近两年,互联网金融行业迅猛发展,参与者越来越多且素质参差不齐,使得风险事件频繁爆发,在这种情况下,互联网金融平台如何管理好资金,成为很多人关心的问题。
对此,国内最早成立的第三方支付企业――迅付信息科技有限公司(以下简称“环迅支付”)市场部经理仲捷闻表示,基于海量支付大数据的基础之上,环迅支付在互联网金融服务模式上进行了大胆创新,并推出了更具安全系数的资金管理模式。
谈及公司与大数据的关联,仲捷闻表示,从第三方支付角度来看,环迅支付从创建到现在,平台上处理的每一笔支付业务都与大数据有着密不可分的关联。“也可以这么说,支付天生就与大数据联合。”
第三方支付的大数据基因
作为国内最早成立的第三方支付企业,环迅支付早在2011年便首批获得中国人民银行颁发的《支付业务许可证》,支持国际主流信用卡及所有国内主流银行的B2B在线支付,为全球超过60万商户及超过2000万的用户提供金融级的支付服务和体验。
近几年,全球各国信用卡盗刷事件层出不穷。随着移动互联网金融的崛起,网络支付安全问题也成为第三方支付企业最重视的焦点之一。“从安全性角度而言,我们能从几千亿笔支付信息中,找出相应的规则进行支付风险等级评定。”仲捷闻表示,在公司的后台支付系统中,由于有大数据的基础,可以针对每一笔资金支付交易进行即时性的检测和评定。必要时,公司的平台系统甚至能对高危交易进行实时提醒和终止。
比如有一笔资金支付交易使用的卡号段来自于盗卡频发的区域,或者某一笔支付交易,上午的支付信用卡显示其地理位置位于某地,但是到了下午,这张信用卡的支付信息则显示为距离较远的另一个地方,无论是这两种情况中的哪一种,都会在环迅支付的平台系统中引发高危预警提示。
“在我们的大数据基础上,通过比对,我们的系统会将上述这种异常的支付交易即时归为危险交易,并跳出相应的支付预警信息。”如果没有大数据做基础和支撑的话,光靠人工识别,几乎根本不可能在上亿笔支付交易中识别出这些高危交易。正是得益于大数据的采集和对比,每年可以为无数持卡人挽回相当大的经济损失。
升级P2P资管模式
近两年,互联网金融行业迅猛发展,参与者越来越多且素质参差不齐,使得风险事件频繁爆发,在这种情况下,互联网金融平台如何管理好资金,成为很多人关心的问题。
以互联网P2P贷款平台为例,在以往诸多出现“P2P网站老板卷款而逃”的问题平台中,大部分P2P网站采用的是“资金池模式”。
【关键词】电子支付;网络安全;问题;对策
电子支付的出现,极大的便利了人们的工作与生活,因此依托网络,进行安全的电子支付工作,是当前人们关注的焦点问题。
1电子支付网络安全概述
1.1电子支付概述
电子支付是人们进行电子商务、日常生活消费的一个关键环节,其主要指的是电子交易的当事人,例如:消费者、商家、金融机构,这三者之间,通过网络电子支付的手段,对货币、资金进行的流通,进而实现支付的一种形式[1]。
1.2电子支付带来的网络安全概述
目前电子支付带来的安全隐患,主要包括技术层面、非技术层面两个方面。技术层面的安全隐患主要是:对于具有电子支付功能的计算机系统,进行的静态数据攻击(口令猜测、IP地址的欺骗、制定路由进行信息的发送),以及动态数据攻击(主动对其数据进行攻击、攻击者对于资金信息进行监控,进而被动的信息破坏),如图1所示。非技术层面的安全隐患主要是:网络交易支付款项存在着较多的安全风险,且未及时加强监督管理;基于网络的电子交易缺乏完善的法律体系,进行支付安全的保护
2基于电子支付时代下的网络安全问题以及改进对策分析
目前电子支付下网络安全问题频发,给人们的财产安全带来了隐患,本文以第三电子支付平台-支付宝、微信支付为例,分析了当前形势下的网络支付安全对策。支付宝是我国目前最受欢迎的电子支付形式之一,它可以为资金交易的双方提供代收、代付的中介服务,以及资金交易的第三方担保服务。微信支付,其是基于微信开放平台,发出支付申请的。
2.1密码保护
在现有的支付模式下,无论是支付宝电子支付、微信平台支付,还是其他的借记卡交易方式,都需要用户对其设置密码,保障资金的安全,因此加强用户的密码保护,可有效的规避支付中的安全问题。在电子支付的环境下,用户成功与商家进行资金交易的关键,就是密码的输入,因此可以使用数字签名的方法,进行网络支付。我国的银行机构,目前多使用了RAS算法,进行数字签名保护的。用户可以向银行提出申请,之后银行可以对用户发放一个数字证书,证书中包含着用户的个人信息,其在进行电子支付时,通过证书,可以向银行发送一个签名。比对一致后,银行可以根据客户的要求,进行网络电子支付。支付宝的款项支付也是如此,用户依托网络进行支付宝资金交易时,可以将需要支付的款项,从银行卡支付到第三方平台中去,由其代为保管,之后客户收到商家的货物且满意之后,可以通过支付宝账号,发出支付的指令,将货款支付给商家。微信支付,使用的B2C即时到账的接口,发出支付请求的,其还可以进行线下的POS机支付,即就是微POS。本地的生活服务商家,通过服务端口,输入相应的支付金额之后,就会生成二维码,用户使用微信扫码,即可进入支付页面,之后输入自己的密码,即可进行款项的支付。因此通过这样的数字签名的形式,极大的保证了用户电子支付的安全性.
