寻求效率与安全的平衡：浅谈中国网络支付市场的发展

一、推动中国网络支付发展的主要因素

除了不属于金融专家研究的技术创新因素外，推动中国网络支付发展的主要因素有4个：

（一）法规制度建设。

网络支付的进一步发展需要逐步完善网络支付的监管法规，明确相关法律关系。尽管网络支付已经实施了专营牌照管制，但网络支付整个产业乃至具体的网络支付行为仍然处于多部门监管的状态。在网络支付高速发展的背景下，多个监管部门都可能从自身职能出发，通过建章立制进一步规范网络支付的发展。2012年9月底，中国人民银行公布了《支付机构预付卡业务管理办法》，这是2010年《非金融机构支付服务管理办法》及其实施细则出台后，央行发布的首个单项管理办法。

中国人民银行《“十二五”立法规划》中列明的与网络支付关联度较高的法规制度有4项：《银行卡条例》、《非金融机构支付服务管理条例》、《支付机构客户备付金存管暂行办法》、《银行卡收单业务管理办法》；[此外《支付机构互联网支付业务管理办法》、《电子支付指引（第2号）》等制度也已经多次起草、讨论。]商务部也已经向全国人大财经委提出电子商务立法计划，以规范网络交易；工信部在差不多两年前就表示要加快互联网管理、网络信息安全、手机实名制的立法规划。尽管这些法律法规不可能在短期内集中出台，但在法规制定过程中很多具体要求很可能先以规范性文件的方式印发施行。

（二）网络支付产品与服务创新。

一方面创新是网络支付行业与生俱来的基因。另一方面在十八大报告实施创新驱动发展战略的背景下，继续鼓励和引导网络支付服务创新已成为必然。“十二五”期间，互联网支付企业创新的重点是适应移动支付、金融IC卡推广应用等新的支付业务发展趋势。

从中国支付网发布的“2012中国支付行业十大关键词”—“移动支付标准”、“手机刷卡器”、“刷卡手续费下调”、“TSM平台”、“WTO电子支付案中国败诉”、“后牌照时代”、“PBOC3.0”、“银付竞合”、“O2O”（线上到线下）、“积分支付”来看，产品与服务创新将成为未来网络支付行业的发展主线。对于网络支付企业而言，如何在PBOC2.0标准金融IC卡推广、手机支付、“O2O”等业务领域领先一步将成为提升自身竞争力的重要手段。

（三）互联网支付的产业链竞合

从支付行业诞生以来，“银付竞合”就没有停止过讨论，第三方支付企业由于直接面向中小企业和个人用户提供服务，在金融服务创新和服务体验方面比银行更具优势，为银行电子化支付带来了极大挑战，对银行的电子化服务提出了更高的标准，成为银行转型过程中不可忽视的问题。

在银行日益重视电商金融平台建设的情况下，银行与支付企业之间的竞争似乎正在加强。从监管或者宏观角度来看，围绕支付活动安全与效率的两个核心，最理想的状态是看到围绕效率的竞争与围绕安全的合作同时并存。

欧央行2012年4月发布的《互联网支付安全建议》指出，“互联网支付的安全取决于参与者的相应行为。”在网络支付安全领域，各参与者之间的相应行为彼此影响、彼此渗透，决定着网络支付安全的整体水平。

（四）网络支付安全的继续强化。

1、随着网络的日益普及，网上银行以及电子商务的广泛应用，网络支付安全日益受到重视，强化网络支付安全的步伐不会停滞（外部压力长期存在）。

2、金融消费者权益保护与消费者教育工作的加强（外部环境持续改善）。

3、支付的核心要素中，安全是生命线，效率是成长线。网络支付安全是互联网支付企业规范发展、参与竞争的内在需要。（内在需求驱动）

二、未来中国网络支付安全的关注点

未来中国网络支付安全的关注点除了要借鉴欧洲中央银行《互联网支付安全建议》中提到的四个原则，三大类的十四项建议外，结合中国实际来看，未来中国网络支付安全的关注点还需要包括：

（一）从互联网支付企业的角度看，近期在继续保持平稳发展的同时，网络支付安全的着眼点主要是从基础设施、业务管理、资本—风险覆盖、产业链安全合作等方面着手，强化第三方支付机构的系统安全运行和业务风险控制能力，确保网络支付的安全、稳步运行。

