浅议第三方支付与商业银行金融安全

大连银行丹东分行 刁基平

丹东银行 徐效德

一、第三方支付存在的金融安全隐患

央视二套有一档科学教育类综艺节目叫“是真的吗?”，该节目曾经推出过一个话题“如果手机丢了，支付宝账户中的钱能够被盗用，是真的吗？”节目内容显示,由于支付宝关联着客户的多个商业银行的账户，而支付宝快捷支付对小额支付为求快捷无需验证商业银行密码等原因，只需录入手机接收的校验码，最终导致客户资金遭到盗用消费，由此栏目组论证结果为该话题是真的！这个节目很短，管窥一斑，虽然无法全析、诠释出所有包括支付宝在内的第三方支付看似美好的背后，暗涌的金融安全隐患,但却也可以让我们意识到与第三方支付这个青年才俊的互联网网恋并不轻松。

第三方支付开通的快捷支付业务看起来方便，但对其使用者和商业银行隐藏着不容忽视的金融安全风险。具体来说,如果用户的银行卡一旦被绑定为快捷支付，这张银行卡将斩断用户与商业银行的双方的直接联系，第三方支付实际介入了用户与商业银行之间，并且充当了用户这张商业银行卡的经纪人角色，用户发出付款要求，经纪人受理，经纪人找商业银行拿钱替代用户付款，客户才能付款成功。在这一过程中,签约快捷支付业务后，第三方支付可绕过客户银行卡密码的安全设置,对使用者的个人身份信息，如身份证、银行卡号具有记忆功能，只确认其与第三方支付的信息密码确认即可,由此产生了一系列的金融安全隐患。近几年来快捷支付被盗刷的案例比比皆是，除了手机丢失，有的是中木马病毒了，有的是接入了非法网络，有的是打开了欺诈网页。客户控制不了卡安全支付，商业银行也无法控制卡安全支付是造成快捷支付被盗刷的根本原因。因此不只是使用第三方支付的客户不轻松，与第三方支付联系紧密的商业银行也不轻松。

二、第三方支付与商业银行的关系

第三方支付的存在，看似依托无形网络，但实际离不开商业银行这个有形平台。众多评论都将第三方支付比喻成商业银行的寄生物，它是寄生于商业银行这个成熟的金融体，利用网络的快捷、便利等特点，衍生出的新型金融产物。具体来说，商业银行作为传统金融巨头，其发卡客户资源是第三方支付寄生发展的基础，而商业银行则通过第三方支付扩展商业银行卡的支付渠道，扩大银行卡业务占有率，提高商业银行卡使用效率。这看似合则两利的关系背后，却也隐藏着寄生物对寄主的伤害。部分第三方支付接入商业银行信息系统之后，进行了大量的变造交易类型的不合规交易，比如将转账、代收代付等交易的类型套用至正常POS 消费交易场景中，同时套用对公益类商户编码(MCC)、变造商户资料、异地移机等，部分第三方支付甚至在银行卡业务营销开展过程中存在截取磁条信息、截取密码信息、私自保留登记持卡人详细客户资料敏感信息等行为。这些行为容易给持卡用户带来风险和损失的同时，也严重得影响了商业银行的金融安全。

三、第三方支付对商业银行金融安全的影响

(一)支付网络安全风险

第三方支付离不开网络，其运行高度依赖计算机系统、网络通信技术和交易软件，并且其与商业银行信息系统进行网络接口连接。黑客可以利用第三方支付的系统漏洞和软件缺陷窃取客户的相关信息；或是截取网络传输报文并破解以获得持卡人重要信息；或是制造网络病毒进行扩散和传播，一旦某程序感染病毒则整个网络很快也会被感染，破坏极大。而商业银行大部分还处在传统金融运营中，网络安全风险只会带来局部损失，可是如果一旦被病毒传染，将会导致客户资料泄露，交易记录损失，甚至无法预知更加严重的后果。

