來源：一個人的獨立書評與思考 作者：大師兄

　　互聯網的特點之一，是讓壞事傳播得很快，而壞事之一的支付安全事件，因與金錢的關系，備受社會關注，所以轟動效應很強。其實互聯網支付安全這個問題，從發展上來說還是個新事物，是時代與社會發展中，新老交替的必然產物。

　　總體來說，互聯網時代里的支付安全問題產生來自二個根源。一是傳統現金與銀行卡安全體系不適用于互聯網時代，是老舊的體系服務于新時代里的新事物。在銀行與銀聯提供支付服務的時代里，個人支付依賴現金與銀行卡，現金的支付安全基本無需考慮，社會將大眾教育的很好，如何保護現金安全與識別偽鈔的教育工作至今仍持續著。銀行卡雖然推廣二十余年，但因其服務較為封閉，僅限于銀行網點、專業設備、銀行網站范圍內使用，用戶使用的便捷性很差，也因為這種便捷性的喪失，支付安全環境整體上能得到較好的保障。隨著互聯網時代電子商務的興起，交易行為由原來的線下，轉為交易雙方不見面的互聯網上，這種新興的電子商務交易服務是銀行與銀聯不擅長的，銀行和銀聯的技術與服務體系都是為支付結算搭建的，正是這種新生事物與老體系的不對稱，使得基于互聯網交易支付結算服務的另一新生事物-第三方支付出現。第三方支付是為互聯網上的交易而生，所有的服務也基于交易的需求設計，為了便于交易，支付便捷性必須得到提高，支付開始從有卡時代走向無現金、無卡時代，支付結算服務便沒有了原來時間與空間的限制。而這種新型支付結算服務，其安全卻仍依賴老的安全體系與環境，這當然會產生新的問題。

　　二是貨幣電子化，原來貨幣主要是以紙幣和銀行賬戶中體現，但隨著時代的發展，貨幣形態產生了改變，第三方支付機構均設立虛擬的支付賬戶，透過與銀行賬戶的綁定，將用戶資金變成了電子貨幣，在互聯網上完成支出，這種電子貨幣依托于虛擬支付賬戶標記與存儲，使得資金可以脫離了原有的銀行結算賬戶。第三方支付機構為能更好的為交易雙方提供支付結算服務，某種程度上不得不犧牲部分安全性，換取支付的便捷性，所以在支付賬戶資金匯劃時，對用戶的鑒權與交易的識別強度就會弱些。這樣一來，就如同在銀行結算賬戶安全體系中開了一個后門，使得犯罪分子有機會從安全性較薄弱的虛擬支付賬戶借道，竊取用戶的資金。

　　以上的二個根源造成一種現象和催生了一種新型犯罪，現象是從支付安全角度看，出現了整體支付環境的安全，與個體支付環境不安全的特殊矛盾。也就是說支付安全在大的環境下是好的，風險仍是個小比率事件。但對于個體而言，幾乎等于絕對風險，用戶一旦遇到支付安全風險，幾乎沒有任何反制能力。而因此催生的新型金融犯罪行為，由于犯罪收益高，違法成本低，不便偵查與舉證等原因，吸引了各類犯罪資源的聚集，漸成一種地下產業。

　　近年來，支付安全事件頻發，社會各界對支付安全均有了一定的重視，上至政府，下至企業與個人，都或多或少的參與到支付安全環境的建設與教育中去，但由于部分歷史遺留問題，支付安全環境雖不斷改善，但支付安全事件仍不斷增加，且涉案金額逐年攀升。究其原因，有以下二類，一是支付產品設計之初，未考慮支付產品安全與科技發展的協同，科技的發展造成支付產品出現安全滯后性漏洞，支付產品在科技高速發展中出現死穴。例如早期第三方支付機構研發的利用銀行賬戶預留手機號碼及其通訊功能，作為確定用戶支付意愿的工具與手段，便于用戶在無需開通網上銀行功能的情況下，即可在互聯網上完成無卡支付。這種產品設計中，忽視了通訊運營商的通訊賬戶使用規則，在用戶在通訊運營商申請的通訊賬戶，受通訊運營商管理，因人工或自助服務等渠道的漏洞與缺失，導致用戶失去通訊賬戶控制權，所以基于向通訊賬戶發生動態驗證碼的短信，以此作為匯劃銀行賬戶資金到支付賬戶時，該通訊賬戶已非用戶支配。這種將通信賬戶與銀行賬戶綁定的方式，是跨行業的自行組裝應用，借助了通訊運營商的部分服務功能，實現了一種新的支付服務產品，但通訊運營商并不就此承擔責任與義務，支付產品設計又未考慮通訊運營商通訊賬戶變更、補發規則造成的潛在風險，這時出現的支付安全問題，就使得用戶處于極不安全狀態，合法權益無法得到有效保障。

　　目前，此類事件仍屢有發生，大家都熟知其中原因，卻無法根絕這一歷史遺留問題。二是互聯網的高速發展使得金融犯罪成為了一個高收益、低風險的新型犯罪，吸引了大量的人才與資源參與其中，互聯網培養了大量的黑客，黑客們擅長制造各種工具攻擊、竊取、攔截各種在互聯網上傳輸的數據與信息，犯罪分子利用這些工具，在部分安全防護較弱的網站竊取數據，對這些數據與信息進行篩選、加工，通過“拖庫、洗庫、撞庫”比對檢索出用戶資金賬戶的密碼，以此竊取用戶銀行賬戶或支付賬戶中的資金。金融犯罪的高收益，可以支撐金融犯罪組織的專業化分工，盤踞在頂層的主犯，將金融犯罪流程專業化細分到多個人與崗位中去，這些人只能知曉某一環節中的信息，所以即便抓獲了部分犯罪分子，仍難將這一組織摧毀。

