一、当前网络支付安全的现状评估

1998年至2012年，是中国网络支付从无到有、从小到大的发展时期。网络支付的快速发展对支付体系、支付习惯乃至金融服务产生了深刻的影响和改变。伴随着网络支付带来的影响，网络支付安全日益受到关注。总体来看，当前对于网络支付安全的关注呈现明显的“两强两弱”特点：

一是主要聚焦于直接关系网络支付安全的市场准入、产品服务、安全技术、运营风控以及与之相关的监督管理等微观层面，对于间接相关的网络支付用户体验、安全与效率平衡、创新与监管良性互动、行业发展外部环境等则缺乏充分、系统的关注。

二是对影响网络支付安全的各类“单点风险”认知和防范相对充分，但对多种风险因素叠加的“复杂风险”认知相对较弱；对单个网络支付机构风险控制的重视程度较高，但对产业链各方合力防控网络支付风险的重视程度相对不足。

当前，从支付行业的整体角度观察，需要立足于整个支付产业的高度，避免过于局限于个别支付机构的形势误判或“头疼医头、脚疼医脚”所导致的事倍功半。从现实情况来看，网络支付机构数量多、个体差异大、产品服务多样化、内部经营管理水平参差不齐，战略发展方向差异明显，而且不同的网络支付机构在不同的利益诉求、市场地位、自身特点等条件下，通常会选择不同的经营策略。因此，研究探讨涉及整个行业的网络支付安全问题不能过于局限在网络支付机构的个体差异。现实中，很难有一项微观的、可操作的具体措施能够同时满足整个行业所有个体的需要。但从行业整体性角度，就比较容易寻找到同时满足整个行业健康发展的共同影响因素。

二、从行业整体角度看当前中国网络支付安全

从整个支付行业角度看,网络支付发展变迁带来的各类与安全相关的问题是十分广泛的。其中以前不太关注，未来需要特别关注的几个方面是：

（一）网络支付安全和效率的平衡

安全和效率的平衡是网络支付发展的核心目标之一。过度的安全控制措施会大幅度降低网络支付机构的经营效率，给消费者带来不便；但忽略了安全同样会给用户、网络支付机构带来损失。在平衡网络支付安全和效率方面需要注意的是，风险控制不能牺牲效率和用户体验。这是因为电子商务产业链很长，整个产业链必须高效配合、分工合作，才能扩大市场、分享利润。如果牺牲效率换来了安全，网络支付机构产业链上的收入无法覆盖成本，很快就会在竞争中被淘汰。

从网络支付风险控制的国际比较来看，亚洲地区人口稠密、信用体系不太健全，安全投入相应较多，风险控制技术创新也比较领先，在系统可以承受的范围内适当允许一定的风险水平，有助于激励企业向风险纵深处探索、创新，研发更加有效的新型安全技术，进一步提升网络支付效率。

（二）网络支付服务主要提供者的市场竞争与合作关系

在网络支付安全领域，各参与者之间的行为彼此影响、彼此渗透，共同决定着网络支付安全的整体水平。虽然网络支付机构交易规模尚不及传统支付交易规模的1%，但客观上促进了银行互联网金融服务的发展。银行与网络支付机构之间有合作，也有竞争。网络支付机构直接面向中小企业和个人用户提供服务，在金融服务的创新及用户服务的体验方面比商业银行有优势；银行在完整的银行服务牌照、品牌和人力资源以及风控能力等方面的优势则是其推动网络支付发展的重要潜在优势。与2012年一家大型商业银行叫停拉卡拉、切断其支付通道这类竞争行为相比，未来更需要理性的、建设性的竞合关系，而利用优势地位遏制潜在竞争对手的行为从微观上也许无可厚非，但从总体上看并不利于行业的整体效率提升。另一方面，非理性竞争关系也会增强网络支付市场的不确定性，进而影响用户的网络支付安全感受。

（三）创新与监管良性互动的政策框架

创新是网络支付赖以生存和发展的原动力。过去十余年，通过不断地降低支付门槛、不断提升支付安全与效率，网络支付机构以其快速发展获得了监管部门对其市场主体地位的认可，并为进一步提升网络支付的安全与效率注入了新的动力。创新与监管的互动是动态观察网络支付安全与效率的重要课题之一，构建一个创新与监管良性互动的政策框架，也关系到网络支付的安全与效率。

网络支付监管的政策框架大致可以划分为三个层次：首先是需确保网络支付体系的安全和高效，防范系统性风险，这也是各国监管机构对零售支付体系的监管目标；其次，重点关注和防范网络支付创新对反洗钱、反套现、货币政策等事关经济金融秩序稳定的政策目标的干扰和冲击。第三，针对网络支付机构和用户之间存在信息不对称，需要加强网络支付领域的消费者保护。

