個專門轉對個人信息保護制定的指導性文件。《指南》規定相關企事業單位應制定完善、合理的個人信息保護政策;在信息收集、存儲、交換、轉移、披露、公開、傳輸、交換、刪除、銷毀等等針對信息所進行的所有行為中,保障個人信息安全;對個人信息管理單位內部機構、風險管理、內控機制等進行了規定。

  其次,為了規范第三方支付市場,保障網民利益,中國人民銀行于2010年6月21日發布《非金融機構支付服務管理辦法》,對第三方支付機構的資質、安全要求等進行了規定,并將于2010年9月1日正式執行。

  辦法規定,辦法實施前已經從事支付業務的非金融機構,應當在辦法實施之日起1年內申請取得《支付業務許可證》;逾期未取得的,不得繼續從事支付業務。 辦法第三十二條:“支付機構應當具備必要的技術手段,確保支付指令的完整性、一致性和不可抵賴性,支付業務處理的及時性、準確性和支付業務的安全性;具備災難恢復處理能力和應急處理能力,確保支付業務的連續性。”,其次,支付機構應當依法保守客戶的商業秘密,不得對外泄露。法律法規另有規定的除外。

  國內支付企業從出生之日就處于監管的灰色地帶,涉黃、涉賭、欺詐等行為給支付企業帶來巨大的風險和壓力,有些支付企業甚至違法參與網絡賭球等行為。新規實施在即,第三方支付要想順利獲得“牌照”必先自檢。同時,辦法的出臺,也客觀上促使支付企業進一步加強內控管理,避免卷入黃、賭、毒中,更好的為廣大商戶和消費者服務。