APP下载

央行视角下新型支付方式的技术管控研究

2017-09-13蒋贵斌

时代金融 2017年23期

蒋贵斌

【摘要】随着互联网技术的深入发展和智能移动设备的广泛普及,使得各类新型支付成为现实。新型支付方式具有快捷、高效、实时等诸多优点,但同时也存在支付安全隱患。央行作为新型支付的主管部门,有义务对新型支付开展全面监管,防范支付风险,维护金融稳定。从当前新型支付监管来看,普遍存在重业务轻技术的情况,然而技术监管具有效率高、可操作性强等特点,能够实施更加直接的监管。本文从新型支付概况、技术架构、技术特点、监管现状等方面进行深入分析,提出技术监管存在的不足和政策建议,为更好开展新型支付技术监管提供参考。

【关键词】央行 新型支付 技术管控

近年来,互联网技术与金融业务的深度融合,催生了各类新型支付方式,极大的方便了广大消费者和商家。对支付机构来说,新型支付方式既面临风险也暗藏机遇,各银行业支付机构纷纷对自身支付技术架构进行深入的创新和改造,以适应新的时代发展,同时,第三方支付机构瞄准市场与银行支付方面存在空隙,提出了许多新奇的支付手段,目的都在于占领市场,赢得先机。新型支付方式出现以来,监管部门已就业务监管开展了很多调研,并出台了许多监管措施,但由于技术的变化和发展,使得技术监管难以把握,值得深入进行研究分析。利用技术手段开展监管,既利于监管效果的提高,也利于监管的全面覆盖,本文试图通过探析现阶段新型支付方式的业务状况和监管现状,研究新型支付方式的技术特点,分析技术监管存在风险和不足,提出技术管控的政策建议。

一、新型支付方式概况

新型支付方式是一种相较于传统金融支付的新概念,是一种依托互联网以及无线通讯技术开展的支付活动,其具有便捷、开放、普惠、可移动性、实时等特点,有效解决了时空对支付业务开展的束缚,极大促进支付业务的深入开展。

根据支付渠道的不同,可将新型支付方式分为近场支付和远程支付,近场支付主要是指使用智能手机或金融IC卡与受理终端开展的不依赖于网络、不需要与远端核心服务器进行及时通讯的交易,具有方便快捷、无记名、无挂失等特点,远程支付则需要依赖于互联网网络,与远端服务器进行签名认证后才可开展交易,其各项支付功能在远端服务器中完成。根据支付账户类型不同,可以将新型支付方式分为通讯账户支付、银行卡账户支付和第三方支付账户,通讯账户支付是一种依赖运营商SIM卡和手机SD卡进行计费的一种支付方式,这种方式技术比较成熟,但由于运营商不具有金融机构资质,独立于金融支付体系,与金融体系融合程度较差,难以得到长足发展;银行卡账户支付即通过银行账户在互联网上参与支付,安全认证方面能够得到较好保证,支付方式快捷,但由于银行新型支付方式起步相对较晚,与商业营销联合方面还需要进一步发展;第三方账户支付则是指在非金融机构开立第三方账户,并在第三方账户中充值金额,利用第三方账户开展电子商务活动,其具有一定金融功能,能很好的开展小额支付,方便消费者,但支付技术风险方面仍需商榷。从支付技术分类来讲,比较常见的支付方式有短信验证支付、动态验证口令支付、USBKey认证支付、WAP网页支付、移动客户端支付、NFC支付,通过一系列的信息安全基础设施,在一定程度上有效保证了新型支付安全。

新型支付方式是互联网技术与金融支付融合的产物,是“互联网+支付”的具体体现,能极大的提高支付效率,促进支付行业深入发展。同时我们也必须看到,新型支付是一把双刃剑,关键在于管好用好,稍有不慎,就可能导致支付案件发生,妨碍金融稳定,在社会中造成恶劣影响,反作用阻碍新型支付发展。

二、新型支付方式技术架构

新型支付方式层出不穷,从最开始各大银行提出的网上银行,再到第三方支付开展的扫码支付,以及人民银行主导的移动支付、金融IC卡等等,给广大民众带来方便的同时,也存在风险。深入研究银行新型支付架构、第三方支付架构、近场支付技术,有利于我们更好开展技术管控。

