袁觉

去年12月中旬的一个下午，身在广州的刘洋（化名）发现手机突然失去了信号，咨询运营商后的答案令他大吃一惊：他的手机已经在杭州被挂失重新补办了号码。此后发生的事情让他更是倒抽了一口冷气——自己的银行账户已经被转走了共计6万多元。思来想去他也摸不着头脑，问题究竟出在了哪里。

这是一起典型的盗刷案件，犯罪嫌疑人是在获取了刘洋的身份和银行卡信息后，通过伪造他的身份证然后在杭州补办了刘洋的手机卡号，再通过注册一个支付宝账号，与刘洋的银行卡绑定发生了关联，从而达到了资金盗转的目的。据杭州公安经侦部门披露，这早已经不是支付宝“快捷支付”第一次爆出的盗刷事件了。

支付宝如此回应

所谓“快捷支付”，就是把银行卡账户与“支付宝”等第三方支付平台的账户互相连接起来，在网购时直接输入“支付宝”的密码就可以进行的交易。“快捷支付”和网银支付最大的区别就是不需要像银行网上银行支付一样，要跳转到银行的网关之后才能实现支付。

支付宝公司相关负责人回应盗刷事件称，事件的起因在于有人使用假身份证在营业厅补办SIM卡，这本身是支付宝不可控的。对于任何起因的快捷支付被盗问题，支付宝用户将获得平安保险100%的赔偿，所以客户本身不会有任何损失。三年前支付宝就明确表示，用户使用快捷支付如果遭遇资金损失支付宝将全额给予赔付。去年10月支付宝宣布向所有“快捷支付”用户免费赠送一份资金保障险，该保险由中国平安财产保险股份有限公司承保。

“使用支付宝快捷支付不用输入银行卡密码，是不是降低了资金的安全性？”支付宝公司人士回答，按照互联网支付的国际惯例一般不会直接输入银行卡的取款密码。原因在于银行卡的6位数字密码用在互联网上安全强度不够，如果遭遇钓鱼网站或黑客攻击，银行卡密码泄露的风险更大。

事件发生后尽管支付宝（中国）网络技术有限公司仍然强调：“快捷支付”的安全保障，除了“快捷支付”密码、手机校验码等，支付宝还有用户看不见的后台风控系统。但也不得不承认前述事件中用户信息的泄露，会造成其账户的风险。尤其被人关注的是事过一月刘洋还没有拿到自己的赔偿。

快捷不能无底线

自2011年支付宝推出“快捷支付”以来，通过该支付平台的用户就无须开通网银，直接通过输入卡面信息就可以快速地完成支付。换言之就是只需通过一个账号就完成支付。这意味着支付可以绕开银行，即使是首次关联也无须输入银行卡的取款密码。笔者在支付宝上尝试快捷关联银行卡，发现确实只需要通过输入手机收到的验证码就可以完成支付。也就是说欺诈者只需要掌握了用户的身份信息和银行卡号，就可以盗取银行卡中的钱款。这就是不法分子可以用刘洋的假身份证去补办SIM卡的重要原因。

支付宝快捷支付存在的安全隐患，最主要的就是首次验证不需要输入银行密码。笔者致电国有银行的工商银行和股份制银行的招商银行，客服人员均表示客户在使用“快捷支付”时，因为不用通过银行网银，所以交易过程就完全不受银行的保护。由于支付平台的风险关键存在于快捷“支付密码”的设置上；当手机和银行卡绑定后，捡到手机的人不需要输入卡号可以使用手机。支付平台的这个隐患就会越来越严重。相对来说使用银行支付在身份验证方面就要严格许多，其安全性就大大地提高了。

可以说是追求便捷才让安全的“边界”模糊起来了。对身份证信息验证不足，输入密码时缺少多重认证，正是支付宝快捷支付最大的漏洞。快捷支付是一种创新，但身份证验证是底线，如果没有足够的风控能力，只是将省略程序当做创新，这会对整个行业造成伤害。

为安全VS快捷时

中国电子商务投诉与维权公共服务平台监测数据显示，在2012年度全国第三方支付领域投诉中，财付通占比为23.50%，国付宝占比为19.83%，支付宝占比为16.70%，易宝支付占比为9.35%，百付宝占比为4.90%。

第三方支付平台提供增值服务简化交易流程，促进了对整个支付模式的改变。安全问题是该模式内可控的问题，需要找到改进和完善的有效方法。支付宝等第三方支付应当有多种认证方式，如实名身份认证、手机、邮箱等。

银行的信用之所以安全，主要是对个人身份证的认证。相较于银行对个人身份证所有信息进行认证的物理性，第三方支付平台只是使用手机、邮箱等虚拟信息进行认证。现在的问题出在第三方支付平台改变了传统的身份证信息认证的唯一性，用户直接感觉的复杂度降低了，增强了便捷性的兴趣。

这种只重视追求用户体验，轻视安全防范的做法引起了业内人士的质疑。在第三方支付平台用户体验和安全性的平衡点在于：是选择虚拟信息认证还是实物认证。颇为微妙的是这个选择权既在第三方支付平台手中，也在每个用户自己的手中。用户一旦选择了便捷，就必须承担起安全的责任。

在互联网金融日益深入的今天，支付宝面临的“快捷隐忧”是整个第三方移动支付行业面临的安全课题——用户虽然享受到了支付便捷，却为追求“爽”的体验埋下了风险的隐患。

找到监管的均衡点

快捷和安全之间需要找到一个均衡点，不能为了快而降低安全水平。网银支付之所以麻烦是因为要输入所有信息，快捷支付的安全问题解决手段可以考虑输入账号的后4位数或设置消费额度等来解决。在确保安全性的前提下，再考虑缩短流程、改进用户体验。

安全性越高可能用户使用时会更加复杂；其内部将不断提高智能风控精准度，同时提示用户注意自己的信息保护。仅从技术角度目前互联网金融的快捷支付暴露出安全问题并非全是坏事，想要兼顾便捷与安全，必然推动新技术的问世，比如指纹识别、虹膜识别等体感技术，只有运用到支付环节才能解决安全问题。

互联网金融向消费权益保护发出了挑战，互联网金融归谁管？是银监会、证监会还是保监会？谁也搞不清楚。出了问题怎么办？老赖拿着钱跑了怎么办？谁来承担这个责任？互联网金融已引起监管层重视，央行已经成立了专门研究小组，对全国互联网金融状况进行了分析调研。

第三方支付行业再也不能发了牌照就完事，行业准入门槛要提高，支付宝平台运行时要尽快形成行业的安全标准，切实做好创新中的有效监管。