從支付寶與Apple pay看網(wǎng)絡(luò)支付風(fēng)險(xiǎn)防范研究

黃承予 江婉清

摘 要：網(wǎng)絡(luò)支付的廣泛普及開(kāi)辟了網(wǎng)絡(luò)金融的新時(shí)代。本文旨在從國(guó)家安全層面出發(fā)，以支付寶和Apple pay為研究對(duì)象，比較研究其兩種支付方式在監(jiān)管中存在的風(fēng)險(xiǎn)與難點(diǎn)，對(duì)電子支付方式的安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行研究，結(jié)合規(guī)范分析與實(shí)證分析，并從跨學(xué)科視角對(duì)上述問(wèn)題進(jìn)行科學(xué)合理的解答，呼吁社會(huì)公眾重視網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)，并為我國(guó)網(wǎng)絡(luò)支付的制度建設(shè)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范提供可資借鑒的意見(jiàn)和建議。

關(guān)鍵詞：支付寶 Apple pay 網(wǎng)絡(luò)支付 風(fēng)險(xiǎn)防范 國(guó)家安全

中圖分類號(hào)：F724.6 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-0298（2017）04（b）-042-04

隨著網(wǎng)絡(luò)支付的廣泛普及，網(wǎng)絡(luò)金融安全存在的風(fēng)險(xiǎn)日益凸顯，在國(guó)家對(duì)網(wǎng)絡(luò)金融安全日益重視的同時(shí)，社會(huì)公眾對(duì)多種網(wǎng)絡(luò)支付模式可能存在的風(fēng)險(xiǎn)卻鮮有關(guān)注，在享受著移動(dòng)支付帶來(lái)的便利同時(shí)，卻沒(méi)能認(rèn)識(shí)到著其中大量的技術(shù)或監(jiān)管漏洞。本文從維護(hù)網(wǎng)絡(luò)金融安全與國(guó)家信息安全的角度出發(fā)，就支付寶和Apple pay兩種支付方式孰優(yōu)孰劣、在中國(guó)實(shí)際運(yùn)行中存在哪些問(wèn)題以及如何加強(qiáng)電子商務(wù)支付方式的監(jiān)管等進(jìn)行研究，以期為金融消費(fèi)者提供安全的移動(dòng)支付方式選擇，為政府監(jiān)管部門及時(shí)提出可資借鑒的制度設(shè)計(jì)。

1 內(nèi)涵探析：網(wǎng)絡(luò)支付方式背后的原理探究

1.1 支付寶的實(shí)現(xiàn)原理及操作流程

從本質(zhì)上看，支付寶僅是一個(gè)獨(dú)立的第三方支付平臺(tái)。較傳統(tǒng)的交易方式而言，以支付寶為首的第三方支付平臺(tái)有以下幾個(gè)方面的優(yōu)勢(shì)：從銀行的角度，銀行無(wú)需直接面對(duì)終端的大量客戶，極大地提高工作效率的同時(shí)也降低了服務(wù)成本；從商家的角度，第三方支付平臺(tái)提供了一個(gè)統(tǒng)一的應(yīng)用接口，從而使他們不必考慮消費(fèi)者使用不同銀行帶來(lái)的不便，在降低成本的同時(shí)也有利于擴(kuò)大線上市場(chǎng)；從電子商務(wù)產(chǎn)業(yè)角度，第三方支付平臺(tái)的出現(xiàn)不僅推動(dòng)了產(chǎn)業(yè)化分工，也促進(jìn)了整個(gè)產(chǎn)業(yè)的發(fā)展進(jìn)程。

2008年，支付寶啟動(dòng)移動(dòng)電子商務(wù)戰(zhàn)略，并推出對(duì)應(yīng)的手機(jī)應(yīng)用來(lái)推廣手機(jī)支付業(yè)務(wù)。消費(fèi)者通過(guò)手機(jī)等移動(dòng)終端和近距離傳感器直接或間接地向金融機(jī)構(gòu)發(fā)出支付指令，完成移動(dòng)支付，目前常見(jiàn)的方式主要有條形碼和二維碼的掃碼付款、聲波付款、指紋付款。1.2 Apple pay概念及模式解析

