蔡永鸿梁睿张傲蕾

【摘要】本文简要的介绍了移动支付的发展历程，并从消费者，商家，国家法律三个角度对移动支付的安全问题进行分析，并提出相关建议与具体措施。

【关键词】移动支付 安全风险 解决方法

一、引言

随着移动互联网的快速发展以及智能手机的普及，人们通过移动支付来完成消费的行为越来越普遍，移动支付为人们的生活提供了更加便捷与高效的服务，但是在移动支付的过程中存在一定的安全风险。因此，对安全问题研究以及对策分析就显得尤为重要，其意义有三方面，第一，能够提高用户的个人隐私安全，使其得到安全保障。第二，移动支付安全是移动电子商务的生存保障。第三，移动支付安全涉及国家金融安全。为此，本文从实际角度出发，针对移动支付安全问题展开深入的分析，并提出解决的对策，希望能为移动支付的健康发展起到一份微薄的力量。

二、移动支付简介以及发展现状

移动支付（Mobile Payment），也称为手机支付，移动支付论坛（MPF）定义其为，交易双方为了某种服务或者商品，以移动终端设备为载体，通过移动通信网络实现的商业网络交易。这里，支付所使用的移动设备可以是智能手机、计算机、掌上电脑（PDA）等等。移动支付将移动终端设备、智能互联网、应用软件开发商以及大型金融机构四种业界相融合，为手机用户提快捷缴费、便捷转账等金融业务。移动支付的特性有移动性、集成性、及时性、定制化等等。移动支付的方式有短信支付、扫码支付、扫脸支付、声波支付、指纹支付等等。但大体上分为两类，近场支付和远程支付，近场支付常见的有手机刷卡的方式坐公交车、商场购物等。远程支付有手机支付、电话银行、网上银行、邮寄、汇款等方式。

早在1999年，我国就已经在一些省市开始进行移动支付业务试运行工作，但是在2009年之前移动支付发展的较为缓慢，直到2009年后，移动支付才迅速发展起来。到2010年，中国银联（China Union Pay）联合工行、农行、交行、建行等18家大型商业银行，以及中国联通公司、中国电信公司两家电信运营商，以及部分手机开发商，与他们共同成立了“移动支付产业联盟”。到了2013年，移动支付因春晚的红包大战突然开始变得火爆起来，引起了各界广泛的关注。到了今天，根据比达咨询（Big Data）发布的《2015年度中国第三方移动支付市场研究报告》显示，截止到2015年12月，中国手机网民规模已达到6.19亿，相比去年增长11.1%，移动支付应用作为移动互联网经济和消费的底层，也因此飞速增长，如：京东商城618下单量超过1500万单，移动端订单量占比超过60%。阿里巴巴2015年双11全天交易额突破912.17亿，其中移动端交易额为626亿元，占比为68%。同时根据中央银行发布的《2015年支付体系运行总体情况》显示，2015年移动支付业务138.37亿笔，同比增长了205.86%；移动支付金额108.22万亿元，同比增长了379.06%。这足以说明了移动支付产业的规模在日益增大，有着广阔的前景。

三、移动支付存在的安全问题分析

纵观历史，智能手机更新换代的速度极快，几乎是目不暇接，从最初仅有的通话和短信功能发展到如今的互联网链接和各种应用软件，智能手机用户的规模越来越广，但与此同时，移动支付的安全风险也必然会随之加大。这里从三个角度来分析安全问题，第一，用户角度，即手机的支付环境安全问题，日常生活中常见的盗刷技术。第二，商家角度，即商家对用户信息管理不善，泄露用户个人信息。三是客观角度，我国相关的法律法规不够完善。

（一）手机的支付环境安全问题

1.移动终端自身的安全风险。一方面是手机安全漏洞，这是对手机移动支付的安全最大的威胁，非法分子利用智能手机操作系统自身漏洞，可以在不破坏App数字签名的情况下，偷窥账号密码、盗窃用户个人隐私、自动播打电话或发短信等违法行为，今年来，手机漏洞事件频频发生，但到目前位置并没有一个统一的漏洞发布与补丁更新机制，于是就造成了当前的尴尬局面。例如去年发现的Stagefright的安全漏洞，通过Stagefright漏洞，黑客只需一条极其简单的彩信，就能够完全控制用户手机，其波及范围包括从安卓2.2系统到安卓4.0系统，甚至可以避开ASLR的防护，进而侵入Android安卓5.0系统到安卓5.1系统的应用设备，粗略估计影响当前约95%的安卓设备，大约近9亿台安卓设备存在被恶意入侵的危险。Sagefright漏洞影响之大，危害之大，堪称移动界的“心脏滴血”，它也被称为“安卓系统漏洞的始祖”。