在上述政策框架下，建立监管部门与网络支付机构之间对创新行为的识别、评估、咨询、监测和报告机制将成为实现创新与监管良性互动的重要保障。对于未来网络支付机构围绕安全和效率的各类创新，只要不违反上述总体监管目标和具体政策框架，监管部门就应当减少管制和干预。近年来，快捷支付、无卡支付等网络支付创新在推出初期都曾引发安全与风险的争议，但从其日渐广泛使用的实践结果来看，业务创新带来的安全风险已逐渐淡化，并且具备了相应的风险覆盖能力。同时，还应当看到，网络支付机构也具备根据合规性要求调整网络支付业务范围的自觉性。如2012年网络支付机构为杜绝信用卡套现，相继关闭了信用卡向虚拟账户充值的功能。

三、从网络支付机构角度看当前网络支付安全

（一）当前中国网络支付安全风险可控，总体平稳，趋势向好。

首先，经过近十年的发展，国内网络支付机构在安全方面的投入规模非常大，网上支付的安全技术不断完善。包括Usbkey、动态口令、数字证书、钓鱼网站的实时拦截等具体措施也已经广泛应用，网络支付风险控制能力不断提升、风险防控措施不断深入。

其次，市场主体风险可控，行业整体风险可控。自2011年以来，八十余家机构获得网络支付业务许可证，市场主体在享受“牌照红利”的同时，其业务规范程度大大提高；支付宝、财付通、银联在线、快钱、汇付天下等各领域市场份额领先的网络支付机构的风险防范意识及风险管理水平不断提高。

第三，政府行业监管力度不断加强，明显推动了网络支付行业的健康规范发展。中国人民银行以《非金融机构支付服务管理办法》为核心，明确了非金融支付行业的地位及业务属性，设立了行业的准入门槛，确立了备付金安全、实名制规范、反洗钱与反恐怖融资、支付风险管理、用户权益保护等方面的监管原则并不断细化；中国支付清算协会成立近两年来，在行业自律、机构合规性检查以及行业研究方面开展了大量工作。同时，各级地方政府从重视高新技术企业的视角，对网络支付机构的关注和支持力度也明显提升。

第四，网络支付安全的强化趋势仍在继续。随着网络的日益普及，网上银行以及电子商务的广泛应用，网络支付安全日益受到重视，在市场竞争的压力和社会广泛关注下，网络支付参与各方强化安全的步伐不会停滞。

（二）中国网络支付机构中的主要风险

在实际运行中，网络支付安全受类型多样、内容各异、关系复杂的多种因素的影响。综合来看，当前影响中国网络支付安全与效率的最突出的四种典型风险因素如下：

1、基础关系违法。即因网络支付服务被违法犯罪行为利用或者为违法犯罪行为提供了便利，而引起的安全问题。主要集中于与黄赌毒、危险品类“商品”违法交易配套的网络支付服务。

2、内部管理失当。指网络支付机构在流程、技术和信息安全、资金安全、规则和人员诚信等内部管理事项中存在过失与疏漏的情况。产品服务缺陷、用户资金挪用和用户信息泄露等风险事件都属于此类。

3、外部欺诈层出。指外部人员利用各种手段骗取、窃取与支付交易相关的信息和数据，继而操纵或介入支付交易，以盗窃、诈骗行为非法侵占支付交易当事人合法权益的情况。网络钓鱼、木马病毒以及类似庞氏骗局或金字塔传销类型的商户欺诈均属此列。

4、配套环境缺失，影响安全感受。具体包括：网络环境存在潜在风险、用户安全教育和安全意识不足以及网络支付风险缺少规范、高效的查处机制等等。

在上述几种典型风险因素中，违法违规交易、网络支付机构的内部管理以及网络环境中的外部欺诈等风险因素更可能直接带来用户和网络支付机构资金损失、业务终止等后果；而外部配套环境的改善则主要影响用户对于安全的心理感受，其潜在影响更广泛、更难以估计。

（三）中国网络支付安全的监管

网络支付机构和行业的健康发展需要结合实际，对不同的风险因素采取不同力度、不同频度的监管。根据上述现状和主要问题，未来网络支付安全的针对性治理应当重点从以下三方面推进：

一是针对外部欺诈与网络环境对网络支付安全的影响，强化以政府监管部门为主要推动力的外部环境营造。

外部欺诈以及网络环境潜在的风险仍将是未来较长时期内影响网络支付安全的最重要因素。如同欧洲央行在其《互联网支付安全建议》中所强调的，当前监管者、立法者、支付服务提供者以及社会公众的感觉是，通过互联网进行支付，遭受欺诈的概率要高于传统支付方式。因此，从用户对网络支付安全的“主观感受”角度来看，尽管目前国内网络支付欺诈的平均盗卡率在0.01%（主流的支付机构风险水平更低），已经优于国际网络支付欺诈平均1-2%的盗卡率，也优于国际领先的支付企业Paypal的0.27%的网上支付商户拒付比例，但净化网络环境、强化与用户安全感受密切相关的退货、理赔、投诉、安全事件查处等配套机制，为网络支付的健康规范发展提供良好的生态环境仍然十分重要。