Apple pay將NFC（NFC即Near Field Communication，中文名稱為近場(chǎng)通信，是一種短距高頻的無(wú)線電技術(shù)，在13.56MHz頻率運(yùn)行于10厘米距離內(nèi)。NFC近場(chǎng)通信技術(shù)是由非接觸式射頻識(shí)別（RFID）及互聯(lián)互通技術(shù)整合演變而來(lái)，在單一芯片上結(jié)合感應(yīng)式讀卡器、感應(yīng)式卡片喝點(diǎn)對(duì)點(diǎn)功能，能在短距離內(nèi)與兼容設(shè)備進(jìn)行識(shí)別和數(shù)據(jù)交換）、近場(chǎng)通信技術(shù)、指紋識(shí)別touch ID及Passbook虛擬卡等技術(shù)關(guān)鍵點(diǎn)整合在一起，使手機(jī)代替銀行卡完成支付，是蘋果公司推出的新型支付方式。目前Apple pay同時(shí)支持線上與線下兩種支付方式。線上支付與支付寶類似，但也有所區(qū)別——其直接從銀行卡中支出錢款，而不再經(jīng)過(guò)第三方支付平臺(tái)；線下支付的方式則為用戶在實(shí)體商店購(gòu)買商品或服務(wù)后，在收銀臺(tái)處靠近支持touch ID的銷售終端并按下home鍵進(jìn)行指紋識(shí)別，驗(yàn)證成功即可完成支付。整個(gè)支付過(guò)程無(wú)需輸入密碼甚至無(wú)需解鎖手機(jī)。

Apple pay實(shí)際上就是以蘋果設(shè)備替代實(shí)體卡片，以指紋識(shí)別替代手動(dòng)簽名。但通過(guò)深入解析，可以發(fā)現(xiàn)其實(shí)質(zhì)遠(yuǎn)比這復(fù)雜。首先，用戶需要在設(shè)備上綁定信用卡，在設(shè)備中輸入信用卡信息，Apple pay把信用卡信息發(fā)送到卡組織處驗(yàn)證，驗(yàn)證通過(guò)后會(huì)為這張信用卡生成一個(gè)獨(dú)有的Token數(shù)據(jù)（Token，計(jì)算機(jī)術(shù)語(yǔ)，令牌，標(biāo)記），Apple pay再把這個(gè)加密的Token數(shù)據(jù)發(fā)回到設(shè)備。設(shè)備上不直接存儲(chǔ)信用卡信息，而是將賬戶信息映射成一種Token數(shù)據(jù)存儲(chǔ)在設(shè)備的獨(dú)立安全芯片中（SE芯片，Secure Element，蘋果公司研發(fā)置于蘋果設(shè)備中的安全芯片），使加密的Token數(shù)據(jù)替代用戶的真實(shí)賬戶在交易處理中的各個(gè)環(huán)節(jié)流轉(zhuǎn)，盡可能地降低賬號(hào)在此過(guò)程中泄漏的可能性，從而保護(hù)個(gè)人隱私數(shù)據(jù)。用戶在進(jìn)行支付時(shí)，只有指紋認(rèn)證通過(guò)，設(shè)備才允許利用NFC讀取Token出來(lái)。

2 現(xiàn)狀管窺：兩種支付方式發(fā)展近況考察

2.1 支付寶的發(fā)展現(xiàn)狀

2017年1月4日螞蟻金服發(fā)布的2016年全國(guó)人民賬單數(shù)據(jù)顯示，2016年全國(guó)共有4.5億通過(guò)實(shí)名認(rèn)證的用戶使用了支付寶。同時(shí)，2016年有超過(guò)10億人次使用支付寶提供的公共服務(wù)功能，比去年增長(zhǎng)218%，這些服務(wù)的內(nèi)容涵蓋了民眾生活的方方面面。

同時(shí)，根據(jù)筆者前期發(fā)放的調(diào)查問(wèn)卷結(jié)果，調(diào)查樣本中97.5%的人承認(rèn)在使用支付寶，且年齡跨度較大，但其中80后、90后的占比最大，同時(shí)被調(diào)查者對(duì)支付寶的各個(gè)功能都較為熟悉，支付寶在被調(diào)查者中的使用方式也多種多樣。由此可見(jiàn)，支付寶作為我國(guó)目前第三方支付平臺(tái)的代表，在我國(guó)的移動(dòng)支付市場(chǎng)占據(jù)了極大的份額，并且尚不滿足于現(xiàn)狀，更是將觸手伸向了各個(gè)金融領(lǐng)域。

2.2 Apple pay的發(fā)展現(xiàn)狀

2016年2月18日，Apple pay正式在中國(guó)上線，當(dāng)天綁定的銀行卡數(shù)量就超3000萬(wàn)張，Apple pay入華已滿一周年，但在中國(guó)市場(chǎng)的表現(xiàn)遠(yuǎn)低于預(yù)期——據(jù)《時(shí)代周報(bào)》稱，2016年第三季度中國(guó)移動(dòng)支付中支付寶的市場(chǎng)占有率達(dá)50.42%，微信支付占38.12%，銀聯(lián)僅占0.91%，顯而易見(jiàn)，以銀聯(lián)為支撐的Apple pay的市場(chǎng)占有率更是微乎其微。

