范一飞：电信网络欺诈是造成支付安全问题的重要渠道

　　在当前的支付安全形势下，为有效防范电信网络新型违法犯罪、保护人民群众财产安全和合法权益，人民银行认真落实党中央、国务院决策部署，积极与相关部门齐抓共管，着力推动支付产业各方携手合作，共同构建电信网络欺诈风险管理体系，全面加强个人信息安全保护，提升支付交易安全强度，切实营造健康、可持续的支付发展环境。

　　加强研判，正确认识支付行业发展与安全形势

　　近年来，技术创新与支付业务深度融合发展，技术创新扮演着越来越重要的角色，逐步由支撑业务向引领业务转变。一是支付产品形态不断推陈出新。密码学、安全芯片、大数据等技术的应用，使支付方式由纸质票据、卡基支付向网络支付发展，支付介质经历了从现金、支票、磁条卡、芯片卡到移动终端的演进过程，形成了丰富多样的支付产品体系。二是支付服务向移动化方向发展。移动通信技术的不断升级和手机APP的逐步普及，使移动支付方式日益受到青睐。移动支付凭借其终端便携、受众面广等优势，能够及时捕捉长尾客户需求，打破线上线下支付服务边界，为公众提供全天候、全方位、一站式的金融服务，成为推动数字普惠金融的重要手段。三是支付入口成为提升产品竞争力的关键。在互联网时代，支付业务竞争本质上是流量的竞争，而决定流量竞争成败的关键是对支付入口的把控程度。根据场景应用掌握支付入口有助于快速聚合大量用户和商户资源，有效提升公众对支付产品的使用黏性与忠诚度。四是支付参与主体呈现多元化。传统支付业务相对封闭、参与主体类型较为单一，商业银行是主要的支付服务提供方。而随着我国电子商务的蓬勃发展，越来越多的互联网企业凭借技术优势，依托多年积累的客户、商户、供应链资源，纷纷参与到支付生态体系中来。

　　支付行业快速发展的同时也面临诸多挑战，支付安全形势仍不容乐观。由于互联网的虚拟化、支付服务的移动化、参与主体的多样化，支付行业在敏感信息保护、客户资金安全、业务连续性等方面面临较大压力。相对于传统支付，网络支付风险呈现出蔓延速度快、隐蔽性强、潜伏期长、外溢效应明显的特点。针对手机的电信网络欺诈手法不断翻新，更是加剧了支付风险防控的难度，给公众财产安全造成危害。因此，我们要秉持理性、科学的态度，深挖支付安全问题根源，只有找准症结所在，才能对症下药。

　　追根溯源，深入剖析当前支付安全问题

　　1. 信息泄露是支付安全问题的风险源头

　　近期一些个人信息泄露事件成为社会舆论的焦点，不法分子利用泄露数据刻画客户身份并实施精准诈骗，影响十分恶劣。窃取信息已成为实施电信诈骗犯罪的基本作案条件，也是造成支付风险的源头。探究信息泄露事件高发的原因，一是电子商务、通信服务、网络支付等高速发展，酒店、医院、物流、保险、商业零售、房屋中介等传统行业的数据存储方式也开始由本地存储转向网络存储、云端存储，大量客户信息暴露在互联网环境中，内容涉及身份证号、手机号、账号、家庭住址等，容易造成信息批量泄露。二是一些机构和消费者个人信息安全保护意识薄弱，没有认识到个人信息泄露的潜在环节及其带来的危害。消费者经常通过互联网、移动终端甚至面对面等方式，轻易将个人信息提供给他人;部分机构开展业务合作时，常常将自身所掌握的客户信息作为资本和筹码，甚至将数据资源随意共享，导致信息被滥用。三是非银行机构逐步参与支付业务，拉长了支付链条。不同参与主体的风险防控能力参差不齐，风险洼地效应明显，容易向产业链相对薄弱环节聚集，链条中任何一个环节出现问题，都可能造成信息泄露。四是不法分子窃取信息的方式花样繁多，从面对面或冒充客服方式向远程化、专业化方向升级，形式由单打独斗向团伙作业发展，网上非法买卖信息猖獗。