二是针对基础关系违法以及配套环境缺失对网络支付安全的影响，要强化以产业链合作为主的全行业的风险防控能力提升。

该领域的风险治理主要针对外部欺诈、市场风险、违法违规交易、消费者教育等方面，其主要目的是化解产业链共同面临的各类风险因素。目前，网络支付机构和商业银行作为网络支付服务的主要提供者应当避免“以邻为壑”，而应该努力强化在网络支付安全方面的合作。要共同开展网络商户和消费者安全教育，研究涵盖整个网络支付过程的安全合作机制，推动诸如安全技术、反欺诈、反洗钱、防钓鱼、“黑名单”共享等具体措施的落实。而在效率提高方面，网络支付机构和商业银行应当在电子商务融资、数据挖掘、交叉营销和移动金融等方面开展合作，促进彼此商业模式的创新和融合，取长补短，共同构筑高效、平衡、健康的电子商务和互联网金融生态圈。此外，网络支付和电子商务整体的行业基础设施、法制环境、用户权益保护等配套外部环境也需要整个产业链的共识与努力。

从调研中了解到，当前在网络支付产业链上，从银行端到网络支付机构再到用户，内部的风险管理、安全防范水平以及风险防范意识呈现出逐渐降低的趋势，产业链上的安全防范水平参差不齐。对此，监管部门未来应引导中小网络支付机构加大安全投入；关注网络支付机构的基础设施投入和业务连续性保障能力；防止中小网络支付机构发生的风险事件对整个行业产生消极和负面影响。

三是针对网络支付机构内部管理失当对网络支付安全的影响，要强化以网络支付机构为主的风险管理机制完善。

该领域风险治理主要是增强网络支付机构的风险防控能力，特别是在主要依靠支付机构自身能力来管理运营风险、技术风险、信息安全等方面，主要目的是在网络支付的产业链中，通过重点参与者带动，把握、控制和降低整个产业链在关键一环上所面临的各类现实和潜在风险。对网络支付机构而言，关键是要借鉴商业银行等机构的风险管理架构和经验，从内外部环境、内控机制、安全技术等方面，探索适合未来互联网金融服务特点和需求的风险管理架构。

四、中国网络支付风险管理发展的趋势

（一）需要关注网络支付范畴的动态发展

国际清算银行（BIS）定义互联网及移动支付以支付指令进入支付系统的路径渠道为主要依据。按照这个角度，网络支付的内容将主要随着信息技术进步而不断扩展。同时，从中国人民银行《电子支付指引（第一号）》中的电子支付到《非金融机构支付服务管理办法》中的网络支付，也可以看到网络支付定义的不断扩展。技术创新带来的不断丰富的支付指令和网络渠道是网络支付范畴不断扩大的主要原因。从支付指令和网络渠道的发展角度来看，生物识别技术带来的声波支付、指纹支付、虹膜（视网膜）支付，以及数字电视网、智能手机4G网络等等都会进一步扩展网络支付的范畴。

（二）需要关注用户体验对网络支付安全的重要影响

现实中，大量用户往往将网络购物中遇到的商户不诚信、商品质量差、物流时效差等不良体验也视做网络支付安全问题。这种情况对于准确判断网络支付安全问题将产生明显的不利影响，很容易导致对网络支付安全环境的低估甚至误判。网络支付安全的本质是要实现网络环境下货币资金转移的安全性。要准确衡量和有效提升网络支付安全水平，在行业内应当把握住货币资金安全转移的这条“主线”。

（三）网络支付风险管理体系建设的两个重要原则

未来的网络支付风险防范应当突出关注两个行之有效的基本原则。一个是安全效率的平衡，另一个是风险收益的平衡，即强调安全的同时不显著影响效率，承担风险获得的收益能覆盖成本。

（四）坚持创新驱动的发展理念

在网络支付安全方面，要坚持通过技术创新解决安全问题的理念。从未来支付安全的技术趋势来看，有两个方面需要特别关注。第一是智能实时防控系统，通过相应规则对交易实时筛查的监控系统，配合人工核查，最终锁定风险交易，控制风险账户，从事后响应转为事中响应，从而提高风险防控效率。第二是大数据在安全方面的应用，互联网技术提供了这个可能性，通过手机、电话等大量的行为状态记录，存储到云端服务器，将来可以通过对人的行为的连续性进行综合分析，而不仅仅是通过密码和密钥来分析。此外，从金融普惠的目标出发，应鼓励银行、网络支付机构通过安全技术创新降低金融服务门槛，帮助农民工、农村地区和边远地区的消费者也能够享受到便捷安全的支付服务。