(一)银行新型支付架构

为了满足客户和商家之间的支付需求,各大银行纷纷推出了自己的支付平台,创造了许多成功的案例。构建方式为银行架设自己的支付服务器,同时为各企业ERP系统、商务销售平台提供接口实现连接,客户通过网络、移动设备、语音等方式与银行支付服务器通讯,完成与企业的支付行为。典型案例有“中国工商银行工银e支付”和“中国农业银行新一代全功能电子商务支付平台”。

“中国工商银行工银e支付”依托现有互联网络,架设有属于自己的信息服务系统,方便人们开展购物支付、转账汇款、生活缴费等小额金融支付交易,支持多种接入方式,包括PC、电话、移动终端、手机银行等,应用场景有PC网银B2C、手机B2C、手机银行和第三方无界面接口等,安全措施通过绑定客户预留手机号和一次一密的动态密码验证机制,当用户开展交易时,输入预留手机号和账号后六位,输入接收到的动态短信验证码即可完成支付。“中国工商银行工银e支付”具有方便、简易、安全等特点,能有效满足广大客户日常生活当中的支付需求。

“中国农业银行新一代全功能电子商务支付平台”目的在于缓解农林牧渔行业、生产制造、商贸批发等市场与企业之间支付结算效率不高的问题,该系统与农牧企业ERP系统进行对接,满足上下游客户多渠道方式接入,包括网络支付、移动支付、语音支付等。农业银行电子商务支付系统通过与企业网上购销系统连接,实现卖方网上收款,买方网上付款,避免了柜台或POS业务集中办理带来的业务繁忙问题,同时提高了企业资金结算效率,将销售人员和和财会人员从业务账务核对中解放出来,实现了企业和客户的双赢。

(二)第三方支付架构

第三方支付的兴起源于电子商务的蓬勃发展,电子商务开展交易活动中,广大消费者和商家需要一种简便快捷的支付方式,提高效率,完成交易。我国对金融支付服务的准入控制门槛较高,而传统银行业金融机构对支付的安全性考虑充分,导致前期投入成本较高,同时考虑银行业金融机构作为支付行业的基础,根本地位不会动摇,以至于银行业金融机构开展互联网新型支付活动稍晚,从而出现了第三方支付机构。截至2015年9月8日,中国人民银行共发放270张牌照,有效促进了新型支付方式的快速规范发展,更好服务了广大民众。典型案例有“财付通微信支付”和“平安付电子支付有限公司农村手机支付业务”。endprint

“财付通微信支付”是一种集成在微信客户端上的支付服务,通过绑定银行卡,完成资金的流入和流出,使用微信支付功能开展支付。近年来,由于智能移动設备普及发展,以及微信在移动设备的大面积推广,使得微信支付成为可能,方便了公众支付,开辟了手机支付的崭新时代。微信支付在微信社交圈中开展,主要形式有微信红包和微信转账,支付流程有APP支付、公众号支付、手机扫码支付、手机被扫支付等,APP支付通过APP了解商品或服务信息,从APP程序下单,跳转至微信支付完成交易,公众号支付则是通过公众号提供的消息或二维码,引导客户进入商城或了解产品,在微信中完成交易;手机扫码支付和被扫码支付通过扫描手机二维码,读取交易信息,完成收款或付款交易。微信支付其核心是开通与银行业支付机构的结算窗口,内部形成资金汇划机制,与各商业机构充分融合,提供隔离于银行支付机构的清算平台,在确保安全的前提下,为商家和客户提供安全、快捷、高效的支付服务。

“平安付电子支付有限公司农村手机支付业务”目的在于改善农村支付环境,丰富农村支付渠道,促进农村地区经济社会快速发展。该种第三方支付方式以手机号码作为支付的唯一标示账户,通过柜面、电话银行、网上银行实现银行账户与手机支付账户的绑定,开通以后,便可以通过短信/WAP等方式开展缴费、转账、助农取款、商户资金归集等业务。该种第三方支付方式架设有自己支付平台,支付平台与普通用户、电信运营商、商业银行进行连接,支付平台能与商业银行形成联动,完成支付业务办理,比较典型应用有代理为普通用户缴费、手机话费充值、企业资金归集等,通过编辑短信向支付平台发出指令,完成交易,比如“01#支付密码#缴费金额#被缴费手机号”。“平安付电子支付有限公司农村手机支付业务”极大的方便了金融基础设施薄弱的农村地区农民,是第三方支付方式的大胆创新。

