计算机信息安全论文

您当前的位置:学术堂 > 计算机论文 > 计算机信息安全论文 >

第三方支付客户个人信息风险与保护措施

来源:情报理论与实践 作者:涂萌;张绵伟
发布于:2019-01-08 共11458字

  摘    要: [目的/意义]探析第三方支付用户个人信息安全风险, 为当前支付平台用户个人信息保护提供合理化建议。[方法/过程]基于当前法律法规和学术观点, 对一些典型第三方支付企业的商业行为、产品、服务及隐私条款进行研究, 分析第三方支付用户个人信息存在的风险和原因。[结果/结论]支付账户的高价值性、主流支付平台独特的商业模式, 以及立法监管不足是造成当前第三方支付用户个人信息面临安全威胁的三大主要原因。保护支付平台用户个人信息, 应强化立法保护、设立专门个人信息保护机构, 辅以行业自律、安全技术创新, 同时网络用户也应提升信息安全意识。

  关键词: 第三方支付; 个人信息保护; 风险; 保护措施;
 

第三方支付客户个人信息风险与保护措施
 

  Abstract: [Purpose/significance] This paper analyses users' personal information security risks when using the third-party payment, and provides rational proposals for users ' personal information protection on current payment platforms. [Method/process] Based on the current laws and regulations, and academic views, the paper studies the commercial behaviors, products and services, and privacy clauses of some typical third-party payment enterprises, and analyses the risks and causes of the personal information when using third-party payment. [Result/conclusion]The payment account's high value, the unique business models of mainstream payment platforms, and the lack of legislative supervision are three main reasons of why the current users' personal information faces security threats on third-party payment platforms. To protect the personal information on payment platforms, the legislative protection should be strengthened, special personal information protection institutions should be set up, the industry's self-discipline and safety technology innovation should be supplemented. At the same time, the Internet users should also raise their information security awareness.

  Keyword: third-party payment; individual information protection; risk; protective measures;

  随着互联网经济的快速发展与变更, 第三方支付从单一提供快捷支付功能与信用中介的定位一跃成为互联网经济的主角, 在推动电子商务发展与传统行业的互联网化方面起到重要作用。根据艾瑞咨询的《2017年中国第三方支付市场监测报告》, 2016年我国第三方支付交易规模达到近80万亿元, 同比增长率接近300%;2016年移动支付占第三方支付总交易规模的74.7%, 结构上向移动端迁移。由于第三方支付尤其是移动支付的火热, 个人信息泄露问题也渐渐占据了大众的视野。2013年3月, 支付巨头支付宝便爆出转账信息泄露事件, 有网友发现, 通过谷歌搜索特定关键词可以查到许多支付宝用户的详细转账信息, 尽管支付宝公司及时修复了漏洞, 但这一事件还是让公众对第三方支付公司的信息安全维护能力存疑。除了外部的攻击, 企业内部的管理不善, 或企业对个人信息的过度采集和使用, 同样可能侵犯用户的个人信息权利。今年1月, 支付宝发布了年度账单, 不同于以往, 今年的年度账单却因为以不明显的方式令用户被动授权其平台的《芝麻服务协议》而引起网友不满。尽管支付宝官方及时承认错误, 并提供了取消授权的方法程序, 但这也表明互联网企业对于个人信息趋之若鹜。由于第三方支付的账户一般包含可识别个人的身份信息, 银行卡信息和消费记录等, 同时, 第三方支付账户往往也储存了用户一定数量的金钱, 这使关注第三方支付中用户的个人信息安全尤为重要。

  1、 第三方支付的概念、分类和主体

  第三方支付是指具备一定实力和信誉保障的独立机构, 采用与各大银行签约的方式, 通过与银行支付结算系统接口对接而促成交易双方进行交易的网络支付模式。为了加强对支付企业的管理、稳定金融秩序, 中国人民银行制定了《非金融机构支付服务管理办法》 (以下简称《办法》) 并于2010年9月1日实施。根据《办法》, 仅有获得中国人民银行核发的非金融行业从业资格证书者可以开展支付服务。根据央行公布的第五批非银行支付机构《支付业务许可证》的续展结果, 截至2018年1月, 支付牌照剩余243张[1]。

