随着互联网、云计算、大数据等新兴技术的进一步发展，移动支付作为一个新兴产品，衍生出了众多的市场需求和商业模式，如微信理财、扫码支付、虚拟信用卡等。

针对国内外移动支付行业的发展趋势以及发生的一些风险案例，从与本行业有关的一些前沿动态，技术瓶颈，设备市场，业内服务方面出发，采用定性与定量相结合的方法，对支付行业所存在的风险，做了具体的分析。得出支付行业的风险主要集中在支付产业链上的技术风险、标准规范上的法律风险、行业面临的政策风险和实际应用中的信誉风险。最后，分别从个人、技术、法律、企业四个方面对产业链中存在的一些风险，进行细化分析，并做出相应的风险防控措施。针对此次中信银行事件，并总结出了个人如何在支付行业中维权。

一、 支付行业的发展现状与趋势

（一）、支付行业的发展现状

近年来，随着移动支付的广泛运用，消费者的行为模式也发生了极大的改变。截至2019年6月，中国网民达8.54亿人，这一庞大的规模优势，使得中国成为塑造全球数字化格局的重要力量，已然颠覆了传统的商业模式。

在金融领域，5G的出现颠覆了银行业。随着互联网金融从概念的提出到形成初具规模和成效的市场发展空间，金融领域诞生了微信理财、扫码支付、虚拟信用卡、众多金融衍生品等各种移动互联网金融产品和服务。一部手机不仅能满足所有消费场景的需求：点外卖、打车、购物、乘公交等，还能借贷、理财、存款，五花八门，无所不包，而且比之传统的金融行业，操作更为灵活，手续更为简便，一时之间吸粉无数。曾经"躺着数钱"的银行在互联网的冲击之下，不断的收缩业务，开始裁员、撤点，拆ATM机，艰难度日。

（二）支付行业的发展趋势

根据Media Research（艾媒2019中国移动支付市场研究报告）的数据显示，我国目前的移动支付交易规模在2019年的第三季度，已经达到了252.2万亿，用户人数还在持续上涨，预计在年底将会超多7.3亿人。近几年以来，中国的移动支付行业正在朝着标准化和规范化迈进，市场竞争加剧。随着5G时代的到来，人脸技术的成熟，刷脸支付加快普及，iiMedia Research(艾媒咨询)数据显示，预计到2019年刷脸支付用户规模将会达到1.18亿人。

随着网络信息技术在金融领域的广泛应用极大地推动了传统金融产业的创新与变革，移动支付就是在网络技术与金融产业融合的重要成果。移动支付是用户通过手机、平板电脑等移动终端对消费的商品或服务进行支付的一种方式，与传统的支付方式相比，移动支付具有"随时、随地、随身"、产业链长、行业跨度大、社会影响面广等特点。

在我国，目前移动支付在技术标准、运行模式、风险控制等方面还存在诸多风险制约因素，亟须研究相应的风险防范措施，以促进移动支付行业的健康发展。

二、支付行业的风险分析

目前，市场占有率较大的支付宝、微信支付工具均为第三方服务提供商。移动支付服务提供商是连接移动运营商、银行和商家的重要枢纽和桥梁，其运营模式是一种能够实现跨银行服务的移动支付方式。

支付行业的风险主要集中在支付产业链上的技术风险、标准规范上的法律风险、行业面临的政策风险和实际应用中的信誉风险。

（1） 政策风险

支付行业作为新兴产业，发展迅猛，缺乏一定的行业规范，尤其是严密的准入政策和有效的监管政策。行业中涉及的资源共享、服务质量保证、服务规范等都需要有明确的规定，唯有如此业务才能健康发展。移动支付业务的核心是支付，移动支付相关政策成为各方关注的焦点。移动支付处于电信增值业务与银行增值业务——中间业务的交叉地带，有着不同的业务类型。国内非银行机构推动移动支付的积极性比银行更高，但移动支付涉及的金融业务必须接受金融监管，这无疑提高了市场准入门槛。由此可以看出，政策风险是支付行业业务发展无法回避的障碍。