(三)银行新型支付架构与第三方支付架构的比较

表一 银行新型支付架构与第三方支付架构对比表

从表一我们不难看出,第三方支付在银行、商户、消费者之间发挥了良好的协调沟通作用,兼顾了效率和安全两方面的因素,但最终还是需要通过银行开展结算工作。近年来,随着第三方支付的蓬勃发展,银行也着手通过多种业务和技术创新融入互联网金融支付变革中。银行新型支付架构与第三方支付架构既有相似也有差异,各自的侧重点不同,相信随着业务和技术的深入发展,以及人们对新型支付支付提出更高的要求,两种支付架构将创造更加丰富多彩的支付局面。

(四)NFC支付

NFC(NearFieldCommunication)支付是指在购买商品或服务时,使用NFC通讯完成支付的技术,该技术由RFID射频识别演变而来,并兼容RFID技术,该技术不需要使用移动网络,而是使用NFC射频通道实现与POS收款机或自动售货机等设备的本地通讯。NFC支付一直以来都被认为是一种比较有发展前景的支付方式,但由于金融机构、电信运营商、移动设备制造商对安全元件SE(theSecureElement)的控制存在竞争,导致该项支付业务推广缓慢。随着人们对新型支付方式便捷性和安全性的要求越来越高,以及设备制造成本的不断降低,使得NFC支付又逐渐走入人们的支付视野。典型案例有“广发银行NFC近场支付业务”和“中移电子商务公司手机钱包”。

“广发银行NFC近场支付业务”根据《中国人民银行关于推进金融IC卡应用工作的意见》要求,基于PBOC技术规范,推出NFC手机近场支付业务。加载支付功能的介质有手机安全芯片卡、SIM卡和SD卡,这些介质存储有安全元件SE,实现了与认证系统的对接,能够保证支付安全。该项近场支付业务可以进行脱机消费、空中圈存、圈提等功能。

“中移电子商务公司手机钱包”依托TSM多应用管理平台和SE安全元件进行安全控制管理,使用NFC技术进行通信,近场通信频率为13.56MHZ,支持空中发卡、空中开卡、空中圈存多种业务办理方式,可以实现多卡合一。用户只需一台支持NFC功能的手机,办理一张NFC-SIM卡,下载手机钱包应用程序,便可以在带有“闪付QucikPass”的机具上进行刷手机消费。从管理流程上,应用提供方开发自己的应用,上传加载到TSM多应用管理平台,NFC手机终端下载应用,填写注册信息后便实现空中开卡,即可进行NFC近场支付。

(五)TSM和MTPS

TSM多应用管理平台是移动支付安全方面的公共认证平台,其兼具公信力和开放性的特点,为支付及结算各方提供安全认证功能。2012年,中国人民银行正式发布《中国金融移动支付系列技术标准》,确定采用13.56MHzNFC为标准并支持将安全模块存储在SIM卡中的NFC-SWP方案。三大电信营运商及部分商业银行分别建立了自己的TSM平台。2013年2月,中国移动和中国银联宣布TSM系统的对接成功,极大了促进了TSM平台深入发展。TSM功能可概括为应用发行管理、安全模块管理和标准的制定,具体功能包含安全域管理、应用管理、用户管理、应用提供商管理、业务管理以及SE管理等几个方面。TSM平台由商业银行、电信运营商、设备制造厂商建设,谁建设并拥有TSM平台谁就掌握了移动支付的核心,由此造成各商业银行、电信运营商、设备制造厂商对SE安全元件的控制权之争,阻碍和制约了移动支付发展。

MTPS国家级移动金融安全可信公共服务平台由人民银行牵头建设,其目的在于建设一个“安全、通用、共享”的公共服务平台,为各移动支付参与者提供可信的安全认证和信息沟通服务,有效避免各移动支付参与者重复投资和信息孤岛问题。MTPS具有强大的安全管控能力,对接入应用实行严格的格式规范要求和安全加密审核,确保认证应用的安全性、合法性和规范性,对第三方安全域密钥实行自主管理,增加密钥管理自主性;MTPS具有通用性,可以与CA认证系统、密钥管理系统、支付清算系统以及各机构TSM系统连接,连接可以使用中国金融移动支付相关标准中定义的接口,也可以根据互联关系中所提供的功能和服务情况制定相应系统间接口;MTPS具有共享性,提供SE开放共享部件,能够实现共享SE的金融类辅助安全域管理、初始密钥分发、应用授权管理。endprint