  当前学界对第三方支付的分类并未达成共识。中国人民银行发布的《非金融机构支付服务管理办法》将非金融机构支付服务分为网络支付、预付卡发行与受理、银行卡收单三类, 但有学者认为这一分类方法无法体现各种支付业务的本质特征和风险特点[2]。

  若仅以企业支付业务为依据, 根据艾瑞咨询发布的《2017年中国第三方支付市场监测报告》, 第三方支付业务类型包括线上支付、线下支付、账户来往、经营辅助、跨境支付和借贷理财等几大类。一些国内大型支付企业———如支付宝、财付通和拉卡拉———的业务范围均涵盖以上几项。同时, 也有部分第三方支付企业以其中个别项目为主要业务。如汇付天下、联动优势、银联商务等以借贷理财为主, 其业务特点是以云计算和大数据为依托, 专注于为客户提供最佳理财策略;联迪商用和易宝支付则在经营辅助方面见长, 业务内容主要是为行业提供定制型支付解决方案;跨境支付企业有宝付和连连支付, 以为境内外企业或个人提供跨境支付及跨境支付解决方案为主。

  作为互联网经济的引擎, 互联网支付企业也具有许多互联网企业的特点, 如具备较强的技术背景、扎根于大量用户数据等;此外, 由于第三方支付平台往往有资金沉淀、移动互联网不断普及, 第三方支付企业也往往将金融服务纳入自身的业务范围, 并向移动端进行业务布局。

  2、 第三方支付用户个人信息风险分析

  2.1、 第三方支付中涉及的个人信息内容

  2.1.1、 个人身份信息

  个人身份信息往往由用户在注册账户时提供。由于第三方支付企业支付活动需通过银行开展, 支付账户一般需提供个人的姓名、身份证、手机号码与银行卡号码等个人身份信息。

  2.1.2、 设备信息

  出于维护账户资金安全与支付安全的目的, 第三方支付需要收集用户使用设备的信息, 以确认账号登录与使用者为本人。从支付宝、财付通和银联商务等第三方支付企业的隐私条款来看, 其所收集的设备信息大致包括硬件型号、设备MAC地址、操作系统类型、设备识别码等。以上部分信息具有唯一性, 在一定条件下具备识别信息主体的可能。

  2.1.3、 消费或产品使用记录

  第三方支付用户在使用其支付账号进行消费时, 必然产生一定的消费记录或使用痕迹, 如消费内容、消费金额、消费习惯等。而各大第三方支付企业均在相关服务协议或隐私条款中明确表示将使用cookies追踪用户使用痕迹, 大多数企业允许用户拒绝cookies, 并给出关闭cookies的程序, 但也提示拒绝该项功能将降低用户体验;也有部分企业排除用户关闭cookies的权利, 如苏宁支付在其隐私条款里表明其将使用cookies收集用户信息, 且并未表明允许用户拒绝该项功能。

  此外, 由于占据了交易活动的关键环节, 第三方支付企业往往以此构建第三方合作网络。典型的第三方支付平台, 如支付宝、财付通均在其平台上连接众多热门第三方应用, 如滴滴打车、美团外卖、机票购买等;而诸如拉卡拉等为商户提供POS机收款服务的支付企业也可能通过其系统接收到的支付指令获取用户的消费信息。当前, 关于支付用户使用支付平台或支付企业上第三方应用时产生的权利义务关系并没有明确的规范, 众多第三方支付企业均默认将一些用户个人信息与平台上第三方应用进行共享, 且未给用户提供充分选择权。