從筆者前期發(fā)放的調(diào)查報(bào)告中，Apple pay與支付寶的使用率也存在較大差異，支付寶作為中國(guó)本土移動(dòng)支付公司以97.5%的使用率獨(dú)占鰲頭，而僅有11%的被調(diào)查者表示自己經(jīng)常使用Apple pay。

3 追本溯源：兩種支付方式存在的疏漏

3.1 支付寶存在的疏漏

查閱近幾年全國(guó)各地關(guān)于支付寶被盜刷的司法案例并結(jié)合市場(chǎng)調(diào)研，筆者發(fā)現(xiàn)支付寶作為目前市場(chǎng)上最大的第三方支付平臺(tái)，依然存在以下幾個(gè)問(wèn)題。

3.1.1 內(nèi)部管理不當(dāng)

對(duì)支付寶等第三方支付平臺(tái)來(lái)說(shuō)，其內(nèi)部管理工作應(yīng)當(dāng)完善支付流程、提升網(wǎng)絡(luò)信息安全防火墻技術(shù)以及健全平臺(tái)內(nèi)部規(guī)章制度管理。內(nèi)部管理不當(dāng)，即指第三方支付平臺(tái)未能完全履行上述內(nèi)部管理職責(zé)，存在過(guò)失與疏漏的情形。

根據(jù)（2014）西刑初字第579號(hào)黃春通等盜竊、信用卡詐騙案以及（2016）粵2072民終430號(hào)彭某與中國(guó)建設(shè)銀行股份有限公司中山宏基支行借記卡糾紛上訴案，我們可以得知這兩個(gè)案件的相同點(diǎn)在于第三方支付平臺(tái)的賬戶和支付密碼外泄，甚至有不法之徒通過(guò)購(gòu)買他人的第三方支付平臺(tái)的賬戶和個(gè)人信息的方式，進(jìn)而達(dá)到盜刷他人支付寶賬戶的非法目的。據(jù)此，筆者認(rèn)為，首先，支付寶內(nèi)部的技術(shù)和信息安全防控存在漏洞，從而導(dǎo)致了用戶關(guān)鍵信息泄露以及設(shè)計(jì)安全防控的機(jī)密信息泄露；其次，支付寶內(nèi)部的規(guī)章制度管理仍不完善，內(nèi)部的工作人員有可能在獲取了用戶個(gè)人信息之后將信息轉(zhuǎn)手賣給不法分子并從中獲利。需要指出的是，2013年3月27日，支付寶就曾大量泄漏支付寶用戶的詳細(xì)轉(zhuǎn)賬信息而引起用戶恐慌。

據(jù)前期調(diào)查結(jié)果顯示，即使有高達(dá)97.5%的受訪者使用支付寶，但其中仍有50%以上的受訪者表示對(duì)支付寶的安全性能感到擔(dān)憂，其中更有19%的受訪者表示自己的個(gè)人信息因?yàn)橹Ц秾毝蛲庑孤?，且泄露的信息集中于個(gè)人身份信息、銀行卡信息和手機(jī)號(hào)碼等高度敏感信息上。由此可見(jiàn)，無(wú)論是第三方支付平臺(tái)本身的網(wǎng)絡(luò)安全技術(shù)存在漏洞還是內(nèi)部的規(guī)章管理制度不健全，一旦事發(fā)都將引發(fā)一場(chǎng)社會(huì)公眾對(duì)第三方支付平臺(tái)甚至是整個(gè)網(wǎng)絡(luò)金融的巨大信任危機(jī)。因此，廣大第三方支付平臺(tái)必須在其快速發(fā)展的同時(shí)認(rèn)識(shí)到這當(dāng)中潛在的惡劣后果。

3.1.2 外部欺詐問(wèn)題

由于支付寶以移動(dòng)網(wǎng)絡(luò)為依托，廣大客戶的個(gè)人信息、交易信息等都直接曝光在整個(gè)網(wǎng)絡(luò)系統(tǒng)中，這使不法之徒有了從外部以各種手段竊取信息的可能性。最常見(jiàn)的有以下幾種方式：（1）假扮銀行或者第三方支付平臺(tái)的工作人員給用戶撥打電話，引導(dǎo)用戶告知賬戶信息；（2）假借各大銀行的名義，建立類似的域名和網(wǎng)頁(yè)內(nèi)容引誘受騙者登錄虛假網(wǎng)站，從而收集他人的賬號(hào)密碼信息；（3）在發(fā)送給他人的短信和電子郵件中植入木馬程序，當(dāng)手機(jī)或者電腦等終端感染了木馬程序之后，不法分子便可獲得受害者的賬戶信息和個(gè)人信息。