三、新型支付方式技术分析

当前,我国比较重视网络信息安全,习近平总书记提出“没有网络安全就没有国家安全,没有信息化就没有现代化”的论述,2017年6月1日,我国正式实施《中华人民共和国网络安全法》,可见我国对信息安全的重视程度。网络支付作为当前金融体系的重要组成部分,网络支付安全自然成为国家金融安全的重要内容。由于各种新型支付技术尚属初期探索阶段,技术难免存在漏洞和缺陷,深入研究新型支付存在风险,有利新型支付业务更好发展。

信息安全保护是指为了保证通讯双方通讯过程中数据的机密性、完整性、可用性、不可抵赖性,而采取的一系列安全保护措施。机密性是指通讯双方数据不能被他人截取并识别,在没有解密措施的情况下无法读懂数据内容;完整性是指通讯双方数据不能被他人破坏,确保通讯数据完整,不发生丢失,信息内容完全;可用性是指接收到的通讯数据能够符合系统规范要求,不被恶意篡改,确保系统能够识别接收数据,使用接收数据;不可抵赖性是指通讯双方对发生的业务数据具有不可否认性,系统能提供完整的取证功能。

根据新型支付方式的业务特点和网络信息安全分层思想,我们可以将新型支付方式安全内容分为用户端安全、网络通讯安全、支付系统安全,具体各层设备设施、防范技术见表二。

表二 新型支付方式技术分层表

随着信息安全基础设施的不断完善,新型支付方式安全基本能够得到保障。中国人民银行立足央行履职要求,从维护金融稳定的高度出发,重视新型支付方式技术管控,出台了许多规范和要求,包括《中国金融移动支付系列标准》(JR/T0088-2012)、《中国金融集成电路(IC)卡规范》(JR/T0025-2013)、《非金融机构支付业务设施技术要求》(JR/T0122—2014)、《非金融机构支付业务设施检测规范》(JR/T0123—2014)、《网银系统USBKey规范安全技术与测评要求》(JR/T0114-2015)以及《非金融机构支付服务业务系统检测认证管理规定》(中国人民银行公告〔2011〕第14号),这些规范和规定一定程度上有效促进了新型支付的良好发展。由于新型支付方式涉及面广、涉及行业和技术较多,不确定因素增加,加之互联网完全开放互联,认证和加密本身存在的安全漏洞,对新型支付方式安全提出了新的挑战。

(一)新型支付用户端安全管理不善,使用者安全意识不高

根据中国支付清算协会《2016年移动支付用户调研报告》显示,70.6%的受访者认为新型支付方式存在安全隐患。安全隐患可以来源于公共支付网络的攻击,也可来源于新型支付服务提供机构的安全保障不足,同时,也可能来源于用户对自身使用支付设备的管理不善。理论上,当前公共支付基础设施能够保证新型支付安全,然而,信息安全遵循“木桶原理”,任何一个方面出现不足都可能导致新型支付遭受攻击。从众多新型支付安全事件的发生原因看,支付机构服务端因素较少,更多是用户安全意识不高,安全管理不善,比如:使用来历不明的免费WIFI,导致支付信息别他人窃取;随意打开网络链接,进入钓鱼网站,导致账户信息别人获取;安装未认证软件,导致支付终端被人植入木马,获取短信验证码,资金被人转走;个人信息管理不善,同样有可能导致支付安全事件发生。

(二)传统金融机构新型支付方式技术监管制度尚未健全

2015年7月18日,中国人民银行会同工业和信息化部、公安部、财政部等十部委联合发布了《关于促进互联网金融健康发展的指导意见》(银发〔2015〕221号),文件明确了互联网支付业务由人民银行负责监管。中国人民银行出台了《非金融机构支付服务管理办法》(中国人民银行令〔2010〕第2号),从业务层面对第三方新型支付方式进行了规范,《非金融机构支付服务业务系统检测认证管理规定》(中国人民银行公告〔2011〕第14号)从技术层面对第三方新型支付方式进行规范。为适应各种新型支付方式的发展需求,更好拓展业务,传统金融支付机构也正在开展新型支付,但尚未出台银行业金融机构开展新型支付技术的规范和办法。

(三)MTPS认证功能尚未充分发挥,近场支付设施仍需进一步拓展

MTPS国家级移动金融安全可信公共服务平台可以提供商业银行TSM、电信运营商TSM和设备厂商TSM的互联互通和认证,是人民银行开展移动支付监管的重要技术抓手,能有效对各移动支付机构进行管理和控制,但由于MTPS建成时间不长,业务推广和宣传还不够,加之近场支付的速度缓慢,MTPS难以充分发挥其认证作用和管理功能。近年来,通过开展银行卡联网通用检查,我们发现各商业银行推出的POS基本能够支持NFC近场支付,应用领域主要是零售行业,但与公共服务领域结合应用较少,比如公交、校园、医疗、社保等推广缓慢。

