商业银行移动支付业务的风险与防范策略

商业银行移动支付业务的风险与防范策略时间：2009-10-30作者：信息发布一、引言移动支付(MobilePayment)是指交易双方为了某种货物或者某种服务，以移动终端设备为载体，通过移动通信网络实现的商业交易。移动支付所使用的终端可以是手机、PDA、移动PC等。本文研究的移动支付，特指使用手机为终端的移动支付。根据支付金额的大小，可以将移动支付分为小额支付和大额支付。小额支付业务是指运营商与银行合作，建立预存费用的账户，用户通过移动通信平台发出划账指令代缴费用；大额支付是指把用户银行账户和手机号码进行捆绑，用户通过多种方式对与手机捆绑的银行卡进行交易操作。20世纪90年代初移动支付业务在美国就已经出现，此后，在日本和韩国得到了迅猛发展，如移动钱包、移动信用卡的正式商用都最早出现在日本和韩国，现在日、韩两国已经成为了世界上移动支付领域的领跑者，如SKTelecom(STK)等。我国虽然起步较晚，但在电信运营商、银行及第三方服务提供商的火力推动下，移动支付业务迅速发展。进入21世纪后，欧美一些国家的电信运营商和金融机构就已经开始研发有关移动支付的一些技术，并进行了相关的推广。目前，在全球手机发展最快的东亚地区，手机支付表现出惊人的增长。可以预言，不久的将来移动支付将会改变消费者行为方式，并且成为消费者生活中不可或缺的一部分。用手机支付代替现金、支票及信用卡支付，将彻底改变移动支付的应用现状，也必将掀起一场支付领域内的革命。随着3G时代的到来，移动电子商务的发展，手机不再局限于语音和短信功能，越来越多的数据应用应运而生，各国的研究机构和相关企业的研发部门，越来越关注移动支付的应用。英国市场调研机构“朱尼珀研究”的一项最新调查结果显示，手机将日益成为现金、信用卡和借记卡的替代物。至2011年，预计全球5200万消费者将采用移动技术为日常消费品和服务付费。今后三年的手机支付额约为118亿美元。移动支付作为一个新兴事物，在发展中存在许多亟待解决的问题。目前，国内外有关移动支付的研究涉及技术、法律、产业链等多方面的问题。我国移动支付的推动者虽以非金融机构为主，但由于移动支付涉及到金融业务，商业银行等一些金融机构在产业链中的地位不可小视。只有全面认识并防范金融机构面临的风险，才能推动产业链向更加成熟、健康的方向发展。二、商业银行移动支付业务的发展现状目前，全球移动支付市场尚处于发展阶段。亚洲的日本、韩国、新加坡以及欧洲的奥地利、挪威在移动支付应用方面领先于全球其他地区。在韩国，移动支付主要采取的是运营商或商业银行主导，运营商、银行等多方合作的模式。移动用户可通过手机实现pos支付，购买地铁车票，进行移动ATM取款和办理各种金融服务，并且由于结算信息的密码化，这些服务具有很高的安全性。在日本，非接触式的支付作为RFID技术的应用迅速发展，电子货币系统Edy运营采用“电子钱包”方式，2007年已发行：1700万张Edy卡，3.1万家零售店与1400家网站可接受Edy电子货币。日本铁路公司(JR)已发行大约1100万张非接触智能卡Suica用于票务支付。2007年2月，NTT与麦当劳结盟，NTT的用户将能够利用手机在日本3800家麦当劳餐厅支付电子现金。在欧洲，各大移动运营商也在积极推广移动支付业务。从2004年5月开始，芬兰国家铁路局在全国推广电子火车票，乘客不仅可以通过国家铁路局网站订购车票，还可以通过手机短信订购电子火车票。在我国国内，随着短信业务的蓬勃发展，以短信为基础、基于银行卡支付的移动电子商务开始得到发展。2002年以来，中国银联分别和中国移动、中国联通合作，在海南、广东、湖南等地开展了移动支付业务，并取得了可喜的成绩。目前，中国联通手机银行可提供的服务包括：查询、转账、汇款、缴费、银行转账、外汇买卖以及手机支付等。