2.2病毒预防保护
用户在进行网络电子支付时,常会遇到盗窃用户银行网银/支付宝账户/微信支付账户密码的行为。攻击者利用木马病毒,对用户的计算机系统进行攻击,使其能够对用户的访问页面、个人网银登录界面、微信登录界面、输入银行账号/支付宝账号/微信支付账号、输入的支付密码,进行监视,进而通过技术手段,伪造出相应的登录界面,诱骗用户在含有木马病毒的页面进行相应支付信息的输入,之后将其个人信息窃取。针对此种情况,用户需要对计算机系统加强病毒的预防维护。在计算机中可以安装病毒查杀应用软件,及时更新系统。在应用聊天工具时,如果接收到陌生信息或者邮件、网页时,切忌点开,或者是与发送方核对无误后,再进行点击处理。用户尽量不要在公共电脑上,打开个人的支付登录界面,或者是登入,避免公共电脑中病毒,对于用户支付宝/微信支付账户的入侵攻击。针对手机支付宝用户,其在接到陌生支付信息、电话时,要保持警惕,避免登入钓鱼网站,造成个人支付信息的泄露,给资金的使用造成安全隐患。
2.3法律保护
针对第三方交易平台中,存在的诸种资金使用问题,我国虽然采取了一些相应的法律规范条文,但是由于其在具体的使用中,依靠的是用户对于平台的信赖,以及用户与该平台之间的约定,来进行业务处理的,因此在很多方面,用户的个人资金权益,一旦遭遇到信任危机或是其他的问题,用户的个人权益,很难得到法律的保护。第三方平台,对于用户的大量资金代为监管,存在着资金被挪用、资金利息计算等问题,这些问题缺乏相关的法律保护,将会对用户的财产安全造成危害。例如支付宝,其主营业务是用户网络交易资金的代收、代管、代付,用户在使用资金的代管功能时,与该网站达成了以下的协议:用户可以向本平台,支付一定的资金,并且可以委托本平台对其资金进行保管。使用代付功能时,约定:用户可以要求本平台,使用存入的资金,对其交易项目,进行支付,如果是非经法律程序,以及非由于本条款约定事宜的交易,该项支付形式,不可逆转。这些协议,虽然符合当前用户、第三方支付的现状,但是从法律的角度来讲是存在着缺陷的。微信支付中,存在着未按照法律的相关要求,与用户签署相关的协议,也没有对安全验证的有效性,进行规定,其存在着交易金额超额准许的情况。因此针对上述问题,需立法部门及时制定相应的法律规范,对第三方支付平台进行有效的约束。此外,基于我国目前的电子支付形式,还缺乏一套较为完善的安全认证体系。
[关键词] 电子支付 安全 SSL协议 SET协议
网络和信息技术的不断发展和渗透,使得电子商务得到了飞速的发展。然而,电子商务在提供机遇和便利的同时,也面临着一个最大的挑战,即交易的安全问题。其中,安全协议是保证电子商务安全的核心所在。
目前,国内外使用的保障电子商务支付系统安全的协议包括:安全套接层协议SSL(Secure Socket Layer)、安全电子交易协议SET(Secure Electronic Transaction)等协议标准。
一、SSL协议
SSL协议是Netscape Communication公司推出在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。是对计算机之间整个会话进行加密的协议,提供了加密、认证服务和报文完整性。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。
1.SSL协议提供的服务主要有
(1)用户和服务器的合法性认证;
(2)加密数据以隐藏被传送的数据;
(3)维护数据的完整性,确保数据能完整准确地传输到目的地。
该协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式,它包括:服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。
2.SSL协议的工作流程
(1)接通阶段:客户通过网络向服务商发送连接信息,服务商回应;
(2)密码交换阶段:客户与服务器之间交换双方认可的密码,一般选用RSA密码算法,也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法;
(3)会谈密码阶段:客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
(4)检验阶段:服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
(5)客户认证阶段:服务器通过数字签名验证客户的可信度;
(6)结束阶段,客户与服务商之间相互交换结束的信息。SSL协议运行的基点是商家对客户信息保密的承诺。从SSL 协议所提供的服务及其工作流程可以看出,该协议有利于商家而不利于消费者。客户的信息首先传到商家,商家阅读后再传给银行,这样,客户资料的安全性便受到威胁。商家认证客户是必要的,但整个过程中,缺少了客户对商家的认证。在电子商务的初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此这问题还没有充分暴露出来。但随着电子商务的发展,各中小型公司也参与进来,这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题,比如,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下,Visa和 MasterCard两大信用卡公组织制定了SET协议,为网上信用卡支付提供了全球性的标准。
二、Set协议
Set协议是1997年5月31日由VISA和MasterCard两大信用卡公司联合推出的一个基于开放网络的安全的以信用卡支付为基础的电子商务协议。它运用了RSA安全的公钥加密技术,具有资料保密性、资料完整性、资料来源可辨识性及不可否认性,是用来保护消费者在Internet持卡付款交易安全中的标准。现在,SET已成为国际上所公认的在Internet电子商业交易中的安全标准。
1.SET支付系统的组成
SET支付系统主要由持卡人(CardHolder)、商家(Merchant)、发卡行(Issuing Bank)、收单行(Acquiring Bank)、支付网关(Payment Gateway)、认证中心(Certificate Authority)等六个部分组成。对应地,基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。
2.SET协议的工作流程如下
