以翼支付為例探討移動支付的風險管控

孫國萍

摘要：隨著信息技術的高速發展和支付技術不斷創新，我國移動支付發展迅猛，在給客戶帶來便捷、高效服務的同時，也對信息安全、資金安全和行業監管提出了強有力的挑戰。本文針對移動支付在管理層面、技術層面、服務層面存在的主要風險，分別從監管側、企業側、用戶側提出了相應的管控建議和措施，對移動支付產業健康發展與風控管理具有一定的借鑒意義。

關鍵詞：翼支付；移動支付；風險管控

隨著信息技術的高速發展，智能手機快速普及，支付技術與業務不斷創新，移動支付業務發展迅猛。隨著2012年我國移動支付標準的正式確立，通信運營商、銀行、第三方支付機構積極布局和拓展移動支付市場，我國移動支付產業進入了快速發展期，也對風險管控提出了強有力的挑戰。

一、何為移動支付

移動支付是近年來發展起來的技術與業務，根據闡述角度的不同，相關行業、組織給予的定義各有不同。根據2002年“移動支付論壇”（Mobile Payment Forum）的說法，移動支付就是交易雙方使用移動設備轉移貨幣價值以清償獲得商品和服務債務。這是一種依靠短信、HTTP、WAP或NFC（近場通信技術）等無線方式完成支付行為的新型支付方式。移動支付所使用的移動終端可以是手機、PDA、移動PC等，目前手機是主要的移動支付終端，因此也有人把移動支付成為手機支付。移動支付是通信工具向信用支付工具的一種功能性擴展，也是移動電子商務過程實現的一種價值體現。

翼支付是中國電信在移動支付領域的產品。2011年3月，中國電信成立中國電信天翼電子商務有限公司，獲得央行核發的支付牌照，基于移動互聯網技術提供金融信息服務，推出自有品牌——冀支付。翼支付屬于移動通信支付平臺模式，運營商處于主導地位，管理交易賬戶并制定支付流程，直接與用戶聯系，銀行參與程度低。作為進軍支付金融領域從事新業態的央企，在線上線下深度拓展，在為個人用戶提供民生支付應用的同時，還可為個人、商戶提供綜合性的互聯網金融服務。2017年翼支付APP活躍用戶已達到1772.6萬人，一定程度上促進了我國移動支付的快速發展。

二、我國移動支付發展現狀

我國移動支付產業已進入加速發展期。據中國互聯網信息中心（CNNIC）數據，2016年12月我國手機網民規模達6.95億，增長率連續三年超過10%。2016年我國手機網上支付用戶規模達到4.69億，年增長率為31.2%，網民使用手機網上支付的比例達到67.5%，有50.3%的網民在線下實體店購物時使用手機支付結算。從央行發布的年度支付體系運行數據來看，我國移動支付業務保持四年快速增長，2013年移動支付業務和金額分別增長2.1倍和3.2倍，2014年增長1.7倍和1.3倍，2015年增長2.1倍和3.8倍，2016年增長0.85倍和0.46倍，遠遠高于其他支付手段的增長速度，預計未來幾年仍將成倍高速增長。2016年移動支付業務及金額已占我國電子支付業務總量的18.42%和6.32%，已然成為我國電子支付的重要組成部分。

向好的市場反應和發展趨勢給移動支付相關行業以極大信心，我國移動支付市場已然形成了三個梯隊。根據比達咨詢（BigData-research）最新發布的《2016中國第三方移動支付市場研究報告》，2016年中國第三方支付總交易額為57.9萬億元，其中移動支付交易規模為38.6萬億元。目前央行發放了267張支付牌照，從2016年市場份額來看，支付寶占比52.3%居首位，財付通以33.7%位列第二，形成雙寡頭局面，組成第一梯隊：8家支付企業，即拉卡拉、易寶等瓜分剩下12.6%的份額，組成第二梯隊；中國電信的翼支付、中國移動的和包、中國聯通的沃支付，與其他的257張支付牌照共同分割其余1.4%的份額，組成第三梯隊。