另一方面，手机自身的基础网络风险也是不可忽视的，最常见的是伪基站钓鱼网站的诈骗方式，不法分子利用与电信运营商的相同频率的伪基站点，搜索用户SIM手机卡信息，然后伪装成运营发送诈骗短信。推送的诈骗短信中包含着钓鱼网站，犯罪分子趁机盗刷手机账户资金。根据360发布的《2016年第二季度手機安全状况报告》显示，360手机安全卫士为全国的手机用户拦截各类钓鱼网站恶意攻击已达4.7亿次，移动端占360各类安全终端产品拦截钓鱼网站总量60.6亿次的7.8%。又例如在2016上半年范围最广、变种最多、影响最恶劣的“粗口木马”病毒，同样的，犯罪分子通过伪基站伪装成官方号码，向用户短信，用户一旦点击带有病毒APK下载的链接，就会立即激活“粗口木马”。该木马可后台自动运作，截获手机用户的所有短信，并发送到犯罪分子指定的邮箱，以便于詐骗团伙盗取个人隐私和盗刷银行卡等犯罪行为。

2.移动终端应用软件App的安全风险。如今手机应用软件App种类繁多，数不胜数，但App作为第三方应用，它的开发者和开发过程并没有相关部门进行监管，只是在进入下载商店时才进行安全性和合法性检测，如果App中存在病毒，那么这些病毒能够未经允许私自下载软件并安装，窃取银行账号及密码，盗走资金，有时连安全管理软件也无法分辨。据腾讯发布的《2016年上半年手机安全报告》显示，2016年上半年安卓病毒包呈爬坡式飞速增长，新增918.25万个、感染用户超过2亿。其中，支付类病毒最为猖獗，同比增长986.14%，被感染用户数达1670.33万，增长45.82%。说明支付病毒已成为增长速度最快、危害最大的“黑暗势力”。究其原因，用户如果在此前有过使用电脑的经验，则防范意识可能会稍好，而目前智能手机的快速普及，使得很多用户在使用智能手机前并没有使用电脑的经验，所以对病毒与木马的防范意识和能力更弱。

（二）商家对用户信息管理不善

在商家内部最常出现的情况是，一些工作人员私下把用户信息卖给其他非法组织，这往往暴露了人员管理是商家移动支付平台安全管理中比较薄弱的环节这个问题。没未经过有效的训练，并且不具有优秀职业习惯和良好职业道德的员工本身，对安全系统也是一种潜在的威胁。因此，工作人员素质和保密观念是一个不容忽视的问题，无论系统本身有多么完善的保护措施，也难以抵抗内部人员带来的影响。我国很多大型商家对职工安全教育做的不够，又缺乏有效的管理和监督机制，有些非法组织买通对手的管理人员，窃取对手的商业机密，甚至破坏对方的系统，这给企业带来极大的安全隐患。

当然，有时不只是商家内部人员在泄露用户个人隐私，还包括外部黑客入侵，有些不法分子利用黑客技术，来侵入商家后台数据库，致使大量用户数据隐私泄露。例如2013年12月，继全球最大中文IT技术社区（CSDN）、天涯社区的用户数据泄露后，在最为重要的电商领域，也传出了存在漏洞致使用户信息泄露的消息，漏洞报告平台发布漏洞报告称，支付宝用户数据大量被泄露，泄露总量达1500万到2500万之多，泄露时间不明，数据中只有支付用户的账号，但没有密码，被用于网络营销。已经被卷入的企业有京东商城、支付宝和当当网，其中有些商家否认数据泄露，但这样也不能掩盖泄露的事实。习主席曾经说过“没有网络安全，就没有国家安全”，这从另一个角度诠释了皮之不存毛之焉附的道理，这也说明了支付安全问题已经不仅危及到个人隐私安全，更是已经上升到了国家安全的层次。大型商业企业应当对这个问题引起高度的关注，并且加强对数据的安保措施。

还有一种情况，有些不法分子冒充商家进行注册来诈骗，由此带来的安全隐患更大，现在第三方支付平台的通过实名注册、采用身份证和银行卡来进行认证，较之以前的无条件注册，确实取得了一定进步。但随着移动支付交易规模的不断扩大，很难进行面对面认证，而且现在的认证方法很难确定商家的真实身份，这就给诈骗分子利用认证监管缺陷实施欺诈提供了可操作的空间，而且对欺诈的惩罚仅限于警告、账户冻结等行为，处罚力度不够。这不仅要靠国家监督，也同时商家本身也应经常检查市场中是否有冒充同名商家，才能减少诈骗事件发生的概率。

