浅析第三方支付现状及安全风险

■杨 乐

（青岛大学）

1 第三方支付的概述

1.1 第三方支付的概念

第三方支付是指具备一定实力和荣誉保障的交易支持平台，在与国内外各大银行签约以后，与银行支付结算系统接口对接，从而促成交易达成的一种网络支付模式。

1.2 第三方支付的特征

（1）便捷。第三方作为沟通买卖双方的纽带，本身带有一定的中介性质，买卖双方的信息和资金均可通平台进行交换和转移，大大提高了交易效率。

（2）安全性高。第三方支付平台伴随着互联网技术的发展产生，一切经其传递的信息都能以加密信息的形式进行传输。由第三方其掌握着买卖双方的信息，一方面保证了买方在收货前的资金安全，另一方面也确保了卖方可以及时收到货款。

（3）成本低。互联网技术是电子商务运转的基础。若没有第三方支付，资金的收付则会严重依赖商业银行与各大电商企业建立的专用接口，而电商行业的迅速发展无疑意味着大量专用接口的建立，这给银行网关的开发带来了巨大的压力。而第三方支付通过与银行合作、建立统一接口，使得无需每个银行建立自有接口，大大降低了银行的网关开发费用。

（4）信息处理集中。第三方支付可以获取电子商务交易中的各种信息，并有权利对其进行整合：用户不但可以使用第三方支付进行支付，还可以查看商品的物流信息、选择退换货等；商家也可以随时查看资金情况，有效实现了电子商务交易中资金流、信息流和物流三者的统一。

（5）受众人群广。随着电商产业的不断扩大，电子商务涉及的领域和服务类型也逐渐精细化，这样一来，其消费群体在年轻一代的基础上，又增加了各个年龄段消费者。

2 第三方支付的发展现状

2.1 交易规模不断扩大，增长率趋于平稳

根据艾瑞咨询《2020年中国第三方支付行业研究报告》显示：2019年中国第三方产业支付交易规模高达119.6万亿元，同比增长13.1%。尽管增长率有所下降，第三方交易规模还是处在不断扩大的状态，且增速基本保持在10%以上，预计2020年的交易规模可达140万亿元（如图1）。

图1 2015—2021年中国第三方产业支付交易规模

2.2 线下扫码呈爆发式增长

根据艾瑞咨询的数据显示，自2016年第一季度到2019年第一季度，线上电商交易规模由9654亿元增长到19820.9亿元，增长了105.3%，同期线下扫码支付交易规模从830亿元增长到了73805.3亿元，增长了8792.2%，其增长率远高于线上电商支付。

2.3 支付宝和财付通依旧为第三方支付的两大寡头

截止到2019年，第三方支付的交易市场份额主要集中在支付宝和财付通两巨头身上，形成了寡头垄断的市场局面。根据艾瑞咨询的数据显示，支付宝的互联网交易份额占了市场的一半以上，高达54.4%；财付通以39.4%的市场占有率位居第二；其他机构占比较少。

2.4 国家进行规范监管

虽然第三方支付的出现为人们的生活带来了极大的便利，但是各种问题也随之产生，同时，由于第三方支付规模庞大，这些问题的出现也对我国的传统金融市场产生了一定的负面影响。在这种情况下，我国政府也陆续颁布了一系列文件，加强对第三方支付行业的监管，规范和引导其发展。

3 第三方服务存在的安全风险

3.1 个人信息风险

（1）支付场景复杂多样，信息泄露风险上升。随着互联网和网络支付的普及，第三方支付的消费场景范围也不断扩大，医疗、交通、娱乐和餐饮等领域均开始采用第三方支付，消费者的支付信息也随着消费场景的增加不断扩散，增大了个人信息泄露的可能性。除此之外，不同场合的网络安全程度也有所差异，当用户使用安全等级较低的公共网络时，个人信息很容易会被不法分子窃取。

（2）隐私信息过于密集，个人识别几率增大。第三方支付企业在运营过程中往往会收集用户的个人信息，而这些信息多为隐私性极强的私密信息，如：身份证信息、生物特征、用户所在地等等。同时，在使用第三方支付时，用户会产生一定的商品消费记录，不法分子通过大数据即可推算用户的消费习惯和用户身份，从而锁定用户的资金账户，并对其进行攻击。

（3）支付终端安全性低。第三方支付往往是通过智能手机完成的，但是手机的防火墙远比不上PC端防火墙，使得智能手机更容易被犯罪分子突破。

（4）数据跨境流通风险高。伴随着经济全球化和“一带一路”政策的推动，我国部分传统中小型企业和电商企业开始转型为跨境电商企业。然而，境外业务产生的数据将直接储存在境外，或者根据当地的法律法规进行存储，难以保证数据的安全性。

（5）第三方企业的不当利用。在使用第三方支付时，用户可在平台上使用各种第三方应用。在使用第三方应用的过程中，自然会在第三方应用上产生相应的数据，而大部分第三方支付企业默认将用户信息与第三方合作企业共享，并明确表示用户使用第三方应用时受其隐私政策的约束，在这样的情况下，个人信息的传输和存储风险会进一步提高。