　　2. 电信网络欺诈是当前造成支付安全问题的重要渠道

　　电信网络欺诈实施成本低廉，隐蔽性与成功率高，成为支付安全问题产生的主要渠道，严重侵犯公众财产安全，给支付体系的前中后台都带来巨大挑战。在支付前台，不法分子通过“伪基站”短信、条码扫码等手段将木马程序植入手机，感染、操控支付客户端软件，伪造交易指令;也可利用网络钓鱼仿冒真实的客户端软件或官方网站，达到“以假乱真”的目的，诱骗客户在虚假界面输入敏感信息。在支付中台，不法分子通过非法改装POS机，进行磁条侧录，盗取银行卡卡号、密码等，并制作伪卡盗刷资金;也可利用“伪WiFi网”劫持通信网络实现中间人攻击，截取、篡改支付交易指令。在支付后台，不法分子利用业务系统的安全漏洞和设计缺陷，通过非法脚本注入等手段攻击服务器，批量窃取、伪造数据，实施拖库、撞库。

　　3. 财产损失是支付安全问题的直接危害

　　此前发生的大学生受骗殒命和教授受骗千万资财等事件令人痛心遗憾。不法分子处心积虑实施欺诈，最终目的是突破支付体系中账户和交易的安全防护转移受害者资金，并实现赃款变现。账户和交易安全是资金安全的关键，对其中暴露的问题我们要深刻审视、认真反思。线上交易安全方面，受“重便利、轻安全”的观念影响，部分机构片面追求便捷的用户体验，忽视信息和资金的安全防护。以快捷支付为例，业务开通环节和交易环节身份验证的强度普遍较弱，交易额度与安全认证强度不匹配，一旦银行卡卡号、手机号被泄露，不法分子就可能通过快捷支付绕过商业银行、支付机构的风控体系，盗取客户资金。线下交易安全方面，由于磁条卡本身不具备加解密功能、易被侧录复制，因此线下欺诈行为主要集中在磁条卡伪卡欺诈交易。磁条交易安全验证主要依靠交易密码，不法分子通过窥探、密码键盘附膜甚至从数据库批量获得交易密码后，利用POS终端进行支付或套现。

　　4. 风险意识不足是导致支付安全问题的重要因素

　　金融的本质在于经营风险，风险管理始终是金融行业的一项基础工作。在互联网与金融服务融合发展的背景下，部分从业机构和消费者对信息泄露与电信网络欺诈的影响范围、严重程度估计不足，风险防范意识没有跟上，防范措施也不到位。一是部分传统金融机构风险意识错位，仍沿用老一套的风控思维和手段，以不变应万变，对支付安全风险由线下逐步转移至线上的形势没有做好充分准备，对开放互联环境下的风险传导、放大效应的应对能力不足。二是部分非银行支付机构风险意识缺位，受网络开放、极简思维影响，在支付产品设计、服务模式创新方面往往更多地关注用户体验，没有正确处理安全与效率之间的辩证关系。三是部分消费者忽视支付安全，将快速、便捷体验作为评价支付产品的首要标准，风险意识薄弱，对支付风险表现形式缺乏认知，风险识别能力也有待加强。

　　多措并举，切实防范支付安全风险

　　11月7日，全国人大常委会通过了《中华人民共和国网络安全法》，这是我国网络安全工作的里程碑，意义重大、影响深远。我们要学习好、理解好、贯彻好网络安全法，将其作为加强信息保护和支付安全、打击电信网络欺诈最有力的法律武器。要统一思想认识，高举网络安全法的大旗，加强联动、凝聚合力，在防范机制、管理措施、宣传教育上常抓不懈，把防范支付风险贯穿于支付产业各个环节，切实维护人民群众的财产安全。

　　1. 正确把握安全与发展的关系

　　网络安全事关广大人民群众生命财产安危。安全与发展是对立统一、紧密联系的，发展是第一要务，安全是第一责任。近年来，支付体系建设取得显着成效，在促进经济社会发展方面发挥了重要作用。但是我们必须清醒地认识到，支付行业要取得长远发展，就必须摆正安全与发展的关系，从知行合一上下功夫，辩证看、务实办。在思想上，要正确认识安全为了发展、发展必须安全的辩证关系，牢固树立以安全为根基的发展理念，把支付安全与产品创新、服务优化、产业升级紧密结合起来，转变“重发展、轻安全”的观念。在行动上，要固守安全底线，寓安全于发展，注重支付安全能力建设，认真落实支付安全管理要求，从业务系统、风控措施、管理制度等方面查漏补缺，在实践中探索兼顾安全与发展的业务模式，坚决走与发展相匹配的安全路径。

