在支付沒有與互聯網、移動終端綁定時，很多人希望：有朝一日能夠過上“即看即付”的快捷支付生活。但當互聯網金融、第三方支付以最快的速度實現了人們上述夢想時，風險隱患也跟著來了。而今，大到轟動全球的互聯網“心臟出血”事件，小到支付領域頻頻出現的支付安全漏洞，都在提醒著人們，對于網上支付行為要多一分謹慎……

　　未經授權的“搶票”

　　“五一”小長假之前，在北京工作的小張受老家親友之托，幫助其在國內某知名旅游信息網上訂購一張無錫至北京的飛機票。由于航班座位緊俏，小張用最快的速度搶到票，進入支付環節。

　　“我用信用卡支付，剛剛填完卡號和信用卡有效期，正準備填寫之后信息時，網頁突然顯示‘本次操作無效，請重新輸入’，當時我以為是同一時間搶票的人太多，可能有人快我一步搶走了這張票。”據小張說，恰好在這時，無錫的親友打來電話說，考慮到節日游客太多，如果還沒有買到票，就換個時間再來北京。“可我剛剛掛了電話，就收到了銀行信用卡中心的短信提示，并告知我有一筆費用已經完成了預付款。緊接著，我收到了航空公司的出票提示。”

　　明明操作沒有完成，甚至還沒有走到輸入支付密碼這一步，銀行和航空公司就在未獲得授權的情況下“幫”小張“搶”到了這張機票，這讓已經習慣使用移動支付的小張犯了懵。

　　“我給銀行信用卡中心打電話，得到的答復是信用卡中心已經收到了我授權支付這筆資金的請求，并且迅速給予了支持。之后我又致電這家旅游信息網的24小時客服，對方告訴我，雖然我沒有輸入支付密碼，但我輸入了足以代替支付密碼的信息，比如信用卡有效期。”小張說，從10年前開始使用信用卡至今，他從來沒有認為信用卡有效期能夠替代支付密碼，這次經歷給他最直觀的感覺，就是網站儲存了他的信用卡支付數據。

　　最終，小張為退票支付了近70元的違約金，對于這次經歷，小張頗感無奈。事實上，就在他購買這張機票前不久，今年3月，這家旅游信息網站已經被爆出客戶信息泄露的負面消息。

　　3月下旬，漏洞報告平臺“烏云”（“WooYun”）對外宣稱，小張所選擇的這家旅游信息網站，其安全支付日志可遍歷下載，導致大量用戶銀行卡信息泄露（包含持卡人姓名身份證、銀行卡號、卡CVV碼也就是人們通常所說的信用卡效驗碼、6位卡Bin）。對此，該網站回應稱，“烏云”所爆信息系此前技術人員未刪的臨時日志，已在兩小時內修復，并已通知93名潛在風險用戶更換信用卡并適當補償，尚未發現網站用戶信用卡被盜刷情況。

　　但事情并未就此了結。銀率金融研究中心信用卡組分析師孟麗偉隨后表示，上述網站還涉嫌存儲用戶信息卡信息的問題。“在用戶提供的案例中，有些用戶反映說首次通過這些在線訂票網站訂票時，只輸入信用卡卡號、姓名、信用卡有效期、CVV碼以及申請信用卡時填寫的身份證號就可以完成支付，整個過程不僅沒有轉入網銀平臺或第三方支付公司支付通道，也沒有輸入支付密碼、查詢密碼以及交易驗證碼。如果只是網站商戶方違規操作，是無法實現支付的，銀行一方也脫不了關系。”孟麗偉稱。

　　中國銀聯風險管理委員會印發的《銀聯卡收單機構賬戶信息安全管理標準》規定：“各收單機構系統只能存儲用于交易清分、差錯處理所必需的最基本的賬戶信息，不得存儲銀行卡磁道信息、卡片驗證碼、個人標識代碼及卡片有效期。”對此，這家平臺表示，將在交易完成后刪除客戶的CVV信息，不再保存，以前保存的CVV信息正在予以刪除。未來一旦確認因該平臺漏洞引起用戶損失，平臺愿承擔全責賠償。但該事件引發的人們對于支付信息安全的擔憂卻尚未平復，小張的經歷就發生在這家平臺表態之后。

