今天,我们通过一个具体的案例,来谈谈支付业务的监管缺失问题。为什么说“又”,是因为我在去年的文章中就提到了这个问题,并将其视为支付业务发展中最大的隐患。快捷支付(包括无卡支付)可以说是目前最便捷的银行卡支付方式,尤其是在移动互联网环境下,由于前期各方技术储备不足,几乎是唯一可用的方法。与传统支付相比,快捷支付在用户端极其简单。只需输入银行卡上的几个关键要素,持卡人姓名和身份证号码、手机号码,即可开户、支付、取现。其中,卡片要素也逐渐简化为只需要卡号,甚至连传统信用卡的三要素也进一步省略。首先要夸一下,这是一种进步和创新。在风险可控的情况下,为用户带来最大的便利。什么是可控风险?假设主要基于移动时代的特点:手机随身携带,一般不会随便借给别人。如果您丢失了它们,您可以快速挂失并更换它们。在此假设下,设计了一种卡、个人隐私(姓名和身份证)、常用辅助设备(手机)的三维分离验证。确实建立了风险模型,风险不大。当然,仅仅考虑正常情况是不够的,还需要针对异常情况设计处理方法,以最大程度地控制风险。所以我们可以看到,大部分银行都提出了更加谨慎的支付限额,并在与用户的约定中明确了权责,强调了风险。鉴于银行的一贯特点,通常需要用户自行承担可能的损失。不愉快,但在情理之中。既然想要获得更便捷的支付能力,自然要付出一些代价。好吧,这就是它的背景。回到正题,我来说说这种风险模型的天然缺陷。关键是中国的信息安全环境比较差。身份证盗窃、手机卡复制等事情已经司空见惯。在上述风控模式下,只要针对的是人,吃亏就在所难免。网上有很多案例,我就不赘述了。而且,这和前几年大家讨论的信用卡被盗不一样。信用卡在中国的失信环境下,传统的三因素验证虽然很危险,但至少有国际上的办理方式可以借鉴,但国内银行老大惯了,迟迟没有跟进。但现在,快捷支付的风险已经远远超出了信用卡,延伸到了借记卡,并造成了完全不同的风险漏洞,这只能靠中国的监管来解决。现在的情况大家都看到了,除了报警后跟银行吵架,基本没什么可追的了。然而,在我看来,以上都是小事。这里更严重的是,在快捷支付的情况下,如果支付过程完全被银行监控,就像网银跳转一样,那么整体安全还是有保障的,权责也相对容易界定清楚。但鉴于银行在移动互联网时代的缓慢和落后,且确实存在一定的技术门槛,所有银行都支持、商户都愿意一一接入是不现实的。好吧,让银联来办,大家就放心了。事实上,银联确实很活跃。综合银行很早就推出了“无卡支付”。仍然是移动互联网远程支付的绝对主力军之一。说说经典老牌的发卡、清算、收单系统。从表面上看,责任归于收单行,收单行,再归于商户。所以各种纠葛……我就不说了。总之,由于种种原因,银联主动创新半步,有理有据地停了下来,完全忽视了这个新市场的真实需求。因此,率先提出快捷支付的支付宝成为了这个新兴的移动远程支付市场的最大赢家。多好:用户便捷,商户统一接入,支付宝愿意承担(你敢付,我也敢付)。接下来,微信5.0之后的微信支付,也通过快捷的支付方式,迅速成为新的有力竞争者。但是,此时付款流程发生了变化。所有敏感信息:卡号、姓名、身份证、手机号都在支付宝和微信的环境中填写输入,连手机号的短信验证都给他们做了,虽然有一个不起眼的“用户协议”作为法律依据,但真的有那么可信吗?抛开个人喜好不谈,先说事实:1、支付宝和微信支付(财付通)的信息安全保护技术未经测试认证。当然,国内没有这样的检测认证机构。但我想说的是:他们的安全完全取决于自我意识,没有公平的方式或保障机构来保障。事实上,前段时间的支付宝信息泄露事件已经惹来不小的麻烦。他们现在用另一种方式来弥补:财产保险。虽然用户对安全的“错觉”较好,但并没有解决本质问题。而且,如果你真的申请了“你敢出钱,我就敢赔”,你就知道有多郁闷了。2、支付宝和微信支付完全可以不经用户同意直接扣款付款。注意:我说的是“有能力”,并不是说他们已经这样做了。估计很多朋友都会有同样的认知。例如,您在支付宝快捷支付中绑定了多张银行卡。当支付宝突然给你发短信“你愿意支付XXX吗”,你回答愿意,银行卡就会被扣款。或使用索尼克支付时,您??同意支付,银行卡将被扣款。也许你不在乎,甚至觉得他有道理,但请你再想一想,如果从你的支付宝账户余额中扣除,余额宝、积分宝,我觉得是可以接受的;但是从你绑定的银行卡里扣钱,如果第一张卡里没有钱,会自动从有钱的卡里扣钱。你真以为给了支付宝这么大的授权?3、如果有一家与支付宝和微信深度合作的公司,完全有可能在不知情的情况下获取到这些敏感信息,自然有能力从用户的银行卡中扣费,不留痕迹。在这里,我不想谈支付宝和微信是否合法合理。有句话说:存在即合理。更何况,愿意这么做的人多得是。与银行和银联相比,大多数人可能更愿意主动向支付宝和微信披露信息。然而,这其实是监管错位的问题。这种支付行为存在着太多的隐患,很可能造成巨大的经济损失。这种风险不能靠某家公司的道德,更不能怪罪于市场和用户。相反,在早期可以控制的情况下,应该提出合理合规的规定并监督实施,以帮助和保护这些创新。发展。例如:1、对银行卡信息采集过程进行严格规范和测试。支付公司不允许存储这些信息,只能以加密方式传输给发卡行;账户出现问题时,发卡行负责第一时间查询,并对支付宝等支付公司负责;验证机制不得对支付公司开放,必须由银行自行验证。或者也可以委托给中国银联,或者其他公平的第三方机构。银行应将所有核查信息备案,监管机构将定期核查,确保银行没有未经授权的情况。这是监管者应该做的。否则,当这种模式全面流行、普及、无药可救时,一旦出现集中爆发的问题(不可避免),监管层能做的就是强行关停、谴责支付公司。
