谁批准了那些网络支付

　　朱泉峰 刘菁菁

　　计世网 某国内著名B2C、C2C交易网站负责人坦言，“其实国内电子商务网站提供的第三方支付大同小异，后来者都是模仿马云的支付宝做的，在法律上应该说处于一种‘灰色地带’——既不合法，也不违法。”

中天西奥超值小户型 工体３号国际公寓 传海量生活资讯 城市生活新主张

　　“如果支付过程中网站进行了‘结算’业务，那么肯定不合法，也就是属于违法，因为国家规定只有银行才有权‘结算’。” 工商银行孙宗群副处长作如此结论。

　　近日，读者李先生向记者反映，自己的网上银行账户上的1万元钱被盗用。

　　记者在淘宝和ebay论坛也发现了不少买家或卖家账户被盗的情况。“我1号开通的网上银行，在我没在网上买东西之前并没有没被盗，当我买了第一样商品后，第二天我的钱就被划走了。” 一位淘宝网用户发现账户被盗后立即向杭州市公安局网监分局报案。类似的还有丢失了7000元的薛先生。

　　以上的几起网络窃案，作案者都是通过B2C网站提供的第三方支付平台将盗取的钱款通过合法途径转入自己的账户，达到套取赃款的目的。

　　“e扒手”年代到了

　　李先生说，在2005年9月28日

　　之后李先生向郑州市公安局网监处报案，郑州市公安局网监处立刻立案侦察。

　　李先生告诉记者，因为网络银行盗取的钱没法转走，更不能提现，所以只能消费。据悉，盗窃李先生账户的诈骗者分两天盗取了共1万元人民币，每天消费5千块钱，将钱转到自己的账户。诈骗者首先在腾讯官方网站购买了4000元的Q币，招商银行查到了购买Q币的订单号，是6位QQ号码。但是腾讯的答复是，6位的订单，订单号码太短，没法查询。导致线索无法继续追查下去。

　　李先生生气地告诉记者，即使无法追查，腾讯也可以立即取消这笔 Q币订单，避免他的损失。剩下的6000元人民币，诈骗者在淘宝网站进行了消费。公安机关通过淘宝网查询了交易买家、卖家的淘宝账号，并查到诈骗者登陆的IP地址。公安机关传讯了买家、卖家的账户主人，证实与本案无关。后来淘宝网证实，买、卖家的账户都是诈骗者通过盗用获得，买家、卖家的登陆地址一样。

　　这是一种新的网络盗窃行为。

　　李先生说，“买卖家在同一时间，同一IP登陆。淘宝网应该在更短的时间内对此行为作出判断”。公安机关对诈骗者的登陆IP进行了查询，证明是是广西南宁的一个网吧，南宁警方对此进行了追查，但是由于网吧没有登记记录，因此没有办法进行继续的核查。

　　“支付宝是我们认为网上购物最安全的支付方式，既简单又方便。至于合不合法的问题，一般都很难定性，这是国内通用的第三方支付方式，应该不是违法的。”淘宝网的一位人士通过手机给记者作了简短回答。由于该人士在上海出差，此后也没有受到阿里巴巴方面的正式答复。

　　到此，所有的线索全部中断。

　　至记者发稿时，李先生丢失的钱仍旧没有找回。采访结束时，李先生告诉记者，据公安局的工作人员告诉他，淘宝网还好点，有记录查。许多类似公司的网站连记录都没有。而且最近有很多这样的事情，“去公安局的时候，都碰到几个和我一样命苦的人。眼看着人家花自己的钱，却没办法。”

　　黑手从哪里伸出来？

　　一位姓薛的淘宝用户告诉记者，2006年1月8日下午要给家里打钱7000，发现账户里的7000多元被盗走了，从工行打印出来的个人进出账明细表看，收款人的姓名是“东莞、杨加远”。另外一个收款公司是“金华市婺城区盟众网络服务部”。

　　无独有偶，另一位受害的淘宝网用户也是被“金华鍪城网络服务公司”划去了现金，这位不愿透露姓名的先生告诉记者，05年12月中旬他在网上银行查余额时发现钱没了。在明细查询里还有记录这笔钱是被“金华鍪城网络服务公司”划走的。

　　这位先生告诉记者，“我1号开通的网上银行，在我没在网上买东西之前并没有没被盗，当我买了第一样商品后，第二天我的钱就被划走了。” 一位淘宝网用户发现账户被盗后立即向杭州市公安局网监分局报案，但是至今也没有得到答复。