  2.1.4、 生物特征

  对用户生物特征的收集是传感技术日趋发达、企业为用户提供快捷授权口令的结果。第三方支付中涉及的生物特征主要有指纹、瞳孔及脸部特征等, 支付企业企图通过指纹技术或人脸识别技术让用户可以更快捷地完成授权与支付, 这一授权方式因具有高效性和安全性而可能成为主流, 但需以企业合理保护用户个人信息为前提。当前, 支付宝、财付通、苏宁支付等支付企业均有指纹支付和人脸识别支付;拉卡拉手环作为支付工具, 则具备心率识别等额外的信息收集手段。

  2.2、 第三方支付中的用户个人信息风险

  2.2.1、 支付场景广泛, 风险发生率高

  随着人们网络支付习惯的养成和移动互联网的普及, 支付场景也开始扩大其覆盖面。主流支付企业, 如支付宝、财付通、拉卡拉、快钱等均以生活或娱乐场景为依托, 构建全面支付场景, 具体包括医疗、交通、出行、餐饮、购物和旅游等。广泛遍布的消费场景使第三方支付用户个人信息“处处留痕”, 且不同场合网络安全程度也有所差异, 一些公共场所Wi Fi安全级别不高, 容易给支付用户造成个人信息被窃取的危险。

  2.2.2、 隐私信息密集

  从前述第三方支付涉及的个人信息内容来看, 第三方支付企业在运营过程中收集的个人信息内容多为隐私性较强的个人信息, 如个人身份信息、生物特征。此外, 无论是用户的设备信息还是用户使用相关互联网产品产生的记录, 均可在某种条件下识别用户身份或推算用户的消费习惯。这些隐私信息的集中使第三方支付账户具有一般网络账户所不具备的价值, 联系到支付账户的财产属性, 第三方支付账户也更容易成为不法分子攻击的目标。

  2.2.3、 支付终端安全性不足

  由于移动支付的便捷, 第三方支付在结构上向移动端迁移。普遍的移动支付是通过用户的个人智能手机, 通过扫描二维码完成支付。这一支付方式因其便捷性受到广大用户的认可。但智能手机的防火墙无法跟PC端相媲美, 也没有支付机构那么强大的后台作安全支撑, 这使智能手机更容易成为网络犯罪的突破口。针对智能手机的入侵犯罪主要包括提供虚假二维码、利用社会工程学盗取验证码等。

  2.2.4、 数据跨境流通的风险

  一方面, 在持续深化改革开放、加强一带一路建设的背景下, 我国众多电商平台走上了跨境电商的道路。如天猫的天猫国际, 京东的全球购以及洋码头和全球购等。根据支付宝和财付通的隐私政策, 跨境业务将产生数据的境外传输。另一方面, 境外交易数据将直接存储在境外, 或根据当地法律进行存储。这对数据的加密和储存安全提出了更高的要求, 也给数据主权提出了一定的挑战。

  2.2.5、 第三方不当利用

  从第三方支付企业的发展趋势来看, 第三方应用已然成为支付企业的“标配”。国内占据市场份额最高的两大支付企业———支付宝与财付通———均在其平台上连接了手机充值、滴滴出行、饿了么、美团外卖、京东、淘宝等涵盖生活消费内容的热门第三方应用;而其他金融型支付企业或行业解决方案提供者也都有较多合作伙伴。第三方支付用户在使用其中一些第三方应用时将不可避免地在第三方应用和支付平台上产生相应数据, 内容大致包括身份信息、账户信息、消费记录等。而由于当前缺少对第三方权利义务关系的规范, 各大支付企业均默认将用户的部分个人信息与第三方合作企业共享, 并明确表示用户在使用平台第三方应用时受第三方的隐私政策约束。此种做法既有变相交换用户个人数据的嫌疑, 也让用户个人信息面对更多传输、存储的风险。

  2.3、 第三方用户个人信息风险成因

  2.3.1、 企业利益追求与自我约束不足

  在这个大数据时代, 数据就意味着价值, 以至于有人将数据比喻为“金矿”, 而企业, 无疑就是这个矿产的挖掘者。像煤矿资源一样, 当这个挖掘者贪得无厌时, “矿产”的挖掘就将给拥有者和开发者带来灾难。以第三方支付企业的缔约行为和隐私条款设置为例, 当前第三方支付企业有以下行为可能给用户造成个人信息安全风险:

  首先, 隐私政策设置不合理。以国内第三方支付市场份额最高的支付宝和财付通的隐私政策为例, 其隐私政策的设置对消费者存在的不利主要有:保存时效问题、用户权利受限、平台第三方不受平台隐私政策约束和未成年人保护条款缺乏可执行性。

  保存时效问题是指企业对其所收集用户个人数据保存时间的规定不充分或不合理。《支付宝隐私政策》与《财付通隐私政策》均未表明用户个人信息的具体保存时限。齐爱民认为, 保存时限原则是指为任何目的处理的个人资料都不得超过该目的所需要的时间而继续保存[3]。而根据支付宝与财付通的隐私政策, 平台对个人信息收集的主要目的为身份验证和业务开展, 因此, 平台应在完成相应的验证目的之后, 根据法律规定保存日志相应的期限, 并在期限后将数据删除。

  用户权利受限指用户应有的个人信息自决权并未得到充分落实。个人信息自决权, 是指网络用户决定自己的个人信息是否被收集、被如何收集以及被如何处理使用。但在大多数网络服务协议中, 用户必须完全同意网络服务提供商的服务协议与隐私条款才能使用其产品或服务, 用户不具有协商的余地, 不得不让步并授权。从当今网络服务定制化、个性化的发展趋势来看, 互联网企业具备为用户提供差异化选择的能力。因此, 传统上“使用即授权”以及以网络格式条款简单粗暴地“和谐”用户权利的网络缔约方式值得重新考量。

  平台第三方不受平台隐私政策约束。从支付宝、财付通和银联商务等支付企业的隐私政策来看, 其支付平台上第三方应用不受支付平台隐私政策约束, 前文已述, 此类做法可能将用户权利置于真空状态, 不利于用户个人信息的保护。

  未成年人保护条款缺乏可执行性。《支付隐私政策》与《财付通隐私政策》均有独立的针对未成年人隐私保护的声明, 但二者的声明均仅限于提醒未成年人用户在监护人的监督下使用该产品, 此外, 没有相应的措施保障未成年人权益。由于未成年人认知能力、社会经验与自制能力的不足, 其在使用互联网产品服务与消费时可能缺乏明确的认识, 不能充分保护自身权益、行使自身权利, 所以, 未成年人权利应受到特别的保护。在保护未成年人信息方面, 企业应承诺对未成年个人信息做最小范围的合理合法的应用;同时, 应充分明确未成年人权利、提请对方及其监护人的关注, 采取一定的技术手段, 在使用中过滤未成年人个人信息, 防止未成年人个人信息被同等使用。

  虽然以上存在的问题均是从支付宝与财付通隐私政策所提取, 但通过检视其他支付企业的隐私政策或服务协议可以发现, 其他第三方支付企业也存在类似问题。以上问题也可算第三方支付企业的典型问题。

  其次, 隐私条款提示不明显。隐私条款提示不明显早已有之, 并非支付企业的“专利”, 但第三方支付企业似有将其“发扬光大”之势。一些企业采取以缩小字体、放置在边缘位置、浅色显示和默认勾选的方式让用户在注册账户时易于忽略隐私条款。此外, 隐私条款内容繁琐、语言生涩也是用户避开隐私条款的主要原因之一。前文所述《芝麻服务协议》便是此类典型。从支付宝《芝麻服务协议》的隐形默认勾选事件可以看出, 企业对个人信息资源趋之若鹜, 且未充分规范与用户达成合意的形式。