（三）我国相关的法律法规不够完善

我国移动支付较国外相比，发展起步比较晚，尽管发展速度很快，但是很多方面还是不够健全，国外对于移动支付法制方面，早己立法，通过法律来监管移动支付的正常运作。但目前我国还没有针对移动商务安全的专门法律。虽然已经实施的《非金融机构支付服务管理办法》、《电子银行业务管理办法》、《电子支付指引（第一号）》、《电子银行安全評估指引》、和《关于规范移动信息服务资费和收费行为的通知》等法律法规。中国人民银行于2015年12月28日发布《非银行支付机构网络支付业务管理办法》，自2016年7月1日起施行。虽然在这里已对非银行支付机构明确了相关法律地位，移动支付也有了其存在的法律依据，但是它对移动支付管理的安全性仍值得商榷，投入使用还有待时日。如今，移动支付缺乏一致的被广泛认可的支付安全相关法律，因为法律的制定是一个反复循环的过程，需在实践中不断修正，且法律的实施有一定延迟性，而且法律的实施与移动支付发展的速度极其不匹配，一般只是当问题出现了才进行处罚，而不能对其进行前置管理。所以，如何尽可能地保护用户移动支付的安全以及合法权益仍是需要长期研究的问题。

除了以上存在的针对用户的法律问题外，对于国家来说，移动支付最大的问题就是沉淀资金和洗钱的违法行为，这会使得国家遭受巨大的损失。在进行移动支付的过程中，因为在用户资金与支付的时间之间存在一定的时间差，就会产生沉淀资金，有些机构人员就会考虑使用该资金获得非法利益，可能出现擅自挪用资金的现象，这就很容易导致金融风险。而且存在洗钱的法律凤险，因为移动支付本身的具有快捷性特点，就很有可能被一些不法分子用于对非法收益的漂白。针对这一点还需我国移动支付法律完善，才能防止这种损害国家利益的事情发生。

四、移动支付安全问题的解决对策

承接上文三个角度的问题分析，这里也是从这三个角度来分析解决方法，第一，用户角度，如何提高手机的支付环境安全性能。第二，商家角度，如何使商家内部管理更完善。三是客观角度，如何加强我国相关的法律法规。

（一）用户加强手机的安全意识

1.提高用户移动支付安全意识。要防止被不法分子诈骗，仅仅只提高技术的安全性是远远不够的，还必须从用户的安全意识着手，用户的安全意识不提升，再厉害的安全技术也没有用武之地。如何提高用户的安全意识呢？第一，利用网络积极宣传手机安全知识，如今手机都能够上网，可以在网络上加大宣传力度，同时公布一些关于手机安全的数据，以及近年来发生的较为重大的安全事件，使得手机用户对于移动支付安全有足够的警觉性。第二，用户要养成良好的使用手机的习惯。例如对移动支付涉及的支付密码、账户信息、电子邮箱、手机短信、验证码等信息要妥善保管，提高保密性，并且要不定期更换各个账户的密码，保证密码的安全性。用户应意识到不是所有的免费Wi-Fi都是安全的，不是方便的App就可以随手下载使用，不要随意的扫描二维码，他们其中或许就隐藏着木马病毒，给用户造成不可挽回的损失。所以一定要确认免费Wi-Fi是安全的再上网，一定要从官方网站或App商店下载更新软件，下载安全手机软件，以便随时检查手机是否存在病毒并及时更新手机系统。第三，手机属于个人随身物品，要随时保管好，不要随意离身，丢失后应立即召回或挂失，不要去二手手机市场随便买来历不明的手机，如果一定要买二手的，一定要保证有安全可靠的来源。

2.加强对移动支付安全技术的研发投入。首先，可以加强研究芯片技术，因为如果要加强手机安全性，则要加强手机本身在加密解密方面的能力，在电脑中支付时常使用的数字证书，SET和SSL协议技术，能够提供更安全的支付环境。手机要实现则相对困难，但我们可以考虑在手机中使用专业芯片，它的执行速度足够快，时间足够短，并且尽可能的不能影响系统中其他程序的运行，也可以大大加快加密解密的执行速度。它的优点是既可以保持安全性，也可以使获得用户良好体验，但它也有也有相应的缺点，如成本高、升级难等。其次可以加强入侵检测和监控，他们是保障支付安全的关键因素之一。在电脑有线网络环境中，入侵检测技术比较成熟，但要将它应用到Wi-Fi中，仍有些难题有待解决，例如如何判断某一无线网络信号是合法行为还是非法行为等。我们可以加强对无线网络Wi-Fi的监控，监测无线网络的使用情况和用户接入个人信息，一旦用户受到病毒攻击或非法接入，系统可以及时采取有效措施来确保支付安全。