在SET协议介入之前,消费者通过因特网进行选货、下订单并与商家联系最终确定订单的相关情况、付款方式和签发付款指令。此时SET协议开始介入,进入以下几个阶段
(1)支付初始化请求和响应阶段。当客户决定要购买商家的商品并使用电子钱包支付时,商家服务器上POS软件发报文给客户的浏览器电子钱包,电子钱包要求客户输入口令然后与商家服务器交换“握手”信息,使客户和商家相互确认,即客户确认商家被授权可以接受信用卡,同时商家也确认客户是一个合法的持卡人。
(2)支付请求阶段。客户发出一个报文,包括订单和支付命令。在订单和支付命令中必须有客户的数字签名,同时利用双重签名技术保证商家看不到客户的账号信息。而位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。
(3)授权请求阶段。商家收到订单后,POS组织一个授权请求报文,其中包括客户的支付命令,发送给支付网关。支付网关是一个Internet服务器,是连接Internet和银行内部网络的接口。授权请求报文通过支付网关到达收单银行后,收单银行再到发卡银行确认。
(4)授权响应阶段。收单银行得到发卡银行的批准后,通过支付网关发给商家授权响应报文。
(5)支付响应阶段。商家发送购买响应报文给客户,记录客户交易日志,以备查询。之后进行发货或提供服务,并通知收单银行将钱从消费者的账号转移到商店账号,或通知发卡银行请求支付。
三、SSL协议和SET协议的对比
1.SSL协议的优缺点
SSL协议是两层协议,建立在TCP传输控制协议之上、应用层之下,并且与上层应用协议无关,可为应用层协议如HTTP、FTP、SMTP等提供安全传输,通过将HTTP与SSL相结合,Web服务器就可实现客户浏览器与服务器间的安全通信。因此简便易行是SSL协议的最大优点,但与此同时其缺点也是显而易见的。首先,在交易过程中,客户的信息先到达商家那里,这就导致客户资料安全性无法保证;其次,SSL只能保证资料传递过程的安全性,而传递过程是否有人截取则无法保证;再次,由于SSL协议的数据安全性是建立在RSA等算法上,因此其系统安全性较差;最后,虽然SSL协议中也使用了数字签名来保证信息的安全,但是由于其不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这就造成了SSL协议在电子银行应用中的最大不足。
2.SET协议的优缺点
由于SET提供了消费者、商家和银行之间的双重身份认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为目前公认的信用卡/借记卡的网上交易的国际安全标准。但在实际应用中,SET协议依然存在以下不足:
(1)SET协议中仍存在一些漏洞。如:不可信的用户可能通过其它商家的帮助欺骗可信的商家在未支付的情况下得到商品;密钥存在被泄露的危险;存在冒充持卡人进行交易的隐患。
(2)SET协议的性能有待改进。如:单纯支持信用卡,需要进一步适应借计卡的使用;协议过于复杂,要求安装的软件包过多,处理速度慢,价格昂贵;由于该协议的每一个阶段都要进行多次数据加密解密、签名、证书验证等安全操作,因此协议的交易时间过长,不能满足实时交易要求。
3.总结
由于SSL协议的成本低、速度快、使用简单,对现有网络系统不需进行大的修改,因而目前取得了广泛的应用。但随着电子商务规模的扩大,网络欺诈的风险性也在提高,在未来的电子商务中SET协议将会逐步占据主导地位。
参考文献:
[1]徐震邓亚平:SET的安全性分析与改进[J].重庆邮电学院学报,2005,17 (6),745~748
[2]马瑞萍:SSL安全性分析研究[J];网络安全技术与应用; 2001,12期,17~20
1 在线支付网络存在的安全风险分析
1.1 宏观因素的影响
在线支付同样会受到经济波动的影响,宏观的经济环境在很大程度上决定着电子商务的发展速度,经济低迷时,电子商务也可能因此受到影响。此外,由于与在线支付网络本身相关的法律体系与监管系统还尚未完善,未来出台的新法规政策很有可能给其带来一些损失。
1.2 业务本身的安全风险
由于网络支付结算系统本身的特性,无论是偶然的业务疏忽或是自身的操作失误都可能带來巨大的损失;网络支付交易的虚拟性致使人们很难验证交易对象的真实身份以及信用历史等,并且由于目前相关的法律法规尚未完善,人们很有可能因为交易对象身份的不确定性而面临损失;电子商务的发展一定程度影响了纸币的流通速度,如果纸币发行量因此减少,也就意味着在线支付网络中变现能力的减弱,并且由于网络还存在病毒,系统错误等等问题,这都会影响到在线支付网络中财产变现的及时有效性;由于各国目前对于在线支付网络的法律法规制定尚未统一,国际间的在线网络支付存在很大的风险;在线支付网络所依靠的虚拟银行,用户与其存在着严重的信息不对称性,用户如果不慎选择了存在问题的虚拟银行进行交易,就很有可能出现风险;我国的网络银行发展才刚刚起步,法律法规与监管制度的不完善性导致许多监管空白区的存在,如果有不法分子在这些空白区做手脚,就很有可能导致用户在使用在线支付网络时财产遭受损失。
2 针对在线支付网络存在的安全风险所制定的有效防范技术
2.1 在宏观上做好监管工作
所谓宏观做好监管工作,就是从国家层面来做好在线支付网络安全的监管工作。我国相对于其他发达国家在线网络支付起步较晚,发展时间也较短,要想做好在线支付网络这一行业,保证在线支付网络的安全,国家监管机构必须要做好自身的工作,并对交易机构的准入与退出制度做好明确的规定,其次,我国可以建立和完善网络支付的法律法规,对于一些情节严重的网络支付犯罪一定要严惩不贷,防止因为法律的空白给一些不法分子钻漏洞的机会,国家还可以针对我国在线网络支付的实际情况来制定出完善的管理制度。我国的相关的监管机构一定要负起自己的责任,做好其中的监管工作,一旦发现问题要及时的指出并上报,要规范用户和机构双方的权利与义务,做到交易过程中的公正与公平。最后也是最重要的一点就是第三方支付机构一定要做好保密的工作(例如,客户的信息、交易的数据),降低在线网络支付的风险。
2.2 从安全技术方面做好防范措施