　　记者立即通过搜索引擎查找“金华鍪城网络服务公司”，发现近期的多起工商银行网上银行被盗事件都与此公司有关，经查询，这些均被转到5173.com中国网络游戏服务网(原金华市婺城区盟众网络服务部)的账户上。而这些网友与5173.com中国网络游戏服务网没有任何交易关系，甚至没有上过5173.com中国网络游戏服务网站。

　　这些钱是怎么跑到5173.com中国网络游戏服务网站账户上的呢？

　　据悉，在第一起利用金华鍪城网络服务公司交易平台诈骗的案件发生之后，该公司即核对了事情的整个过程，发现被盗用账户的几位用户都在未联系金华市婺城区盟众网络服务部(5173网站)的前提下被他人转账到5173 的B2C账户上，在所绑定的清单上写了汇款人的QQ号码，并且将钱汇到后联系客服的QQ进行交易或者退款。也就是说，这只网络黑手在获取他人的账户和密码后，通过网上银行汇款到金华鍪城网络服务公司账户，然后和5173客服联系退款到盗卡人账户。因为清单是汇款人填写的，在无人通知异常情况下，5173网站默认清单上的买家为汇款人。钱就这样通过网络支付平台被转移出来了。

　　这只套取赃款的黑手到底从哪里伸出来呢？毫无疑问，支付平台被盗窃者利用了。

　　第三方支付提供盗窃机会

　　第三方支付平台已经越来越多的被诈骗者利用，成为其套取网上银行存款的工具。

　　第三方支付平台的低门槛也使得诈骗者利用其套取赃款时，更加便利、更加低风险。记者登陆了腾讯公司的Q币购买系统，购买者只要输入支付卡的密码与卡号，就可以轻易完成交易。而许多网民对自己网上银行的账号及密码并没有设置保护，因此很容易被盗取密码进行网上支付。而诸如淘宝网等等其他C2C或B2C网站的支付平台，也并未对支付者进行更多的身份验证限制。但是值得注意的是，诈骗者多是通过支付卡等方式进行支付，而各网上银行的专业版支付方式，因为需要用户提供银行电子证书，因此很难被盗用。因此，第三方平台为窃贼提供了便利。

　　其实各种网络银行的安全技术都是比较安全可靠的，从网络银行方面很难下手。大多数的情况下，窃贼的得手都是从受害者本人下手，受害者才是整个环节的最弱一环。诈骗者可能采用多种方法获得受害者的卡号和密码，现在的黑客技术，几乎已经大众化，黑客软件、程序几乎随处可见。

　　诈骗者往往会使用木马截获受害者的个人信息，使用记录器将键盘、鼠标的使用情况记录下来并发送走，木马主人可以从中分析而获取密码；或搜索硬盘中含有诸如“password” 、“密码”、“口令”等字样的各类文件，发现就发给主人；而计算机的浏览器等记录了大量的信息，自动登录、自动填充、Cookies、缓存等，无处不含有保密的信息，很容易就可以检出；有很多被植入流光、冰河、NetSpy、Glacier等木马的机器成为窃贼们的“盘中餐”。

　　窃贼还会通过共享、漏洞入侵、端口法扫描、网页恶意代码、欺骗受害者登陆近似网站、等方法窃取受害者资料。如获取网银口令、取得系统口令进入受害者的计算机、偷取特权可以非法获得对用户机器的完全控制权等。

　　而随着网络技术的发展，原来破坏、毁灭等炫耀技术转变为趋利为主的犯罪行为，正在成为目前计算机病毒的发展趋势之一。 在不久前举行的第八届国际反病毒大会上，公安部公共信息网络安全监察局副处长许剑卓指出，

　　5年前，中国大部分黑客做攻击只是出于乐趣，今天很多人进行黑客攻击的目的是为了非法获益。他们分别通过盗窃银行账户、偷窃文件和网上电话等方式获利，无线上网和固定接线上网的数量同时上升。

　　网上支付风险由谁承担？

　　由于腾讯的Q币作为一种虚拟网络货币可以控制，只要公安机关查证交易属于盗窃他人账号购买，腾讯公司作为交易平台和虚拟货币的监控者应该归还受害者李先生损失的4000元。所以从这方面分析，李先生经过合法的手续即可追回一部分损失，腾讯公司也已经答应处理此事：取消偷盗者使用QQ的虚拟Q币，退还李先生4000元现金。