（2） 技术风险

支付行业的运营模式主要涉及三方面，即以移动运营商为运营主体、以银行为运营主体、以第三方服务提供商为运营主体。无论属于哪一种运营模式，都是在移动支付产业链上各方相互配合的前提下实现的。然而，支付行业产业链比较长，涉及银行、非银行机构、清算机构、移动设备运营相关机构等多个行业。

在技术实现上，仅安全方面就包含了物理安全、网络安全、主机安全、应用安全、数据安全、业务连续性等。

1.用户信息的安全性风险

虽然在使用手机等移动设备具有一定的隐私性，但最终都是要在联网的条件下进行，手机上的某些APP可能存在窥探用户隐私、盗取个人账户信息、密码等情况，类似的案件媒体也有报道过。比如客户端应用程序自身的风险、基于仿冒应用的钓鱼欺骗风险、基于短信、网站欺诈的钓鱼欺骗风险、界面劫持风险、暴力登录尝试风险、外联风险等。

2.数据传输的安全性风险

数据传输的安全性风险是客户对移动支付最为关注的问题。短信支付密码被破译、实时短信无法保证、身份识别是支付行业面临的主要技术难题。手机仅仅作为通信工具时，密码保护并不重要，但作为支付工具时，丢失手机、密码被攻破、病毒木马、通信信道入侵、https嗅探劫持等问题都会给用户造成重大损失。

（三）金融法律风险

由于支付行业产业链比较长，涉及行业较多，而每个行业相关的标准规范则重点不相同，甚至会出现重复和冲突的地方。标准规范上的不同容易导致移动产业链上的各成员采用不同的行业标准，存在支付漏洞及隐患，进而滋生移动支付风险。

1.沉淀资金的风险

由于在支付行业过程中存在用户将资金存入账户中和资金支付间存在时间差而产生的在途资金等沉淀资金，这些沉淀资金的收益及能否对其进行挪用等将会产生一系列的问题。尤其是有的机构擅自挪用资金而可能产生的一系列的后果等将有可能引发金融法律风险。

2.洗钱风险

洗钱是所有涉及支付结算的金融机构所要面临的共同问题。洗钱风险是指将违法所得及其产生的收益通过各种手段掩饰、隐瞒其来源和性质，使其在形式上合法化带来的风险。用通俗的话说，洗钱就是把毒品交易、非法走私、贪污贿赂、恐怖活动、黑社会组织犯罪、破坏金融秩序等非法渠道得到的资金洗白，转化为合法来源的收入所得。

3.电子证据举证困难的法律风险

电子证据举证困难法律风险，主要体现在两个方面，一是移动支付会存在不能确认对方真实身份的情况；二是电子证据容易丢失，无法证明支付过程的问题。比如错误转账风险、资金被盗刷风险、网络诈骗风险等。

4.支付过程法律保障薄弱

其实相对于上面两点问题，法律法规这方面是尤为重要的，至少在出现安全问题之后，法律法规可以作为我们保障自身权益的最后一道屏障。就目前情况来说，在保障方面还有一些漏洞存在。针对这个方面我们国家已经针对第三方支付平台，出台了《支付结算办法》，虽在具体实施的过程中还存在问题，相应措施没能落实到位，但希望能够加强监督机制，保障支付安全。

（四）实际运用中的信誉风险

1.用户信息的保密性

获取用户个人信息和隐私，是所有支付行业得以实现的前提。用户无论是通过银行、通信运营商或第三方移动支付工具，都要在支付之前填写个人的真实信息，进行注册、登录，系统认证之后，才能实现移动支付。

用户需要填写的个人信息，一般包括用户姓名、电话、银行卡号等。这些信息直接关系到用户的个人隐私，一旦这些信息被相关机构泄露出去，或是被不法分子恶意盗取，将会造成用户隐私信息泄露的风险。

用户在各大购物网站交易的同时，会留下大量的个人数据，而且都涉及到个人隐私，如果平台在用户信息保密这方面做的不好的话，很容易被不法人员利用，很可能对用户个人财产和人身安全造成隐患。