由于线上交易量的增加,在线网络支付的安全问题受到了越来越多的人的关注,我们可以通过提高和完善安全技术来提高在线网络支付安全系数。通过提高鉴别认证技术、生物特征技术以及加密技术来对网络层进行加密,各个商业银行可以在提高支付结算的安全技术上进行研究并对其进行升级,避免支付结算中出现一些问题从而造成不可挽回的损失。此外,支付网络系统一定要做好访问控制工作,系统要对访问的人员身份进行审核,技术人员可以通过设置访问权限、防火墙,来禁止非法人员、病毒等入侵系统。各个银行可以针对我国目前一些计算机病毒来安装专门的杀毒软件,定期的给在线支付网络系统杀毒,排除一些安全隐患。此外,数字签名等加密协议的应用也有效提升了支付的安全性,互联网是开放性的网络,消费者在传输交易指令、密码等敏感信息的通信过程中,会有破译、篡改以及截获的可能性,为了避免该种问题的产生,网上银行都会使用加密传输交易措施,应用协议法来保障信息传递的安全性,这也是网络银行的一种重要安全策略,目前,网上银行常用的接入协议主要为SET(Secure Electronic Transaction)与SSL(Secure Sockets Layer)。SSL是国际上最早应用于电子商务的一种网络安全协议,它最初是由网景公司设计开发,其目的主要是提高应用程序之间的数据的安全性。
2.3 加强我国网络制度建设
我国网络在发展过程中存在着很多不完善的地方,因此在使用的过程中也存在着很多的问题。我们可以不断完善我国的网络制度,提高在线支付网络的安全性。我国可以制定一个统一的银行发展的标准,当然也可以与国外合作,借鉴国外一些先进的制度或者与国际的银行发展制度,最大限度提升在线支付的安全性。
2.4 消费者要树立起网络安全意识
从已经曝光的网上购物安全事件中来看,由于账号密码泄漏引起支付安全问题占据了其中的一大部分。在网络世界中,有大量的黑客和病毒程序,这些程序都会威胁用户的信息安全,为了降低安全风险的发生,必须要帮助消费者树立起网络安全意识,养成良好的操作习惯,杜绝安全问题的发生。例如,不在网吧等公共场合中使用网银,不轻易告诉他人自己的身份证与银行账号,不轻易点击陌生的网页链接,不在无名网站上下载声音视频文件,安装好防火墙与杀毒软件,每天定时杀毒。
【论文摘要】计算机网络的技术发展相当迅速。随着互联网上黑客病毒泛溢,网络犯罪等威胁日益严重,网络安全管理的任务将会越来越艰巨和复杂,抓好网络安全问题对保障网络信息安全至关重要。因此文章对电子商务网络支付安全问题进行探讨分析。
0引言
美国等发达国家,通过Internet进行电子商务的交易已成为潮流。随着internet的发展和网络基础设施的不断完善,我国的电子商务虽已初具规模,但是安全问题却成为发展电子商务亟待解决的问题。电子商务过程中,买卖双方是通过网络联系的,由于internet是开放性网络,建立交易双方的安全和信任关系较为困难,因此本文对电子商务网络支付上的安全问题进行探讨分析。
1电子商务的概念和特点
1)电子商务的概念:电子商务(Electronic Commerce)是通过电信网络进行的生产、营销、销售、流通等活动,不仅是指基于因特网上的交易,而且还指利用电子信息技术实现解决问题、降低成本、增加价值、创造商机的商务活动。
2)电子商务的特点:(1)电子商务将传统的商务流程电子化、数字化。不仅以电子流代替了实物流,大量减少了人力物力,降低了成本;而且突破了时间空间的限制,使得交易活动可在任何时间、任何地点进行,大大提高了效率。(2)电子商务使企业能以较低成本进入全球电子化市场,也使中小企业可能拥有与大企业一样的信息资源,提高了中小企业的竞争能力。(3)电子商务重新定义了传统的流通模式,减少了中间环节,使得生产者和消费者的直接交易成为可能,从而一定程度上改变了社会经济的运行方式。(4)电子商务提供了丰富的信息资源,为社会经济要素的重新组合提供了更多的可能,这将影响到社会的经济布局和结构。
2电子商务安全的技术体系
1)物理安全。首先根据国家标准、信息安全等级和资金状况,制定适合的物理安全要求,并经建设和管理达到相关标准。再者,关键的系统资源(包括主机、应用服务器、安全隔离网闸GAP等设备),通信电路以及物理介质(软/硬磁盘、光盘、IC卡、PC卡等)、应有加密、电磁屏蔽等保护措施,均应放在物理上安全的地方。
2)网络安全。网络安全是电子商务的基础。为了保证电子商务交易顺利进行,要求电子商务平台要稳定可靠,能够不中断地提供服务。系统的任何中断(如硬件、软件错误,网络故障、病毒等)都可能导致电子商务系统不能正常工作,而使贸易数据在确定的时刻和地点的有效性得不到保证,往往会造成巨大的经济损失。
3)商务安全。主要是指商务交易在网络媒介中出现的安全问题,包括防止商务信息被窃取、篡改、伪造、交易行为被抵赖,即要实现电子商务的保密性、完整性、真实性、不可抵赖性。商务安全的各方面也要通过不同的网络安全技术和安全交易标准实现,加解密技术保证了交易信息的保密性,也解决了用户密码被盗取的问题;数字签名是实现对原始报文完整性的鉴别,它与身份认证和审查系统一起可杜绝交易的伪造和抵赖行为。保证电子商务安全的主要技术有:在线支付协议(安全套接层SSL协议和安全电子交易SET协议)、文件加密技术、数字签名技术、电子商务认证中心(CA)。
4)系统安全。主要是保护主机上的操作系统与数据库系统的安全。对于保护系统安全,总体思路是:通过安全加固,解决管理方面安全漏洞;然后采用安全技术设备,增强其安全防护能力。
3安全管理过程监督
3.1加强全过程的安全管理
1)网络规划阶段,就要加强对信息安全建设和管理的规划。信息安全建设需要投入一定的人力、物力、财力。要根据状况实事求是地确定网络的安全总体目标和阶段目标、分段实施、降低投资风险。2)工程建设阶段,建设管理单位要将安全需求的汇总和安全性能功能的测试,列入工程建设各个阶段工作的重要内容,要加强对开发(实施)人员、版本控制的管理,要加强对开发环境、用户路由设置、关键代码的检查。3)在运行维护阶段,要注意以下事项:(1)建立有效的安全管理组织架构,明确职责,理顺流程,实施高效管理。(2)按照分级管理原则,严格管理内部用户帐号和密码,进入系统内部必须通过严格的身份确认,防止非法占用、冒用合法用户帐号和密码。(3)制定完善的安全管理制度,加强信息网的操作系统、数据库、网络设备、应用系统运行维护过程的安全管理。(4)要建立应急预察体系,建立网络安全维护日志,记录与安全性相关的信息及事件,有情况出现时便于跟踪查询,还要定期检查日志,以便及时发现潜在的安全威胁。
3.2建立动态的闭环管理流程
