随着互联网的流行,电子商务开始逐渐走俏,相应的电子支付业务也开始频繁起来。那么什么是电子支付呢?简单地说,就是在金融电子化网络中,将货币以电子数据形式存储在计算机系统中,并通过网络系统以电子信息传递形式实现流通和支付。其业务类型按电子支付指令发起方式,可分为网上支付、电话支付、移动支付、销售点终端交易和自动柜员机交易等。目前我国电子支付可总结为四大模式:银行网关代理模式、银联支付网关模式、第三方支付平台以及支付平台内部交易。电子支付的出现在提供了便捷的同时,也滋生出一些信用安全问题。中国人民银行日前发布了《电子支付指引(第一号)》,意在对电子支付业务进行有效监管。那么《电子支付指引(第一号)》究竟能不能解决在电子支付业务中出现的信用安全问题呢?
电子支付 事端频出
网络和银行卡的捆绑,确实给我们带来了许多方便,尤其是电子商务开始流行之后,通过银行卡进行网上交易也变得越来越频繁。不过,在方便的同时,我们发现电子支付的安全问题日益显现。
今年1月18日,易趣公司宣布,每一个用户使用“安付通”进行交易,就可获得易趣送出的50元购物金。可是,这场促销活动,却收到了意想不到的效果。自活动开展后,不断有网上购物者反映,汇款之后却迟迟没有回馈,易趣的系统中也显示“未收到货款”。而在线客服答疑系统也很难沟通。
事实上,有媒体披露,“近年随着电子商务网站的二度兴起,涉及这一领域的投诉也越来越多。我们每月都要收到少则十几起,多则几十起的相关投诉,问题集中在网上购物诚信、网上支付安全两方面。”据悉,“目前不少电子商务网站纷纷推出网上支付服务,以此来聚集忠诚客户群。但支付服务往往是引入国外先进支付体系的部分应用,国内支付服务的功能比较单一,只有转账一项功能,而缺乏其他的辅助工具。往往是有了一个基础平台就急着推出来做宣传了,做得很不踏实。”
而且,我们还看到网络支付的同时牵扯到银行卡账户的问题,而在这方面也存在着很多的欺诈行为。今年国庆期间,中国银联北京分公司称,银联北京分公司共接到关于用短信骗取银行卡卡号及密码的投诉电话近千个。在国庆期间,北京的一位焦女士受损严重,犯罪分子充分揣摩持卡用户的心理,不仅搬出了“银联金融管理中心”,还请出了“公安机关”,让焦女士深信不疑,结果十几万元化为乌有。
中国银联表示,现在的骗子一般都是先假冒银行或银联的名义向持卡人发送短信,假称持卡人的银行卡在某处消费或卡的信息资料被泄露。当持卡人拨打短信中的电话后,诈骗分子以所谓银行或银联“工作人员”的名义,告知其银行卡“确实”发生了虚假交易,并称其银行卡资料可能泄露,要其到银行或公安机关的所谓“金融诈骗科”报案,并提供“报案电话”。而诈骗分子继续以“金融诈骗科”人员身份,告诉持卡人为避免损失,应联系“银联”或银行;并再次冒充所谓银行或银联的“工作人员”,诱骗持卡人在ATM机进行相关操作,将卡内资金转入不法分子预先以虚假身份,在银行开立的银行卡账户内;或者通过几次电话沟通套取持卡人卡号、密码等个人账户信息和手机号码、身份证号码等个人信息。得手后,不法分子很快通过取现、转账等手段窃走资金。
南京某大学一位老师近日收到一条短信:“你的信用卡在杭州沃尔玛超市透支3550元,此笔消费将从您账上扣除。”自己根本没去过杭州,怎么可能发生消费?这位老师马上照短信上的电话打过去,“银行工作人员”告诉他,可能是他的个人资料被盗了,别人冒用他的身份证办了信用卡,并透支,让他于是跟该行的信用卡中心联系,消除这笔交易。这位老师继续拨打了此人提供的信用卡中心电话,接电话的小姐告诉他,他的信用卡是出现风险了,需要告知卡号、密码、身份证号等信息,以便及时处理。心急如焚的老师于是透露了所有的个人资料。放下电话后,他左思右想有点不对劲,于是打电话到南京的发卡银行咨询,才得知被骗了,只能立刻办理挂失手续。
就是这么简单地得到了客户的银行账号和密码,这些骗子利用客户对所谓的银行客户中心的信任以及害怕自己的银行卡被盗,因此会及时地报出自己的账号和密码。结果正好被骗子逮了个正着,在网上虚假银行网页的背后,各种花样繁多伎俩的出现都是为了能够骗取用户的银行卡账号和密码。骗术其实并不高明,只是揣摩了人们担心自己银行账户被窃取的焦急心理,快速地获得客户的资料并及时取走账户上的金额。当科技越来越发达的时候,骗子们利用各种手段进行诈骗,其中尤其是针对银行卡用户,手段更是多样化,从当初的各种仿冒银行卡的网页欺骗客户登陆,当如今利用短信通知客户的资料被窃,目的都是为了账户和密码。