魯0602刑初125號(hào)王某某、劉某甲信用卡詐騙案中，被告人王某某便是通過(guò)向他人手機(jī)中植入木馬病毒的方式，竊取他人的身份信息、賬戶密碼等，從而完成盜刷他人支付寶的不法行為。同時(shí)，筆者的調(diào)查結(jié)果顯示，受訪者中有10%的人的支付寶曾經(jīng)被盜刷過(guò)，其中66.7%的人表示被盜刷的錢款無(wú)法追回。

3.1.3 監(jiān)管不夠完善

近年來(lái)網(wǎng)絡(luò)金融高速發(fā)展，國(guó)家相繼出臺(tái)了與第三方支付相關(guān)的法律法規(guī)。雖然國(guó)家已經(jīng)意識(shí)到支付寶在某些方面存在一些漏洞需要法律法規(guī)調(diào)整，也加強(qiáng)了對(duì)其監(jiān)管，但我國(guó)的電子商務(wù)在強(qiáng)勢(shì)發(fā)展，支付寶等第三方支付平臺(tái)也不斷地在各個(gè)新領(lǐng)域內(nèi)探索前進(jìn)，相關(guān)法律政策的出臺(tái)尚無(wú)法做到與其探索的步伐齊平，如何定義傳統(tǒng)的金融機(jī)構(gòu)與新型的第三方支付平臺(tái)，又要如何規(guī)范第三方支付平臺(tái)提供的與金融業(yè)務(wù)相重合的領(lǐng)域等新的監(jiān)管問(wèn)題仍在不斷涌現(xiàn)。

3.1.4 對(duì)國(guó)家安全潛在威脅

目前，第三方支付市場(chǎng)雖有各式各樣的第三方支付平臺(tái)出現(xiàn)，但其中依舊是支付寶占據(jù)了主要地位，甚至可以說(shuō)在整個(gè)行業(yè)存在一定的壟斷現(xiàn)象。而支付寶坐擁廣大用戶的賬戶，擁有巨額的沉淀資金，這些沉淀資金的去向在日常的金融活動(dòng)中并不明朗。這在一定程度上意味著，支付寶能夠開(kāi)展更多的金融業(yè)務(wù)從而影響整個(gè)現(xiàn)有的金融體系。從國(guó)家安全的角度上看，人民的大量資產(chǎn)存在于一個(gè)企業(yè)中而不是交由銀行進(jìn)行管理，這必然是對(duì)國(guó)家金融安全的一大潛在威脅。

3.2 Apple pay存在的疏漏

3.2.1 數(shù)據(jù)安全存在隱患

Apple pay對(duì)Tokenization的應(yīng)用（Tokenization，令牌化技術(shù)，取代敏感信息條目的處理過(guò)程），是互聯(lián)網(wǎng)支付的一大革新。用戶無(wú)須重復(fù)輸入如身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)碼、家庭住址等各項(xiàng)敏感度極高的隱私數(shù)據(jù)，而是通過(guò)早已存儲(chǔ)于安全芯片的Token數(shù)據(jù)進(jìn)行支付。該項(xiàng)技術(shù)實(shí)現(xiàn)了私密性、易用性與安全性的相互統(tǒng)一，使用戶得以體會(huì)高科技帶來(lái)的安全與便捷。

但Apple pay的本質(zhì)仍然是銀行卡支付，如果用戶不慎丟失手機(jī)或使用Apple pay綁定銀行卡失敗，可能會(huì)讓不法分子通過(guò)Apple ID獲得信用卡信息，進(jìn)而存在被盜刷的風(fēng)險(xiǎn)。Apple pay在國(guó)內(nèi)上線不到一周，就發(fā)生了因用戶Apple pay綁定銀行卡失敗，導(dǎo)致銀行卡被盜刷的風(fēng)險(xiǎn)事件。據(jù)《上海新聞晨報(bào)》報(bào)道，2016年2月22日凌晨，上海一蘋果手機(jī)用戶王某某通過(guò)Apple pay綁定銀行卡未成功，在約40分鐘的時(shí)間里，個(gè)人信用卡共被盜刷7次，合計(jì)人民幣1054元，美元1862元。某行初步調(diào)查，為不法分子盜用該用戶外幣信用卡，多次在蘋果商店進(jìn)行在線消費(fèi)。 此外，根據(jù)國(guó)外媒體報(bào)道，Apple pay上線的其他國(guó)家也曾發(fā)生過(guò)多起盜刷信用卡案件。

3.2.2 配套法律法規(guī)的缺位

以Apple pay為代表的NFC支付雖然屬于移動(dòng)支付范疇，但又不同于傳統(tǒng)的依賴互聯(lián)網(wǎng)和云端的支付技術(shù)。作為一項(xiàng)新興領(lǐng)域，當(dāng)前國(guó)內(nèi)并沒(méi)有健全的相關(guān)法律法規(guī)進(jìn)行規(guī)制，我國(guó)亟需出臺(tái)相應(yīng)法律法規(guī)，將該種支付方式框定于法律體系之下。