网络处于不断地建设和调整中,可能发现新的安全漏洞,因此需要建立动态的、闭环的管理流程。要在整体安全策略的控制和指导下,通过安全评估和检测工具(如漏洞扫描,入侵检测等)及时了解网络存在的安全问题和安全隐患,据此制定安全建设规划和加固方案,综合应用各种安全防护产品(如防火墙、身份认证等手段),将系统调整到相对安全的状态。并要注意以下两点:1)对于一个企业而言,安全策略是支付信息安全的核心,因此制定明确的有效的安全策略是非常重要的。安全组织要根据这个策略制定详细的流程、规章制度、标准和安全建设规划、方案,保证这些系列策略规范在整个企业范围内贯彻实施,从而保护企业的投资和信息资源安全。2)要制定完善的、符合企业实际的信息安全策略,就须先对企业信息网的安全状况进行评估,即对信息资产的安全技术和管理现状进行评估,让企业对自身面临的安全威胁和问题有全面的了解,从而制定针对性的安全策略,指导信息安全的建设和管理工作。
1电子商务与电子支付
1.1电子支付与电子商务
交易过程(即电子交易)是电子商务交易过程主体部分。因此对于电子交易来说,整个电子交易过程中要求高安全强度、高精确度[1]。电子支付是完成电子交易必不可少的一个过程,电子支付涉及到许多利益主体,并且需要与金融部门交互合作才能完成这一过程,所以电子支付的安全涉及到消费者、商家和电子支付系统等。
1.2网上支付
网上支付是指消费者通过互联网直接进行货款支付的行为,网上支付可以被看作是电子支付的高级形式[2]。网上支付具有灵活方便的特性,被广泛使用。目前为止,网上支付方式主要包括银行卡网上支付、电子现金、电子支票、移动支付、基于第三方平台的支付等。本文中的第三方支付特指第三方网上支付。
2第三方支付平台的网络支付
2.1第三方支付平台的产生
第三方支付是指以第三方支付机构作为整个交易的担保人,并在相应的网络沟通平台中建立起银行与银行客户间的协议关系,以此来实现对相关信息的验证和数据交换,最终使得消费者、商家以及银行在整个支付平台中完成交易[3]。
2.2第三方支付平台网络支付的理论
目前的第三方支付平台主要分为两类,一类是网关型支付平台,在这种模式下,交易各方权责划分明确、结算过程方便,但是需要支付较高的手续费,并且存在一定的交易安全问题。第二类是信用担保型第三方支付平台,这种平台的代表就是现在广泛使用的支付宝,这种平台是大型的电子商务公司自建的支付平台,可以起到对交易和货物安全的双重保障作用。
2.3第三方平台支付的特点
第三方网络支付与传统的支付体系相比,具有以下特点:(1)介入成本较低。只需一次注册,就能永久使用注册信息进行支付;(2)操作简便、使用灵活。用户使用注册过的账号和密码就能完成支付,特别是在移动终端、电脑上的应用,使得支付过程更加简便、灵活;(3)交易价格比较优惠。消费者通过第三方支付平台交易可以享受一定的价格优惠,对于小额交易和闲散资金其使用成本较低。
2.4主流的第三方支付平台
根据中国电子商务研究中心提供的监测数据显示,从2014年中国第三方网络支付交易规模的市场份额来看,支付宝占比49.6%,财付通占比19.5%,银商占比11.4%,快钱占比6.8%,汇付天下占比为3.2%,环讯支付占比2.7%,其他占比为1.6%[4]。其中,支付宝在2014年所占的市场份额是最大的,近乎一半。支付宝由阿里巴巴集团创办,目标是提供“简单、安全、快速”的在线支付解决方案,目前用户群覆盖了C2C、B2C、B2B领域。财付通是腾讯公司的专业网络支付平台,为用户提供便捷的网络支付和完整的网络生活空间,是仅次于支付宝的第二大第三方支付平台[5]。
3第三方网络支付存在的安全问题
3.1网络安全问题
第三方支付潜在安全问题主要体现在网上支付过程中对消费者个人隐秘信息的盗取和篡改;第三方支付平台或者支付流程自身存在的漏洞被利用,从而带来系统及支付安全问题;一些恶意代码、病毒入侵网络和支付平台,导致用户数据的真实性、完整性、机密性等受到威胁。
3.2资金安全问题
3.2.1在途资金管理方面的安全问题在途资金是指由于资金的支付的账务处理与支付指令的处理不同步时,对支付双方的账务造成影响。目前,大多数第三方支付平台主要使用行使银行职能的方式完成支付交易活动,对交易的款项可以直接进行使用和支配。由于第三方支付方式特性,资金会在第三方支付平台形成一定的积累,容易产生第三方平台越权调用交易款项的安全问题。另一方面,随着交易资金的不断增长,第三方支付平台可以运用积累的资金进行投资,但投资毕竟存在风险,影响交易资金的安全性和流动性,使得支付问题不断出现。3.2.2交易资金方面的安全问题利用互联网交易的隐秘性和匿名性,实现资金诈骗、贿赂和洗钱等。银行对信用卡的提现有一定的控制制度,但在第三方网络支付平台中无法控制交易,因此利用信用卡套现的情况越来越严重。缺少防止恶意交易的有效措施,使第三方网络支付平台成为洗钱的工具。3.3法律方面的安全问题互联网金融业务在网络中进行,信息具有不对称性。在网络交易中确定交易者的身份十分困难。虽然第三方网络支付平台功能不断改进与完善,但却没有与之对应的法律、法规。法律法规体系的不完善导致基于第三方支付平台网络支付的安全问题。
4第三方支付平台的安全策略
4.1加强第三方支付安全平台建设
构建第三方支付安全体系的同时,建立安全稳定的运行环境十分重要。针对网络黑客和计算机病毒等威胁的侵入,计算机需加强防护能力。将第三方支付平台作为现代金融体系的内容之一,以统一的技术标准对安全问题进行监控。对于第三方支付平台而言,仅用技术手段来保证安全,可能会导致在竞争中处于劣势。因此在加强安全平台建设时还需考虑信用管理机制。4.1.1技术手段如数字证书技术、防火墙、身份认证技术等来加强网络的安全;采用对称与非对称加密技术、SSL协议、SET协议、NFC无接触式通信的智能卡等技术,增强计算机系统的安全防御能力。4.1.2信用管理机制建立完善的管理制度、操作规范等,针对可能出现的欺诈、差错、争议等,提出有效的处理方法,进行权职划分,对用户进行安全意识和行为教育。
4.2强化立法监督与保障