中國電信在互聯網金融領域積極探索，目前市場上比較通行的模式，翼支付基本上都有嘗試，如支付、征信、分期、白條、小貸、理財等；翼支付補貼、與眾安保險在用戶與數據方面的合作等，逐漸形成更貼近市場的運營套路：基于通信運營商的數據資源形成大數據技術能力，實現金融解決方案的輸出。

三、移動支付主要風險

在快速發展同時，移動支付的風險制約因素也開始頻頻出現，甚至威脅到用戶資金及信息安全，有必要對這些風險進行全面梳理、系統分析并有效防控，才能進一步推動其健康有序發展。筆者在國內外學者研究成果的基礎上，結合實際工作經驗，歸納出目前面臨的主要風險制約因素有以下幾個方面：

（一）從管理層面來看，主要是政策風險、法律風險、監管風險

1.政策風險。移動支付是銀行與通信運營商跨界融合的業務，邊界不夠明確，在產業鏈上的主體不同，業務類型和運營模式不同，所適用的政策也有所不同：移動支付涉及通信運營商、銀行及第三方支付機構等多個行業，相應地，工業與信息化部、中國人民銀行、銀監會等多個政府部門在移動支付有關行業政策和標準規范的制定工作中均有參與，但各部門的關注點與著力點不同，交叉與遺漏均有可能存在。近年來，我國先后出臺了一些相關政策性文件，如《電子支付指引（第一號）》《支付清算組織管理辦法（征求意見稿）》、《非金融機構支付服務管理辦法》、《中國金融移動支付系列技術標準》、《支付機構客戶備付金存管辦法》等，但這些大多是原則性的監管框架，操作性內容較少，針對性不夠強。

2.法律風險。到目前為止我國暫未形成完善的法律法規體系來規范和保護移動支付領域。目前出臺的一些規范文件，絕大多數是由央行或銀監會制定的，在法律層次上屬于部門行政規章，其效力低于法律和行政法規，強制力、約束力不足；這些規章大多是用來規范我國電子支付領域或非金融機構支付領域的，而并非專門針對移動支付的，內容比較籠統。

3.監管風險。對移動支付產業鏈的監管，目前分散在央行、銀監會、工信部、財政部、工商總局、稅務總局等多個部門，缺少明確的牽頭監管部門，各部門都有權力對移動支付的某一個或多個參與方、相關環節和業務進行監管，不可避免地存在交叉重疊與管理盲區。2015年7月，央行與工信部等十部委聯合發布了《關于促進互聯網金融健康發展的指導意見》，明確了由央行負責監管移動支付的職責，初步確立了以央行為主、跨行業監管機構相互合作、協同監管的移動支付監管體系。但是，具體的監管職責分配仍不夠具體。同時，移動支付是創新板塊，產品形態不斷更新迭代，使得移動支付行業的監管尤其需要及時跟進。

（二）從技術層面來看，主要是支付系統技術風險、網絡安全風險

1.支付系統技術風險。移動支付技術日新月異，在快速迭代的過程中不可避免地存在技術原因導致的業務運營風險，如因軟件設計缺陷造成的用戶及系統數據偏差，因存儲空間、運行能力有限造成系統無法保障支付業務正常進行，因支付系統平臺的硬件或技術故障造成正在進行中的交易中斷、信息泄露等。移動支付涉及的技術，包括移動設備、移動支付系統平臺、通信運營商/金融機構，商戶之間的每一個接口、支付數據傳輸的技術方式等，技術風險存在于整個業務流程。

2.網絡安全風險。移動支付基于無線網絡實現支付行為，而無線網絡的安全問題不可避免地始終存在。移動支付系統和服務網絡可能受到病毒攻擊，也可能因權限管理疏漏造成人為網安事故，使得用戶或支付機構的數據遭受破壞、丟失或篡改等。

