快捷支付安全性待拷 风险谁买单
2013-12-04
一旦有人知道持卡人的身份证号、银行卡号以及绑定银行卡的手机号,用假身份证复制手机卡,再利用支付宝的快捷支付功能关联银行卡,就能盗刷银行卡资金。这样的情况已经不止一次发生。支付宝推出的快捷支付业务,在便捷用户的同时,其安全性也在经受拷问。第三方支付应如何在快捷和安全之间平衡,值得业界思考
上海的魏宇(化名)最近遇到了一件怪事,身份证和银行卡均未丢失但卡内的6万多元人民币却被别人利用支付宝的快捷支付功能盗刷。
“11月10日我发现自己的手机突然没有信号,第二天去营业厅查询时,被告知手机卡已经作废。联通方面给我的答复是手机卡被人在异地补办,并且补卡所用的身份证也是假的。”魏宇告诉法治周末记者。
魏宇了解到,对方的操作方式是,在补办SIM卡后,还通过注册支付宝账号关联了魏宇在中国建设银行办理的银行卡,从而进行转账。
魏宇认为快捷支付存在安全漏洞:“不法分子获取了我的个人信息补办了手机卡,并不意味着卡内的资金安全就必然会受到威胁。”
2010年年底,支付宝推出快捷支付业务。随着移动支付的兴起,支付宝这一业务已与160多家银行达成合作,用户数量突破1.5亿。然而近期,通过支付宝快捷支付功能盗刷银行卡的案件频发,快捷支付的安全问题也被很多人所担忧。
支付宝应如何在快捷和安全之间进行平衡?快捷支付出现问题该由谁来买单?
安全遭质疑
按照支付宝的介绍,快捷支付是一种安全、快捷的付款方式,只需关联用户的银行卡,无需网银,付款时输入支付宝支付密码和手机校验码即可轻松完成付款。
记者实际操作时发现,不需要银行卡密码就可以完成快捷支付所有操作,所以一旦有其他人知道持卡人的身份证号、银行卡号以及绑定银行卡的手机号,用假身份证复制手机卡,再利用支付宝的快捷支付功能就能盗刷银行卡内资金。
中国电子商务法律网总裁阿拉木斯在接受法治周末记者采访时表示,快捷支付通过手机接收验证码,手机一旦丢失资金安全就很难保证。
“支付宝的快捷支付业务在安全方面的不足主要表现在对消费者身份认证上。”中投顾问高级研究员薛胜文也认为,“目前支付宝快捷支付业务凭身份证信息、银行卡卡号以及手机验证码三个方面的信息即可完成支付,增添了盗卡风险。”
魏宇认为,其银行卡被盗刷的一个重要原因是获取身份信息的人将快捷支付业务和魏宇的银行卡相关联,为何进行这一操作时不需要银行卡密码?
支付宝公关经理朱健告诉法治周末记者:“银行卡的密码是6位数,安全强度比较低。现在有很多钓鱼网站,如果随意输入银行卡的取款密码,这样一来风险会更大。”
北京市盛峰律师事务所主任律师于国富告诉法治周末记者:“支付宝方面可能也想验证客户的银行卡密码,只不过银行不会赋予支付宝这种权利。因为一旦输入银行卡密码,那么用户的资金被盗刷后,银行就需要承担责任。”
11月20日,“网络支付安全论坛”在北京举行,论坛发布的《中国网络支付安全白皮书》指出,虽然会有个别的风险案例发生,但中国网络支付行业风险总体可控,国内主流支付机构的风险管理水平和网上支付安全性哪怕和国外同行相比也非常出色。
数据显示,中国网上支付的欺诈率为0.01%,国际网上支付的平均欺诈率为1%至2%。虽然没有透露支付宝遇到的类似案件的数量,但朱健表示这类事件发生的比例是非常低的。
但于国富认为,对于网络支付的风险控制国外做得不如中国好,但国外银行对客户的保护做得很好,银行会主动承担风险。
风险谁买单
于国富提到的国外银行主动承担风险的情况,让很多人也在追问,一旦账户通过支付宝快捷支付方式被盗刷,责任由谁来承担?
“遇到类似的事件,我们的客服会向客户了解当时的情况,由风控案件审核人员对整个的过程进行核对,包括用户的描述和后台的记录是否相符,最终给出解决方案。”支付宝公关经理朱健接受采访时说。
“支付宝虽然承诺了赔付,但其多次向我询问情况后,我还没有收到赔付,现在已经过去20多天了。”魏宇告诉记者。
对此,朱健解释说:“很多类似的客户都已经得到了赔付,但赔付需要一定的流程。我们还需要与客户核实一些信息。遇到这种情况,赔付额由我们来承担,此后针对此类犯罪我们会配合公安机关进行调查。”
“我们乐于承担责任,但不代表所有的责任都在支付宝。”朱健认为,身份证和银行卡的信息是如何泄露的,为何通过假的身份证件可以补办手机卡,这些都没人关注,大众还是将更多的责任推给了支付宝。
那么,当用户银行卡的钱通过支付宝快捷支付被盗刷时,银行、支付宝、联通营业厅之间的责任如何厘定?
薛胜文研究员表示:"苍蝇不叮无缝的蛋’,出现这样的情况,支付宝需要承担主要责任。快捷支付业务的安全性与支付宝的关系更大,与银行没有直接关系。而消费者则需要保证自己是在安全的支付环境下支付,如果在有病毒的电脑或者手机上支付,存在较高风险。”
IT与知识产权律师赵占领则认为,像这种情况联通营业厅也是有责任的,因为运营商没有对身份证的真伪进行识别就将客户的手机卡挂失补办。
“犯罪分子利用了支付宝‘快捷支付’的特点进行盗刷,在风险控制方面支付宝应该做得更加周全。但从法律角度说,支付宝是没有责任的,因为支付宝是通过远程审核资料,无法对客户资料做到实质性审核,在这个过程中支付宝并没有明显过错。”赵占领说。
至于联通方面,事发后魏宇也曾向联通公司反映情况,但联通方面一直没有回复。
快捷与安全需平衡
目前,我国获得“支付业务许可证”的第三方支付公司已经超过200家。根据艾瑞咨询的数据显示,2012年中国移动支付业务市场交易规模达1511.4亿元,同比增长89.2%。预计2013年移动支付市场将实现交易规模翻番,到2016年我国的移动支付市场交易规模将超过1.3万亿元。
薛胜文告诉记者:“当前第三方支付市场竞争激烈,支付速度已经成为了第三方支付机构的核心竞争力,因此求快成为了大部分第三方支付机构的努力方向。”
业内人士指出,第三方支付平台的当务之急是找到快捷与安全的平衡点。
阿拉木斯表示,所有的应用都无法保证绝对的安全,移动支付是大势所趋,便捷支付的方向是对的。但作为一个相对成熟的产品,保证客户的资金安全是必要的。
“快捷支付是把‘双刃剑’,某种技术在方便用户的同时,可能会存在一些隐患。第三方支付机构要做的是尽可能地将风险降低。”赵占领说。
支付宝公关经理朱健表示:“支付宝希望做到安全和便捷的平衡,在这个过程中如果出现了一些风险的话,我们会主动承担,这说明我们有能力和信心将风险率降到很低,否则不可能作出这种承诺。”