从第三方网络支付平台的发展来看,保障这种支付方式的运行是建立在相关的法律法规基础之上。但我国第三方支付的法律法规监管并没有形成一定的体系,所以就无法对买卖双方之间的利益保护起到相应的效果。目前,我国针对第三方网络支付的法律仅有“非金融机构支付管理办法”这一专项法律,但是在这部法律中仍然存在很多问题。因此建立完善的第三方网络支付相关的法律法规十分必要。一方面,要加强第三方网络支付的立法进程,近一步完善第三方网络支付的法律法规体系。从长远来看,需要根据第三方网络支付的发展趋势制定相关方面法律法规,以此规范第三方网络支付的业务。此外,第三方网络支付已经扩展至多个部门,仅仅依靠专项法律已经不能够解决所有的问题。针对这一性质,我国的其他法律也应该增加或修改相应的条款。这样,不仅利用其他法律来保护用户的合法权益,也可以综合考虑解决第三方网络支付中的问题,从而提高第三方支付的安全性和可靠性。另一方面,要健全第三方网络支付的监管机制。与有型市场相比,对网络环境下第三方网络支付进行管理的难度可想而知。因此要建立全面的第三方网络支付的监管机制。包括相关的行业性监管机构、第三方支付行业协会和政府的监督作用等,来保证第三方网络支付的安全。首先,应该建立健全社会信用体系,对第三方平台中的卖家都能够进行信用评价。这不但需要第三方支付平台的努力,而是需要整个社会的关注和参与。我国的社会信用机制起步较晚,1999年,我国上海、广州从个人信用建设为起点、2001年北京中关村以企业信用制度试点工作为基础开始了地方信用体系建设实践。但是由于我国人口众多,统一和管理具有一定的困难,所以我国目前还没有完善的信用评价体系。其次,政府要加强对第三方网络支付的行政监督。由于第三方网络平台属于互联网中的中介平台,具有虚拟的性质,政府行政部门对其实现行政监管比较困难,因此就需要加强政府的行政监管,并且建立相关行业监管机构或行业协会的监管。最后,目前的网络消费一般都是通过第三方平台来完成支付过程,但是对用户信息的保密性没有很大程度的保证,常常会出现由于第三方原因导致的用户信息被盗取或者泄露,给用户的信息安全带来很大的威胁,而且相关的利益主体并没有承担相应的赔偿责任,因此政府应该公平分担在第三方网络支付中的责任。
4.3提高消费者安全意识
使用第三方网络平成支付的用户必须有一定的自我保护意识,要重视对个人信息的保密,其中对于用户来说首先最重要的信息就是口令密码。用户保证口令密码的安全十分重要。在设置口令密码时要注意避免用户名等弱口令密码、口令密码的字符应该足够长、口令密码的字符组成应尽量复杂等,现在的第三方网络支付平台在这一方面都有一定的限制规则,但是还不够完善;在使用的过程中要注意不要将密码口令写下来或告诉任何人、定期更换口令密码、使用软键盘输入口令密码等。另外,支付平台的下载也要有选择性,特别是二维码的扫描,因该选择安全的扫描软件和正规商家二维码;在支付过程中,银行卡或者交易账户要设置交易限额,超过限额的部分予以提醒,并且需要再次确认金额,输入交易的口令密码才允许支付继续。最后一点,在出现自身利益受到损害的时候,应该及时与第三方平台取得联系,并且立即停止支付活动。这时就要提高维权意识,当自己的合法权益受到威胁时,及时使用法律的武器保护自身的财产安全,维护合法权益。
5结语
[关键词] 体系结构支付技术
电子商务应用涉及计算机技术、通信技术、网络技术,其中电子支付技术是电子商务应用中比较关键和具有特色的技术,由于商务交易经常涉及资金的转移,因此,支付技术的优劣直接影响到电子商务的发展。
一、电子商务系统结构
电子商务体系结构可以分为网络基础平台、安全结构、支付体系和业务系统四个层次。如下图所示。
图 网络基础平台
1.电子商务的网络基础平台
电子商务以因特网为主要载体。网络带宽、网络的可靠性、稳定性成为影响电子商务系统整体性能的重要因素。
2.安全结构
电子商务活动需要一个安全的环境,以保证在线交易等数据在网络中传输的安全性和完整性,实现交易双方的身份认证,防止交易中抵赖的发生。电子安全结构建立在网络基础平台之上。
3.电子商务业务系统和支付体系
电子商务业务系统分为支付型业务和非支付型业务。支付型业务需要支付体系层完成。支付体系在安全结构之上,为支付型电子商务业务提供各种支付手段;非支付型业务直接在安全结构之上,使用安全基础层提供的各种认证手段和安全技术提供电子商务服务。
电子商务系统包括业务应用系统。例如,网上购物、证券交易、在线谈判、电信交费、电子银行等。
用户及终端系统。例如,电话终端、计算机终端、智能终端。用户使用电子支付系统,需要在计算机终端上安装电子支付软件,例如,电子钱包软件。
支付网关系统。它处于因特网与银行网络之间,主要完成通信、协议转换和数据加密解密功能和保护银行内部的网络。支付网关系统的使用可以过滤因特网发过来的数据包,防止黑客的攻击和不相关信息的流入。
CA安全认证体系,它通过发放证书,保证所有参与活动的实体表明身份。
二、电子支付方式
电子付款是买卖双方在网上进行的金融交换。
1.电子现金
电子现金可以存储在智能型IC支付卡上,也可以以数字的形式存储在现金文件中。
2.电子信用卡
电子信用卡通过网络直接进行支付。为了保证传输的安全性和可靠性,利用安全SET电子交易协议保证电子信用卡号和密码的安全传输。
3.电子支票
电子支票是以传统支票在因特网上进行信息传递,完成资金转移。它通过第三方认证、数字签名等技术保证各商家之间的结算无法面对面交换支票所带来的缺陷。
三、SET安全电子交易协议
SET协议使用对称加密技术和非对称加密技术为基础的数字信封技术、数字签名技术、信息摘要技术,以及双重签名技术,保证信息的传输和处理的安全。
四、网上购物流程
持卡人在商家的WEB服务器上在线查看商品。
持卡人填写订单。
持卡人选择付款方式,SET开始介入,在订单和付款方式由持卡人进行数字签名,利用双重签名和加密技术保证商家看不到持卡人的账号信息。
商家接收订购信息,通过支付网关向持卡人的金融机构请求支付认可。经过确认后,支付网关返回确认信息。
商家发送订单确认信息,为顾客配送货物。
五、结论
关键词:电子支付系统;安全问题;对策
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 18-0000-01
Electronic Payment System Security Analysis and Techniology Measures
Cha Yuxiang
(Jiujiang Vocational College,Jiujiang 332000,China)
Abstract:Due to the openness of the Internet,making e-payment security,payment security than traditional banks problem is more serious,more complex.This paper summarizes the characteristics of e-payment,a security analysis of their problems,and to further explore the online electronic payment system security technical methods.