3.2.3 危害國(guó)家安全的潛在風(fēng)險(xiǎn)

Apple pay帶給用戶私密性、易用性與安全性的同時(shí)，潛在危害國(guó)家安全的可能。Apple pay利用Tokeniation技術(shù)，對(duì)中國(guó)的Apple pay用戶的個(gè)人私密信息進(jìn)行加密，使用戶在支付過(guò)程中免于泄漏交易信息，維護(hù)了用戶個(gè)人信息安全。然而從宏觀角度看，蘋果公司通過(guò)該項(xiàng)技術(shù)獲取了成千上萬(wàn)中國(guó)用戶的身份證號(hào)、銀行卡號(hào)、家庭住址、手機(jī)號(hào)碼甚至指紋等敏感度極高的個(gè)人隱私數(shù)據(jù)，并存儲(chǔ)于置于蘋果設(shè)備中的SE芯片之中，是對(duì)于國(guó)家安全的重大危脅。

Tokenization本身是一項(xiàng)先進(jìn)且安全的技術(shù)，有利于更好地在互聯(lián)網(wǎng)上保護(hù)個(gè)人隱私數(shù)據(jù)，前提是中國(guó)掌握該項(xiàng)技術(shù)并且通過(guò)運(yùn)用該項(xiàng)技術(shù)獲得的個(gè)人信息也被中國(guó)所掌握。蘋果公司作為美國(guó)成立的公司，必然受制于美國(guó)政府。2016年庫(kù)克（蘋果公司現(xiàn)CEO）通過(guò)公開(kāi)信公開(kāi)“美國(guó)政府要求蘋果公司采取一項(xiàng)史無(wú)前例的措施”，即FBI以反恐為由，要求蘋果公司“開(kāi)發(fā)一個(gè)全新的操作系統(tǒng)”，并提出解除多個(gè)現(xiàn)有蘋果手機(jī)重要的安全功能，安裝到“圣博納迪諾槍擊案”發(fā)現(xiàn)的iPhone上。雖然蘋果曾多次公開(kāi)表示并不認(rèn)可主動(dòng)向政府敞開(kāi)大門，但中國(guó)用戶大量私人信息被掌握在一家美國(guó)政府管轄范圍內(nèi)的公司信息庫(kù)中，無(wú)疑使中國(guó)信息安全存在巨大安全隱患。如果美國(guó)政府可以利用美國(guó)法律輕易解鎖蘋果用戶的手機(jī)，那么也意味著其有了從任何設(shè)備上獲取私人數(shù)據(jù)的權(quán)利。同時(shí)，也不排除美國(guó)政府要求蘋果公司開(kāi)發(fā)監(jiān)控軟件以攔截用戶私人信息、銀行卡信息的可能性，使用戶在不知情的情況下陷入被美國(guó)政府監(jiān)控的境地。

綜上所述，Apple pay通過(guò)加密存入iPhone手機(jī)隨機(jī)安全芯片而獲得的個(gè)人隱私數(shù)據(jù)，產(chǎn)生的隱患足以影響到國(guó)家信息安全。由此可見(jiàn)，Apple pay引入中國(guó)，引發(fā)的不僅僅是經(jīng)濟(jì)金融上的影響，更深層次即是對(duì)于中國(guó)互聯(lián)網(wǎng)金融法制的影響。中國(guó)互聯(lián)網(wǎng)金融法制依舊存在許多問(wèn)題亟待解決。

4 大道何歸：網(wǎng)絡(luò)金融安全風(fēng)險(xiǎn)的防范建議

4.1 針對(duì)支付寶的安全風(fēng)險(xiǎn)防范建議

4.1.1 完善相關(guān)立法

當(dāng)前我國(guó)雖出臺(tái)了一些與網(wǎng)絡(luò)金融相關(guān)的法律法規(guī)，但是這些法律法規(guī)大多言語(yǔ)籠統(tǒng)，分布零散，在實(shí)際的網(wǎng)絡(luò)金融活動(dòng)中所起的作用有限。

首先，我國(guó)應(yīng)當(dāng)在現(xiàn)有的《中華人民共和國(guó)中國(guó)銀行法》《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》等法律法規(guī)中加強(qiáng)對(duì)第三方支付平臺(tái)的相應(yīng)規(guī)制。如在立法上設(shè)置第三方支付平臺(tái)的行業(yè)準(zhǔn)入標(biāo)準(zhǔn)，通過(guò)立法規(guī)定第三方支付平臺(tái)申請(qǐng)進(jìn)入行業(yè)許可應(yīng)當(dāng)具備的實(shí)質(zhì)條件與形式要件，以及已獲得許可但不具有繼續(xù)經(jīng)營(yíng)資質(zhì)的第三方支付平臺(tái)退出市場(chǎng)的機(jī)制，使符合標(biāo)準(zhǔn)的第三方支付平臺(tái)能夠在合法的空間范圍內(nèi)發(fā)展。

