隨著網(wǎng)絡(luò)信息、通信技術(shù)的快速發(fā)展和支付服務(wù)的不斷分工細(xì)化，越來越多的非金融機(jī)構(gòu)借助互聯(lián)網(wǎng)、手機(jī)等信息技術(shù)廣泛參與支付業(yè)務(wù)。非金融機(jī)構(gòu)提供支付服務(wù)、與銀行業(yè)既合作又競爭，已經(jīng)成為一支重要的力量。非金融機(jī)構(gòu)支付服務(wù)，是指非金融機(jī)構(gòu)在收付款人之間作為中介機(jī)構(gòu)提供下列部分或全部貨幣資金轉(zhuǎn)移服務(wù)，包括網(wǎng)絡(luò)支付、預(yù)付卡的發(fā)行與受理、銀行卡收單，及中國人民銀行確定的其他支付服務(wù)。這些非金融機(jī)構(gòu)被稱作“第三方支付機(jī)構(gòu)”。非金融機(jī)構(gòu)支付服務(wù)的多樣化、個(gè)性化等特點(diǎn)較好地滿足了電子商務(wù)企業(yè)和個(gè)人的支付需求，促進(jìn)了電子商務(wù)的發(fā)展，在支持“刺激消費(fèi)、擴(kuò)大內(nèi)需”等宏觀經(jīng)濟(jì)政策方面發(fā)揮了積極作用。雖然非金融機(jī)構(gòu)的支付服務(wù)主要集中在零售支付領(lǐng)域，其業(yè)務(wù)量與銀行業(yè)金融機(jī)構(gòu)提供的支付服務(wù)量相比還很小，但其服務(wù)對象非常多，主要是網(wǎng)絡(luò)用戶、手機(jī)用戶、銀行卡和預(yù)付卡持卡人等，其影響非常廣泛。目前國內(nèi)約有300多家第三方支付機(jī)構(gòu)，其中多數(shù)非金融機(jī)構(gòu)從事互聯(lián)網(wǎng)支付、手機(jī)支付、電話支付以及發(fā)行預(yù)付卡等業(yè)務(wù)。

　　一、第三方支付平臺存在的安全問題

　　隨著第三方支付的廣泛應(yīng)用，其安全性問題也越來越突出。由于我國電子支付方面的法律較為滯后，對第三方支付市場監(jiān)管不夠，目前存在的300多家第三方支付產(chǎn)品質(zhì)量參差不齊，員工安全意識薄弱，安全防護(hù)措施不夠，用戶的交易安全和個(gè)人信息存在很大的風(fēng)險(xiǎn)。安全問題可以歸納為幾個(gè)方面：

　　第三方支付機(jī)構(gòu)安全意識薄弱

　　相對于銀行業(yè)金融機(jī)構(gòu)，非金融支付機(jī)構(gòu)安全意識還比較淡薄，還不能充分認(rèn)識到信息安全面臨的形勢和信息安全工作的重要性，對支付平臺的操作風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)等重視不夠。領(lǐng)導(dǎo)對信息安全的不重視，就會導(dǎo)致信息安全工作不到位和難于開展。一些員工思想上有麻痹意識，認(rèn)為安全案件都是偶然發(fā)生，存在僥幸心理;一些員工總認(rèn)為與己無關(guān)，信息科技引發(fā)的案件是科技部門的事。從而導(dǎo)致安全措施執(zhí)行不到位，安全制度無法貫徹的現(xiàn)象。正是這些安全意識上的薄弱環(huán)節(jié)，導(dǎo)致了安全威脅有機(jī)可乘。很多信息安全事件往往不是因?yàn)榧夹g(shù)原因，而是由于系統(tǒng)運(yùn)維人員的疏忽或不作為。安全意識薄弱是安全問題發(fā)生的根源。

　　安全管理機(jī)構(gòu)不健全安全管理制度不完善

　　多數(shù)第三方支付機(jī)構(gòu)還沒有形成信息安全組織結(jié)構(gòu)，管理較混亂，安全管理人員配備不足。信息安全管理制度還不成體系，沒有建立總體方針，安全管理制度和操作規(guī)程缺失，安全策略不完整等。已有的安全管理制度也不完善，易使工作上出現(xiàn)漏洞，操作上出現(xiàn)失誤，引發(fā)安全事故，造成損失。