Keywords:Electronic payment system;Security Issues;Measures
一、前言
互联网的开放性特点决定了网上电子支付的安全问题就远比传统银行支付的安全问题要严重、复杂。电子支付是电子商务的核心环节,它的安全完成是电子商务成功实现的最基本保障。因此,要想电子商务得以顺利进行,就必须构建一个完善的安全控制系统,收集、分析和鉴别网上交易信息的真实性,解决非法交易对电子支付带来的安全问题。
二、电子支付系统安全问题分析
(一)来自互联网的风险。电子支付系统都是通过互联网与银行发生关系,而由于互联网自身的自由性、广泛性等特点,自然容易受到恶意入侵者的攻击。据有关调查,目前国内的网站中约有80%存在着安全隐患,约20%的网站存在着严重的安全问题。国内曾发生过多起证券交易系统被侵入事件。犯罪分子挪用、盗取他人股票账户资金,盗买盗卖他人股票,属于恶性计算机犯罪,对社会产生了极坏的影响。虽然到目前为止国内还没有黑客成功入侵银行网站的案例,但是许多客户仍然心存顾虑,不敢轻易用互联网传递自己的信用卡账号和密码等关键信息。由于网络安全问题尚未能够得以彻底完好的解决,利用互联网进行犯罪的案例很有可能将日益增多。这些网络安全问题为电子支付带来了安全风险,严重制约了网上银行的业务发展,制约了电子商务行业的发展。
(二)来自银行内部的风险。据调查统计,在已发生的网络安全案例中,70%的攻击来自单位内部,因此内部网的安全风险更为严重。首先,银行内部员工对自身企业网络结构、应用比较熟悉,自己攻击或内外勾结,故意泄露重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。其次,大部分银行系统都发展到全国联网,分布全国各地,范围很广,各级银行独立核算。因此,对于每一个区域银行来说,其他区域银行都存在相对不信任因素,同样存在着安全风险。
(三)来自银行以外企业和事业单位的风险。近年来,银行系统在不断地增加中间业务,和服务功能,比如代收水电费、电话费、学费、保险费以及证券转账等诸多业务。因此,就与电信局、学校、保险公司和证券交易所等许多单位网络互联。由于银行与这些单位之间可能存在某些不信任因素,因此,它们之间的互联,为银行网络系统带来了许多外单位的安全威胁,成为电子支付安全的隐患。
以上三方面安全威胁可能引发的结果有:恶意破坏数据、非法使用资源、数据篡改或窃取等。从技术层面讲,网上支付的安全性主要表现在对交易信息和支付信息的安全认证,加密保存、传送,防止否认以及完整性控制等方面。
三、应对电子支付系统的安全问题的技术策略
要想保证电子商务活动的安全、顺利地进行,保证我国电子商务行业的健康发展,就必须探讨出适合我国的具体国情的网上电子支付运作机制并探求能提高其安全的技术措施。
(一)加强网络安全。网络安全的加强可以通过加强访问控制、网络结构安全、网络安全评估和安全检测等途径来实施。1.访问控制。银行系统若需要连接因特网,则其业务系统网络就必须同因特网进行物理隔离:两个网络间完全断开或使用物理安全隔离卡。另外,内部局域网内可通过交换机划分VLAN功能进行不同级别用户、不同部门间的简单访问控制。再有,内部局域网与不信任域网、外单位网络之间可通过架设防火墙进行隔离和访问控制。2.网络结构安全。网络结构安全体现在网络结构布局的合理性,表现为对与外单位互联的接口网络、办公网和银行系统业务网间按各自的安全保密程度和应用范围进行合理布局,确保不会因为安全性较低的局部网络出安全问题而波及整个网络。3.网络安全评估。成功的黑客攻击绝大部分是对系统或网络的安全漏洞进行攻击的。而网络安全性扫描分析系统则可以检查系统的漏洞与弱点,并提出安全策略与补救措施,增强网络的安全性。4.安全检测。为了保障系统的安全,安装入侵检测系统不仅可以对进出的网络数据流进行实时分析,还能对网络违规事件进行跟踪、进行实时报警、及时阻断连接、做日志,既可以应付往外的攻击,还可以阻止内部人员发起的攻击。
(二)增强信息鉴别能力。数据的完整与真实也是系统的安全的重要部分,故必须增强信息鉴别能力,分辨数据是否完整、真实。数据在传输时有时会被非法篡改甚至窃取等,要保证数据完整、真实,就要采用信息鉴别技术,如安装VPN设备、数据源身份认证等。当原始数据包进入VPN设备时,它可先加密数据,再用HASH函数对其进行运算,并将产生的信息摘要同加密数据一并发到目的方的VPN加密设备。目的方的VPN加密设备又先解密已加密的数据包,再用HASH函数运算解密后的数据,然后将所产生信息摘要同所收到的信息摘要对比,若两信息摘要完全相同,则表明所解密的数据的完整性没有被破坏,是原始数据,否则就表明该数据已被非法篡改甚至窃取。
(三)安全认证。支付系统的安全肯定要依赖加密系统,加密就需要密钥,而密钥的产生、管理和颁发均存在安全隐患。发放密钥往往是以证书的方式来实现,故就要解决证书的发送方同接收方怎样确认对方的证书的真实性问题,引入第三方来发放此证书恰好能因应之。各银行联合构建一权威认证机构(CA认证中心),建立银行系统的CA系统,借以实现此系统内证书的发交和业务的安全交易。
参考文献:
[1]李早水.电子支付系统的安全问题分析及对策研究[J].信息与电脑(理论版),2011,11-15
[2]豆根生,任铭,袁超.浅谈电子商务中的支付安全技术[J].科技信息,2010,7-10
[3]刘纪峰.浅析我国电子商务支付系统及安全问题[J].网络财富,2010,13-16
关键词:电子商务;网上支付;立法
中图分类号:F062.5 文献标志码:A 文章编号:1673-291X(2008)01-0119-02
据信息产业部的数据,2005年中国网上购物网上支付总金额达到15.7亿,同期增长率高达130%以上,预计2007年将会达到88.8亿元人民币。在调查中有超过90%被访者愿意尝试网上购物,但是,高达80%的被访者对网上购物表示信心不足。我们不禁要问网上支付到底安不安全?如何保证网上交易的公正性和安全性?
一、网上支付概述
(一)网上支付的概念和特征
电子商务是以互联网为平台,通过商业信息业务流程、物流系统和支付结算体系的整合构成的新的商业运作模式,是一套完整的网络商务经营及管理信息系统[1]。其核心问题是如何确保网络交易中的电子支付的有效性和安全性。网上支付,是指以计算机及网络为手段,将负载有特定信息的电子数据取代传统的支付工具用于资金流转,并具有实时支付效力的支付方式。网上支付作为新的网络交易支付方式,它的应用和发展给传统支付模式带来了很大的冲击和挑战。
当我们分析这种支付模式的特征时,不难发现由事物本质属性影射出其潜藏的不安全因素。网上支付是采用先进的技术通过数字流转来完成信息传输的,其各种支付方式都是采用数字化的方式进行款项支付的,于是人们就开始质疑信息数字化后数据传输过程中信息丢失、重复、错序、篡改等安全性问题;网上支付的工作环境是基于一个开放的系统平台之中,交易双方的身份置于虚拟世界中,这无疑增加了电子支付的风险;网上支付使用的是最先进的通信手段,对软硬件设施的要求很高,技术软件不成熟就为黑客等不法分子提供了可乘之机,所以,研制出一套无懈可击的互联网支付系统成为制约电子商务发展的瓶颈。