　　“便捷”雙刃劍

　　微信錢包、支付寶錢包、銀行各種移動支付平臺……這幾年，很多人享受到了“邊走邊結賬”的快速支付帶來的便利。但正如來誼電子CEO徐海光所言，在支付領域，便捷性和安全性某種程度上存在矛盾，必須平衡好兩者的關系。而業界人士總結，僅在今年短短4個月時間內，就先后出現了“攜程漏洞門”、“二維碼支付欺詐”、“OpenSSL‘心臟出血’漏洞”等一系列信息安全風險事件，將互聯網金融的信息安全風險推向了風口浪尖，也讓如何有效防范此類風險事件成為業內廣泛探討的焦點。

　　“表面上看，用戶完成一筆支付或許是幾秒鐘的事，但在其后臺，用戶個人信息游走于電商平臺、第三方支付機構和銀行之間，其中任何一個環節出現問題，都有可能泄露用戶信息，給用戶的資金安全帶來影響。”對此，一位互聯網行業分析師這樣表示。

　　對此，銀監會法規部副主任王科進表示，第三方支付的出現便捷了人們的支付，同時也有一些漏洞，時有發生銀行賬戶被盜用，個人信息被泄漏，被不法分子利用個人信息突破了銀行和第三方支付識別的關口，“我們處理過很多起這類案件”。

　　“第三方支付更講客戶體驗的便捷，但是也要考慮安全的問題。目前第三方支付也提出了很多保護措施，比如推行的用戶保障計劃，對客戶的資金損失進行補償，很多提出了‘你敢用我敢賠’，如果發生了支付的錯誤損失，我就賠付你，這是根據大數原理進行賠付的，以提高客戶對第三方支付安全的信心，應該說這種補償方式是有一定效果的，但是它是一個事后的補償方式，也僅適合于小額的資金損失。所以，我們應該更重視事前的風險防范。”王科進表示。

　　“懷揣敬畏之心”

　　5月上旬，“清華五道口互聯網金融全球論壇”上，央行支付結算司副司長樊爽文表示，從事金融活動者應有敬畏之心。

　　“電子商務企業或其他互聯網企業不能以攪局、顛覆或是革命的心態去做金融，否則對金融環境是災難。因為歸根結底，互聯網金融屬于金融范疇。互聯網企業一旦經營難以為繼、關門大吉，影響有限，損失的可能只是自有資本或者加上幾個PE/VC。但是，任何一家金融服務提供者，其生死存續已經不僅僅是自己的事，而是關乎一定群體、一定區域，甚至影響整個金融系統，不可不慎。”樊爽文這樣說。

　　就支付安全領域而言，一些個案的發生也催促著客戶與機構提高對支付信息安全的關注度。比如，針對小張的經歷，業界表示，這屬于無需密碼支付的信用卡“離線交易”，這種支付方式只需信用卡卡號、有效期、卡背上的3位CVV安全碼等便可以完成交易。CVV安全碼相當于信用卡“第二密碼”，因此持卡人不妨用貼紙把背面CVV碼蓋住，刷卡時做到卡片不離開本人視線，不提供卡片信息給他人。

　　在P2P領域，北京某P2P平臺負責人表示，雖然有越來越多的P2P平臺選擇利用第三方支付來保障用戶的支付安全，但任何平臺都有數據安全方面的潛在威脅，去年底就發生了一些P2P平臺在兌付日遭受黑客攻擊的情況，現在很多平臺也在著手完善風控技術。

　　目前，IT行業也逐步認識到安全問題的重要性。據了解，百度、阿里巴巴、騰訊等為代表的IT企業都在加強各自在移動互聯網及移動支付領域的安全投入和布局。

　　在中國金融認證中心總經理季小杰看來，數據安全在技術方面主要體現在3個方面，一是后臺數據庫安全，二是數據傳輸安全，三是數據容災備份。后臺數據庫安全要解決核心數據資源面臨的“越權使用、權限濫用、權限盜用”等安全威脅；數據傳輸安全可以通過結合數字證書等安全認證機制和傳輸加密機制來保障；數據容災備份是數據安全的一項基礎安全防護措施。