其次，我國(guó)應(yīng)當(dāng)立法增設(shè)監(jiān)管機(jī)構(gòu)。目前我國(guó)對(duì)于網(wǎng)絡(luò)金融領(lǐng)域負(fù)有監(jiān)管職責(zé)的主要是中國(guó)人民銀行、中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)、中國(guó)保險(xiǎn)監(jiān)督管理委員會(huì)和中國(guó)證券監(jiān)督管理委員會(huì)四個(gè)部門。為預(yù)防各個(gè)監(jiān)管部門的監(jiān)管細(xì)則難以落實(shí)，在對(duì)第三方支付平臺(tái)的監(jiān)管中出現(xiàn)互相推諉的情況，還應(yīng)建立一個(gè)銜接第三方支付平臺(tái)與監(jiān)管部門的機(jī)構(gòu)，該機(jī)構(gòu)可由第三方支付平臺(tái)的代表與監(jiān)管部門的代表共同組成，直接對(duì)接各個(gè)第三方支付平臺(tái)和機(jī)構(gòu)，從而自覺(jué)地對(duì)第三方平臺(tái)的準(zhǔn)入與常規(guī)的金融業(yè)務(wù)進(jìn)行監(jiān)督。

4.1.2 加強(qiáng)法律監(jiān)管

互聯(lián)網(wǎng)環(huán)境下，第三方支付平臺(tái)的業(yè)務(wù)涉及網(wǎng)絡(luò)和金融的方方面面，也潛伏了錯(cuò)綜復(fù)雜的法律關(guān)系與風(fēng)險(xiǎn)，加強(qiáng)法律法規(guī)對(duì)第三方支付平臺(tái)的監(jiān)管迫在眉睫。

首先，設(shè)立統(tǒng)一的客戶備用金賬戶?？蛻魝涓督鹗侵Ц稒C(jī)構(gòu)預(yù)收其客戶的待付貨幣資金，不屬于支付機(jī)構(gòu)的自有財(cái)產(chǎn)，但實(shí)際金融活動(dòng)中曾發(fā)生過(guò)第三方支付平臺(tái)挪用客戶備用金、違規(guī)占用客戶備用金，以及借客戶備用金來(lái)變相行使央行的清算職能。設(shè)立統(tǒng)一的客戶備用金賬戶，實(shí)現(xiàn)支付平臺(tái)客戶備付金的集中存管，并由中央銀行進(jìn)行統(tǒng)一的監(jiān)管，各第三方支付平臺(tái)不得挪用、占用客戶備付金。

其次，完善第三方支付市場(chǎng)的信息公開(kāi)制度。支付機(jī)構(gòu)應(yīng)向社會(huì)公眾公開(kāi)必要的經(jīng)營(yíng)信息和交易信息，包括但不限于以下幾個(gè)方面：雙方的交易渠道、交易類型、交易金額、交易時(shí)間，以及直接向客戶提供商品或者服務(wù)的特約商戶名稱、編碼和按照國(guó)家與金融行業(yè)標(biāo)準(zhǔn)設(shè)置的商戶類別碼；收付款客戶名稱，收付款支付賬戶賬號(hào)或者銀行賬戶的開(kāi)戶銀行名稱及賬號(hào)；付款客戶的身份驗(yàn)證和交易授權(quán)信息。

4.1.3 完善司法救濟(jì)

目前我國(guó)網(wǎng)絡(luò)金融方面的消費(fèi)者權(quán)益保護(hù)尚不健全《，消費(fèi)者權(quán)益保護(hù)法》的立法目的雖為保護(hù)消費(fèi)者的合法權(quán)益，但其中有關(guān)網(wǎng)絡(luò)金融用戶的權(quán)益保護(hù)條文涉及甚少。縱觀當(dāng)前的第三方支付平臺(tái)發(fā)展，消費(fèi)者最容易受到侵害的權(quán)益主要包括財(cái)產(chǎn)權(quán)、求償權(quán)、個(gè)人信息安全等。因此，完善司法救濟(jì)首先應(yīng)當(dāng)完善《消費(fèi)者權(quán)益保護(hù)法》，為消費(fèi)者在以上權(quán)益遭受侵害規(guī)定相應(yīng)的和解、訴訟與賠償?shù)木唧w規(guī)定。