（三）從服務層面來看，主要是信用風險、操作風險

1.信用風險。通常也稱為違約風險，是指交易的一方未能履行約定義務而造成另一方經濟損失的風險，對移動支付業務來說，信用風險主要來自于交易雙方對移動支付交易的否定。一是移動支付基于無線網絡，在信息的生成和傳遞過程中存在被攻擊和篡改的可能性，導致交易雙方否認交易而產生信用風險。二是由于交易雙方的地位不平等或信息不對稱引發誠信問題。我國的社會信用體系建設剛剛起步，僅僅依靠道德觀念來約束是遠遠不夠的，亟待健全的法律法規體系和失信懲戒機制出現。

2.操作風險。包括無意的誤操作和有意的非法操作。無意的誤操作主要是指當事人無意的操作紕漏或錯誤操作，導致用戶、商戶或支付機構遭受直接或間接損失：有意的非法操作一般是指非法經營、信息竊取、資金詐騙、黑客攻擊、木馬入侵等。由于移動支付流程涉及多方操作，通信運營商、金融機構、第三方支付機構、商戶和用戶等其中任何一個環節出現不正確操作都可能帶來風險。

四、主要風險的管控建議

移動支付快速發展勢不可擋，而國內領先的互聯網金融公司易寶支付曾發布主題為“互聯網金融未來最需要推進的基礎工作有哪些”的調研報告，參與調研的網民中，47%認為互聯網金融最需要推進的基礎性工作是完善相關的法規法則，43%認為應完善互聯網金融公司的風控體系，33%認為需要完善征信體系建設。移動支付兼具金融業的風險性與互聯網的靈活性，風險管控可謂是移動支付產業可持續健康發展的立身之本。2014年互聯網金融首次被寫入政府工作報告，2015年政府工作報告兩處提到互聯網金融，2016年的政府工作報告提出加快改革完善現代金融監管體制，提高金融服務實體經濟效率，實現金融風險監管全覆蓋。2017年，李克強總理再次提及互聯網金融，指出當前系統性風險總體可控，但對不良資產、影子銀行、互聯網金融等累積風險要高度警惕，積極推進金融監管體制改革，有序化解處置突出風險點，整頓規范金融秩序，筑牢金融風險“防火墻”?？梢?，監管仍然是我國今年互聯網金融的關鍵，在金融監管上的力度勢必只增不減。

（一）監管側，完善行業政策和監管手段，促進行業良性發展

1.完善政策與法律法規。近一年來，從支付牌照收緊，到96費率改革執行，再到二維碼支付的開閘放水，可以看到監管部門連續出臺的這一系列政策都加大了對業務發展過程中出現的亂象的治理力度，有效地引導移動支付回歸業務本源。中國人民銀行副行長范一飛在2017年兩會記者會上表示，把非銀支付基本規矩建立起來，符合其發展的規律。政府監管工作需要在堅持底線思維的同時，采取更富彈性、更具針對性的監管措施。

2.明確監管主體及監管責任，央行作為當前我國支付清算的監管部門，在其整體協調下，工信、工商行政管理及稅務部門則分別從移動信息技術標準、消費者權益保護及稅收征管等方面對移動支付進行全方位監管，提高對移動支付發展監管的有效性。同時，可研究建立移動支付行業管理協會，由其負責移動支付的日常事務協調，促進移動支付行業自律與行政監管的有機結合，進而實現對移動支付的全方位監管。

