物联传媒 旗下网站
登录 注册
RFID世界网 >  新闻中心  >  行业动态  >  正文

第三方支付整改在即 安全问题遭拷问

作者:千阳
来源:赛迪网
日期:2010-08-25 13:25:52
摘要:第三方支付方式虽然方便快捷,但由于当前我国电子支付方面的法律较为滞后,对第三方支付市场监管不够,法律地位和责任均不明确,目前存在的300多家第三方支付产品质量参差不齐,鱼龙混杂,用户的交易安全和个人信息存在很大的风险。
  随着电子商务的发展,电子支付以方便快捷的特点正逐渐替代传统的网络支付方式(如电话、传真、邮局汇款,银行转帐、汇款等),成为人们网络交易中普遍接受的方式。电子支付比重最大的是POS机消费,其次是网上支付,而第三方支付是网上支付很重要一部分。

  根据中国人民银行2009年的统计,我国已经有各类电子支付企业300多家,大多集中在北京、上海、广东等经济发达地区,业务种类覆盖网上支付、电子货币发行与清算、银行卡和票据跨行清算及集中代收付等各种业态。根据易观国际2010年2月发布的统计数据,2009年全年中国第三方支付交易规模达到5808.4亿元;2010年第一季度国内第三方支付市场规模达2081.6亿元,其中互联网支付达1999.4亿元,环比增长13%;预计到2012年,第三方支付市场的规模有望达到12000亿元。

  第三方支付方式虽然方便快捷,但由于当前我国电子支付方面的法律较为滞后,对第三方支付市场监管不够,法律地位和责任均不明确,目前存在的300多家第三方支付产品质量参差不齐,鱼龙混杂,用户的交易安全和个人信息存在很大的风险。主要问题集中在以下几个方面:

  (1)网络钓鱼导致账户信息泄露

  网络钓鱼是在网上支付中常见一种攻击方式,据称9成网民遇到过网络钓鱼,其发生率已超过木马,成为危害最大的一种安全威胁。其模式一般为,用户进行网上交易进入支付环节时,被诱导点击不安全的链接,进入与网银登录界面几乎一样的伪造界面,输入用户名和密码登录后,其银行账户和密码就被伪造页面的恶意用户全部获取。

  这种方式非常隐蔽,警惕性不高的用户往往在账户内的资金发生较大改变时才会发现,造成的后果非常严重。

  造成网络钓鱼的原因可能有二:一是该第三方平台本身存在安全漏洞,被恶意用户利用篡改了正常的页面,或利用平台账户发送了伪造的电子邮件诱导用户中招;二是用户安全意识不足,轻信卖家提供的链接或电子邮件,主动点击了不安全的页面。

  (2)未提供安全的登录方式导致账户信息被盗

  使用HTTPS安全登录可以很大程度上保障用户在登录过程中的安全性,目前规模较大的、用户数量较多的支付平台都采用这种安全登录方式,但仍有不少小网站未采用此方式,一旦被恶意用户盯上,该平台上账户信息被盗取的风险极大。

  (3)第三方支付平台的设计问题导致信息泄露

  目前不少大型第三方支付平台要求用户提供真实姓名、联系方式、住址、银行账号甚至身份证复印件,作为交易双方信用担保的凭证,这是一把双刃剑,一旦网站设计有疏漏,这些信息很容易泄露。

  另外一个例子,百度通过图片上的关键字抓取信息,某交易网站—第四媒体分类信息网—了难网”由于安全保密措施不足,用户提交的身份证信息被百度抓取,放在互联网上任人查阅。

  据有关资料显示,2006年6月,由于安全漏洞被利用,某第三方支付公司的数据被窃取,约4000万张信用卡资料被泄露,有人甚至在网上公开出售这些信息。

  (4)第三方支付平台隐私政策不合理

  由于第三方平台掌握了大量用户的真实信息,它除了应采用技术手段进行保护之外,还应该以文件、政策或公告的方式在网站上公开对用户信息进行安全承诺。

  但目前网站隐私政策的普遍不完整,内容不合理,免责条款过多,不少网站公然将黑客、病毒等引发的安全问题当做“不可抗力”,推卸责任。用户为了使用其服务只能同意该条款,导致发生问题时维权艰难。

  (5)网站服务终止或权利人发生转移时个人信息不能得到保护

  由于目前第三方支付行业竞争激烈,《非金融机构支付服务管理办法》实施之后,一些竞争力不足的机构必将被淘汰,这些公司掌握的用户信息应该属于保密信息予以严格保护,但第三方平台普遍都没有这方面的承诺,甚至有的网站将“本网站可以随时终止服务”作为服务协议的一部分迫使用户默认。

  2009年10月,工业和信息化部发布《个人信息保护指南》(征求意见稿)(简称《指南》),针对使用信息系统的企事业单位进行的个人信息处理行为进行了规定,是第一个专门转对个人信息保护制定的指导性文件。《指南》规定相关企事业单位应制定完善、合理的个人信息保护政策;在信息收集、存储、交换、转移、披露、公开、传输、交换、删除、销毁等等针对信息所进行的所有行为中,保障个人信息安全;对个人信息管理单位内部机构、风险管理、内控机制等进行了规定。

  其次,为了规范第三方支付市场,保障网民利益,中国人民银行于2010年6月21日发布《非金融机构支付服务管理办法》,对第三方支付机构的资质、安全要求等进行了规定,并将于2010年9月1日正式执行。

  办法规定,办法实施前已经从事支付业务的非金融机构,应当在办法实施之日起1年内申请取得《支付业务许可证》;逾期未取得的,不得继续从事支付业务。 办法第三十二条:“支付机构应当具备必要的技术手段,确保支付指令的完整性、一致性和不可抵赖性,支付业务处理的及时性、准确性和支付业务的安全性;具备灾难恢复处理能力和应急处理能力,确保支付业务的连续性。”,其次,支付机构应当依法保守客户的商业秘密,不得对外泄露。法律法规另有规定的除外。

  国内支付企业从出生之日就处于监管的灰色地带,涉黄、涉赌、欺诈等行为给支付企业带来巨大的风险和压力,有些支付企业甚至违法参与网络赌球等行为。新规实施在即,第三方支付要想顺利获得“牌照”必先自检。同时,办法的出台,也客观上促使支付企业进一步加强内控管理,避免卷入黄、赌、毒中,更好的为广大商户和消费者服务。