　　另外，金融犯罪也催生了其產業鏈配套服務，這些配套服務提供者，自身并不參與金融犯罪，但他們透過出售金融犯罪所必須的服務，以此牟利。如提供木馬和數據清洗工具等，間接幫助金融犯罪分子實施犯罪，而這些服務提供本身，卻不涉及犯罪。這種產業鏈配套服務，在產業環境上支撐了金融犯罪的發展，而金融犯罪的發展反過來又刺激了配套服務的豐富。

　　綜上所述，我們發現支付安全并非是個孤立的問題，其背后是時代的發展與支付安全理論的缺乏，迄今為止，始終沒有一個符合互聯網時代的支付產品設計安全原則，指導社會與企業遵循何種原則，為用戶提供更加安全的支付服務。

　　通過了解無數支付安全案例，我們會發現，風險都是在三種不對稱環境下產生的，即“支付不對稱、交易不對稱、利益不對稱”，“支付不對稱”是指無法確定是用戶自身意愿發起的支付指令，盜刷就是“支付不對稱”的典型例子?！敖灰撞粚ΨQ”是指用戶無法知曉真實交易內容、對手、風險、資金流向等交易相關信息，電信詐騙就是“交易不對稱”的典型例子?！袄娌粚ΨQ”是指用戶和交易對手間處于“零和博弈”關系，而非供需關系這樣的“雙贏”關系，對賭類的郵幣卡、文交所投資交易就是典型的例子。

　　“支付不對稱”相對容易做到些，只要加強用戶鑒權強度，就可以實現接近絕對的“支付對稱”，但由于支付便捷體驗的原因，銀行和第三方支付機構都不得不在安全與便捷二個維度衡量取舍。另外，“支付不對稱”造成的危害可以通過賬戶權限分級管理控制在一定范圍，這樣一來，就可以通過“賠付”的方式彌補用戶因“支付對稱”不足造成的損失，因為“支付不對稱”是小概率事件，只要這個小概率損失在商業利潤之內，就能用“賠付”這種事后處置成本換取大多數用戶支付便捷的需求。一直以來銀行業在“支付對稱”方面做得比第三方支付行業要好，但是一旦某些銀行在支付產品設計時，越過了安全與便捷的臨界點，這些銀行也會面臨“支付不對稱”帶來的支付安全問題。

　　如果說“支付對稱”對于銀行和第三方支付行業是平等的，那么“交易不對稱”造成的支付安全問題，在第三方支付行業則更突出，銀行業的支付結算產品，絕大多數不服務于交易。而第三方支付行業主要為商戶提供各種收單服務，這種情況下，就存在對交易的識別。我這里舉個例子，說明銀行業和第三方支付行業在“交易不對稱”時各自的責任。2015年時，某嫁給韓國人的知名女星，其所在劇組工作人員全部收到詐騙短信，該女星就前某銀行完成了向詐騙者的轉賬，這個事件中，轉賬是該女星自己的意愿體現，是在“支付對稱”的情況下完成的支付，但由于銀行沒有提供交易服務，并不對這次交易負責任，所以，即便該女星受騙，銀行也不用承擔責任。但第三方支付機構是為商戶提供收單服務，這種收單服務已經確定了交易對手、交易范圍等交易相關規則與信息，如果用戶因為“交易不對稱”受到損失，則第三方支付機構就無法規避責任了。通過以上案例，我們發現當“交易不對稱”時，即便“支付對稱”了，用戶仍面臨支付風險。所以，在面臨“交易不對稱”時，第三方支付行業比銀行業承擔的責任更大。相對“支付對稱”強調技術手段與權衡便捷與安全的取舍，要做到“交易對稱”更多是規則的問題，可以通過商戶真實性管理、交易監控、結算周期、限額等業務管理手段，控制“交易不對稱”所產生的支付風險。相對于“支付不對稱”，“交易不對稱”對第三方機構造成的損失更大，因為“支付不對稱”多是個別用戶損失，而“交易不對稱”則某個商戶的所有用戶受損失，而這些受損失用戶支付又是對稱的，會導致第三方支付機構與用戶在辨別責任時產生分歧，給第三方支付機構帶來附加的聲譽風險。

　　如果相對控制了“支付不對稱”和“交易不對稱”，是否支付安全就可以相對有保障了呢？我們會發現有種情況，即便是支付和交易都對稱的情況下，仍存在風險，這就是“利益不對稱”，如果交易管理企業的商業模式是“零和博弈”，即企業生存依靠用戶的虧損獲取收益，就是“利益不對稱”，即便是用戶的支付意愿，用戶也知曉交易內容、規則、風險，心存僥幸想在對賭中獲利，但實際上卻處于必輸的設計中?！袄娌粚ΨQ”需要審視交易管理企業的商業模式是否符合平等原則，“利益不對稱”其實較好識別，對賭、傳銷等都屬于“利益不對稱”。

　　第三方支付機構提供的支付服務，因為收單服務的特點，非常容易受到交易和利益不對稱風險的傳導，如不加已控制，會造成被犯罪分子所利用，成為“為偷驢者拔栓”的受害者。

　　要絕對實現“支付、交易、利益對稱”是不可能的，第三方支付機構也只能識別和計算以上風險的邊界，使用各種手段、工具，盡可能的減少“支付、交易、利益不對稱”帶來的風險。

責任編輯：韓希宇