(二)网上支付主体间的法律关系
网上支付的主体包括网络银行、客户和认证机构。网络银行指银行在互联网上建立网站,通过互联网向客户提供网上支付、资金转账、投资理财等金融服务的银行[2]。在网上支付中,作为支付中介的网络银行扮演着举足轻重的角色,其支付的依据是银行与电子交易客户所订立的金融服务协议。客户通常包括消费者和商家,消费者与商家和银行间存在两个相互独立的合同关系,即买卖合同和金融服务合同。认证机构独立于认证用户(商家和消费者)和参与者(检验和使用证书的相关方),以第三方身份证明网上活动的合法有效性。认证机构与证书用户之间的法律关系是基于双方签订的认证服务合同而形成的一种在线认证服务与被服务的关系,其权利义务应当由协议来决定[3]。
网上支付是交易双方实现各自交易目的的重要一步,也是电子商务得以发展的基础条件。可是,网上支付的风险并不仅限于消费者购物支付过程中的问题,还包括纠纷出现后银行或其他发行机构的责任问题以及网上支付工具资金划拨系统等问题。明确参与主体间的法律关系才能更好地解决纠纷,进而预防纠纷。那么我们在法律上该如何界定网上支付的完成呢?这也是划分法律关系主体风险转移责任承担的依据点。我认为以受益人银行决定接受贷记划拨时作为网上支付完成时间比较合理。
以上所述只是网上支付风险存在的宏观因素。从微观上看,电子商务的不安全隐患无非来源于三个层面:技术层面、人为因素和法律缺陷。
二、网上支付系统的技术风险
(一)支付系统的安全性受到质疑
为保证电子商务的安全,目前国内外出现了许多保障电子商务支付系统安全的协议,然而我们目前的技术水平是否有足够的科技能力为电子商务的发展提供完美的技术抵御来自全球各地对交易系统的可能入侵?是否有能力提供消费者难以伪造的身份认证?传统的书面交易不容易涂改,但网上银行的电子支付是在无纸化环境下进行的,这就必须从技术上确保数据传输的安全,保证交易数据不被窃取篡改。为了应对不法分子,目前,各开办网络银行业务的银行纷纷出台各种技术措施应对不安全因素。然而技术支持与保障不可能自然延伸到交易人的真实与可靠,难以有效地防止欺诈。支付第三方的出现一定程度上减少了交易欺诈的发生几率。这种模式最开始是由支付宝提出的,只是很遗憾支付宝更多的只是使用于B2C领域的小额资金支付,把这种模式照搬到B2B领域必然有排斥反应。而且我不禁要问:非金融机构性质的支付服务第三方是否有从事电子货币支付清算业务的资格呢?如果有,是什么法律法规赋予它的权利,由哪个机构来监督管制?如果没有,它的合法性就受到质疑。
(二)安全认证机构不规范增加网上支付风险
中国金融认证中心,是由中国人民银行组织各家商业银行联合共建的安全认证机构,在金融界具有高度权威性和公正性。认证机构有权要求用户提供认证所必须的正确相关信息,并随时检查用户使用证书的情况,证书机制可以保证信息的真实性、完整性、私密性和不可否认性,从而保证电子支付安全。然而,我国没有统一的权威立法来规制认证机构市场准入机制、运作的程序、相关责任人的义务等,缺少有效的监督。作为公正和权威象征的认证机构如果本身机制运作缺乏公开、公正、公平的话,怎么给广大消费者网上支付足够的信心?
三、网上支付法律环境的不安全因素
商业信用危机冲击网上支付安全,网上支付的信用问题是不可根除的隐患,信用机制严重缺乏制约了中国B2B电子商务的发展。虽然很多大型的电子商务平台网站采取站内买卖双方互评的方法反应信用程度,但这项指标只能作为一项辅助的参考,无法从根本上防止骗子互相作弊,无法保证交易过程中双方的信用。同时,法制的不健全助长网上支付风险,我国法律对网络安全的研究起步较晚,现有的网络立法主要停留在计算机网络的建设运行、域名注册、网络安全等网络发展初期的层面上,有关电子商务交易的立法几乎是一片空白。2005年《电子签名法》的颁布是我国电子商务发展上的里程碑。我们必须在加强技术保障、建立社会信用机制的同时,加强网络法制观念的培养和网络法制环境的建设,期待更专业化法规以及配套规范的出台,为电子商务的发展提供良好的法律环境。
四、完善我国电子商务网上支付的建议
(一)加快立法进程,制定《电子支付法》
我国电子商务立法还不够,我国没有专门的电子支付制定法,仅有一些行业规范效力等级不高,传统支付法律体系中关于现金与票据清算的规则并不能完全适应网上支付的出现与发展;在电子资金划拨方面,《中华人民共和国票据法》确立的是以纸质票据为基础的结算支付制度,没有针对电子资金划拨进行立法,这严重阻碍了电子商务的发展。2005年6月公布的《电子支付指引》被看做是继《电子签名法》之后,政府为推动电子商务发展而实施的又一重大措施。我们应当趁着势头加快《电子支付法》等立法进程,完善有关配套法规制度。
(二)提高危机意识,应对网络犯罪
网上支付出现后,为洗钱等新型犯罪活动提供了新的机会和更大的空间。犯罪行为人利用各种先进的电脑技术来盗取信用卡信息、私人资料及金融财政内部资料,然后进行网上金融诈骗等犯罪。我国现行新刑法虽然对计算机网络犯罪等做出了相关规定,但从广度和深度来说都还不够,而随着国际网络发展以及电子商务的扩展,对突现的新型犯罪应给予足够的重视,通过相关立法来制裁此类犯罪,真正做到有法可依。
(三)加强社会信用机制建设
法律为保障网上支付必须推动社会信用制度的建立。发达的商业社会对社会包括个人的信用有着很高的要求,并通过一系列公开透明的制度来维护和保障信用制度体系。我国目前在对信用概念内涵的理解、信用信息公开的方式和程度、信用服务企业的市场发展程度,以及对失信者的惩戒制度方面都还十分落后,甚至存在空白。应当承认我国还属于非诚信国家,信用制度还很不健全。我们应当着手网上支付信用机制的建设,建立个人社会信用体系,网络交易采用实名制,普及CA认证,及时收集和反馈用户信息并做出相应解决方案,促进用户建立网络信用。
(四)加强对网络银行、认证机构的监管
加强电子商务行业的监管,规范市场主体行为。首先要加强对网络银行的监管:网上银行不同于传统银行,应该制定新的准入条件,加强对客户开户的监管,落实责任审查客户资料等信息,明确网上银行业务终止条件、清算办法等,制定电子货币退出机制,规范电子货币市场;其次要加强对认证机构的监管:政府主管机关必须对认证机构进行监管,认证机构应制定严格的认证操作规则、定期审查制度以及信息控制制度,保证程序上的合法性,对于认证机构的违反行为要给予惩罚;最后,第三方支付机构应受银监会监督,第三方无权动用客户资金,必须确保资金安全和支付的效率。而支付中介的仲裁功能还未受到任何监管,其公正性应得到保证,因为其决策将直接作用于电子商务本身,影响交易的最终结果。
参考文献:
[1] 夏露.电子商务在线支付问题研究[J].学术论坛,2001,(5).
购物车(0)