浅析移动支付风险及应对策略.doc

浅析移动支付风险及应对策略摘要：所谓移动电子商务(M-commence)，是指通过手机、PDA(个人数字助理)、呼机、笔记本电脑等移动通讯设备与无线上网技术有机结合所进行的电子商务活动。移动支付是这一商务活动中的一个重要环节，它充分体现了灵活、简单、方便的优势，但它同时也具备一定的风险。本文主要从移动支付的流程中分析其主要风险，并提出对策。 关键词：移动支付；风险；分析；策略；应对 一、移动支付 所谓移动支付，也称为手机支付，用户能通过手机完成银行转账、缴费和购物等多种商业活动。目前支付的方式有两种：一种是费用通过手机账单收取，把费用与用户话费一起结算；另一种是费用从用户的银行账户或信用卡账户中扣除，在该方式中，手机只是一个简单的信息通道，将用户的银行账号或信用卡号与其手机号绑定起来。 二、移动支付流程及风险分析 1.消费者选择商品，通过手机下订单。移动运营商将此订单信息从支付管理系统发送到商家商品交易管理系统。 2.商家将消费者订单信息通过移动运营商支付管理系统发送到消费者手机终端进行确认操作，消费者可以选择现场支付或者取消订单。 3.消费者确认支付后，移动运营商支付管理系统记录详细的交易记录，从消费者绑定的银行卡中扣款，并且通知商家提货或提供服务。 4.商家供货或提供服务，消费者确认完成交易。 5.商家与移动运营商进行对账，商家收取货款。 上述流程中，主要的角色有消费者、商家、金融机构和移动运营商。可以看出，移动支付流程的主要优点是操作简易，消费者可以随时随地进行购物，并保护了消费者的隐私，但也不难看出其存在的风险： 第一，移动支付的技术风险。当消费者发出支付指令时，可能发生短信数据包被截取的情形，支付密码被破译后，短信的内容因而无法被保护。攻击者盗用消费者的身份信息后，可以仿冒消费者的身份与他人进行交易，从而获得非法利益，并对合法用户造成了巨大的损失。攻击者还可对数据进行修改，如修改消息次序、时间，注入伪造消息等，使信息失去真实性和完整性，从而干扰消费者的正常使用。再者，攻击者未经许可就使用网络或计算机资源被看作非授权访问，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息等这就产生了技术风险。 第二，移动支付面临一定的法律和政策上的风险。移动支付是通过各方的配合完成交易的，只要任何一方出了问题，这个交易体系就会失效甚至失控，而对于各方的权利义务，目前法律规定还不明确，移动支付作为新兴业务，消费者保护法对手机银行业务的适应性还不完善，存在一定的法律风险。目前，根据国务院国资委的相关规定，央企不能投资非主营业务，中国银监会在金融领域的准入方面也有着严格的限制。移动运营商要进行与金融相关的业务，必须获得相关监管部门的许可，在未得到政策允许前，大规模推广移动支付业务面临较高的政策风险。 第三，移动支付引起的商业银行信誉风险。支持移动支付业务的商业银行，不仅需要提供一个可靠的服务平台，还需要与第三方(移动运营商等)合作，能否持续地提供安全、准确和及时的服务，将影响到银行的信誉。另外，第三方的服务质量也会影响用户对商业银行的评价，如果用户访问其资金或账户信息时遇到了严重的通讯网络故障，将会导致客户对移动支付服务的不信任，这也非常容易引发商业银行的信誉风险。 三、移动支付风险应对措施 1.提高和完善交易系统的安全措施 移动电子商务要在交易过程中确认信息源、对信息加密、确认数据完整性来保证安全，这就要提高交易系统中的数据加密技术、认证技术和安全协议技术等。通过数据加密，可以保证信息的机密性；通过采用数字签名、数字时间戳和数字证书等认证技术来解决信息的完整性和不可否认性的问题，通过安全协议方法，建立安全信息传输通道来保证电子商务交易过程和数据的安全。另外，完善交易系统中的安全措施，如防火墙、侵入窃密检测系统、监视控制系统等；对访问系统的用户进行身份鉴别；装备必要的恢复和后备系统等。以上这些防范措施可以有效降低技术风险。 2.与银行合作，降低政策风险 由于中国银监会在金融领域的准入方面有严格的限制，这就驱使着移动运营商入股银行，规避政策风险。前不久，中国移动入股浦东发展银行，成为其第二大股东。这样中国移动规避了金融领域的准入限制，获得开展移动支付业务所需要的资质，规避开展移动支付业务的政策风险，为移动支付业务打开了发展空间。而且在有了浦东发展银行的金融服务资格后，移动运营商在开展终端部署、服务培训、业务开展上就无须自己摸着石头过河，甚至对于解决网络支付安全等问题上，都可以双方合作，降低网络支付的风险。 3.建立信用体系，完善政策法规体系 移动商务时代是四个身份即姓名、身份证号码、通讯号码、银行卡(信用卡)号码统