（二）如何使商家内部管理更完善

移动支付是由电子商务发展而来，是通信技术和传统电子商务的有效结合。从事移动支付技术的人员都是知识分子，既有专业基础知识，同时还有比较强的操作能力，和支付系统的安全有着直接关系。因此，对于商务系统的参与人员的管理就显得十分必要。以下列举了如何管理这些人员的措施：一是要在工作人员的选拔上进行严格控制。选拔一些基本品质良好、有相关专业知识、懂得如何管理的人员来任职。二是对上岗人员进行培训。培训的内容应包括：基础理论培训、专业技术能力实践和管理技能培训，以此来提高支付系统人员的整体道德素质，尤其是安全意识方面。三是严格遵循交易系统安全运作的基本原则。比如对一些较为重要的业务实行多人负责，使其相互制约，实行激励保障措施，对举报的人员予以奖赏；对于安全管理人员，要经常调换其岗位；落实责任制度，安全监管人员不得越权操作，只能在本职责范围内工作。

对工作人员进行管理后，还应当加强保密措施，尤其是对非授权人员的管理，所以要加强公司的保密工作，同时防止外部黑客的非法入侵。具体措施有如下。一是将保密内容分类，例如可以按照轻重级别不同，分为秘密，机密和绝密三种级别，分别由不同级别的保密人员进行专职管理，级别越高的人管理越高级别的秘密。二是加强保密技术，可以引进外国先进的保密技术，加以改造，并合理运用于本公司中去。但不论用什么方法，都要注重密钥的管理工作。密钥管理会涉及到密钥的产生、分配、更新、储存和销毁等方面，管理人员对任何一方面都不能大意。三是最后一点，也是不可忽视的一点，任何电子系统都需要经常定期维护，移动支付系统也是如此。系统管理人员要定期对通信站点、交换机和服务器等设备进行修理维护，借用一些相关软件来判断系统是否正常工作。对于系统软件方面，定期对系统进行优化更新，完成对数据库系统备份，最好采用双数据库系统来保障数据信息的安全性，要对木马和病毒做好防范工作，通過安装防火墙和杀毒软件来增强系统安全性能。

（三）如何加强我国相关的法律法规

目前我国关于移动支付的法律还不够完善，但令人振奋的是，中国人民银行于2015年12月28日发布《非银行支付机构网络支付业务管理办法》，自2016年7月1日起施行，这也说明了国家已对移动支付行业有了高度重视，但还是仍然需加强监管力度，完善相关法律法规。我认为具体措施可以有如下这些，首先，最紧要的是完善移动支付的法律法规，通过借鉴参考国际标准并且结合本国实际情况，来制定一些适合我国国情的移动支付安全标准，全国人大会议需通过制定移动电子商务安全领域的法律条文，并完善配套的法律规章和司法解释，以此不断完善国内安全领域法律法规。其次，明确监管主体，加强对支付安全的监督管理，由人民银行和银监会共同监管移动支付平台的支付安全，切实发挥商业银行等机构在监管过程中的作用，同时要求移动支付平台加入中央银行反洗钱系统，严格监控移动支付平台的非法交易行为，例如洗钱、欺诈、套现等。一经发现如上违法行为应当报告相关部门，通过移动支付系统严格监控并有效制止违法行为，有效实施对移动支付平台的日常监管。最后，建立备付金制度，加强沉淀资金的管理，我国颁布的《非金融机构支付管理办法》规定了支付机构的备付金不是机构的自有财产，且不允许私自挪用，可以增加特别针对支付机构的备付金渠道，统一管理备付金的交纳和监管，加强对移动支付机构的沉淀资金的管理，防范因支付机构的问题而已引发的金融凤险。当然，只有靠政府相关部门、电信运营商、金融行业协会以及各类应用软件运营商共同的努力，才能创建由政府严格监控、刑事打击到移动支付行业能够自律全方位的安全保护体系，进而改善移动支付的安全环境。

五、结束语

随着移动支付技术的快速发展，移动支付已经应用在我们生活的各个方面，并带来巨大的便利，使人们的工作和生活都离不开它。但是由于不法分子的恶意行为，导致我们的支付安全性大为下降，这也使得移动支付安全成为用户最为关心的问题，但我相信，伴随着新的安全理论与技术的不断出现，以及监管机构和参与移动支付的各主体不断努力的方向，能够快速提升整个产业链的安全水平，完善电子商务相关的法律法规并提升用户的安全意识，会使得移动支付环境更加安全，从而让移动支付的用户能够有更好的体验。

参考文献

[1]古贞.移动电子商务存在的安全问题及对策研究[J].时代金融，2016，27：212-217.

[2]罗再阳.移动支付风险与安全机制分析[J].金融科技时代，2015，4：102-103.

[3]王隆娟，姚孝明，谭毓银.移动支付安全问题探索[J].信息安全与技术，2015，1：7-9.

[4]李国才.试析移动支付安全性问题[J].电脑编程技巧与维护，2015，24：62-82.