基于用戶體驗的移動支付風險問題研究

劉慧娟?劉曉敏?武雪梅?梁春晶

摘 要：電子商務和移動支付給人們的生活帶來很多便利，但是頻發(fā)的移動支付風險問題讓很多對移動支付技術使用不熟練的人望而卻步。研究基于用戶體驗的移動支付存在的風險問題，找出問題的成因，并提出相應的解決對策，為提高用戶使用移動支付的安全性體驗和促進電子商務健康發(fā)展獻計獻策。

關鍵詞：用戶體驗；移動支付；風險

移動支付是指運用手機、掌上電腦以及其他手持數(shù)字設備等移動終端設備，通過無限通信技術方式完成貨幣資金轉移的活動。移動支付終端使用最廣泛的是手機，本文所探討的移動支付風險主要以手機支付為例。移動支付全球使用率不斷上升，根據(jù)Kantar TNS公司最新調查結果顯示，我國榮居榜首。2016年，我國手機網(wǎng)上支付的用戶規(guī)模達4.69億人，相比于2015年的全年增長率達到了31%。用戶在選擇移動支付時會考慮支付方式的安全性、便捷性、易用性等，根據(jù)中國網(wǎng)財經2016年9月8日報導提供的數(shù)據(jù)顯示，安全性仍然是用戶選擇移動支付方式最看重的因素，占比達73.4%。

一、用戶使用移動支付的風險

1.移動設備的管理風險

移動支付用戶需在手機中綁定銀行卡、存儲購物記錄和支付平臺用戶名、密碼等信息，一旦手機被盜搶或不慎遺失，很可能造成惡意轉賬、泄露隱私信息等風險。用戶在使用移動支付APP客戶端時，圖方便實時處于登錄狀態(tài)，他人若拿到該手機可直接進入支付平臺進行操作。有些用戶不設置開屏密碼，致使手機又缺少一道安全防護。多數(shù)用戶在處置舊手機時風險意識不強，只將手機卡拔出，內存沒有徹底拆除，即使已經刷機，也有人用軟件惡意恢復手機信息，導致用戶隱私泄露。很多手機用戶沒有定期給手機殺毒和清理垃圾的習慣，讓病毒有機可乘。

2.交易過程管理風險

我國移動支付的簡易流程如下圖所示。移動支付的用戶購買手機等移動支付設備終端后，到銀行申請辦理銀行卡并綁定到移動設備終端，下載由軟件開發(fā)商開發(fā)的支付客戶端APP，在移動通信運營商提供的無線網(wǎng)絡環(huán)境下，運用第三方支付平臺就可以完成向合作商戶付款業(yè)務，也可以通過移動支付進行轉賬。該移動支付流程看起來非常完整并且相對封閉，但是在該交易管理過程的多個環(huán)節(jié)都存在風險。

（1）綁定銀行卡的風險

選擇信用卡賬號支付時，只需輸入卡號和預留銀行的手機號碼，并輸入手機中接收的驗證碼就能完成支付。第二次應用時點擊使用上次的賬號，不需再輸入賬號。如果手機和銀行卡同時丟失，拾到者通過輸入銀行卡號和手機驗證碼而進行惡意付款。第三方付款平臺提供小額快捷付款服務，用戶只需輸入銀行卡號，不用輸入密碼，就可付款。如果違法者獲得用戶支付平臺用戶名和密碼、銀行卡號和其他個人信息，就可以盜取銀行卡內存款。

（2）下載APP客戶端的風險

由于用戶所使用的手機多種多樣，不同品牌的手機應用系統(tǒng)不同，對下載APP客戶端安全性的識別能力也不同。手機用戶的文化程度和信息技術水平參差不齊，不能準確辨別網(wǎng)站的真假，容易誤入釣魚網(wǎng)站，點擊帶病毒的鏈接，導致手機被安裝木馬，有關移動支付信息和其他個人隱私被盜。犯罪分子通過短信或電子郵件發(fā)送虛假信息，誘使用戶進入虛假網(wǎng)站，然后用戶輸入的賬號和密碼由偽造的后臺數(shù)據(jù)庫記錄，從而在短時間內給用戶造成很大損失。