　　但是，经过在淘宝网上真实货物的交易，李先生被失窃的6000元已经被盗贼“套现”，而且淘宝网、买家和卖家都不愿承担责任，在公安机关未破案之前李先生看来只能独吞苦果，因为“钱被偷了，首先是你自己没保管好。”

　　“其实也有办法挽回损失！如果一个美国公民发现自己的账户被盗，钱款通过电子银行被他人窃取，那么报案后银行和信用卡公司将赔偿受害者账户损失。目前中国还没有这方面的运营机制，所以唯一的方法就是通过法律途径解决——起诉银行。迫于打官司的社会不良影响，银行按照惯例都是主动和解，赔偿受害人损失。”中国工商银行电子银行中心业务管理处孙宗群副处长告诉记者，这种方法并不鼓励，否则银行方面压力太大。

　　据孙处长解释，西方欧美国家的个人信用机制已经初步建立，银行和信用卡公司会承担全部支付风险；中国目前的社会诚信大环境决定了支付风险只能暂时由用户个人承担，交易的网站、银行、商家都不承担风险。

　　“幸运的是法律会同情弱者，所以在以往的官司中，法官最终判定银行支付用户损失的钱款。各家银行都有一笔储备资金每年用于解决此类纠纷。”孙处长补充说。

　　为了熟悉电子支付的幕后流程，记者采访了中国农业银行电子银行部产品研发处的杨伟荣处长。杨处长也基本赞同通过法律途径挽回损失，并对“网上购物和电子支付将会成为洗钱的温床”这种忧虑表示否定。

　　“洗钱一般是金额较大，而且通过合法途径交易并纳税后获取非法所得。目前单个B2C和C2C交易金额太小，而且没经过纳税，即使有人通过网上购物和电子支付转移非法所得，也会被公安机关轻而易举查获。”杨处长如是说。

　　自1998年起，随着计算机网络技术和电子商务的发展，网上支付、移动支付等创新支付工具和方式不断涌现和发展。中国人民银行公布的统计数字显示，2005年上半年我国网上支付总交易金额超过50万亿元。

　　毋庸置疑，支付工具的不断创新和丰富，增强了不同支付工具之间的替代性，为消费者提供了更多的选择和机会，给人们日常生活购物带来极大便利，对满足多样化的支付服务需求发挥了积极作用，但存在的隐患一直未引起社会足够重视和国家加大监管力度。

　　商务网站的支付“合法”吗？

　　从李先生的失窃经历来看，1万元存款通过腾讯网和淘宝网交易后，部分金额已经无法追回。记者不禁产生疑问：交易网站提供的第三方支付方式是合法的吗？如果违法，网站是否应该承担一定责任？

　　作为网上B2C、C2C交易的“新贵”，拍拍网的财付通和淘宝网的支付宝极为相似，记者随即采访了腾讯公司的相关负责人，询问财付通是否合法。

　　“财付通作为在线支付工具，在B2C、C2C在线交易中，起

　　到了信用中介的作用，同时为CP、SP提供了在线支付通道以及统一的计费平台，解除了个人用户和广大商家的安全顾虑，保证了在线交易的资金和商品安全。”腾讯方面的回答显得含糊其辞，没有直接回答。

　　但腾讯公司表示，随着国家《电子签名法》的颁布和实施，“财付通经营的业务一定会遵循中国现有法律法规的要求，和政府有关部委一起合作，让这个市场更加规范和高效，对于国内其他网站的支付方式合法性，腾讯不予以评论。”

　　“其实国内电子商务网站提供的第三方支付大同小异，后来者都是模仿马云的支付宝做的，在法律上应该说处于一种‘灰色地带’——既不合法，也不违法。用户和商家都认同网站的支付方式，而且在中国个人信用体系不完善，阻碍电子商务市场高速发展的时候，支付宝这种方式确实能较大程度保证交易的安全性，所以政府部门也没有干预。”一位不愿透露姓名的国内著名B2C、C2C交易网站负责人对记者发表了自己的看法。

　　为了验证各家网站提供的支付方式是否“合法”，记者又专访了工商银行孙宗群副处长，他说：“分析合不合法的问题，要分几个步骤。首先是有没有法律规章条文可以参照，其次要分析支付方式的性质。如果支付过程只是一种货币流通的渠道，客户的钱到了网站，再转到商家，那么这种第三方支付方式合法；如果支付过程中网站进行了‘结算’业务，那么肯定不合法，也就是属于违法，因为国家规定只有银行才有权‘结算’。”