  2.3.2、 法律规范与监管不足

  法律规范的不足主要表现在个人信息保护立法不足以及针对第三方支付等具有传统行业或一般互联网服务所不具备的特殊性的行业的针对性规范不足。一方面, 由于国内学界对个人信息的研究起步较晚, 我国对个人信息保护的立法明显滞后于时代的发展。直接保护个人信息的法律较少, 有关条款也分散在《宪法》、《民法总则》中, 专门的《个人信息保护法》尚未出台[4], 尽管在2017年正式出台了《网络安全法》, 但个人信息的保护还未落到实处, 个人信息泄露、个人信息被买卖的现象仍时有发生;而在互联网经济红利兑现后, 不少学者也主张采用宽松的个人信息立法规范, 以促进数据自由流通, 充分发挥大数据技术的经济驱动力。个人信息权益和经济发展利益的冲突, 也成了个人信息保护难以和经济发展进行平衡的重要原因。另一方面, 第三方支付领域的针对性立法也较少。除前述法律对个人信息保护制定了统一标准外, 仅有《银行法》、央行发布的《非金融机构支付服务管理办法》等有少量对个人信息保护要求, 但总体上仍以规范金融秩序和资金安全为主, 对个人信息保护的专门规定较少。法律规范的不足在第三方支付实践中有明显体现, 前述第三方应用对个人信息的收集和应用得不到规范和限制便是其中之一;除此之外, 企业过多收集用户信息、使用途径和目的不明、用户自决权得不到具体落实均是法律规范不足的表现。

  除法律规范不足外, 监管不力也是互联网企业敢于“越界”或“打擦边球”的主要原因之一。尽管个人信息安全问题日渐引起人们的重视, 相关法律法规和执行办法也相继出台, 但个人信息泄露问题仍时有发生, 究其原因, 主要有: (1) 相关执法部门缺乏内在动力, 往往仅在引起社会关注的重大侵权案件发生时才开展执法行动; (2) 执法部门过多, 执行标准不一[5]。当前, 涉及个人信息保护的部门包括公安部、工信部、中宣部等[6]。在缺乏统一立法领导的背景下, 多部门管理不仅没有形成多边合作, 全方位遏制个人信息侵权行为, 还导致了执法权限不明、执法过程推诿的现象, 使侵犯个人信息的违法犯罪活动甚嚣尘上。

  2.3.3、 用户个人信息安全意识不足

  用户个人信息安全意识不足也是网络支付用户个人信息屡屡泄露的原因之一。网络用户缺乏个人信息安全意识的表现主要有以下几种: (1) 忽视隐私协议, 调查显示, 相当数量的网络用户在注册网络账户时并未阅读或没有完整阅读隐私协议。 (2) 用户日常使用支付服务时缺乏安全措施保障, 一些第三方支付用户会设置“免密”支付以求支付快捷, 这一举动曾成为不法分子“盗刷”他人账户资金的漏洞[7];另外, 使用公共Wi Fi进行支付操作, 也可能泄露个人信息。 (3) 缺乏基本个人信息安全常识。十二届全国人大常委会曾在2017年8月至2018年1月份实施了网络安全执法检查。该检查由内司委组织实施, 并委托中国青年报社社情民意调查中心对群众的网络安全意识进行调查。根据调查结果, 55%的受访者对网络安全法缺乏了解, 15%的受访者甚至完全没有听说过《网络安全法》。可见, 网络用户对于维护个人信息安全的法律法规缺乏认识, 即使发生侵权, 用户往往也难以感知并采取维权行动。

  3、 第三方支付用户个人信息保护对策

  3.1、 强化立法保护

  网络个人信息的立法保护, 应以统一立法为主, 结合分别立法。以第三方支付用户个人信息保护为例, 当前第三方支付用户个人信息保护的目标大多是账户资金安全, 而非个人信息所指涉的人格权利和个体尊严;即使上升到隐私层面, 也大多仅涉于公民的隐私安全权利。因此, 应从顶层设计确立公民个人信息的人格权利属性, 并以保护人格尊严为初衷, 保护个人信息权利。其次, 分别立法也必不可少。如前所述, 不同行业在个人信息的利用方式和利用目的有所不同, 仅以第三方支付企业主要业务为划分标准, 就可分为一般快捷支付企业、金融支付型企业和跨境支付企业等。随着互联网经济不断发展, 第三方支付业务也有巨大的扩展和创新空间。各行业的个人信息保护应采用针对性的、适应性的保护标准和执法标准。