（3）Wifi接入的風險

絕大多數(shù)用戶都會在有免費網(wǎng)絡選用的情況下，為節(jié)約費用而關閉手機流量。智能手機會自動搜索免費wifi接入點，然后自動申請接入，第一次輸入密碼成功接入后，第二次無需再輸入密碼即可接入。商家為給顧客提供連網(wǎng)便利，在餐飲、旅游、商場等公共場所都提供免費wifi熱點。違法入侵者經常設置具有釣魚性質的wifi熱點，設置這種接入點的成本很低，只需一臺電腦和一個路由器，幾分鐘就可設置完畢，用戶只要接入該熱點，輸入的用戶名和密碼就統(tǒng)統(tǒng)顯示在該非法站點的電腦上。

（4）支付平臺的運營管理風險

第三方支付平臺為提高移動支付效率，提供快捷支付服務。以支付寶為例，用戶可以用綁定的銀行卡完成快捷支付，即，如果支付寶賬戶的余額不足，用快捷支付直接輸入支付寶賬戶的支付密碼，就從綁定的銀行卡付款到支付寶。手機支付寶為用戶提供小額免密支付服務，免密支付金額上限可以設置為200至2000元不等。筆者的體驗是下載支付寶APP后，200元小額免密支付功能自動開啟。支付平臺的運營管理應兼顧效率與安全，二者不可得兼時，應該優(yōu)先考慮支付安全。

3.宏觀監(jiān)督管理的不足

我國當前支付結算信用體系不健全，還沒有建立系統(tǒng)的網(wǎng)上支付規(guī)則，相配套的法律法規(guī)較為滯后。用戶交易中暫時存放在第三方支付平臺的沉淀資金游離于銀行的監(jiān)管之外，該資金安全隱患或者支付風險問題備受關注，因為該資金容易成為犯罪分子進行非法活動的工具。用戶在進行移動支付時，一旦感染病毒，或者重要信息被盜取等，導致銀行卡中的存款丟失，銀行和支付平臺互相推諉，沒有機構對此負責。

二、移動支付風險的根源

1.移動終端自身的風險

大多數(shù)手機的管理系統(tǒng)不是封閉式的，容易遭受不法分子的惡意攻擊。相比于臺式計算機，移動終端的體積小，質量輕，但是計算能力相對較弱，缺乏硬件擴展性，限制了U盾和數(shù)字證書的使用，也限制使用高強度、非對稱的加密算法。移動終端的軟件功能簡化，導致手機瀏覽器無法向電腦瀏覽器那樣支持密碼控制。移動終端的網(wǎng)速要比電腦網(wǎng)絡低，限制了一些防護軟件的使用。

2.網(wǎng)絡通信環(huán)境潛在的威脅

當前網(wǎng)絡支付的通信環(huán)境面臨多種威脅，安全支付技術和標準需要迎接挑戰(zhàn)。不法分子設置釣魚網(wǎng)站、偽基站和虛假二維碼等攔截用戶信息；條碼、聲波、指紋、虹膜等識別技術被嘗試應用于移動支付，但尚無統(tǒng)一的技術標準和檢測認證標準；支付指令載體可能被嵌入木馬、病毒等非法內容，導致在客戶身份識別、訪問控制、數(shù)據(jù)保密性、抗抵賴性等方面存在一定的安全隱患。

3.相關機構的監(jiān)督管理過于粗放

（1）支付機構的微觀管理

效率與安全有時是矛盾的，支付平臺希望為用戶提供快捷的支付體驗，因此讓用戶綁定銀行卡，開通快捷支付服務，用戶無需輸入驗證碼進行雙向驗證，只需輸入支付密碼即可完成支付，可見支付平臺運營是以提高支付效率為目標的。

（2）國家機關的宏觀管理

境內非銀行支付機構無證開展支付結算業(yè)務現(xiàn)象突出，這些游走在監(jiān)管之外的無牌“二清”機構亂象叢生，不僅對接入的商戶沒有嚴格的準入門檻要求，而且清算過程存在發(fā)生卷款逃跑的風險。當前支付機構將客戶備付金以自身名義在多家銀行開立賬戶分散存放，不僅不利于有關部門的監(jiān)測，也存在被支付機構挪用的風險。國家相關部門對移動支付機構的管理不夠細化，相關法律法規(guī)滯后并且過于籠統(tǒng)。