（二）从网络支付安全的外部环境角度来看，着眼点是加大打击网络犯罪力度，增强跨境网络犯罪的国际合作防控力度。

1、打击网络犯罪的主要目标除了避免直接或间接的损失外，更重要的是维护支付系统的公信度、避免低效率支付工具的“复兴”以及维护金融稳定。

2、打击网络犯罪需要建立的主要工作机制是预防、侦测和反馈。

3、打击网络犯罪的国际合作机制建立也十分重要。2013年荷兰海牙将成立欧洲网络犯罪执法中心（来自欧央行的信息）。

（三）从信息安全的角度，关注网络支付的数据信息安全。

随着信息技术的发展，筛选分析、统计利用支付信息的需求和能力将越走越近。支付交易产生或沉淀的数据信息分析将成为网络支付领域的下一个“金矿”。支付交易信息分析必须严格遵循数据信息安全的基本规则，切实保护客户信息。

（四）前瞻性角度，关注网络支付安全对网络支付国际竞争力的影响。

1、网络跨境支付发展到一定程度的情况下，网络支付的游戏规则以及安全要求将发生怎样的变化？

2012年10月8日，美国众议院情报委员会发布关于“华为、中兴等中国IT企业可能威胁美国国家通信安全”的报告。尽管目前看起来我们的网络支付行业是具有国际竞争力的，但随着网络支付跨境业务的发展，互联网支付企业是否也会遇到类似的问题？如何避免可能出现的类似问题？都将关系到网络支付行业的国际竞争力。

2、与国际互联网、银行卡支付机构或组织的安全合作问题。

2011年9月，美国贸易代表署向世界贸易组织(WTO)正式投诉中国银联垄断，历时五个月的磋商最终失败，2012年7月16日，WTO专家组裁定中国银联在中国垄断了人民币支付卡的发行和清算，银联最终放弃了上诉，这意味着银联接受了裁决。这个案子不仅关系银联，也事关国内整个第三方支付企业。从安全角度来看，无论VISA、MASTER、PAYPAL进入中国市场后将如何微观运作，监管部门的底限都应当是不影响金融安全。

（五）兼顾网络支付安全与效率的关系

1、效率与安全的平衡至关重要

（1）过于关注安全会大幅度降低企业的经营效率，给消费者带来不便；（2）忽略了安全同样会给商户、用户以及支付企业自身带来损失；（3）亚洲地区人口稠密、信用体系不健全，安全投入相应较多，风险控制技术创新也比较领先；（4）适当的允许一定的风险水平，有助于激励企业向风险纵深处探索，研发更加有效的新型安全技术

2、互联网和金融双重特征下的“混合型”安全与效率目标

（1）金融特征是指，这些公司有自己的虚拟账户，可以沉淀和流转资金，管理要求很高，容错率很低。100%风险备付，没有杠杆。

（2）互联网特征是指，所处的产业以及所提供的服务都是在互联网上进行，必须符合互联网的产业特点。例如，规模要求、分工协同要求、市场响应要求等等。

（六）平衡安全与效率的主要策略

1、风险控制不能以牺牲效率和客户体验为前提

电子商务是一条很长的产业链，主体包括“商户、支付企业、银行、客户”，实际上还包括了大量的“网络营销企业、数据分析企业、互联网技术企业、即时通讯企业、物流”等等服务商很长的链条。消费者从浏览网页开始，挑选、下单、支付、物流、收货……整个产业链必须完美配合，分工协作，才能达成销售。各方也才能分享利润。这是十分困难的。任何一个环节出了问题都可能导致销售失败，造成各方大量损失。

单笔交易收入*用户关注度*下单率*支付成功率

电子商务产业链成本收入比=商户及支付机构经营成本+用户交易成本+风险损失

在该公式中我们会发现，“用户交易成本”是一个非常关键的变量。传统金融机构的做法是，通过增加用户的交易成本（用户必须开设、携带、并使用复杂的安全工具反复确认身份，不法分子成功机会也会大大降低）成功的减少了风险损失。不过糟糕的是，增加用户的交易成本的同时会大幅度降低支付成功率，也就是说会绝对性的大幅降低整个产业链上的收入。

换句话说，如果我们牺牲效率换来了安全，整个产业链不仅没有任何收入还要赔上各类经营成本。产业链上的企业很快会在竞争中被淘汰。

2、通过技术创新解决安全问题使整个产业链受益

实际上，在上述公式中，用户交易成本和风险损失并不是单纯的负相关关系。通过安全技术创新可以在不提高用户交易成本的情况下降低风险损失。

例如，大数据技术创新可能通过我们意想不到的数据指标验证人的身份；快捷支付方式创新缩短了网络支付的验证步骤流程减少了木马钓鱼的风险；而搜索技术和智能监控系统的创新能够让我们更快速的发现风险并即时处理。

实际上，通过安全技术创新还可以降低门槛，让更多处于城市边缘的农民工和边远山区的消费者在网上放心购物。例如肯尼亚的手机支付。人们可以在村里公共电脑上搜索饲料、种子等商品下单，然后用自己的手机完成付款。

