(电子商务研究中心讯) 一个时期以来,随着我国经济社会的发展,零售支付市场规模不断壮大,支付机构与银行机构的合作日益深化,在支付工具、支付产品、支付流程、支付渠道、支付场景等方面创新发展不断,有效满足了社会经济零售业务交易的需求,但支付安全特别是身份验证所引发的安全风险也应运而生,亟待予以关注。
问题表现
(一)支付机构对付款人身份验证无法做到“面对面”实名验证。目前从事互联网支付的支付机构对当事人身份验证的方式主要是根据申请人通过计算机或手机等设备在互联网上提供的身份证件号码、手机号码等信息进行身份验证,至于这些信息是否属于申请者本人无法确认。即在支付业务中支付机构只负责提供支付渠道,并不负责对付款人提供的身份信息是否与本人一致进行认证。持卡人在身份证信息等信息一旦泄露,很容易被不法分子冒名利用在支付机构注册支付账户。一方面,在委托扣款等无卡支付业务中,支付机构甚至对付款人根本不进行身份验证,也不通过银行机构对付款人身份进行验证,仅凭持卡人姓名、身份证号、电话号、信用卡CVV码等信息就办理款项扣划。一旦持卡人否认支付交易或发卡银行拒绝付款,支付机构就拒绝向受益人支付已经“扣款成功”的款项,造成支付交易受益人损失。另一方面,支付机构在委托付款业务中通常只凭验证码来完成客户的支付,对是否确属本人支付并没有更为完善的安全控制措施。
(二)银行机构与支付机构的合作中持卡人身份验证责任不清。虽然人民银行和有关监管部门多次要求银行机构与支付机构合作时要加强客户身份真实性的验证,但在实务中效果并不理想。调查显示,与支付宝和财付通等合作的银行机构在合作业务中对客户身份验证均由总行统一完成。在客户开通支付机构渠道的验证环节,通常由支付机构提供客户姓名、银行卡号、证件类型、证件号码、手机号等信息,银行机构的总行在后台核对无误即通过验证,银行机构的基层网点对于其客户是否开通了支付机构的渠道并不知晓。一方面,不法分子通过钓鱼网站、伪基础站发送虚假信息等手段,骗取客户相关信息的案件屡有发生,另一方面,随着个人信息在日常生活中的大量使用,一些机构特别是金融机构在办理业务时,掌握了大量个人信息,由于内控不严等问题,泄露个人信息现象时有发生。面对利用非法手段获取的个人信息进行支付交易的风险,银行和支付机构并没有对此采取有效的防范措施。
(三)支付服务提供者将服务中存在的风险转嫁给客户。支付服务的提供者(银行、支付机构)在支付服务中处于优势地位,在其提供服务中存在的安全隐患转嫁给支付服务的接受者现象较为普遍。目前因身份识别产生的支付交易风险主要有两类,一类是支付服务的提供者在账户开立环节未能有效进行身份实别,如不法分子冒名开立的支付账后将其与受害人的银行账户进行绑定,实施盗划资金等;另一类是支付服务的提供者在交易环节未能进行有效身份识别,如使用伪卡进行交易或冒用他人网银验证码进行交易等。就业务实质而言,均可归类为未经客户授权的支付交易。发达国家对于未授权的支付等支付交易,通常通过相关法律建立明确的风险分担机制,如美国的《1978年电子划拨法》和E条例均规定,一般情况下,对未授权支付的付款人最多只承担500美元有限的责任。目前,我国的法律对未授权的支付究竟哪一方应承担风险没有明文规定,支付服务提供者凭借其在支付交易中的优势地位在预先的协议或在事后的处理中极力推给服务的接受者承担。
原因分析
(一)支付领域的民商法建设滞后。支付风险就其实质而言是支付交易结果的不确定性,即付款人或受益人对自身行为的后果,缺乏明晰的可预见性,因而造成支付交易结果的不确定性。人民银行和相关监管部门曾多次发布文件,责成银行和支付机构加强风险防控,并多次组织关于防范支付风险的专题宣传,但是风险事件仍然屡禁不止,究其原因在于调整平等民事主体间关系的法律严重缺失。目前我国支付结算相关法规基本上是以行政管理法规为主,重视政府的管制,缺乏调整平等民事主体间关系的法律。支付当事人之间权利义务责任不明确,支付服务的提供者和消费者均对自身行为的后果缺乏明确的预见性。仅仅依靠行政管理难以适应日益发展的支付服务市场需求,也难以保护广大支付消费当事人的合法权益。
(二)支付监管体制不能适应发展需要。上述案例的共同特点是受害人均在吉林省境内,而侵害者分别处于不同的地域。随着网络技术在支付领域的广泛应用促进了机具设备大量使用,自助式支付服务使客户取得了更便捷的支付通道,支付服务提供者摆脱了以物理网点为依托的提供方式,不需要在提供服务的地区设置物理网点。而我国支付监管一直沿袭主体监管的思路,在事权的划分上采取“属地监管”的原则,即人民银行的分支机构对辖区内的支付服务提供者(银行机构或支付机构及其分支机构)实施监管,而对支付服务提供者在辖区内未设网点的支付行为无法实施有效的监管。
(三)缺乏有效的事后补救机制。据某省公安部门统计,2014年以来,全省发生类似的跨地区银行卡诈骗案件近5000起,涉案金额近1.8亿元。由于此类案件具有一定技术含量,且具有跨地域的特征,侦破较为困难,但通常情况下,被害人在第一时间能够接到银行的提示短信,如果能够及时查询到支付交易受益人的账户并实施冻结,大部分案件损失是能够挽回的。但是由于现行的查询冻结机制启动和实施时间较长,导致失去了挽回损失的时间。目前,公安部门接到受害人报案并立案后,需要到案发地(受益人开户银行所在地)实施冻结,而失窃的资金在短时间内或被不法分子提取现金或已经完成了转移。
政策建议
(一)加强支付领域民商法建设。充分借鉴美国《统一商法典》第4A编和《1978年电子划拨法》等法律,结合我国实际,建立调整支付结算关系中平等民事主体的法律。明确支付服务提供者和接受者即支付行为当事人权利义务和责任,减少支付行为当事人对自身行为后果的不确定性,促进支付服务提供者和接受者之间的良性互动,为支付体系市场化发展奠定制度基础。
(二)积极开展支付行为监管。在落实主体监管的基础上,建立跨地区支付监督管理协调机制,建立跨地区支付监管联系工作制度,明确划分支付机构法人所在地人民银行分支机构和支付机构支付服务行为发生地人民银行分支机构的监管职责,适度增加支付机构服务行为发生地人民银行分支机构的监管权限,授权支付行为发生地人民银行分支机构对支付服务主体具有跨地区的实施行政执法检查和行政处罚的权力。
(三)建立快速查询冻结机制。针对现代支付体系中资金可以快速跨地区、跨银行转移的特点,公安部门应建立快速查询冻结机制,完善支付风险事后补救措施。一方面,公安部门应改变目前的实地查询方式,建立依托电子网络的快速异地查询机制,尽快确定收款人账号;另一方面应改变目前实地冻结的做法,建立电子化传输的冻结系统,变纸质冻结通知书为电子文书,通过网络系统直接将电子冻结通知发至有关银行机构,对相关账户实施冻结,最大限度地保护支付当事人的财产安全。
(作者为人民银行长春中心支行副行长)(来源:《金融时报》 文//裴绍军;编选:中国电子商务研究中心)