　　2. 合力构建电信网络欺诈风险管理体系

　　电信网络欺诈防范涉及的部门多、范围广，关乎百姓切身利益，是一项系统工程。各机构要强化部门协同联动，寻求风险管理效能最大化，将风险防控关口前移，合力构建电信网络欺诈风险管理体系。事前要健全支付风险内控管理制度，强化风险管理主体责任，加强外包服务机构管理，规范支付机构与银行间报文接口和支付指令，定期开展业务系统外部安全评估和内部审计。事中要利用大数据分析、用户行为建模等手段，建立交易风险监控模型和系统，运用IP、MAC地址、终端设备标识、浏览器缓存等信息综合识别异常交易，并及时采取附加验证、拒绝请求等手段。事后要充分发挥紧急止付、快速冻结机制作用，协助相关部门开展交易信息追踪、账户止付和冻结，利用技术手段及时阻断资金转移通道。

　　3. 全面加强个人信息安全保护

　　信息泄露是支付安全问题的风险源头，保护好个人信息是风险防范的基础工作。各机构要加快信息安全保护技术研究与应用，实现信息全生命周期安全管理。在采集环节，要采用具有信息输入安全防护、即时数据加密功能的安全控件，严禁留存非本机构的敏感支付信息，确有必要留存时，应当取得客户本人及账户管理机构的授权。在存储环节，要对重要信息关键字段进行散列或加密存储，严格控制存储设备和介质的访问权限，合理制定备份策略，按照全量与增量相结合的方式定期进行数据备份。在使用环节，要基于SE、TEE技术构建安全可信的手机支付环境，采取可靠的密码技术进行通道加密或双向认证，利用支付标记化技术对敏感信息进行脱敏处理，从源头控制信息泄露风险。

　　4. 进一步提升支付交易安全强度

　　保障公众财产安全是支付行业义不容辞的责任，事关社会和谐稳定。各机构要多管齐下，全面提升支付交易安全强度，给用户资金加上安全锁。在账户管理方面，要推动账户实名制、账户分类管理制度切实落地，按照“了解你的客户”原则，采用科学合理的方法对客户进行风险评级，审慎确定账户功能，对账户进行合理分类和动态管理。在身份认证方面，要采用身份鉴别安全强度与交易额度相匹配的多因素认证方式，积极使用基于数字证书、动态令牌设备、客户行为动态挑战应答等的技术手段，严把业务开通、交易环节的资金进出关口。在转账管理方面，要与客户事先约定交易限额和笔数，针对不同渠道、场景的风险特点，提供实时到账、普通到账、次日到账等有针对性的转账方式，最大限度阻断不法分子诱导客户进行资金转账和赃款变现。

　　5. 持续开展支付安全宣传教育

　　防范电信网络欺诈是一场持久战，要保护群众、依靠群众，营造良好的安全支付舆论氛围，进一步增强公众对正规金融机构的安全信心。各机构要建立宣传教育长效机制，加强组织策划，把宣传工作与业务发展有机结合起来，走进农村、社区、校园和企业，开展全方位、有特色的宣传活动，让支付安全知识深入人心，切实增强公众参与防范和打击电信网络欺诈的自觉性和主动性。在宣传内容上，既要普及常见支付方式的风险特性和各种身份认证手段的安全强度，也要结合典型案例揭示常见欺诈手法，使公众了解风险甄别方法，培养公众“大额重安全、小额讲便捷”的支付习惯。在宣传形式上，要采取自有渠道与新闻媒体相结合的方式，开展贴近公众、通俗易懂的宣传活动，夯实防范电信网络欺诈的群众基础。

　　当前支付行业正处于规范发展和优化调整的新阶段。如何更好地服务经济社会和大众民生，确保支付安全，是每个行业参与者的历史使命。我们要牢记“支付安全永远在路上”，正确处理发展与安全的关系，携手共筑支付安全防线，切实保障客户资金和信息安全。