  在立法价值取向方面, 向来有学者主张“宽松”立法, 以数据自由流通促进互联网经济发展, 似乎互联网经济的发展与个人信息保护成掎角之势。其实, 互联网虚拟经济的发展离不开信任, 而个人信息的保护则能维护这种信任, 这是互联网经济发展与个人信息保护统一的一面。根据商务部所发布的《中国电子商务发展报告2012》, 2012年我国电子商务交易额突破8万亿元, 仅次于美国, 成为目前世界第二大网购市场, 自2003年以来年复合增长率达到120%。显然, 当前中国的互联网经济不仅具有较大的体量, 同时也保持较快的增速。然而发展过快的代价就是个人信息的“裸奔”。当个人信息屡遭泄露, 信任荡然无存时, 互联网经济也难以发展。因此, 个人信息保护立法可向个人信息保护倾斜。如在个人信息控制者和个人信息处理者的责任设定方面, 采取严格责任, 以平衡企业技术实力和个人不对等的局面。

  3.2、 设立专门的行政机构进行监管

  随着“互联网+”理念的提出, 越来越多行业开始了与互联网深度融合的进程, 其首要表现便是产生大量数据, 同时也导致了多部门出台政策法规对个人信息保护进行规范的情况。但多部门监管不仅没有形成部门联动, 实现对个人信息的全方位保护, 反而导致了权限不明、责任推诿的现象发生, 致使侵犯个人信息的犯罪层出不穷。为此, 在个人信息保护的行政管理层面, 可学习意大利的保护模式, 设立专门的数据保护机构。意大利在1996年的立法中就设立了个人信息保护机构Garante作为独立的个人信息安全管理机构, 其职责包括监督执行个人隐私保护条款、处理公民的个人信息侵权诉讼、终止侵犯个人信息安全的活动、检查警察和情报机关所进行的数据处理活动、提升公民个人信息保护意识、对侵犯个人信息行为进行行政处罚等[8]。在信息技术发展迅速的今天, 专门的行政监管部门可以聘请外部专家和技术人员, 不断改进自身技术和监管方式, 以适应商务活动和技术的发展。

  3.3、 倡导行业自律

  在对个人信息的保护方面, 学者向来有“欧洲模式”和“美国模式”之争。“欧洲模式”主张统一立法, 在个人信息保护方面更加严格;“美国模式”则提倡行业自律, 将个人信息保护的责任和主动性交给企业。但“欧洲模式”与“美国模式”并非不可兼得。传统上, 由于拥有国家科研力量的支持, 行政部门在技术上优于科技型企业。但在市场竞争机制的引导下, 拥有海量数据的互联网企业, 也可能在技术创新上赶超国家行政部门。2014年, 美国联邦调查局就曾请求着名社交企业Facebook为其升级人脸识别技术, 原因在于Facebook拥有海量用户上传的脸部照片, 在脸部识别算法上更加先进[9]。今天, 少数行业领导者———如阿里巴巴、腾讯———也开始在业务开展过程中积累大量用户数据, 并在大数据与云计算等先进技术的开发和应用中走在世界前沿, 而缺乏竞争压力的体制内科研机构, 可能由于缺乏前进动力而在相关技术的研发方面落后于科技巨头。为此, 保护个人信息, 也应在完善立法等顶层设计的基础上, 结合行业自律, 让企业以技术的方式防止技术滥用。

  作为最早进入网络时代并在互联网经济方面领先全球的国家, 美国一向主张数据自由流通, 在顺应网络发展需要的前提下, 倡导网络隐私保护的行业自律。其行业自律主要分为以下几种类型: (1) 由自律组织修订建设性的行业指引, 参加该组织的成员需遵守其中规定; (2) 建立网络隐私认证组织, 为符合隐私保护要求的企业颁发隐私认证标志; (3) 由行业协会牵头制定相应的隐私保护准则; (4) 推广隐私保护软件, 提醒消费者其信息如何被收集。通过以上几种方式, 为企业提供保护个人隐私的执行标准, 同时将保护个人信息到位的企业推向消费者, 让自觉保护消费者隐私信息成为企业良好形象的一部分, 在一定程度上给予了企业保护个人信息的动力。