（二）企業側，從技術角度加強監測與處理，有效保障用戶利益

1.加強技術檢測與處理。從技術角度來看，移動支付安全實現主要從移動終端、通信協議和支付機制等方面著手。如，手機制造商嚴格對移動設備推行定期的補丁機制，一旦發現漏洞快速打補丁，杜絕質量不過關的移動設備流入市場：對應用軟件進行嚴格管理，保證應用市場和發布渠道的安全性，用戶從任意非官方應用商店下載安裝的支付APP，都可能存在攜帶可盜取用戶信息的惡意代碼，要杜絕惡意程序對用戶的不利影響。移動支付系統與用戶之間的通信如果采用端到端的安全模式可以提高移動支付的安全性，即在移動用戶終端與移動支付系統之間直接建立安全傳輸層協議（Transport Layer Security）的安全連接，交易的兩端進行數據加密處理，中間環節不解密，全部傳輸過程為密文傳送，即便傳輸的信息被惡意分子截獲，其破解的難度和成本也會較高。同時，在網絡邊界部署防火墻、病毒防范系統和入侵檢測系統等設備并配置相關的安全選項和規則等：通過數據校驗和保密等措施來保證數據傳輸過程和存儲過程的安全：對接入到支付系統的各銀行、移動通信網元等實體作網段隔離處理等。在支付機制上，可采用雙重身份驗證可以提高支付的安全性，除了使用用戶名口令這種方式以外，增加使用生物特征、數字證書或其他有效的方式，可增加其安全性。

2.規范及簡化業務操作。建立覆蓋移動支付整個交易環節的內部控制制度及監督機制，落實內部控制考核，確保移動支付各交易環節操作的規范性，并在確保信息安全的基礎上，盡量簡化現場支付與遠程支付的業務操作，最大限度地利用移動支付的便利性為客戶提供高效安全的支付清算服務。

筆者在對翼支付的風險管控體系進行研究中看到，在六年的發展過程中，翼支付已經覆蓋全國近400個主要城市，擁有超過110萬線下合作商戶、超過3億的用戶，積累了大量用戶數據、消費場景、合作商戶等核心資源，通過積極應對各類風險事件，形成了一定的技術沉淀，嘗試拓展多維度合作，建立了包括監管平臺、生態圈合作、風控運營、風控核心決策在內的風控體系。一方面，通過深入了解翼支付的風險管控機制，筆者認為，企業側主動地對已發生的風險事件進行統計細分，針對性地建立消費者產品使用過程中事前、事中、事后分階段的安全隱患防范機制是行之有效的。翼支付在事前，強化產品風險控制、嚴格商戶準入規范；事中，利用智能風控系統進行7*24小時操作監控，以個人交易、企業交易大數據進行用戶行為畫像、智能設備識別建立防撞庫機制，進而識別正常交易與可疑交易，并建立商戶及支付通道熔斷機制，切實保護用戶利益；事后，建立先行補償制度，在安全事件發生后積極配合警方打擊犯罪分子，建立案件庫進行大數據分析。另一方面，在2017年7月27日舉辦的天翼智能生態博覽會上，筆者了解到，翼支付依托中國電信大數據能力和金融科技創新優勢，結合翼支付及天翼征信自身風控平臺長期反欺詐實戰經驗，聚焦金融企業端客戶，發布了一款自主研發的具有運營商特色的大數據風控產品“甜橙欺詐盾”產品。甜橙欺詐盾包含三大風險評估模塊、六大風險識別單品。其中，賬戶風險評估模塊綜合評估“用戶賬戶風險、銀行卡活躍性風險、二次放號風險、號碼關系風險、號碼狀態風險”等，重點解決“賬戶盜用、盜卡盜刷、二次放號、異常號碼狀態”等問題；營銷風險評估模塊對用戶“是否存在歷史套利行為、小號風險、設備一致性”等進行評估，重點解決“惡意注冊、套利刷單”等問題；環境風險評估模塊綜合評估“用戶登錄設備環境風險、實時位置風險、歷史位置風險”等，重點解決“異常設備登錄、異常IP、異常地址”等問題。六大風險識別單品包括“社交關系風險預警、位置風險預警、羊毛黨風險預警、設備風險預警、二次放號風險預警、號碼風險預警”。甜橙欺詐盾基于億級用戶行為數據及多行業聯防聯控信息，使用先進機器學習算法，精準識別欺詐風險，通過對手機號碼狀態、終端信息、位置等進行評估，可有效識別多種場景下盜卡盜刷、羊毛黨、異常設備、異常登錄等欺詐風險。業內人士評價，該產品深挖目標客戶痛點，定制化開發解決方案，合作模式靈活高效、產品對接簡單快速，為翼支付強化風控手段、提升風險抵御能力，為用戶與合作伙伴筑牢互聯網金融安全，其積極效果值得期待。