损失是惨重的,这也是网络支付发展中的一个直接弊端,人们发现这种支付手段存在着这样那样的安全隐患。因此如何规范和有序地发展网上支付业务也就成为人民银行关注的一个焦点。当然对网上支付的规范也是对银行卡用户权利的一种保障。
《电子支付指引》限额交易
有关数据预测中国电子商务交易总额在2005年将达到人民币6200亿元。显然,在这样一个迅速膨胀的新兴市场中,风险也越来越呈现多样化的趋势,这也是中国人民银行要出台《电子支付指引(第一号)》的潜在因素之一。《电子支付指引(第一号)》从10月26日起施行,总计6章49条,主要包括五个方面的内容:一是界定了电子支付的概念、类型和业务原则;二是统一了电子支付业务申请的条件和程序;三是规范了电子支付指令的发起和接收;四是强调了电子支付风险的防范与控制;五是明确了电子支付业务差错处理的原则和要求。今后银行通过网上支付个人资金一般每日累计金额不应超过5000元。
《指引》明确要求,客户申请电子支付业务,必须与银行签订相关协议。而银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外,银行应当拒绝除客户本人以外的任何单位或个人的查询;银行应与客户约定,及时或定期向客户提供交易记录、资金余额和账户状态等信息。中国人民银行有关负责人表示,由于电子支付是通过开放的网络来实现的,支付信息很容易受到来自各种途径的攻击和破坏,信息的泄露和受损直接威胁到企业和用户的切身利益。这些措施对防范电子支付风险,保障客户资金安全将发挥积极作用。
中国人民银行出台的电子支付第一号指引主要规范银行及其客户之间的权利义务关系,今后还将陆续出台其他相应的“指引”,来全面规范电子支付行为。按照《指引》规定,银行应根据审慎性原则并针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面做出合理限制:1、银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。2、银行为客户办理电子支付业务,单位客户从其银行结算账户支付给个人银行结算账户的款项,其单笔金额不得超过5万元人民币,但银行与客户通过协议约定,能够事先提供有效付款依据的除外。3、银行应在客户的信用卡授信额度内,设定用于网上支付交易的额度供客户选择,但该额度不得超过信用卡的预借现金额度。
近年来,我国的电子支付发展非常迅速,新兴电子支付工具不断出现,电子支付交易量不断提高,逐步成为我国零售支付体系的重要组成部分。因此,迫切要求就电子支付活动的业务规则、操作规范、交易认证方式、风险控制、参与各方的权利义务等进行规范,从而防范支付风险,维护电子支付交易参与者的合法权益,确保银行和客户资金的安全。《指引》的实施将有利于规范电子支付活动,推动电子银行业务和电子商务的健康、有序发展;有利于明确电子支付活动参与各方的权利义务,防范支付风险;有利于推动支付工具创新,提升支付服务质量;有利于防范和打击洗钱及其它金融违法犯罪活动。
单笔1000元的选择
《指引》要求银行根据审慎性原则,针对不同客户,在电子支付类型、单笔支付金额和每日累计支付金额等方面作出合理限制。即“银行通过互联网为个人客户办理电子支付业务,除采用数字证书、电子签名等安全认证方式外,单笔金额不应超过1000元人民币,每日累计金额不应超过5000元人民币。”由于网络的流行,个人在网上的交易也日趋活络,因此个人交易的划定显然对普通网民来说更有参照意义。那么,为什么是选择单笔1000元呢?显然这是经过调研的一个数字。对此,中国人民银行有关人士解释说,这主要针对“大众版”网上银行的交易,如果“专业版”网上银行客户已经采用了数字证书、电子签名等安全措施,交易的最高金额将由银行和客户自行约定。中国人民银行此举实际上是为所有银行设定了统一门槛。中国人民银行规定中为三种情况的电子支付设定上限,这显然是通过减少交易金额的方式,把可能的损失减少到最小。
其实我们从国内比较知名的两大C2C网站的反馈中可以发现,这个数字的制定还是非常合理的。淘宝网表示:我们非常欢迎中国人民银行的这项规定,在此以前,我们执行了更严格的规定,中国人民银行限额是5000元,我们限额是3000元。我们认为,这项规定对于超过5000元的大额交易也不会有大的影响,因为受限的可能只是没有经过认证、没有数字证书的这一部分。而易趣表示:中国人民银行出台的《指引》,应该对所有的电子商务网站网上支付会有影响。易趣目前交易的商品绝大部分在1000元以下,超过1000元的商品所占比例并不大,所以影响不大。