3.2 支付信息被恶意篡改

现有的支付平台一般会提供多个银行的网络银行接口，若第三方支付平台的技术有所欠缺，用户的账户信息和支付信息很容易会被不法分子所窃取甚至篡改，价值平台会与多家银行进行合作，严重的话甚至会导致平台上所有的网络银行遭受损失。

3.3 平台准入门槛低，难以保证用户信息安全

一方面，虽然企业需拿到第三方支付牌照才能够从事支付业务，但是仍有部分企业利用国家的鼓励政策和法律的灰色地带从事非法金融活动，他们通过支付平台获取的用户信息、进行非法交易；另一方面，也存在着谋求私利的员工主动盗取用户信息，将其泄露给不法分子，严重威胁着网络安全。

3.4 平台运行风险

第三方支付平台在设计之初是为了满足基本的交易需求，随着其不断完善，第三方支付的业务范围也开始逐渐扩大，用户数量、每日访问量和交易数额等都会出现大幅增长，当超过系统的预设处理范畴时，系统运行则会容易出现障碍，引起交易风险。

3.5 网络认证风险

虽然通过大数据和云计算等技术加大了信息认证的准确性，但是单纯的信息认证仍然难以保证用户身份的唯一性。此外，尽管生物特征等识别技术已经投入使用，AI换脸等技术的产生还是导致生物特征识别面临着新困境，识别机制依旧不够完善。

3.6 客户端认证风险

若用户的手机遭受病毒或第三方插件袭击，不法分子极容易获取用户的账户、密码、验证码等信息，通过非法网络，在未经客户端认证的情况下窃取敏感信息和平台资金。

4 对策和建议

4.1 完善法律法规

目前，我国针对第三方支付的立法主要立足于用户资金安全的保护，忽略了个人信息的重要性。在加强立法保护时，应注重统一立法和分别立法相结合，因为如今的第三方平台不止提供收付款服务，其业务类型也日趋多样化，对于个人信息的收集也有不同的侧重点，统一立法很难避免灰色地带的产生，无法周全地保护公民个人信息。因此，应加强各行业的信息保护，建立有针对性、适应性的执法和保护标准。其次，相关法律应明细和规范各方职责，建立第三方平台和用户个人黑名单，对违法违规的企业或个人进行严肃处理。此外，通过立法明确跨境电商企业的境外数据保护职责，以提高境外数据流通的安全性也很有必要。

4.2 设置专门的行政机构进行监管

“互联网+”的提出吸引了各个行业进入到互联网领域来，丰富了互联网经济的同时，也使得不同的部门分别下发文件进行监督和管理。然而，各部门之间没有形成联动，无法开展有效合作，致使第三方监管部门之间权限不分、责任不明，难以保护用户信息的安全。因此，应设置专门的数据保护机构，细化监管流程、针对性地管理用户信息、监督执行个人隐私保护条款，推动整个行业的规范发展。

4.3 优化隐私条款

支付平台之所以收集信息，是为了验证用户身份、改善产品服务，但是在企业在收集个人信息时，应充分明确信息用途，且将信息收集量控制在“完成相应验证”的范围内，将信息收集控制在最小量，并对存储的信息采取充分的保护措施。除此之外，第三方企业应对于收集的信息设置相应的储存时限，使信息信息的时效性，在完成收集目的后要及时处理系统内的用户信息，不再继续储存。

4.4 倡导行业自律

一般来说，行政部门的技术水平往往会高于科技型企业，但是在第三方市场竞争激烈的今天，第三方企业收集了的国内外大量数据，其技术创新有可能会优于国家行政部门。在这种情况下，行政部门的技术水平往往会因为缺少竞争压力而滞后，使得企业技术水平远高于体制内的机构。因此，为了防止技术滥用导致信息泄露，在充分完善政策和立法的基础上，也应倡导行业自律。

4.5 建立完善的市场准入机制

市场需求和行业监管都要求第三方企业达到一定的标准才可拥有行业资质。因此，在颁发第三方支付牌照时，应充分考虑第三方企业的最低资本金、内部控制能力、风险管理、保险和技术等，避免不法分子利用政策漏洞违法犯罪。

4.6 提高技术手段

（1）终端企业的技术提升。由于第三方支付以移动终端作为支付，终端设备的安全性与可靠性就极大地影响了第三方用户的信息安全。

（2）完善网络基础设施。除了部分地区网络发展过慢以外，对于公共网络安全性的建设也不可忽视。我国应加大对网络基础设施建设的投资力度，推动互联网安全的进一步发展。

（3）强化用户身份认证机制。第三方平台应提高本身的技术水平，强化用户身份认证机制、扩大数据承载冗余、建立可信的网络识别体系，从而保障信息存储和传输安全，有助于营造可信的网络平台、树立良好的信用形象，降低信息泄露的安全风险。