(四)新型支付日常技术管理薄弱

《非金融机构支付服务业务系统检测认证管理规定》(中国人民银行公告〔2011〕第14号)指出支付机构发生“出现重大安全事故;业务系统应用架构变更、重要版本变更;生产中心机房场地迁移”等情况,应及时进行检测。由于新型支付方式技术变化快、涉及面广,加之对商业银行新型支付技术监管缺失,技术管控必须形成常态,才能控制风险。目前,新型支付方式已成为支付体系的重要组成部分,新型支付出现问题有可能影响金融稳定。为有效监管新型支付活动,更好履行人民银行指导协调金融业信息安全工作的职责,在对开展新型支付机构开展准入控制的基础上,日常信息安全检查应该作为常态开展。

四、新型支付方式技術管控政策建议

(一)加大新型支付方式安全使用宣传力度,构建全民新型支付安全管理体系

有效防范新型支付安全事故,除了支付服务提供商良好的安全技术构架外,新型支付参与者也必须提高信息安全事故防范意识和基本的技能。近年来,人民银行各级分支机构认真履行维护金融信息安全、指导协调金融业信息安全的工作职责,开展了形式多样、丰富多彩的宣传活动,取得了一定成效,但从新型支付发展的速度和公众参与的程度来讲,宣传的受众面仍然狭窄,受宣传的对象占所有新型支付参与者比率仍然较小。为使公众的新型支付安全意识和技术技能得到提高,中国人民银行可联合信息安全主管部门,利用社会多钟宣传资源,全方位全天候开展宣传,可以在地方电视台中着重进行展播宣传,也可利用各支付机构支付平台进行推送,使支付参与者在开展业务的同时得到教育。endprint

(二)建立健全银行业金融机构新型支付技术管理制度和规范

人民银行对银行业支付机构在传统支付结算和发卡审核方面具有较为全面的制度约束以及规范标准,对新型支付方式的制度更多涉及第三方支付机构。近年来,各商业银行为占领市场,也在开展多种新型支付尝试,使用旧的支付技术管理制度对商业银行开展技术管控约束力不强,建议人民银行出台银行业金融机构开展新型支付的技术管理制度和规范,防范风险。

(三)充分利用MTPS对移动支付参与机构实施技术管控

各新型支付機构具体使用的移动支付技术有可能不同,但要实现移动支付的互联互通,就必须使用人民银行建设的MTPS系统。要实现对支付机构的技术管控,必须具有强有力的技术抓手,MTPS就是一个很好的工具。当支付机构TSM系统接入MTPS时,人民银行可以对支付机构移动支付安全技术进行严格的准入控制,日常支付活动开展过程中,也可以根据技术的变化对支付机构提出要求,对于移动支付安全技术不符合标准的,实行限期整改或停止支付,有效维护新型支付安全稳定运行。

(四)利用综合执法检查等多种检查手段开展新型支付方式监管

近年来,人民银行为规范商业银行金融活动行为,防范金融风险,开展了每年一次的综合执法检查,有效防范和控制了金融风险,维护了国家金融稳定。新型支付技术风险也是金融风险的一部分,各级人民银行可以将新型支付风险防范检查列入综合执法检查中,对商业银行支付技术风险进行有效管控,同时,为规范第三方支付机构支付技术行为,人民银行也可组织开展专项的针对第三方的新型支付技术监督检查,控制新型支付方式技术风险,促进新型支付又好又快发展。

新型支付方式是互联时代背景下的支付变革,是互联网技术与金融支付业务的良好融合,没有人能够阻止新型支付的发展。技术的发展具有很多不确定因素,新型支付在发展过程中一定会面临风险,面对挑战,如何顺应技术的变革,需要严谨科学的态度,也需要大胆的实践和尝试,相信在所有支付机构和广大参与者的鼎力配合下,我国新型支付一定会迈上新的台阶,走在世界的前列。

参考文献

[1]中国支付清算协会.《移动支付理论与务实》.北京:中国金融出版社,2015.

[2]中国支付清算协会.《网络和移动支付创新与实践》.北京:中国金融出版社,2016.

[3]杨彪.《中国第三方支付有效监管研究》.厦门:厦门大学出版社,2013.endprint