3、安全合作亟待加强

现在很多客户信息和安全技术分散在产业链的不同环节中，应该鼓励客户信息较多和安全技术水平较高的企业以市场化的方式输出安全管理能力，加强产业链合作。

中央政府应该鼓励产业链的合作，大力鼓励安全技术创新，鼓励银行和支付机构通力合作，使用新技术，帮助更多城市弱势群体、农村地区和边远山区消费者享受到便捷安全的支付服务。

（七）未来网络支付安全技术发展趋势

1、智能实时防控系统

由机器完成的通过相应规则对交易进行实时筛查监控系统。具体来说，就是网络支付机构能够通过数据分析、数据挖掘等技术进行案件学习并与一般用户正常行为特征进行比对，建立一整套的规则体系来捕捉异常的或者有风险操作的账户。一旦发现异常的或有风险的操作行为，则根据风险级别不同进行不同的处理。该系统初步筛查出初步结果，再配合人工核查。最终锁定风险交易，控制风险账户。

以智能防控系统为核心的实时监控技术能够将网络支付机构风险事件的响应速度从事后提前到事中，从而大大提高对网络欺诈、盗窃、作弊、洗钱、套现等风险的防控效率。

2、大数据在安全方面的应用

最近在硅谷流行的一种名为“数字化自我（quantified self）”的项目可能会打破传统身份验证的模式。互联网技术提供了这样一种可能性，通过手机或个人电脑将个人（或企业）的大量行为状态记录并存储到云端下来（而不仅仅是交易行为），并通过对人的行为的连续性进行综合分析来识别身份，而不仅仅是通过密码或密钥等安全工具。

例如，google的GoogleNow服务推出步行和行车里程记录功能。这个计步器功能可通过Android设备传感器统计用户每月行驶的里程，包括步行和骑自行车路程。

这个功能无需设置，所有信息都是在后台记录。而且这只是一个统计信息，目前还没发现有任何用处。你每次打开Google Now，都会看到本月你走了多少里、骑了多少里，上个月的里程则会用灰色长度条显示。有了这个功能，你或许可以根据每月的里程数看看是不是需要锻炼锻炼了。

不过，计步器只是Google Now的一个小功能，随着你的信息越来越多的被Google Now了解到，信息之间的协同效应可能会越加明显。未来，网络支付公司显然可以借助这些新型互联网技术确认客户身份。

2009年出现了一种新的流感病毒。这种甲型H1N1流感结合了导致禽流感和猪流感的病毒特点，在短短几周之内迅速传播开来。全球的公共卫生机构都担心一场知名的流行病即将来袭。

在甲型H1N1流感爆发前的几周前，互联网巨头谷歌公司的工程师们在《自然》杂志上发表了一篇引人注目的论文。它令公共卫生官员们和计算机科学家们感到震惊。文中解释了谷歌为什么能够预测冬季流感的传播：不仅是全美范围的传播，而且可以具体到特定的地区和州。谷歌通过观察人们在网上的搜索记录来完成这个预测，而这种方法以前一直是被忽略的。谷歌保存了多年来所有的搜索记录，而且每天都会受到来自全球超过30亿条的搜索指令，如此庞大的数据资源足以支撑和帮助它完成这项工作。

发现能够通过人们在网上检索的词条分辨出其是否感染了流感后，谷歌公司把5000万条美国人最频繁检索的词条进行了比较。他们设定的这个系统唯一关注的是特定检索词条的频繁使用与流感在时间和空间上的传播之间的联系。谷歌公司为了测试这些检索词条，总共处理了4.5亿个数字模型。在将得到的预测与2007年、2008年美国疾控中心记录的实际流感病例进行比对后，谷歌公司发现，他们的软件发现了45条检索词条的组合，一旦将他们用于一个数学模型，他们的预测与官方数据的相关性高达97%。和疾控中心一样，他们也能判断出流感是从哪里传播出来的，而且他们的判断非常及时，不会像疾控中心一样要在流感爆发一两周后才可以做到。

所以，2009年甲型H1N1流感爆发的时候，与习惯性滞后的官方数据相比，谷歌成为了一个更有效、更及时的指标。

3、看法

大数据对支付安全形成了两个新的支撑点：其一，我们有可能更了解我们的客户，由于关注一些细节，我们甚至可能比客户本身更了解他们自己，从而大幅度提高犯罪分子的成本，降低其成功率。不过，这么做的前提是我们能够更加开放的与拥有数据的相关机构进行商业合作。

其二，大数据有可能从整体观察群体的支付行为，寻找特定的相关关系，从而更准确的识别、阻止甚至是提前计算风险发生的概率，预防风险事件发生。