　　孙处长表示，目前国内很多电子商务网站提供的第三方支付网站都在违法“结算”，特别是B2C和C2C市场，譬如支付宝。

　　针对目前国内易趣的Paypal、阿里巴巴的支付宝等第三方支付方式，中国社科院金融所2005年底发布了VISA国际组织委托的研究课题《现代电子支付与中国经济》报告。该报告警示此类机构从事资金吸储并形成资金沉淀，如缺乏有效的流动性管理，则可能存在资金安全和支付的风险。

　　社科院金融所认为，第三方机构开立支付结算账户，提供支付结算服务，实际已突破了现有诸多特许经营的限制，它们可能为非法转移资金和套现提供便利，形成潜在的金融风险。

　　目前政府已经相继出台了《电子签名法》、《电子支付指引》、《支付清算组织管理办法征求意见稿》等有关文件，央行支付结算司司长许罗德曾经列出支付体系建设的数条政策考虑，其中第一条就是加强对非银行电子支付机构的管理。

　　如何解决和规避电子支付风险？

　　当谈到目前电子支付的瓶颈时，YeePay的唐彬认为：“有三座大山必须推翻：一个是互联互通的基础设施的建设，现在基本成型了，是非常好的物理基础。第二是明确合理的利益分配价值链的形成，现在正在形成，还在初级阶段，在支付价值链只有银行、银联、第三方支付网关和商家，但现在利益分配还不是很合理。第三就是社会的诚信，现在中国还不是诚信的社会。这三点如果解决的话，那么真正意义上的电子支付、电子商务都会得到质的飞跃。”

　　对于唐彬提到的三个问题，很多从事电子商务的专家都期望于《电子签名法》的建立来为电子支付保驾护航。终于在2005年4月1日，我国首部《电子签名法》正式实施了，10个月过去了，银行是否已经为电子签名做好的准备？商家是否在按照《电子签名法》的规定运作和交易？普通用户是否已经去相关部门申请领取了电子签名？

　　“对《电子签名法》的理解应该是一个整体的框架，类似于一幢办公大楼，如果电灯、暖气、自来水等设施没有配套完成，这座大楼肯定不能办公。所以电子签名也是如此，没有银行、信用认证机构、商家和用户的共同维护，什么问题都不能解决。”工商银行的孙宗群处长解释说，对电子签名的期望为时尚早。

　　农业银行的杨伟荣处长告诉记者，各大银行一直在为电子签名努力研发产品，但是电子签名的互联互通问题、管辖权问题仍然存在，“一旦出现纠纷，应该由交易甲方、乙方还是认证服务机构所在地的法院来裁判？”

　　诚然，现在《电子签名法》能在一定程度上保证电子商务的安全开展，但它距人们可以完全放心的进行电子签名还有一段路要走。因此，易趣、阿里巴巴等一些大型电子商务网站，都对是否将引导用户使用电子签名保持着谨慎的态度。

　　而对于用户，只为了数百元的网上购物消费，也不愿意去相关部门申请领取电子签名。所以，如何防范支付风险是当前人们面临的一个重大问题。

　　“目前国内的银行安全体系是可以信任的，IBM提供了优秀的硬件平台，微软公司定时为我们提供安全补丁和解决方案，网络窃贼一般都是通过从用户端获取账户和密码。因此，养成良好的网上支付习惯，保管好自己的账户和密码才是最关键的。”杨伟荣处长认为，即使几年后电子签名普及了，也会出现因为用户没有妥善保管电子签名而个人经济损失。

　　据农业银行电子银行部的另一位负责人蒋耀良透露，银行正在研发一种“动态密码”，一定程度上帮助用户减少网上支付风险。同时这位负责人也透露，根据农业银行随机收取的一万用户统计情况，其中30%的用户把生日作为密码，还有一部分用户的账户和密码相同，由于网上支付没有密码错误次数的限制，盗贼多测试几次就能找到符合的账户和密码。其实，用户自己平时的偷懒，为今后账户失窃埋下了隐患。

　　选择网上支付还是电话支付？

　　网上支付安全性受到质疑的同时，很多人想到了电话支付，究竟哪个更好呢？

　　农业银行的杨伟荣处长回答说：“中国座机用户加上手机用户是一个很大的群力，加上人们对互联网支付的不信任，电话支付更加容易接受和普及。从安全性考虑，电话支付因为需要本人电话确认，因此比网上支付要安全得多。当然还有其他的支付方式也很好。”

　　确实，在电子商务逐渐发展的过程中，电子支付的模式也不断呈现多样化趋势。不同国家、不同文化、不同市场的电子支付模式都各不相同，照搬照抄的舶来品大都水土不服，没多久就销声匿迹了。