同時(shí)，還應(yīng)當(dāng)確立第三方支付平臺(tái)與用戶之間的責(zé)任分擔(dān)與舉證責(zé)任分配的相關(guān)制度。在責(zé)任承擔(dān)上，應(yīng)當(dāng)區(qū)分第三方支付平臺(tái)的過(guò)錯(cuò)與用戶方的過(guò)錯(cuò)，然后根據(jù)過(guò)錯(cuò)責(zé)任原則，由存在過(guò)錯(cuò)一方承擔(dān)主要責(zé)任。但也應(yīng)區(qū)分一般過(guò)失與嚴(yán)重過(guò)失，只有在用戶存在欺詐、故意或者重大過(guò)失的情況下才承擔(dān)責(zé)任，同時(shí)還應(yīng)規(guī)定用戶在一般過(guò)失情形下，對(duì)及時(shí)掛失后的損失不承擔(dān)責(zé)任。在舉證責(zé)任分配上，不能完全依賴民事訴訟舉證責(zé)任分配中的“誰(shuí)提出，誰(shuí)舉證”規(guī)則，而應(yīng)結(jié)合案件實(shí)際情況，從立法上盡量減輕用戶的舉證責(zé)任，將舉證責(zé)任轉(zhuǎn)移至第三方支付平臺(tái)，必要時(shí)可采取舉證責(zé)任倒置的方式，并應(yīng)從立法上禁止第三方支付平臺(tái)利用技術(shù)手段修改、隱匿用戶支付過(guò)程中所形成的電子證據(jù)，否則第三方支付平臺(tái)應(yīng)當(dāng)承擔(dān)相應(yīng)的不利后果和敗訴風(fēng)險(xiǎn)。

4.2 針對(duì)Apple pay的安全風(fēng)險(xiǎn)防范建議

4.2.1 不依賴于外國(guó)引進(jìn)的技術(shù)

首先，對(duì)于一些涉及中國(guó)用戶高度敏感性信息的技術(shù)，我國(guó)應(yīng)做一定限制，盡量研發(fā)與使用國(guó)產(chǎn)的相應(yīng)技術(shù)與信息存儲(chǔ)硬件以替代外國(guó)引進(jìn)的軟硬件，防止我國(guó)信息泄漏到他國(guó)而造成不利影響，在互聯(lián)網(wǎng)上更全面地保護(hù)中國(guó)國(guó)民的個(gè)人隱私數(shù)據(jù)。并且，我國(guó)可以考慮著手建設(shè)金融行業(yè)移動(dòng)支付Tokenization業(yè)務(wù)服務(wù)中心。Tokenization技術(shù)兼顧了私密性、易用性與安全性，我國(guó)理應(yīng)歡迎先進(jìn)技術(shù)的引進(jìn)，就我國(guó)現(xiàn)狀來(lái)看，該項(xiàng)技術(shù)并未真正普及，但不難預(yù)見(jiàn)該項(xiàng)技術(shù)在未來(lái)的巨大潛力，科技的進(jìn)步與更替是必然趨勢(shì)，故而我國(guó)應(yīng)抓住機(jī)遇，及早掌握該項(xiàng)技術(shù)，使該項(xiàng)技術(shù)受控于我國(guó)政府，而非蘋果公司或是其他外資企業(yè)。該服務(wù)中心可以成為獨(dú)立、可信的第三方中介服務(wù)商，服務(wù)于銀行卡組織、商戶、商業(yè)銀行、手機(jī)廠商或通信運(yùn)營(yíng)商。這項(xiàng)舉措有助于在我國(guó)境內(nèi)實(shí)現(xiàn)真正線上線下安全的支付模式，從而防止客戶敏感信息泄漏、網(wǎng)絡(luò)交易過(guò)程中遭劫持等安全事件的發(fā)生，也是保護(hù)我國(guó)國(guó)家信息安全的一大屏障。

4.2.2 重視Apple pay的潛在威脅

從市場(chǎng)分析可知，Apple pay在進(jìn)入我國(guó)市場(chǎng)一年后仍無(wú)法與國(guó)內(nèi)本土移動(dòng)支付——支付寶匹敵，但是以Apple pay為代表的基于NFC的手機(jī)支付功能作為一種先進(jìn)的技術(shù)，無(wú)疑是移動(dòng)支付領(lǐng)域的一大創(chuàng)新。即便在現(xiàn)階段，中國(guó)市場(chǎng)二維碼普及范圍更大，也并不代表這一現(xiàn)狀會(huì)一直延續(xù)下去，筆者在文中雖高呼使用Apple pay有對(duì)國(guó)家安全危害的風(fēng)險(xiǎn)，但Apple pay代表的NFC技術(shù)在安全性、易用性、私密性上的優(yōu)勢(shì)，使它有存在的必要，也使二維碼掃描支付被取代和淘汰存在可能性，Apple pay未來(lái)也可能衍生出更多的金融模式。徹底消除Apple pay潛在威脅的最好方法，是我國(guó)能夠盡快掌握該項(xiàng)技術(shù)，使先進(jìn)科技能夠盡早為我國(guó)民眾所用而無(wú)后顧之憂。