（三）用戶側，增強防范意識，減少錯誤或不安全操作

1.增強用戶的風險防范意識?；ヂ摼W金融在互聯網發展過程中同步面臨不斷出現的諸多新型信息安全風險，如互聯網金融黑客的侵襲、系統漏洞、病毒木馬攻擊、假冒網站或詐騙網站、垃圾詐騙短信等。在不斷提升政府、企業技術防范手段的同時，加強對長尾用戶的金融知識、風險意識的科普顯得十分迫切。

可通過宣傳正面引導消費者建立手機支付安全意識，了解最新的互聯網金融案件及套路，培養良好的使用移動設備的習慣，下載手機APP時要仔細謹慎地選擇官方網站或可信賴的渠道下載，不要在任何非官方網站上填寫姓名、身份證號、銀行卡號及密碼等重要信息?，F階段移動支付廣泛使用的雙因子認證方法是驗證碼機制，由于驗證碼本身的簡單性和易泄露等特點，可引導用戶提高信息安全防范意識，妥善保管收到的驗證碼信息，不輕信誤信套取驗證碼信息等類似信息，未來廣泛采用生物識別技術作為交易口令在一定程度上提高了復雜度，或可增強其安全性。不轉發、不回復、不點開陌生的彩信及鏈接，尤其注意以運營商、銀行公眾服務號名義發送的鏈接，一定要慎點：謹慎使用免費WiFi，在公共WiFi環境下不要輸入CA敏感信息，盡量不進行移動支付交易，因為一些惡意分子能通過侵入并攻擊安全陛較低的公共無線網絡來獲取用戶信息，即便用戶的支付信息是加密的，也有可能被其破解，從而造成用戶的支付賬戶、卡號和密碼等重要信息泄漏。

2.強化信用環境建設?？煞e極開展社會信用體系建設，加強對移動支付交易雙方的信用分析，將目前分散在公安、司法、財政、金融等部門的信用信息進行有效整合與共享，通過信用評價體系將信用狀況輸出給社會。對長期自律的守信者給予各類的優惠待遇，以示點贊與激勵，對失信企業及失信個人視其影響范圍、頻次、造成的經濟損失等給予各類的懲戒處罰，以示警告，并及時納入“黑名單”管理，降低移動支付交易的信用風險。

翼支付客服專家結合一些投訴案例提出，有必要通過服務創新影響用戶意識。如提前預警，在線上線下移動支付應用場景制作簡單明了的安全提示語等。為此，翼支付盤點了用戶在使用手機過程中的十大不良習慣，包括不設手機屏保密碼、無視APP直接通過手機瀏覽器購物、應用程序退出“不徹底”、到處蹭免費網絡、藍牙保持開啟狀態、淘汰手機中的私人信息刪除不徹底、下載山寨軟件、在手機上存儲敏感信息、隨意點擊手機短信鏈接、見二維碼就掃等。這些不良使用習慣往往都是造成用戶信息泄露甚至經濟損失的直接原因，用戶應注重對自身信息安全的保護，減少惡意分子可乘之機。

五、未來展望

移動支付的未來值得期待。擁有完善的移動支付工具，無疑對于互聯網業務發展起到了增強用戶粘性的重要作用，因此各方積極推進移動支付場景滲透，從線上快速拓展到線下，將促進移動支付快速發展。當移動支付成為商業基礎設施并充當消費場景入口，眾多企業發力生態建設，中國電信在2017年提出的轉型3.0戰略中已明確提出“互聯網金融生態圈”，將翼支付作為其第三次戰略轉型中的一個重點。移動支付使前向客戶與后向商戶的交易信息沉淀為豐富的數據源，伴隨著人工智能、大數據、云計算等運用，勢必發展稱為真正的金融科技。市場研究機構Forrester樂觀預測，到2019年時僅美國市場移動支付將成為一項價值高達1420億美元的業務。全球移動支付的交易規模預計會在未來5年內增長近4倍，交易金額將超過1.3萬億美元。