不过对于目前网上热门的3C产品,如手机、笔记本电脑、数码相机等商品,应该会有一定的影响。也有商家表示不同的观点,据悉,携程旅行网每月会办理8万~10万笔网上支付业务,而机票往往都在千元以上,买一张千元以上的机票最少要两次支付才能完成,这将会给本来很方便的网上交易带来不便,信用卡使用频率将会降低。E龙相关人士也表示,E龙酒店、机票的预订多数都是通过网上支付完成的,而且由在线旅行网主推的自由行价格更是处于几千元的价位,这将给网上支付带来不少困难,让单笔变成多笔,有的则只能以现金交易。
但是,由于限额主要是针对那些没有经过认证和没有数字证书的用户,相信那些经过进行网上交易的人,选择的大多都是经过数字认证的网上支付系统,比如一些银行就有自己的数字认证系统还有个人网上银行的专业版等等,在安全方面还是非常值得信赖的。数字证书有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。而电子签名一般指的是“数字签名”,所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证无法比拟的。相信中国人民银行的这一个《指引》对数字认证也是有推进作用。
《指引》良药?
那么消费者是如何看待网上支付安全性的呢?据中国金融认证中心与银行联合进行的最新调查显示,53%的消费者不信任网上银行通用的用户名和密码机制。尤其是去年以来,连续发生的“假冒网站”、“网银大盗”、“快乐耳朵”等事件,使网银用户对网上银行的误解加深。其实在大多数情况下,我国网上银行的安全程度要普遍高于传统业务模式。在2005网上支付高峰论坛期间,中国人民银行有关人士以我国网上银行的总体架构建设为例,进一步肯定了电子支付手段的安全性。“我国之所以还未出现因为银行自身的安全缺陷构成用户损失的案例,一方面是各银行在安全方面已经采取了系统的、全面的防范措施,如防止病毒和非法信息入侵,而配置各种加密设计,网络加密、终端加密、口头加密、电子汇兑、密压等措施,以保证业务的安全性;同时各商业银行还通过有效管理控制风险。”
其实对公众十分关心的网上支付的安全性问题,这次中国人民银行的《指引》提出了具体的措施:要求银行采用符合有关规定的信息安全标准、技术标准、业务标准;建立针对电子支付业务的管理制度,采取适当的内部制约机制;保证电子支付业务处理系统的安全性,以及数据信息资料的完整性、可靠性、安全性、不可抵赖性;提倡使用第三方认证,并应妥善保管密码、密钥等认证数据;明确银行对客户的责任不因相关业务的外包关系而转移,并应与开展电子支付业务相关的专业化服务机构签订协议,并确立综合性、持续性的程序,以管理其外包关系;同时还要求银行具有一定的业务容量、业务连续性、应急计划等。
值得一提的是,中国人民银行还要求各银行对电子支付交易的数据,以纸介质或磁性介质的方式进行妥善保存,保存期限为5年,并方便调阅。面对日前曾出现的多起网上银行诈骗事件、银行卡短信诈骗事件。中国人民银行此次除了提醒客户以外,在责权方面也进行了明确规定。对于客户而言,银行发现因客户原因造成电子支付指令未执行、未适当执行、延迟执行的,应主动通知客户改正或配合客户采取补救措施。有银行的人士解释说,“这意味着此前发生的银行卡短信诈骗事件,如因为客户自身透露了关键信息而被犯罪分子取走巨款,在客户告知银行的前提下,银行有及时提醒客户,协助警方调查,并尽量为客户采取补救措施的责任。”
我们还注意到,通过电子支付的规范,中国人民银行明确了各银行应尽的职责:由于银行保管、使用不当,导致客户资料信息被泄露或篡改的,银行应采取有效措施防止因此造成客户损失,并及时通知和协助客户补救;因银行自身系统、内控制度或为其提供服务的第三方服务机构的原因,造成电子支付指令无法按约定时间传递、传递不完整或被篡改,并造成客户损失的,银行应按约定予以赔偿。
编后语
《指引》的出台,对规范网上支付的发展是不无裨益的,对整个网上支付的良性发展也是意义深远的,我们希望通过《指引》的出台,可以有效遏制网上支付诈骗案件的发生,给迅速增长的网络购物人群一个安全的网上交易环境。