4.2.3 對(duì)Apple pay的準(zhǔn)入實(shí)行有效監(jiān)管

我國(guó)應(yīng)在對(duì)Apple pay準(zhǔn)入持歡迎態(tài)度的同時(shí)，依據(jù)我國(guó)的政策法規(guī)實(shí)施有效監(jiān)管。根據(jù)我國(guó)個(gè)人隱私數(shù)據(jù)的保護(hù)要求，在涉及用戶銀行賬號(hào)、交易等敏感信息方面，Apple pay所使用的Token信息加密技術(shù)是核心，該業(yè)務(wù)服務(wù)中心應(yīng)該落地在我國(guó)境內(nèi)，應(yīng)與蘋果公司獨(dú)立，并由我國(guó)政府授權(quán)進(jìn)行監(jiān)管。同時(shí)，雖然Apple pay采取匿名收集交易信息，但其儲(chǔ)存的數(shù)據(jù)涉及我國(guó)用戶的多項(xiàng)敏感度極高的信息，因此，Apple pay架構(gòu)下的服務(wù)器也應(yīng)設(shè)立在我國(guó)境內(nèi)，使其操作在我國(guó)管轄權(quán)范圍內(nèi)進(jìn)行，以便于在我國(guó)法律框架下實(shí)施監(jiān)管。

4.2.4 加快立法進(jìn)程

《網(wǎng)絡(luò)安全法》的出臺(tái)是推進(jìn)互聯(lián)網(wǎng)法制建設(shè)的重大舉措。2015年中國(guó)人民銀行根據(jù)《中華人民共和國(guó)人民銀行法》、《非金融機(jī)構(gòu)支付服務(wù)管理辦法》等法律法規(guī)制定《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》，對(duì)“非銀行支付機(jī)構(gòu)”進(jìn)行了一定限度的法律規(guī)制。但以Apple pay為代表的NFC支付，由于其并非傳統(tǒng)第三方支付平臺(tái)，而使用者在使用時(shí)也與銀行卡直接關(guān)聯(lián)，對(duì)于該種支付方式的法律性質(zhì)并不明確，既不能將其籠統(tǒng)歸類于非銀行支付機(jī)構(gòu)，也顯然不是銀行支付機(jī)構(gòu)。面對(duì)新式的網(wǎng)絡(luò)支付方式，我國(guó)亟須加快立法進(jìn)程，即時(shí)對(duì)以Apple pay為代表的NFC支付進(jìn)行法律規(guī)制。

參考文獻(xiàn)

[1] 舒憶秦.移動(dòng)支付安全風(fēng)險(xiǎn)評(píng)估及應(yīng)對(duì)策略——基于支付寶用戶的實(shí)證研究[J].國(guó)際商務(wù)財(cái)會(huì)，2016（12）.

[2] 葉文輝.Apple pay與國(guó)內(nèi)互聯(lián)網(wǎng)支付工具的比較分析及啟示[J].國(guó)際金融，2016（9）.

[3] 李曉楓，汪東艷.Apple pay安全機(jī)制分析——兼論對(duì)我國(guó)移動(dòng)支付產(chǎn)業(yè)發(fā)展的政策啟迪[J].金融電子化，2014（12）.

[4] 張慧琳.淺析基于標(biāo)記化技術(shù)的移動(dòng)支付安全方案[J].信息安全與技術(shù)，2015（7）.

[5] 秦安.蘋果支付落地，國(guó)家金融業(yè)自主可控路在何方[J].中國(guó)信息安全，2016（2）.

[6] 寧連舉，劉茜.互聯(lián)網(wǎng)金融的創(chuàng)新發(fā)展及監(jiān)管建議[J].宏觀經(jīng)濟(jì)管理，2015（1）.

[7] 于海龍.互聯(lián)網(wǎng)金融第三方支付發(fā)展戰(zhàn)略研究——以支付寶為例[D].青島科技大學(xué)，2016.

[8] 蔡麗嬌.網(wǎng)絡(luò)第三方支付平臺(tái)監(jiān)管法律問(wèn)題研究[D].山西財(cái)經(jīng)大學(xué)，2013.

[9] 李嘉敏.我國(guó)第三方互聯(lián)網(wǎng)支付平臺(tái)民事責(zé)任研究[D].湘潭大學(xué)，2016.

[10] 馬永保.第三方互聯(lián)網(wǎng)支付經(jīng)濟(jì)法規(guī)制研究[D].安徽大學(xué)， 2014.