(二)支付系统安全风险

目前支付宝等第三方支付平台基本与商业银行就快捷支付客户签约模式达成了一致，有的商业银行甚至不对客户账户银行密码进行校对，而只核对客户是否为第三方支付签约客户后即按照第三方支付机构发送的客户姓名及账号信息指令扣划客户账户资金。据不完全统计，目前开通了快捷支付的部分第三方支付客户在商业银行均都频繁出现了资金被非法划转的风险案件，由此给商业银行的支付系统安全敲响了警钟。快捷支付业务看似快捷，但是却省略了很多商业银行实际操作业务中的身份认证、密码验证等流程，因而对客户信息安全、客户资金安全等问题带来了极大的隐患。在实际业务开展中，许多商业银行均发现过诸多游戏可以通过支付宝等第三方支付平台进行了充值，但是客户否认本人发出过支付交易指令的情况。在伤害广大商业银行客户的利益基础上，第三方支付更是给商业银行的客户信息管理、客户资金安全、交易记录保存、声誉风险等方面带来巨大的风险隐患，甚至是损失。

(三)虚假交易洗钱风险

可以说大部分第三方支付机构对商户的资质都缺乏有效的审核与管理，对交易也严重缺乏审核与监督，而商业银行又无法正常获得关于商户与交易的详细信息，致使商业银行银行卡沦为了简单的充值工具。在此情形下，背负着反洗钱职责的商业银行，在网络这个虚拟的世界中，却无法通过有效监控手段对洗钱、欺诈等不法交易实施有效监控与预警，第三方支付几乎成了商业银行反洗钱管理盲区。就像如快捷支付这类无需通过网上银行或商业银行网上支付页面，而是直接通过第三方支付工具就可以实现交易，由于这类第三方支付的商户管理制度不完善，虚假交易无法禁止。

四、对商业银行的建议

(一)重视支付安全技术的投入

第三方支付方式不再受到空间、时间限制，客户间的资金活动场景一般都是在非面对面情况下完成的，这些特点都对支付安全技术提出了严格的要求。商业银行要比以前更加关注客户的支付安全，更关注支付技术的更新。要充分从技术上加强安全性建设，保证支付数据的保密性、完整性，不断完善客户身份认证和密码验证流程，确保支付网络的安全、稳定和可靠及灾备恢复的可用性。

(二)严格管理客户信息资料

商业银行应严格管理客户信息资料，不断加强商业银行员工行为管理，严控操作风险，持续完善技术措施，强化信息保密技术手段。加强教育督导，防范员工道德风险在客户信息资料保护工作中引发问题。对信息系统可能遇到的各种容易泄露客户信息资料的技术风险进行评估，加大信息保护技术的科技含量，综合运用先进的防火墙、身份识别与认证、数据加密、第三方认证以及网络安全监控等技术并及时修补系统漏洞，同时要加大对信息前沿技术的关注度，对网上黑客论坛进行检测，定期用一些恶意软件对系统进行压力测试，及时发现问题，及时进行维护，有效防范来自于内部的漏洞和外部的攻击，确保客户信息及信息系统安全。

(三)加强第三方支付备付金账户的监管

商业银行应树立社会责任意识，加强对第三方支付平台在本行开立的备付金账户的监管，该备份金账户是第三方支付平台在商业银行开立的用于为客户提供资金结算的支付账户。同时商业银行还应充分利用数据仓库和数据挖掘技术将第三方支付平台备付金账户的变动情况进行关联性分析，发现异常情况，要及时向属地人行反洗钱监管部门反馈，切实履行反洗钱责任，控制洗钱犯罪的社会危害程度。

(四)谨慎稳健的发展第三方支付业务

第三方支付业务为传统商业银行带来了良好的经济收益和社会效益，并且收益颇丰。由于这两种原因，商业银行大力扩张推进第三方支付业务。然而第三方支付有政策风险，央行、银监会在政策角度对于规范第三方支付准入及运营、虚拟货币使用政策不明朗。同时第三方支付面临法律风险，涉及银行法，证券法，保险法，消费者权益保护法、知识产权法等多种法律，目前我国还有待于完善相关法律。因此，笔者认为对于第三方支付业务的发展，商业银行应持更加谨慎稳健的态度，不要盲目扩张。

五、结束语

第三方支付以其独特的创新性、灵活性和快速发展势头正冲击着商业银行的经营和管理。商业银行既需要顺应客户作为“电子人”在互联网时代中的金融需求，将互联网金融“基因”注入商业银行的战略管理当中，又要积极布局、沉着应对，通过多种手段和新渠道应对第三方支付对商业银行的业务发展，特别是金融安全等方面的冲击和影响。