  3.4、 优化隐私条款

  尽管经过中央网信办、工信部、公安部的联合检查, 主流互联网企业均更新了隐私政策, 但各大互联网企业的隐私政策依然无法满足用户期待, 甚至可能成为挟持用户个人隐私的工具。因此, 针对第三方支付, 企业还应当根据当前法律法规作出以下优化:

  1) 最小化收集原则。支付平台对个人信息使用目的主要为身份验证、安全验证和改进产品和服务等。因此支付企业应以所收集的信息能完成相应的验证为标准, 实行最小化收集原则;同时, 充分明确信息用途, 不得在超出正常用途的情况下收集或存储个人信息。

  2) 安全原则。由于支付账户一般具有较高价值, 所以, 支付机构应采取充分的安全措施, 保障用户个人信息在收集、储存、处理和使用等各方面的安全;支付企业应不断改进安全技术, 并设立专门的数据安全部门, 对数据安全进行监管, 防止内部对信息安全的破坏和外部入侵。

  3) 存储时限原则。支付企业对于个人信息的收集往往基于一定的目的, 而该目的应具有一定的时效, 在超过相应时限后, 相关信息便不应被继续储存。另外, 企业应保存某些安全日志一定期限, 以保障执法部门对非法行为的检查需要。

  4) 限制转移原则。在跨界成为互联网经济发展新特征的今天, 许多互联网产品或服务都有一些第三方应用连接, 对于支付宝和财付通第三方支付平台而言, 广泛连接第三方流量、构建平台生态更是提升其核心竞争力的重要举措。与其同时, 支付平台用户的个人信息也不断在平台与第三方应用之间转移, 而主要支付机构———支付宝、财付通———却在其隐私政策中表明第三方责任与平台责任分离。为此, 应对支付平台对个人信息的分享和转移作出一定的限制, 第三方在使用个人信息时应以完成身份验证为标准, 不得过多采集支付平台个人信息;平台也应当限制个人信息在平台与第三方之间的流动, 防止第三方非法利用个人信息。另外, 平台也应与第三方合作企业进行协调, 明确各自权责归属。

  5) 充分告知原则。当前主要支付平台隐私政策依然存在个别条款模糊, 未充分维护用户知情权的情况。根据相关法律法规, 个人信息的利用应遵循知情同意原则, 目的限制原则。所以, 支付企业隐私条款应充分告知用户其个人信息的收集内容与收集方式, 同时明确告知企业对其信息的用途, 明确用户权利, 并告知用户权利的行使途径。

  3.5、 加强技术保护

  技术的问题还需以技术解决。当前, 互联网第三方支付企业面临许多外部安全风险, 因此企业需加强自身安全技术, 对于个人信息的保护, 主要表现在几个方面: (1) 加密技术。加密技术普遍应用于传输与存储过程中, 该技术的好坏决定用户个人数据安全程度。 (2) 硬件与软件环境。2013年, 支付宝发生个人信息泄露事件;2015年, 支付宝曾因电缆事故[10], 导致大规模的登录故障。可见硬件环境与软件环境在维护系统安全、抵御外部入侵方面极其重要, 企业应注重提升这一方面的技术条件。 (3) 提升用户终端安全性。安全性较低的移动端往往成为不法行为的突破口。因此, 企业仅提升内部系统安全并不足以构建完善的安全保障体系, 只有将用户终端的安全保障纳入自身安全技术升级的框架内, 才能充分提升整体的支付与个人信息安全。 (4) 鼓励策略性技术创新, 为个人信息保护方式提供多种可能。去年, 菜鸟公司与多家快递公司对“电子面单”的推广, 让快递业的个人信息保护迎来喜讯。作为技术上的创新, 电子面单不仅可以隐藏消费者个人信息, 还减少了纸张的使用以实现成本的降低[11], 不失为技术创新保障个人信息的典例。

