近些年,政府部门发布多个文件支持电子支付与电子商务的融合发展,特别是2016年5月20日国家发改委等部门发布的《关于推动电子商务发展有关工作的通知》中提到健全电子商务支撑体系,推动电子支付创新应用,大力发展移动支付。一方面随着监管层对支付机构的监管收紧,多家支付机构被罚,支付牌照已经进入存量“洗牌期”,现存支付机构应严格遵循行业规范开展业务;另一方面随着电子支付应用场景的不断扩大,电子支付的安全性也应引起人们的重视。
在2009年某电子商务平台和第三方支付平台网络服务合同纠纷一案中,由于国家对支付业务尚未制定相应的国家标准、行业标准,在发生黑客攻击的情况下,无法判定各方是否尽到安全保障义务,而仅根据双方的协议及双方提供的证据认定各方责任,最终法院在判决理由中认为电子商务平台负有当妥善保管商户号和密码的责任,第三方支付平台对自身系统的安全和信息保密负有认真和谨慎义务,其有责任保证电子支付业务处理系统的设计和运行能够避免电子支付交易数据被泄露,而对于黑客攻击支付平台是否由于电子支付平台存在安全隐患,应由电子商务平台即商户承担举证责任。
分析该判例笔者发现,由于在当时并未出台明确的电子支付行业标准导致各方责任的不明确,而在随后国家陆续出台关于非金融支付机构的网络业务规范中对电子支付的安全性做出了明确规定。
第一,开户审核。支付机构为单位开立支付账户应要求单位提供相关证明文件,并自主或者委托合作机构以面对面方式核实客户身份,或者以非面对面方式通过至少三个合法安全的外部渠道对单位基本信息进行多重交叉验证,并加强对使用个人支付账户开展经营性活动的资金交易监测和持续性客户管理。另外,支付机构在为单位和个人开立支付账户时,应当与单位和个人签订协议,约定支付账户与支付账户、支付账户与银行账户之间的日累计转账限额和笔数,超出限额和笔数的,不得再办理转账业务。
第二,加强账户监测。支付机构应当加强对银行账户和支付账户的监测,建立和完善可疑交易监测模型,账户及其资金划转具有集中转入分散转出等可疑交易特征的,应当列入可疑交易。对于列入可疑交易的账户,支付机构应当与相关单位或者个人核实交易情况;经核实后支付机构仍然认定账户可疑的,支付机构应当暂停账户所有业务,并按照规定报送可疑交易报告或者重点可疑交易报告;涉嫌违法犯罪的,应当及时向当地公安机关报告。
第三,交易验证。支付机构可选择静态密码,经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码及客户本人指纹等进行交易验证。
第四,确保交易信息真实、完整、可追溯。支付机构与银行合作开展银行账户付款或者收款业务的,应当保存交易渠道、交易终端或接口类型、交易类型、交易金额、交易时间,以及直接向客户提供商品或者服务的特约商户名称、编码和按照国家与金融行业标准设置的商户类别码;收付款客户名称,收付款支付账户账号或者银行账户的开户银行名称及账号;付款客户的身份验证和交易授权信息;有效追溯交易的标识;单位客户单笔超过5万元的转账业务的付款用途和事由等,以确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性。
总之,根据电子支付中可能出现的安全问题,我国已经建立健全了多项安全防护机制的规范文件,但是随着电子支付应用场景的增加,支付机构应逐步完善电子支付风险管理机制、建立电子支付灾难备份机制等,通过创新技术及服务模式以提高整个电子支付系统的安全水平。