中国移动已经与中国银联联合中国银行、中国工商银行、招商银行、中国建设银行、民生银行、华夏银行、中国农业银行、广东发展银行、上海浦发9家银行共同推出了包括缴费、购物和理财三类基本业务的“手机钱包”，把客户的手机号码与银行卡等支付账户进行绑定，随时随地为中国移动手机用户提供移动支付服务。用户可通过手机短信、语音、WAP、K—Java、USSD等操作方式，管理自己指定的银行卡账户或小额中间账户，并实现从账户中进行扣费。此外，许多省市结合当地市场需求，分别开通了基于话费中间账户的手机钱包小额支付系统和基于银行账户的手机钱包银行卡系统。手机钱包业务己在北京搭建了全国一级平台，在上海、广东、湖南、湖北等十几个省市搭建了本地二级平台，用户数达到2000万。“手机钱包”包括税务、彩票投注、手机投保、手机购卡、软件销售、酒店机票预订、网上购物等。2005年，我国移动支付用户数达到1560万人，同比增长134%，占移动通信用户总数的4%，产业规模达到3.4亿元：2007年，由于产业链的成熟、用户消费习惯的形成以及基础设施的完善，移动支付业务已经进入产业规模快速增长的拐点。根据诺盛电信的估算，到2008年，我国国内移动支付用户数达到1.39亿人，占移动通信用户总数的24%，产业规模已经达到32.8亿元。三、商业银行开展移动支付业务面临的机遇与风险(一)移动支付为商业银行业务创新打开了方便之门随着社会经济高速发展，各种金融市场融资工具相继推出，外资金融机构加入，金融行业的竞争日趋激烈，商业银行面临巨大的竞争压力。银行业务由传统的储蓄、贷款等业务转向以“客户为中心”的多业务经营。如何拓宽业务领域，创新和发展新型金融增值业务，成为金融机构关注的焦点。据统计，发达国家95%的金融创新都来自于信息技术。随着银行业信息化和虚拟化程度的不断提升以及电信业移动电话普及率的提高，银行客户和电信用户的范围越来越重叠，越来越多的金融服务和交易依赖于银行与电信的紧密融合来实现。与传统支付手段相比，移动支付最主要的特点是支付灵活便捷、交易时间短，可以减少往返银行的时间和支付处理时间。我国移动支付业务主要以电子化产品和公用事业产品为主。随着我国移动支付市场内部、外部条件不断成熟，移动支付市场将由小额电子化产品的支付逐渐向大额、实物的方向发展。银行拥有以现金、信用卡及支票为基础的支付系统，且有较强的抗金融风险能力，在重要的相关服务中占据着垄断性地位。因此，如果商业银行能成功地将其现有的服务链接到移动装置上去，并整合行内资源，确保移动支付在各商业银行之间的互连互通，就可以为客户创造更大的方便，也能够为商业银行实现利润扩张提供更广阔的发展空间。(二)商业银行开展移动支付业务面临多重风险目前我国的移动支付业务发展尚处于起步阶段，主要以采用短信接入方式、安全级别要求相对较低的小额支付为主；业务的推出地区差异较大，且规模很小，处于初期试点状态；所购商品大多为电子形式的商品而无需与商户终端交互，系统建设成本较低；产业链发展尚不成熟；缺乏相应的政策法规，行业也没有统一的标准。总之，我国商业银行在开展移动支付业务方面面临着法律、技术和信誉等多方面的风险。具体而言，主要集中在以下方面：1、法律或政策风险。移动支付属于新生事物，大多数国家在移动支付方面的法律法规尚不完善，对交易各方权利和义务的规定也不明确。目前，我国已经出台的《电子签名法》和《电子支付指引》虽然已经为电子化支付在政策和法律地位方面奠定了基础，但是，移动支付与第三方支付、小额支付等问题往往相互交错，一直被视为敏感地带或灰色领域，发展比较缓慢。例如，我国《消费者保护法》对手机银行运作的适用性还不明确，因此，客户通过电子媒介所达成协议的有效性也就具有不确定性。再如，在客户信息披露和隐私权保护方面，如果商业银行未完全告知客户的权利和义务，当客户与银行间发生纠纷时，客户可能就会对银行直接提起法律诉讼。还如，现行手机支付的政策还很不完善，手机消费类增值服务费的征收缺乏法律保障，而且市场管理混乱，使得消费者难以对手机短信消费享有应有的权利，这也严重影响了手机支付产业的今后进一步发展。2、技术风险。