来源:中国电子银行网
作者:汪晨
2015年7月31日,央行[微博]下发了《非银行支付机构网络支付业务管理办法(征求意见稿)》,这项举措在电子支付行业内掀起了不小的波澜。业内人士普遍认为,该意见主要有两个中心思想:限制经营范围、限制支付额度。
此消息公开后,经过社交网络的传播发酵,有一种担忧在部分支付业务最终消费者中间流传,即正式意见下发后网络支付将被强制限额若干金额之内。8月1日上午即有资深业内观察人士出面辟谣,指出这份征求意见稿中有关单笔支付金额和年累计支付金额的限制规定实为敦促支付机构加强安全性,在满足交易用数字证书或电子签名验证的进行验证的条件后,单笔和年度总支付金额将不受限制,仅由支付机构与用户双方的交易契约决定。
央行于8月1日上午公布的征求意见稿答记者问中证实了这一说法,央行特别指出,相对于单位客户,个人客户对支付账户余额的实际属性和潜在风险的理解程度较低,风险承受能力也较弱,因此相关限制支付金额的条款着重于保障个人客户的资金安全,并通过强化支付机构对客户资金支付安全验证等级与限额相关联的管理要求,引导支付机构在保障客户资金安全和支付便捷性方面兼顾平衡发展。
记者综合业内人士和央行两方的解读,进一步向相关安全技术专家求证“规定支付限额为促进安全保障升级”的说法,得到了肯定的答复。中国金融认证中心安全专家刘通认为,征求意见稿第二十七条到第二十九条,定义了用于支付交易验证的三类要素,规定采用包括数字证书或电子签名在内的两类(含)以上要素进行验证的交易,单日累计限额可由支付机构与客户通过协议自主约定,而不采用证书或数字签名作为验证要素的,则必须设定日累计限额,这说明证书及数字签名具有最高的安全级别。这样的规定可以让支付机构提升安全防护能力,逐步建立银行级别的安全认证体系。此外,第三十条到第三十二条,要求支付机构制定突发事件应急预案,建立灾备系统,并每年开展全面评估,可以促进支付机构提升系统运维水平,保障业务连续性和系统安全性。
关于我国电子支付行业数字证书与数字签名的应用现状,有业内人士指出,电子签名在我国尚未广泛普及,同样移动端数字证书也面临小众化,用户认知度低的境遇。在第三方支付行业,数字证书与数字签名的应用几乎沦为鸡肋。因此有一种看法认为,监管层将通过政策引导第三方支付行业广泛启用数字签名与数字证书技术,提高安保等级,保护消费者权益。
另一位业内专家认为,国家工信部于2015年出台了“电子认证服务管理办法”,结合央行新颁布的征求意见稿推断,该管理办法的适用范围今后将有可能进一步涵盖第三方支付机构,也就是说关于数字证书的要求,银行和第三方支付机构是一样的。
业内专家详细解读“电子认证服务管理办法”具体条款,进一步提出以下观点:监管部门要求强化客户身份信息核实,加强支付账户实名制管理,要求支付机构通过外部渠道对客户信息进行多重验证,具体验证渠道包括但不限于公安,工商,教育,财税等管理部门及商业银行,征信机构等单位所运营的,能够有效验证客户身份基本信息的数据库或系统。综上所述,即要求支付及互联网金融行业全面提升软硬件水准,从技术层面提升支付交易安全水平。
专家解惑
为什么数字证书和数字签名能全面提升支付交易安全性
据介绍,因为数字证书是由第三方认证中心对用户身份进行严格的审核后,为用户颁发的,它通过公钥加密技术对用户的公钥信息和用户的身份信息做了数字签名,把用户所宣称的身份信息与公钥绑定在一起。于是,包含有用户个人身份信息,公钥和数字签名的一个特殊的电子文件就形成了数字证书。数字证书通常存储在usbkey硬件设备里。
采用数字证书进行电子签名,可以解决交易信息的完整性和有效性,并且不可被抵赖。
如果某甲用自己的证书私钥加密交易信息,传给某乙,某乙可以用某甲的公钥来解密信息。这时,这个被加密的交易信息,例如支付的金额,账号等就是完整的,有效的,同时也是不可抵赖的。这是因为某甲的私钥是世界唯一的,别人不可能掌握,如果有人篡改了加密信息,某乙将无法解密。那么从效用上讲,这个用私钥加密交易信息的动作就像为一个文件签名盖章一样,经过“签名”后的信息是完整,有效的,不可篡改,也是不可抵赖的。
支付交易最关键就是安全问题,通常支付系统会根据安全级别设定交易限额,而存在硬件中的数字证书技术能够解决身份认证,防抵赖,防篡改,安全传输等关键安全问题,所以采用数字证书技术的支付业务可以设置最高交易限额。
金融业创新层出不穷,行业发展面临挑战与机遇。银行频道官方公众号“金融e观察”(微信号:sinaeguancha),将为您提供客观及时的新闻精粹,分享独家、深度、专业的评论点睛。