三、應對移動支付風險的對策

1.用戶層面

用戶購買手機時要選擇正規(guī)廠家生產和合法渠道銷售的產品，這類產品硬件配置的安全技術相對較高。使用手機時盡量設置開屏幕密碼，多一道防護屏障。手機上網(wǎng)購物時，在不同網(wǎng)站設置的支付密碼不要相同，不要選擇“記住密碼”選項。交易中不要向對方透漏涉及身份、銀行卡、用戶名和密碼等重要信息。凡是通知中獎、公檢法要求匯款、謊稱賬號出錯要求重新輸入密碼等電話一律掛斷，收到短信帶有不熟悉的鏈接，不要打開。平時出行，手機、銀行卡和身份證不要放一起，降低同時遺失并被惡意利用的風險。用手機綁定的銀行卡數(shù)量不要太多，銀行卡內的余額不要太高，要開通該銀行卡短信服務功能，出入賬時會收到短信提醒，以便及時發(fā)現(xiàn)問題。要下載殺毒軟件，定期對手機進行安全性檢查。下載移動支付客戶端APP時，要從官方網(wǎng)站進入。進入支付平臺完成交易后要安全退出。對于不熟悉的wifi熱點不要隨便接入，無密碼wifi熱點堅決不要接入。在進行網(wǎng)絡購物付款或者日常生活轉賬時，使用移動數(shù)據(jù)流量更安全。家庭用wifi熱點要經常更換密碼，清理蹭網(wǎng)者，以防家庭成員重要信息和交易記錄被非法利用。

2.交易平臺層面

隨著互聯(lián)網(wǎng)技術和生物技術的發(fā)展，一些生物特征識別技術如指紋，掌紋，聲音，虹膜等具有獨特的不可復制和永不丟失的特性，可用于移動支付。僅采用密碼認證的安全措施過于單一，應將多種認證支付方式組合運用。手機支付對關鍵交易信息采用數(shù)字簽名技術、數(shù)字摘要技術等保證交易記錄的不可抵賴性和完整性；采用業(yè)務密鑰、PSAM卡密鑰、加密機主密鑰和POS服務系統(tǒng)密鑰來保證系統(tǒng)信息私密性；通過USBKey的雙鑰加密認證，控制成員對系統(tǒng)資源的訪問。支付平臺應該健全用戶信用評價體系與用戶交易記錄保存機制，提升支付雙方信任度，規(guī)避洗錢套現(xiàn)風險。注重提高員工自身風險意識培訓，建立風險預警機制和誠信自律的企業(yè)文化。支付平臺應該實時提醒用戶注意網(wǎng)絡環(huán)境安全，當用戶開通小額免密支付時，提示用戶閱讀使用須知和安全提醒。

3.法律監(jiān)管層面

進一步規(guī)范移動支付法律關系涉及到的各方主體的權利和義務，相關法律應明確界定移動支付各方當事人之間的法律關系，強化交易平臺的管理責任。加強第三方支付機構沉淀資金的管理，落實反洗錢的管控工作。有關主管機構應當對滯留在交易平臺上的消費者交易資金進行確權，明確其所有權屬于用戶，要求實行銀行專戶存放。2010年，非金融機構支付服務管理辦法出臺，第三方支付機構正式被納入監(jiān)管范圍。從2015年開始，管理層監(jiān)管力度逐漸加強，非銀支付機構網(wǎng)絡支付業(yè)務管理辦法、二維碼支付業(yè)務規(guī)范征求意見稿等政策相繼出臺。按照年累計移動支付金額的大小對賬戶進行分類管理，隨著支付金額的提高身份驗證的程序也越復雜，以降低移動支付的風險。

四、結束語

當前我國移動支付的發(fā)展勢頭迅猛，移動支付的便利性不斷提升，客戶對移動支付的使用度、信任度、接受度也不斷增強，移動支付在我國的應用前景廣闊。可以預見移動支付將繼續(xù)保持高速發(fā)展態(tài)勢，在投資理財、消費生活等領域發(fā)揮重大作用。同時，隨著農業(yè)電子商務這片藍海的開發(fā)，農村移動支付業(yè)務將繼續(xù)得到推廣和應用。

參考文獻：

[1]朱筱筱.移動支付安全風險及對策淺析[J].網(wǎng)上金融，2015（12）：39-40.

[2]楊晨，楊建軍.移動支付安全保障技術體系研究[J].信息技術與標準化，2010，（7）：17-20.

[3]Tiago Oliveira， Manoj Thomas， Goncalo Baptista，F(xiàn)ilipe Campos. Mobile payment： Understanding the determinants of customer adoption and intention to recommend the technology[J]. Computers in Human Behavior，2016，61：404-414.

作者簡介：劉慧娟（1977- ），佳木斯大學商學院講師，碩士，研究方向：電子商務；通訊作者：劉曉敏（1980- ），佳木斯大學信息電子技術學院講師，碩士，研究方向：圖像處理、模式識別