　　中国本土缺乏强大的第三方信用机构或公司，所以国家银行理所当然应该在初期挑起这个担子，为什么长期不见银行或者其他高大的身影？有必要一一分析各种电子支付模式的利弊。

　　支付网关模式是支付产业发展最成熟的一种模式，包括银行和大多数第三方支付公司今天提供的在线支付实际只是银行卡网关支付。仔细分析就会发现，它们提供的价值非常有限，而且门槛低，技术含量少，也缺少创新空间，所以采用此模式的网站只能依靠打价格战求生。第三方支付网关公司要想有大的成功，必须要提高服务质量，安全欺诈防范和服务创新，在银行的支付网关上面创造难以替代的附加值。

　　第二种是移动支付模式，通过手机终端使用户随时随地支付。从目前3G的发展趋势来看，移动支付将是一种很有前景的模式，只是目前应用时机尚未成熟，手机可用性和安全性还是大问题，而且移动支付的商业模式还不清晰，所以在交易模式和SP模式之间的界定不清。

　　“网上拍卖公司内部支付解决方案是一种电子商务领域较好的一种模式，既做提供独立的第三方的支付服务，又解决网上C2C之外的B2B、B2C等问题。 但作为公司内部解决方案有很多的问题，比如公正性。如果我是另外一个电子商务公司可能就有顾虑，不会用它的方案，而选择与独立、公正、专一的第三方公司合作。”YeePay易宝公司CEO唐彬认为，正是因为交易双方都会考虑各自的利益，所以第三方独立的YeePay支付平台的生存空间很大，合作的伙伴也比较多。

　　由于eBay是全球最大的网上交易平台，如果拷贝eBay的支付模式应该是一条捷径。YeePay的唐彬对此表示否认，他说：“PayPal在美国的成功拷贝到国内，有巨大的时空变化，银行体系，商家和消费者习惯也是不一样的。既要找到适合国内模式的解决方案，又要找到杀手级应用，但现在看来这个模式在中国会遇到巨大的困难。”

　　最终YeePay易宝采用了创新的多元化支付模式。通过借鉴国外的成功经验，基于强大平台和各大银行深度合作；借助银行品牌和渠道一起推广创新的服务，从而提供本地化的支付平台，也许说Paypal Plus模式更加准确，因为包括互联网、座机和手机等多种支付。

　　“不管网上支付还是电话支付，或者其大第三方支付，只要用户认为某种支付方式好，那就应该支持。毕竟除了安全，还要考虑是否便捷、服务如何、提供的商家多不多等因素。”

　　链接：

　　电子签名：所谓电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说，电子签名包括用于识别签名人身份并表明签名人认可其中内容的程序或者符号、声音等数据，签名人加密后把签名文件发送给交易对方，交易对方收到的签名文件是一堆“乱码”，需解密后验证。也可以说它就是电子印章。

　　人们对电子签名的两种观点：

　　期待者认为电子签名立法，电子签名将获得与传统手写签名和盖章同等的法律效力，意味着在网上通行有了“身份证”，这部法律将对我国电子商务、电子政务的发展将起到极其重要的促进作用。

　　质疑者认为制约中国网络交易发展的基本瓶颈—信用、法律、结算体系、物流配送等问题实际上并没有得到实质解决，而这个链条中任何一方的缺失都可能影响到“电子签名”的效力。而且目前被认为是难以破解的电子签名密码，可能会在不久的将来很容易被解开……

　　近年，国内C2C、B2C有了长足的发展，网络第三方支付也得到迅猛发展。诸如“支付宝”、“财富宝”、“快钱”等等第三方支付平台已经被网民广泛使用。比如，支付宝网站是由阿里巴巴公司创办的第三方支付平台，目的在于为网络交易用户提供支付服务。支付宝运作的实质是以支付宝为信用中介，在买家确认收到商品前，由支付宝替买卖双方暂时保管货款的一种服务。

　　据公安局网监处介绍，网络第三方支付平台提供盗窃机会原理是这样的，当窃贼通过黑客手段窃取到账号、密码以及相关信息以后，由于没有银行卡实物，卡里的钱还拿不到手。但是通过第三方平台，窃贼往往自己既充当网上交易的买方又充当卖方。作为买方时，窃贼使用窃取的账户上的钱，从卖方(其实就是自己)那里买东西。这样，别人账户上的钱就顺利地套取到自己账户上了。