支付指令
1.什么是支付指令
支付指令是指参与者以纸质、磁介质或电子形式发出的,办理确定金额的资金转账命令。
2.支付指令形态发展变化带来的风险[1]
网络支付环境下,支付指令的载体从实物凭证发展为形式多样的电子数据。无论与传统支付类似的账户密码支付还是新型的指纹支付、二维码支付、声波支付,其实质均是将支付指令变化为数据信息。目前最典型的网络付款方式,是电子化的支付指令从消费者发起,通过网络支付机构转接至付款银行或直接从消费者在网络支付机构开设的虚拟账户中扣除相应金额,然后再由网络支付机构转发至收款银行或通过收款人在网络支付机构开设的虚拟账户进行贷记处理。从网络支付的安全和效率目标出发,目前支付指令形态电子化带来的风险主要有:
(一)支付指令生成机制差异对网络支付效率的影响
首先,网络支付指令的后台处理进程涉及众多环节,需要网络支付机构与众多银行进行信息交换,从而最终实现支付行为。目前我国绝大多数银行的银行卡都支持网络支付功能,但由于各家银行的网上银行技术及接口标准不尽相同,为保证互联网支付的顺畅进行,网络支付机构需要适应不同合作银行的技术和接口标准才能实现电子支付指令的数据信息交换。
其次,不同网络支付机构之间的支付仍然必须通过银行作为“中介”,无法实现彼此之间的直接通汇与结算。例如,用户如需将“支付宝”虚拟账户中的资金划转至“快钱”虚拟账户,只能采取先从“支付宝”划到银行,再从银行划到“快钱”的两次汇兑方式,而无法直接发起一笔以“快钱”虚拟账户为收款人的支付指令。另外,不同的网络交易平台所要求采用的安全技术手段也是多种多样:电子商务活动中的各大购物网站,如淘宝网、拍拍网等为了交易安全也要求安装各自的安全控件。
第三,不同服务主体、不同层级、不同种类的安全技术手段在有效提高网络支付安全的同时,也在一定程度上影响了消费者进行网络支付的效率和体验。现实中,消费者为了支付安全只得在不同平台不同环境中来回切换,这种配套使用的安全技术在增加了消费者支付安全的同时,也影响了网络支付的效率。特别是受“技术粘性”的影响,多元化的网络支付习惯还很难形成。这种情况对网络支付机构而言可能更有利,但对于整个网络支付市场的活跃以及用户体验的高效便捷则是不利的。
(二)支付指令生成机制中潜在的安全漏洞风险
在目前的网络支付指令生成机制下,通常情况下很难通过技术手段破解网络支付指令的生成机制。但随着计算机技术的日渐普及,这也绝非不可能完成的任务。如果在网络传输过程中使用软件加密,计算机就需要接收所有发给该端口的数据,然后在计算机内进行分析,这样就给入侵者提供了进入系统的机会。2011年4月,就发生一起利用某银行U盾漏洞在3O秒内盗走一用户29万余元的犯罪事件。黑客仅仅通过“植入木马:利用‘抓鸡’工具扫描有漏洞电脑,大约5%的电脑能植入木马”一“寻找用户:通过木马程序寻找安装网银驱动电脑,进行‘重点监控”’一“获取密码:记录用户邮箱、QQ、论坛等密码,测试出用户u盾密码”一“转移资金:趁用户插入u盾交易后还未拔下之机,迅速登录对方网银并转走账户资金”等简单的四步就完成了资金盗窃。尽管这只是一次偶然事件,但也表明了目前的网络支付指令生成机制中确实存在一些漏洞,而且“瞄准”支付指令生成机制的黑客、病毒也不在少数。对于支付指令生成机制所运用的核心技术来说,越少人了解是越安全的,在网络支付的安全发展进程中,保密性高、自主研发的支付指令生成机制显得极其重要。