目前我国移动支付面临的主要技术难题包括短信支付密码被破译、实时短信无法保证、身份识别缺乏和信用体系缺失等。我国现有的移动支付方式中，主要采用银行卡与手机号绑定的模式进行手机支付，由于受手机卡技术的限制，所发送的信息全为明码，短信信息通过公网传输，没有加密功能，因此，手机号码、密码等重要信息很容易被破译和截取。此外，通过短信方式的支付信息是非互交式的，无法保证实时性和数据的完整性，这也给商业银行带来了很大的技术风险。手机信息在空中极容易被拦截。例如，网上经常有人叫卖监听王(GSM／CDMA多信道移动电话拦截系统)装置，宣称“监听地点没有限制，能在任何地点，包括车载移动手机空中拦截；监听数量多，可以同时监听20个手机号码；监听范围广，可以显示手机的短信息内容和来电号码；并且可以将监听到的信息录音并存于硬盘，以做证据之用。”再例如，冒充银行发诈骗短信。“您好!你的信用卡于XXX商城刷卡消费2000元，此笔消费将从您账上扣除。如有疑问请拨3888XXX银联联合管理局。”不法分子用此类短信告知用户无中生有的消费，要求用户确认。用户情急之中查询，结果把自己的账号密码泄露，造成信用卡里的钱被不法分子盗取。因此，如何保护用户的合法信息(账户、密码等)不受侵犯，是移动支付迫切需要解决的问题。美国软件安全技术专家戴伊认为，尽管手机付费目前大多仅限小额交易，但欺诈者可能会采取“细水长流”的策略。如果他们从每个手机用户那里拿走5美元，累计下来就能获得一大笔钱。3、信誉风险。信誉风险是关于银行的负面公众舆论引发的银行客户或资金严重流失风险。对开展移动支付业务的银行而言，不仅需要提供一个可靠的服务平台，还需要与第三方(电信运营商等)合作，而能否持续地提供安全、准确和及时的服务，将影响到银行的信誉，而且，第三方的服务质量也会影响客户对商业银行的评价。例如，如果在客户访问其资金或账户信息时遇到了严重的通讯网络故障，将会造成客户对移动支付服务的怀疑和不信任，这非常容易引发商业银行的信誉风险。总之，在由移动运营商、金融机构、商家和消费者共同支撑的移动支付运行架构中，任何一个环节出现问题，整个框架都面临着坍塌的危险。四、商业银行防范移动支付业务风险的具体策略商业银行应采取积极的风险防范对策，以确保商业银行移动支付业务的良性发展。(一)提高移动支付从业人员的法律意识商业银行应加强自我保护意识，尽最大可能地利用现行法律、法规，积极防范法律风险。首先，商业银行要充分利用我国现行法律，如《合同法》、《会计法》、《票据法》、《支付结算办法》等，拟定移动支付的相关协议：其次，技术安全上充分利用目前执行的关于信息技术安全方面的行政法规，如《中华人民共和国计算机信息系统安全保护条例》、《电子签名法》等；最后，银行应特别关注交易数据的保管工作，为可能出现的纠纷或诉讼做必要的准备。(二)增强移动支付系统的安全性建设银行、电信运营商和第三方支付平台应加强各自系统的安全建设，保证整个支付过程的安全。例如，数据传输应采用端对端的应用层安全机制，利用专用设备和程序对敏感信息进行加密、解密和相关的鉴定处理，确保数据的保密性。移动通讯系统应当配备适当的安全措施，例如，防火墙、侵入窃密检测系统、监视控制系统和快速恢复制保证数据安全；对访问系统的用户应进行身份鉴别，客户每次业务操作的信息均由用户的私人密钥进行数字签名，作为用户操作的证据并辅助确认客户身份。此外，还应装备必要的恢复和后备系统，保证系统的可恢复性和系统的可靠性，从而将系统故障所造成的服务中断风险降低到最小值。(三)重视并积极防范商业银行的信誉风险就积极防范商业银行的信誉风险而言，重点在于防范操作风险和利用移动支付进行金融欺诈的行为。首先，商业银行要进一步完善移动支付系统中各相关部门的制度规范，加强对人员的管理，防范操作风险；其次，应对重点客户加强监控，尤其应加强对巨额资金的大进大出的背景进行监控，注意跟踪交易的全过程，并通过数据挖掘等方法，分析可疑的资金交易，防范利用手机进行非法资金交易。最后，加强多方协作。移动支付的产业链包括移动运营