　　安全技術(shù)防護(hù)能力薄弱

　　在第三方支付平臺建設(shè)中，沒有充分重視安全技術(shù)防護(hù)能力的建設(shè)，安全技術(shù)防護(hù)能力薄弱，如，有些支付系統(tǒng)沒有部署防火墻和入侵檢測設(shè)備，沒有劃分安全域;沒有安全事件監(jiān)控、統(tǒng)一防病毒等防護(hù)措施;重要數(shù)據(jù)的傳輸和存儲存在安全隱患;重要網(wǎng)絡(luò)設(shè)備沒有進(jìn)行安全策略配置，致使非法訪問網(wǎng)絡(luò)系統(tǒng)、假冒網(wǎng)絡(luò)終端/操作員、截獲和篡改傳輸數(shù)據(jù)的安全事件發(fā)生;應(yīng)急處理方案不完備，應(yīng)對和處理危機(jī)的能力還比較弱。

　　應(yīng)用程序中存在安全漏洞

　　系統(tǒng)上線前，沒有對應(yīng)用程序進(jìn)行全面的測評，致使生產(chǎn)系統(tǒng)存在功能、安全性及性能方面的問題。通過對第三方支付系統(tǒng)應(yīng)用程序的檢測，發(fā)現(xiàn)了大量的安全隱患，如SQL注入、跨站腳本、網(wǎng)絡(luò)釣魚以及登錄方式不安全等，這些漏安全隱患可以被不法分子利用，可以對數(shù)據(jù)進(jìn)行竊取，或?qū)τ脩舻拿舾行畔⑦M(jìn)行非法獲取，給第三方支付機(jī)構(gòu)和用戶造成損失。

　　個(gè)人信息不能得到保護(hù)

　　一些第三方支付平臺要求用戶提供真實(shí)姓名、聯(lián)系方式、住址、銀行賬號甚至身份證號，個(gè)別網(wǎng)站在設(shè)計(jì)上存在問題，致使這些信息很容易泄露。第三方支付平臺隱私政策不合理，免責(zé)條款過多，用戶為了使用其服務(wù)只能同意該條款，導(dǎo)致發(fā)生問題時(shí)維權(quán)艱難。第三方支付機(jī)構(gòu)除了應(yīng)采用技術(shù)手段進(jìn)行保護(hù)之外，還應(yīng)該以文件、政策或公告的方式在網(wǎng)站上公開對用戶信息進(jìn)行安全承諾。

　　二、國家對第三方支付的監(jiān)督管理

　　我國電子商務(wù)自20世紀(jì)90年代起步以來，很快進(jìn)入快速發(fā)展期，交易額以年均40%的速度增長。2009年，交易規(guī)模達(dá)到3.8萬億元，電子商務(wù)已滲透到經(jīng)濟(jì)和社會各個(gè)層面。與此同時(shí)，有關(guān)非金融機(jī)構(gòu)備付金管理、系統(tǒng)穩(wěn)定性以及消費(fèi)者權(quán)益保護(hù)等問題，需要高度關(guān)注。如何促進(jìn)非金融機(jī)構(gòu)支付服務(wù)市場的健康發(fā)展，關(guān)系到電子商務(wù)的成敗，關(guān)系到中國支付網(wǎng)絡(luò)體系的安全與效率。2009年4月，人民銀行發(fā)布公告，對從事支付業(yè)務(wù)的非金融機(jī)構(gòu)進(jìn)行登記。2010年6月14日，人民銀行發(fā)布《非金融機(jī)構(gòu)支付服務(wù)管理辦法》(以下簡稱《管理辦法》)，對非金融機(jī)構(gòu)支付業(yè)務(wù)實(shí)施行政許可。2010年12月，發(fā)布《非金融支付服務(wù)管理辦法實(shí)施細(xì)則》(以下簡稱《實(shí)施細(xì)則》)�！豆芾磙k法》和《實(shí)施細(xì)則》的發(fā)布，意味著我國非金融機(jī)構(gòu)支付市場監(jiān)管的基本原則已經(jīng)確立�！豆芾磙k法》中規(guī)定對于《支付業(yè)務(wù)許可證》的申請人必須具備有符合要求的支付業(yè)務(wù)設(shè)施，而且在向中國人民銀行申請?jiān)S可證是必須符合中國人民銀行規(guī)定的非金融機(jī)構(gòu)支付服務(wù)系統(tǒng)技術(shù)和安全標(biāo)準(zhǔn)，提交《技術(shù)安全檢測認(rèn)證證明》�？梢娧胄袑Ψ墙鹑跈C(jī)構(gòu)支付的技術(shù)和安全性的高度重視，技術(shù)和安全檢測是非金融機(jī)構(gòu)申請?jiān)S可證過程中最關(guān)鍵也是最嚴(yán)格的環(huán)節(jié)。