2.用户财产安全的法律风险

财产安全是用户使用移动支付时十分关注的问题，但是从目前移动支付的发展情况来看，财产安全的法律风险仍然很高。

一方面，用户在使用移动支付时，填写银行账号等相关信息时，极易因为保密工作不完善，造成资金被盗取。另一方面，病毒、木马、黑客的肆意猖獗，也使得用户的财产安全受到极大的威胁。而用户在财产安全上受到的损失，却没有足够完善的法律加以保障，这就进一步加大了整个支付过程的风险。

3.交易安全风险

据调查显示，目前国内出现在支付交易中最常见的欺诈手段，就是发信息提示消费退款、钓鱼网站链接、传递木马病毒等。不法分子绞尽脑汁寻找移动支付交易中的漏洞，用以诈骗、盗取用户的账户资金。据估算，100个用户当中，就有10个用户曾遭遇到网络交易诈骗行为。这些诈骗行为多是掌握了用户的真实信息，以降低用户的警惕性。

很多用户觉得手机在自己的手里，只要不落入他人之手，自己的账户和交易就是安全的。实际上，手机并不是万无一失的保险箱。撇开手机丢失造成的财产损失不说，即使手机握在自己手中，其交易风险仍然是存在的，主要风险在于不法分子可以盗取用户的交易信息。

交易中存在的风险还表现在：

（1） 来自商户的风险

大数据的一个特点就是精准定位，它能知道每天我们要去哪里，要干什么。的这些活动信息在不知不觉中被人收集着、贩卖着、并被用于各种用途。比如你的手机每天收到的陌生骚扰短信和电话越来越多，其实就是你的信息被扫码过的平台或商家收集后贩卖了，甚至有一天你也会收到类似的信息。

（2） 套码

商户违规套用低费率行业的商户类别码（MCC），将高费率商户类别调整为低费率类别，从中套取利差。

（3）刷单

刷单行为在电商行业中表现尤为突出。刷单包括小号刷单、虚拟机刷单等主要方式。此外，还有互相刷单、低价刷单、刷虚拟物品等常见的刷单行为。

（4）盗号

盗号属于账户风险，是第三方支付行业面临的最常见的风险，盗号和黑产权已经形成了一套完整的灰色产业链。盗号的主要表现形式为撞库、洗库和拖库。

三、支付行业的风险防控

（1） 个人层面

其实真正泄露的信息，主要是从个人层面上，只要个人层面能够保持较高的警惕，一般来说移动支付的风险都会很低，大概梳理了一下该如何防范：

1.个人一定要注意不乱扫不知名的二维码。

2.不随意点一些别人分享的链接，不要轻信网上的优惠信息或抽奖信息，不要轻信所谓公检法机构的"安全账户。"

3.不随意在一些网站填写自己的支付宝等的信息及密码；登陆时尽量采用双重身份验证。

4.换掉手机号，要及时更换自己的支付宝或者微信绑定的手机号，避免移动支付账号被盗取盗刷的发生。

5.尽量少的授权给一些不必要的应用，使用官方应用商店的支付应用，支付软件不要设置自动登录，取消记住用户名的设置。

6.一定不要用公共场所的wifi，使用可信任的因特网连接。

7.手机要设置锁屏密码，设置支付密码，尽量不要使用免密支付功能，而且支付密码最好不要用自己的生日、手机号码，比较容易被破解。

8.设定消费限额，防止损失的扩大。

9.强化自己的心理防线，不因贪图小利而受不法分子诱惑，切忌向他人透露自己及家人的身份信息、支付信息等。

10.绝不向陌生人汇款、转账，如需转账，先确定转账人信息。

11.应尽可能地保留书面凭证，例如合同、发货单、借据、收据等。

12.及时挂失、及时报案，如果感觉自己上当受骗，第一时间向银行挂失，并向公安机关报案。

（二）技术层面

支付行业用户的交易风险可能存在于整个支付过程的每一环节，对于这种风险的防范，实际上是一项系统性工作，并非做好某一个环节的安全防御，就能够避免整个交易过程的风险。对于交易的渠道、载体、软件、终端、后台等都需要进行安全性检验。在安全技术达标的同时，也要让整个操作流程更加规范，这样才能最大限度地降低用户交易过程的安全风险

