正确的提示信息
扫码打开虎嗅APP
从思考到创造
打开APP
资讯
视频
前沿科技
车与出行
商业消费
社会文化
金融财经
出海
国际热点
游戏娱乐
健康
书影音
医疗
3C数码
观点
其他
虎嗅视界
24小时
专题/活动
虎嗅智库
登录
极速注册
取消
搜索历史
删除
完成
全部删除
数码
互联网
数码
互联网
热搜词
钟睒睒
字节跳动
短视频
本地生活
美团
货币
抖音
网络暴力
房地产
账号或密码错误
2014-02-03 08:27
支付宝微信崛起,支付业务中的监管失位却不可忽视
carey
今天就着一个具体案例,再来说说支付业务中的监管失位。为什么说”再“呢,因为在我
去年的文章
中,已经提到了这个问题,并将其视为支付业务发展中最大的隐患。
快捷支付(包括无卡支付),可说是当前最方便的银行卡支付方式,尤其是在移动互联网环境中,因为前期各方的技术储备不足,几乎是唯一的可用方式。
快捷支付相比传统支付而言,在用户侧是极其简单的,只需输入银行卡上的几个关键要素、卡主姓名与证件号、手机号,即可开通并支付、提现。其中,卡片要素也逐渐精简为只需要卡号即可,连传统的信用卡三要素都进一步省略了。
首先要夸一夸,这是一种进步和创新。在可控的风险下,为用户带来了最大程度的便利。什么叫可控风险呢?主要是基于移动时代的特征做出假设:手机是随身带的,通常不会随便借给别人,如果丢失了也可以迅速挂失补办。在此假设前提下,设计了这么一种:卡片、个人隐私(姓名与身份证)、常用辅助设备(手机)的三维分离式验证,风险模型确实成立,风险并不大。
当然,只想着正常情况是不够的,还要设计异常情况的处理办法,才能最大程度上将风险管控住。于是我们看到,大部分银行都提出了比较谨慎的支付限额,并在与用户的协议中明确权责、强调风险。鉴于银行的一贯特色,通常都是要求用户自行承担可能的损失的。虽然不爽,但是确实合理。既然想要得到一个更方便的支付能力,自然就要付出一些代价。
好吧,背景就描述到如此。回到主题,先说一说这套风险模型的天然不足之处。关键在于国内的信息安全环境较差,身份证被窃取、手机卡被复制等事情真的已经习以为常了,在上述风控模型下,只要被人盯上了,吃亏就属于必然。各种案例网上有很多,我就不赘述了。
而且,这跟前几年大家所讨论的信用卡被盗用还不一样。信用卡在中国这样的失信环境下,传统的三要素验证虽然非常危险,但至少是有国际处理办法作为参照依据的,只是国内银行做大爷惯了,迟迟不跟进而已。但是现在,快捷支付的风险已经远远超出了信用卡,扩展到了借记卡,而且产生了完全不同的风险漏洞,这就只能靠中国的监管自行来解决了。现状大家都看了,除了报警之后与银行扯皮,基本上无法可依。
不过,在我看来,上述这些都还是小事。更严重的在这呢——
快捷支付的时候,如果支付过程完全由银行监控,就像网银跳转一样,那总体来说安全还是有保障的,并且权责也相对容易界定清楚。但鉴于银行在移动互联网时代的迟钝落后,而且确实存在一定的技术门槛,要所有银行都能支持、并且商户愿意一家家去接入,也不太现实。那好吧,就由银联来做,大家也放心。事实上,银联也确实很积极,很早就整合银行推出了”无卡支付“,目前仍然是移动互联网远程支付的绝对主力之一,但是在涉及到风险责任的时候又怂了,又拿那套经典而老朽的发卡、清算、收单体系来说事,明面上把责任都归结到收单银行、收单银行再归结到商户,但事实上用户出问题了只会直接找发卡行,于是各种纠结……哎不说了。总之,就是各种原因下,银联积极创新了半步,又有理有据得停住了,完全无视这个新市场的真实需求。
于是,
最早提出快捷支付的支付宝成了这个新兴的移动远程支付市场上最大的赢家
,多好啊:用户方便、商户统一接入、支付宝还愿意承担责任(你敢付我敢赔)。接下来,就是微信5.0以后的微信支付,也是通过快捷支付的方式,迅速成为了新的有力竞争者。
可是,这时候支付过程就变味了。
所有的敏感信息:卡号、姓名身份证、手机号都是在支付宝、微信的环境下填写输入的,连手机号的短信验证都是他们给代劳了,虽然有个不起眼的”用户协议“作为法律依据,但是他们就真的如此可信么?