　　三、提高第三方支付平臺安全性的建議

　　政府應(yīng)加強(qiáng)監(jiān)管力度

　　通過《管理辦法》和《實(shí)施細(xì)則》的發(fā)布和實(shí)施，一些具備良好資信水平、較強(qiáng)盈利能力和一定從業(yè)經(jīng)驗(yàn)的非金融機(jī)構(gòu)進(jìn)入支付服務(wù)市場，在中國人民銀行的監(jiān)督管理下規(guī)范從事支付業(yè)務(wù)，切實(shí)維護(hù)了社會公眾的合法權(quán)益。整個(gè)第三方支付平臺的安全性有了一定的保障。但這樣還不夠，應(yīng)進(jìn)一步強(qiáng)管理和監(jiān)控，可以考慮將第三方支付機(jī)構(gòu)納入金融機(jī)構(gòu)的安全管理體系，使其遵循金融機(jī)構(gòu)相關(guān)的安全管理制度和標(biāo)準(zhǔn)規(guī)范。

　　第三方支付機(jī)構(gòu)應(yīng)增強(qiáng)安全意識，加強(qiáng)信息安全體系建設(shè)

　　信息安全教育和培訓(xùn)是信息安全管理工作的重要基礎(chǔ)，在實(shí)際工作中，大部分信息技術(shù)風(fēng)險(xiǎn)要依靠員工進(jìn)行有效的控制，因此需要通過宣傳、培訓(xùn)和教育等手段提升員工的信息安全認(rèn)知(包括提高安全意識、了解安全職責(zé)、培養(yǎng)安全技能)，發(fā)揮員工在信息安全管理中的主觀能動性，以自律的方式來實(shí)現(xiàn)信息安全保障。

　　建立全面、科學(xué)的信息安全管理體系。建立組織、人員結(jié)構(gòu)合理的安全組織結(jié)構(gòu)。加強(qiáng)信息安全隊(duì)伍建設(shè)，充實(shí)信息安全管理隊(duì)伍，完善激勵機(jī)制。建立完整的信息安全策略，主要包括信息安全策略、安全規(guī)章制度、安全操作流程和設(shè)備操作指南等方面。完善信息安全應(yīng)急恢復(fù)體系，推進(jìn)信息安全風(fēng)險(xiǎn)評估，實(shí)行信息安全等級保護(hù)，健全信息安全標(biāo)準(zhǔn)規(guī)范和有關(guān)制度。

　　構(gòu)建一個(gè)科學(xué)合理的安全技術(shù)保障體系。加大網(wǎng)絡(luò)安全設(shè)施建設(shè)力度，加強(qiáng)網(wǎng)絡(luò)邊界防護(hù)，實(shí)施網(wǎng)絡(luò)安全域控制;加強(qiáng)軟件開發(fā)控制，對軟件進(jìn)行安全測評核漏洞檢測;保障基礎(chǔ)設(shè)施和物理環(huán)境的安全，加強(qiáng)檢測、監(jiān)控和審計(jì)措施，實(shí)施安全加固;加強(qiáng)備份管理，建立災(zāi)備中心，保證支付業(yè)務(wù)的連續(xù)性。

　　第三方支付機(jī)構(gòu)應(yīng)加強(qiáng)安全檢查，及時(shí)修復(fù)安全漏洞

　　即時(shí)在安全方面都做了很多工作，但沒有絕對的安全，要時(shí)刻警惕系統(tǒng)的監(jiān)控情況�？山M建技術(shù)團(tuán)隊(duì)或委托專業(yè)安全服務(wù)機(jī)構(gòu)對系統(tǒng)進(jìn)行安全測評。系統(tǒng)安全隱患是否能及時(shí)發(fā)現(xiàn)，并進(jìn)行漏洞修復(fù)或制定實(shí)施相應(yīng)安全防護(hù)措施，對系統(tǒng)的正常運(yùn)行至關(guān)重要。由于系統(tǒng)的不斷更新，操作系統(tǒng)和代碼漏洞也不斷有新的發(fā)現(xiàn)，因此，對系統(tǒng)進(jìn)行定期的安全測測評是非常必要的。