  3.6、 提升个人信息安全意识

  由于个人安全意识的不足, 用户端, 尤其是移动客户端往往成为个人信息侵权的突破口。因此, 提升个人信息安全意识, 结合前述部分, 才能构成完整的个人信息保护体系。从个体的角度看, 第三方支付用户应在以下方面采取措施: (1) 谨慎授权与提交个人信息。许多用户会以个人信息交换产品与服务的便利, 但也将个人信息置于风险之中, 因此, 个人应尽量最小化向他人提交个人信息。 (2) 妥善保管账户信息。存有资金的支付账户往往是不法分子的攻击对象, 实践中常有以社会工程学的方法, 骗取用户验证码以破解用户账户, 因此, 支付用户应妥善保存个人账户信息。 (3) 定时清除使用记录。使用记录于企业而言如同珍宝, 对于不具备数据分析能力的用户则毫无价值。但定期清除使用记录, 依然可以降低用户个人信息被不当利用的风险。 (4) 慎用公共网络。一些移动用户为节省流量会选择使用公共场合Wi Fi, 但在支付过程中, 用户支付信息可能被公共网络的提供者所捕获。 (5) 了解个人信息保护法律常识。由于个人信息保护的法律研究起步较晚, 个人信息权利并未进入公众视野, 大众对于个人信息权利缺乏认识。但了解基本的个人信息保护法律知识, 仍有利于个人信息权利的行使与维护。

  4、 结束语

  在网络技术和支付服务日渐发达的今天, 我国慢慢步入交易“无纸化”时代。“不带现金”已作为一种“潮流”渗透入人们的生活习惯和交易习惯。这也使第三方支付的个人信息安全更值得关注。由于网络支付账户相比一般账户具有更高价值, 且支付账户包含更多个人信息和隐私信息, 第三方支付中的个人信息安全更容易收到威胁。在第三方支付的个人信息保护方面, 应以顶层设计为主, 尽快出台个人信息保护法;在行政监管方面, 设立专门的行政部门, 让保护个人信息执法得以统筹;支付企业尤其是行业领导者, 应倡导行业自律, 及时更新技术和个人信息保护标准;个人也应当提升自身安全意识、维权意识, 让个人信息安全掌握在自己手中。

  参考文献:

  [1]支付牌照再减四张强监管下第三方支付加速洗牌[N].经济参考报, 2018-01-18 (002) .
  [2]巴曙松, 杨彪.第三方支付国际监管研究及借鉴[J].财政研究, 2012 (4) :72-75.
  [3]齐爱民.信息法原论[M].武汉:武汉大学出版社, 2010:78.
  [4]杨震, 徐雷.大数据时代我国个人信息保护立法研究[J].南京邮电大学学报:自然科学版, 2016, 36 (2) :1-9.
  [5]张新宝, 葛鑫.基于个人信息保护的电信诈骗综合治理研究[J].中共中央党校学报, 2016, 20 (5) :42-49.
  [6]净化网络空间保护信息安全[N].人民法院报, 2018-03-13 (007) .
  [7]支付宝社交存盗刷隐患[N].北京商报, 2017-01-11 (001) .
  [8]何波.意大利个人数据保护立法的实践与经验[J].中国信息安全, 2016 (10) :92-93.
  [9] Facebook脸部识别技术胜过FBI[EB/OL].[2018-03-25].http://tech. 163. com/14/0709/09/A0MUL89M000915BF. html.
  [10]张遥, 叶健.一根光缆“绊倒”网络巨头[N].人民日报, 2015-05-29 (012) .
  [11]汪名立.隐形面单, 快递信息安全的一小步[N].国际商报, 2017-01-19 (A06) .

作者单位:重庆理工大学重庆知识产权学院
原文出处:涂萌,张绵伟.第三方支付用户个人信息安全风险及对策研究[J].情报理论与实践,2018,41(12):70-75.
相关内容推荐
相关标签:
返回:计算机信息安全论文