1.客户端和服务器之间的双向认证

使用HTTPS协议进行相互身份验证以防止服务器重定向。

2．客户端和服务器传输加密

计算消息的MAC值以防止数据被篡改；对数据进行数字签名，以确保传输过程的安全性。

3．客户输入数据安全性

使用动态密码软件即时擦除敏感数据。

4．客户诚信

通过代码混淆防止反编译，防止二次打包和隐藏关键数据。

5．客户端和SE交互安全性

通过设置同步访问规则，移动操作系统可以验证访问SE的客户端，以防止恶意程序访问SE并确保SE数据的安全性。比如设备指纹、破解越狱风险、模拟器检测、地理位置核实、代理检测、IP地址风险排查等。

（三）法律层面

1．加强对支付行业服务提供商和移动应用发布者的安全测试和监管，防止恶意应用进入市场，对应用软件的分发渠道实施安全监管，防止用户下载恶意行为的程序，逐步建立安全稳定服务环境。

2．提高移动智能终端的安全防护能力，对智能终端芯片、操作系统和预设应用软件提出安全保护要求，为支付行业应用提供安全的操作环境。

3．各部门密切合作，研究制定法律法规，第三方支付平台确保移动支付的安全性，逐步建立和完善移动支付标准体系，促进移动支付的健康发展。

（四）企业层面

企业级风控系统对于风险的管控，通常可以分成：风险识别、风险评级、风险规避三个阶段。针对不同阶段，可以设置，业务欺诈检测系统。一个完整的线上业务欺诈检测系统，应该分为5个层级，分别是第一层终端风险识别；第二层交互行为监测；第三层 渠道内行为异常检测；第四层 全方位行为异常检测；第五层 UEBA。

然而，目前市场上的解决方案供应商，通常会专注在其中一层或几层中的某些技术手段为核心，为业务方提供产品，解决特定领域的问题。而业务方也应当根据业务发展阶段、所面临的主要风险、自身技术能力等多种因素，有选择的逐步将自身的反欺诈能力从单一层级扩展成为多层级能力。

1.作为手机厂商以及移动支付运营商应提升移动支付安全

具体包括加强手机应用市场的监督和管理;加强对手机应用的权限的管理;开发更加先进的身份识别技术;将指纹识别应用到移动支付等多种场合；使用加密技术对手机文件进行加密。

总而言之，移动支付风险的防范不仅要在移动支付产业链上着重发力，完成相关技术及时升级和规范制度的建立健全，作为移动支付过程参与者的用户也要不断提高自我防范意识，这样才能形成一个封闭有效的安全支付体系

不过，随着移动支付技术不断升级，一些新的创新技术的应用，移动支付环境也会更加安全。再者，近日几年央行发布数字货币，已经开始在苏州等地进行试点封闭测试。这样一来，移动支付方式或将在未来被替代，迎接而来的是数字人民币时代。

四、参考文献

[1]曹国岭，陈晓华，互联网金融风险控制[J]，2016.10

[2]王德培，中国经济2020[J]，2020.01

[3]支付宝AUX团队，支付宝体验设计精髓[J],2016.10

[4]Lotus.保证移动支付安全性的几个有效方法.https://digi.tech.qq.com/a/20150308/004551.htm

[5]失效分析. 网络支付和移动支付安全与风险防范. https://zhuanlan.zhihu.com/p/81410409

[6]花脸Facepay.换手机不解绑银行卡随意扫二维码移动支付，这些习惯要改. https://zhuanlan.zhihu.com/p/129645550

[7]Maxent猛犸反欺诈. 移动金融业务风控框架及设备风险识别的意义. https://zhuanlan.zhihu.com/p/31709671

[8]Kaikai. 移动支付安全的回顾以及未来. https://zhuanlan.zhihu.com/p/51972749

[9]中国人民银行.支付机构互联网支付业务管理办法（征求意见稿）,2012.1