■本报记者 聂国春
现状
移动支付风险上升
出门忘记带钱包怎么办?不要紧,有手机就行。近年来,支付宝、微信等移动支付方式正悄悄走进各类商家,而智能手机也逐渐取代了人们口袋中的钱包。
中国互联网络信息中心发布的报告显示,截至去年底,中国手机网上支付用户规模达到4.69亿人,年增长率为31.2%;手机网上支付的使用比例由57.7%提升至67.5%。手机支付向线下支付领域的快速渗透,极大地丰富了支付场景,有50.3%的网民在线下实体店购物时使用手机支付。
移动支付之所以发展迅速,源于消费者群体的有力支持。由于移动支付能够满足消费者随时随地消费、面对面交易等多种需求,解决了现金、刷卡等传统支付的诸多痛点,支付体验更优。随着支付场景从线上到线下的普及,很多人连菜市场买菜、路边买早点都通过手机支付来完成。
事实上,随着移动支付的井喷式发展,其安全形势也日趋严峻。中国银联近日发布的《2016移动支付安全调查报告》显示,去年不仅遭受欺诈的用户比例有所上升,受损金额也持续走高。
在该调查回收的逾9万份有效问卷中,约有1/4的被调查者表示曾经遭遇过电信网络诈骗并发生过损失,较上年上升11%。而在曾遭受电信网络欺诈的被访者中,近三成的欺诈损失金额高于2000元,较上年增加8%;超过八成遭遇过盗用社交账号诈骗,较2015年增长了36%;木马链接短信和骗取短信验证码等欺诈手法也是常见的支付欺诈方式,遭遇这两类手法的持卡人比例达到63%和51%。
支付敏感信息泄露、电信网络欺诈、免密盗刷……频发的支付安全事件给移动支付行业带来了严峻的挑战,并成为妨碍社会和谐稳定、影响人民群众财产安全的突出问题。
为切实保障广大人民群众的合法权益,2016年9月,公安部、工业和信息化部、中国人民银行等六部门联合发布《关于防范和打击电信网络诈骗犯罪的通告》,央行、工信部、中国支付清算协会等相关部门高度重视支付安全在防范电信网络新型违法犯罪中的重要作用,多管齐下,积极推动解决移动支付的安全问题。
支付安全关系民生,多项新规彰显央行的良苦用心。在此前建立个人银行账户分类管理机制的基础上,央行2016年10月再发新规,要求自当年12月1日起,一人在同一家支付机构只能开立一个Ⅲ类账户。而且,支付机构在为单位和个人开立支付账户时,应当与单位和个人签订协议,约定支付账户与支付账户、支付账户与银行账户之间的日累计转账限额和笔数,超出限额和笔数的,不得再办理转账业务。
相关企业也行动了起来。除了推出账户保险外,在近日召开的移动支付第八届年会上,包括京东金融、微信支付等在内的50多家单位共同发布了《保障移动支付安全产业自律宣言》,呼吁业界形成产业合力,共筑安全防线。
成因
支付安全意识淡薄
来到一个新地方,很多人做的第一件事就是拿起手机搜一搜,看看有没有免费的WiFi可用。根据腾讯移动安全实验室的调查,虽然对公共免费WiFi的危险进行了普及,但仍有80.21%的网民习惯于连接公共免费WiFi,38.96%的网民使用无密码WiFi进行网络支付。
用户移动支付习惯的养成,也被黑客关注。近年来,一些不法分子猖獗诈骗,通过账号盗取及木马劫持等技术手段,对消费者的电子钱包虎视眈眈。腾讯支付安全负责人许国爱介绍说,手机上常见的支付病毒中,16.81%的支付类病毒会隐藏自己的真实目的,用以对抗安全软件。除了通过色情、虚假链接、不明二维码等常规方式诱骗消费者外,不法分子还会利用新闻热点、热门影视资源及非法获得的用户信息进行诈骗。
网络安全意识淡薄的问题还体现在网民对个人信息保护不够重视,仅有14.87%的网民会仔细阅读与个人信息保护相关的内容,觉得合理才注册或下载。否则,就相当于在个人账户“不锁门”的情况下,将个人信息主动泄露给不法分子。更令人担忧的是,网民在遭遇网络诈骗后,只有一成用户主动报案,维权意识十分薄弱。
中国银联发布的报告还揭露了用户账户的另一风险:64%的被调查者曾使用手机号码同时注册多个账户,包括金融类账户、社交类账户和消费类账户等,75%的多账户使用相同密码,其中遭遇过电信诈骗并发生损失的比例过半,高于整体平均水平。除了消费者个人风险防范意识较低外,一些金融机构也有着不可推卸的责任。
据漏洞平台乌云披露,仅2016年前3个月,在乌云平台报告存在系统漏洞的证券期货机构数量就已不少于15家。其中,虽然部分漏洞曾在乌云平台提交,但仍有许多机构认为无影响而选择了“忽略”。
在一些银行,还有“内鬼”出售客户信息非法谋利。银监会去年11月就专门下发通知,指出银行业金融机构发生多起员工违规查询、出售或非法提供个人信息的案件或风险事件,要求各银行组织开展个人客户信息泄露风险隐患排查工作,严肃处理发现的违规问题,抓好内控制度建设,做好客户个人信息保护工作。
部分支付机构风险意识薄弱,客户资金和信息安全保护机制缺失,安全控制措施不到位,对消费者的信息和财产安全构成严重威胁,甚至可能将相关风险引导至消费者的银行账户。2016年1月,某支付机构泄露了上千万张银行卡信息,涉及全国16家银行。截至当年7月31日,由伪卡造成的损失就达3900多万元。
建言
中国银联支付安全专家 王宇:
提高安全支付意识
近年来,金融支付与科技创新深度融合,支付产品及场景更加丰富,支付更加简单、安全、方便。不过,当前移动支付安全依然面临严峻挑战,消费者应进一步提高安全支付的意识,通过以下途径防范可能的支付风险:
一是在金融网站减少使用手机号码注册账号,选择使用包含字母数字等更加复杂的用户名。同时,尽量不要用个人生日等作为密码,也不要多个金融账户采用相同的支付密码。二是关注最新防范电信网络诈骗知识,提高防范欺诈的能力,不点击不明链接,不随意使用公共WiFi或者扫不明二维码。三是选择安全性高的支付产品,在手机上安装官方正版的安全软件,降低非法恶意程序对移动支付安全带来的风险。四是关注大额账户安全,可联系发卡银行或支付机构等,选择配有保险保障的支付产品或为自己的大额账户购买资金保障险。
中央财经大学金融法研究所所长 黄震:
合力打击支付犯罪
移动支付安全应成为支付产品客户体验中首要考虑的因素。对于银行等金融机构来说,要强化移动金融的安全环境,通过开展多样化的安全监测来实现风险防控,有效地保障客户利益。
金融机构要强化内部管理,建立风险防范机制,保护客户金融信息,确保个人信息在存储、传输、处理过程中不存在泄露风险,尤其是要警惕业务外包导致第三方泄露客户个人信息的风险。
在打击网络欺诈犯罪方面,移动支付领域须进一步理顺监管体系,充分发挥各监管部门的作用,形成监管合力;突出监督的权威性和专业性,提升监督执法水平,加大惩戒力度,强化对移动支付黑色产业链的打击力度,确保客户资金托管、账户实名制与分类等政策落到实处。