抛开个人喜好不谈,先说事实:
1、支付宝、微信支付(财付通)的信息安全防护技术,是没有经过检测认证的。当然了,国内也没有这样的检测认证机构。但我想说的是:
他们的安全,完全靠自觉,是没有任何公允的方式、或者担保机构来做保障的。
事实上,前段时间的支付宝信息泄露已经闹得纷纷扬扬了。他们现在通过另一种方式来变相弥补:财产保险,虽然说用户的安全“错觉”更好了,但并没有解决本质问题。而且,你如果真的去申请一次“你敢付我敢赔”,就知道有多郁闷了。
2、支付宝、微信支付完全有能力不经过用户同意,直接扣款。
请注意:我说的是”有能力“,而非他们现在已经这么做了。估计很多朋友也会有同样的认知,比如你在支付宝快捷支付中绑定了很多银行卡,当支付宝向你突然发短信”是否愿意支付XXX”时,你回答是,银行卡就被扣款了;或者声波支付时,你同意付款,银行卡就被扣款了。也许你不在意,甚至觉得他很合理,但是请再认真想一想,如果是从你的支付宝账户余额、余额宝、集分宝中扣款,我觉得都能接受;但是从你的绑定银行卡中扣款,且如果第一张卡中没钱,会自动从有钱的某张卡中扣款。你真觉得,你给支付宝有过这么大的授权么?
3、除了支付宝、微信以外,众多支付公司均在与各家银行建立类似的合作、使用同样的接口,任何一家出了上述安全问题都会影响整个支付业,毁掉脆弱的信任基础。
简单地说,如果出现某家流氓公司,与支付宝、微信支付或其他某家支付公司深入合作(可能业务合作,可能股权投资),那完全有可能在所有人都不知道的情况下,获取到这些敏感信息,并天然具备从用户银行卡扣费的能力,且无迹可寻。
在这里,我不想多议论支付宝、微信及其他支付公司是否合法合理,
有句话说的好:存在即合理。更何况有这么多人愿意如此,相对银行、银联而言,可能绝大多数人更愿意把信息主动泄露给支付宝和微信。
但是,这其实是监管失位的问题,这种支付行为,存在如此多、如此大的隐患,而且可能造成巨量的资金损失。这种风险,不能依赖于某某公司的道德,更不能推诿给市场和用户,而应在初期还能管控的情况下,提出合理合规的条令并监督执行,帮助和保护这样的创新能够持续发展下去。
比如:
1、对收集银行卡信息的过程,应进行严格规定和检测。
支付公司不得存储这些信息,只能以加密的方式传给发卡行;
出现账户问题时,发卡行承担首要查询责任,并追责至支付宝等支付公司;
2、对手机号短信验证,这样的核心验证机制,一定不能开放给支付公司
,必须由银行自行验证。或者也可以委托给中国银联,或其他公允的第三方机构。银行应将验证信息全部备案,监管机构定期核查,确保银行没有违规授权。
这,才是监管机构应该做的事。
否则,随着这种模式完全盛行和普及、治无可治的时候,一旦出现集中爆发的问题(简直是必然的),监管机构能做的只能是强行关停和谴责支付公司了。
本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
频道:
金融财经
支持一下
赞赏
0人已赞赏
分享至:
0
大 家 都 在 看
从微信支付看支付行业的未来:银联面临生死抉择,发卡行占优势
CHIUCHIKEUNG
05:16
#道理都懂,可是贵
花呗一分为二,年轻人的花呗该关了吗?
花狸胡说
支付宝屏蔽微信,微信电商在“危”“机”之间
青龙老贼
四大银行下调第三方快捷支付额度,是否滥用了市场支配地位?
嗅友yd8OW
收款码被限?别怕,影响不大
王新宇V
字节跳动斩获支付牌照,技术实力配得上野心吗?
CSDN©
危险的指纹识别,86万银行存款突然没了
火星商业
“刷脸”被盗走40万,这事银行该管吗?
火星商业
移动支付下半场
半佛仙人
蚂蚁腾讯的支付地位“松动了”
halou-eth
数字货币对微信、支付宝们冲击有多大?
全天候科技
08:49
#大公司情报站
揭秘万亿蚂蚁的前半生,支付宝是如何崛起的?
深简商业
14:01
#内幕大揭秘
一碰就灵的NFC技术,怎么就拧不过二维码呢?
差评君
11:19
#内幕大揭秘
装机必备的APP,支付宝如何改变我们的生活?
动动枪DongDongGun
07:48
#金钱永不眠
工资变成数字人民币,会全面普及吗?
花狸胡说
07:11
#高新技术流
数字人民币向微信和支付宝发起挑战?
花狸胡说
07:26
#风口浪尖
不服“碰一下”,支付宝告别“扫码”慢动作
郝智伟
12:26
深度剖析:相互宝为什么注定死亡?它的本质是什么?
金角财经
04:56
#内幕大揭秘
网贷全面上征信,你的花呗、白条关了吗?
花狸胡说
05:34
#国产科技之光
数字人民币是什么,优势到底在哪?
万大叔
大 家 都 在 搜
钟睒睒
字节跳动
短视频
本地生活
美团
货币
抖音
网络暴力
房地产
APP内打开
好的内容,值得赞赏
您的赞赏金额会直接进入作者的虎嗅账号
自定义
支付:
元
匿名赞赏
支付