【光明网】网络江湖 安全第一——央行网络支付新规对网络支付安全的影响
作者:南极劳尔
年关将至,网络上大家最关心的除了买火车票,就是网络红包了,这两样东西都离不开“抢”和网络支付。俗话说,不以规矩不成方圆,网络支付也不例外。经历了三次征求意见稿后,网络支付的第一个正式规矩——《非银行支付机构网络支付业务管理办法》(以下简称《办法》)终于出台。《笑傲江湖》有句话:有人的地方就有江湖。在移动互联网时代,有网络支付的地方就有江湖。行走江湖,安全第一。在网络支付中大家最关心的自然是钱和个人信息的安全,那么这个网络支付的规矩哪些与我们钱和个人信息的安全有关呢?一起来看看。
账户分类,灵活运用。本次正式发布的《办法》相对上次征求意见稿的一大变化是支付账户的分类,由消费和综合两类变为Ⅰ、Ⅱ、Ⅲ三类,对应的功能、限额、身份核实方式逐级增加。这应该是综合考虑了安全性和便捷性。打个比方,Ⅲ类账户就像给老婆用的,买东西、转账、理财都不在话下,一年余额付款最高20万;Ⅱ类账户就像自己用的,只能买东西、转账,一年余额付款最高10万;Ⅰ类账户像是给小孩用的,只能做些小额支付。不过也不要悲观,央妈也为我们留了条活路,打怪可以升级,账户也可以嘛,好好表现,万一老婆一高兴,低级别账户可以通过强化身份验证升级。Ⅰ类账户开户方式最简单最快,自开立起累计付款限额1000元,也就是将损失最高限为1000元。投资理财业务风险高,只有安全度最高的Ⅲ类账户可以用余额购买理财产品。20万对于普通老百姓够了,土豪会问不够怎么办?没关系,可以直接用支付账户绑定的银行卡进行支付,从便捷性来说,用户体验并没有什么区别。
机构评级,优化生态。相比上次征求意见稿,《办法》的一大亮点是规定央行可将对支付机构进行评级,而评级标准中特别提到客户备付金管理,由此看出客户的资金安全的重要程度。企业资质好、风险管控好的支付机构将会得到高的评级,评级高的支付机构也会赋予更高的监管弹性和灵活性,在转账功能、限额和个人卖家管理方面将享受更高的权限,自然更受欢迎。同时,《办法》要求支付机构综合客户身份核实方式、资信等因素,对客户进行风险评级。简单的说央行评机构,机构评客户,客户选机构。一个健康的生态系统必然来源于其成员的不断自我调整优化、正向互动从而形成良性循环,支付机构为了取得客户信任和自身的发展,必然会争取更高评级,防范风险、规范发展成为一条必然之路。
多重安全网,保护资金。万一我们的资金损失怎么办?《办法》为我们设置了多层安全保护网。一层是要求支付机构建立风险准备金制度和交易赔付制度。二层是明确风险举证的责任在支付机构,规定支付机构对不能有效证明因客户原因导致的资金损失及时先行赔付。三层是快捷支付中“银行作为客户资金安全的管理责任主体,承诺无条件全额承担此类交易的风险损失先行赔付责任”。四层是支付机构对安全性较低的支付账户余额付款交易设置单日累计限额,对采取不足两类要素进行验证的交易无条件承担客户风险损失赔偿责任。
信息安全,重中之重。针对目前支付机构的一些不足,《办法》从多方面对保护客户信息安全提出了要求。一是高标准。在交易验证方式、网络支付的设施和技术方面,都必须符合国家法律法规和技术安全要求,如果不符合,或者还没有标准的,形成损失的风险和赔付责任由支付机构承担。二是管好商户。《办法》规定支付机构要“切实防范因商户违规存储敏感信息而导致客户信息泄露或资金损失,并依法承担因信息泄露造成的损失和责任”。三是“最小化”原则。所谓“最小化”原则,就是不该存信息的不能存,不该知道的人不能告诉。保守秘密最好方法是自己闷在肚子里,但是支付交易又必须要使用客户信息,要不然买东西扣谁的钱呢?这时候保守秘密的最好方法就是:你知,我知,天不知,地不知。
钱最怕的就是贼偷。《天下无贼》里的傻根比我们很多人都幸福,至少他有一张回家的火车票,还有一书包可以发红包的钱。虽然他的钱并没有存在银行卡或者支付账户,还是被偷了,人在江湖漂,哪能不挨刀。既然天下不可能无贼,我们就要学会防贼,傻根的故事告诉我们比技术更重要的是防范风险的意识,毕竟我们不是武侠小说里的侠客,总有花不完的银子。(南极劳尔)