别急着骂央妈 看这八类触目惊心的支付风险案例

楠儿

导读：

你只要了解或者亲身体验过如下八大案例中的任何一种情形（其中多数可找到公开的媒体报道以对应，剁手党如你，可能中招的概率只有万分之一，但只要有亿万之一的漏洞有可能出现，就有可能导致无法估量的损失），你就会理解央妈为何如此金刚怒目……

·腾讯财经特约自媒体 金羊毛工作坊

·2015-08-08

金羊毛工作坊按：8月7日，蚂蚁女王彭蕾《互联网金融不止于向“钱”看》的一篇专栏，与《央行回应支付限额:为防风险》的一篇采访报道，在《人民日报》——这份中国色彩最权威的报纸（客户端）上撞衫了，然后，外界纷纷将其解读为彭蕾与央行的隔空喊话。

一边是蚂蚁手持“小确幸”高举客户是上帝，言语中暗讽冰冷冷的传统金融一切向钱看；嗯，不用掩饰，蚂蚁的雄心不止于颠覆这帮传统银行，更旨在重新定义金融业；这条路不同于高盛，更不同于富国银行。

一边则是高举金融安全、账户安全的监管责任，央妈的态度历来如此，从未动摇，个别细节你可以协商，但实名开户、交易限额、银行验证的底线不容妥协。

便捷与安全；技术与风险，从来都是金融业的永恒游戏，如冰与火，推动金融业逐步在螺旋式的技术革新、泡沫游戏中生死往复。但真理其实从未变，漏洞、泡沫、贪婪与恐惧都会毁灭金融，以华尔街两百年历史和经验表明，金融业从来都不能等同于沃尔玛或者星巴克，做成幸福感的东西，古往今来，还难在华尔街出现。

回到第三方支付交锋这个话题上，正如金羊毛的一位朋友所言，一切争议源于利益，而利益在此处，体现在账户体系的开放与否上。这个话题金羊毛不是专家。但联系到近日的股灾，以及最近引起高层关注的伞形信托场外配资，其实质是证券账户子账户，和支付账户比区别在于伞形场外配资完全脱离于监管体系，没有任何实名制措施；而第三方支付账户虽然也类似银行账户子账户，但这些子账户的开立仍然有一定实名制要求，支付公司接受央行对账户实名制及反洗钱方面的监控。但在笔者看来，从银行角度看支付账户，仍然非常类似券商角度看伞形信托下面的证券子账户。

我们听听蚂蚁和央妈都说了些啥吧，先听听央妈为何从刘行长到范行长（分管副行长）一直不愿让步的安全监管逻辑：

金羊毛工作坊从业内渠道获得一些案例，你只要了解或者亲身体验过如下八大案例中的任何一种情形（其中多数可找到公开的媒体报道以对应，剁手党如你，可能中招的概率只有万分之一，但只要有亿万之一的漏洞有可能出现，就有可能导致无法估量的损失），你就会理解央妈为何如此金刚怒目……

近年来部分支付机构风险事件案例

近年来，通过非银行支付机构办理支付业务的客户资金风险案件频发，暴露出部分支付机构一味追求支付便捷而忽视支付安全、支付系统存在严重漏洞、客户资金安全和信息安全难以得到有效保障等问题。我们汇总整理了部分风险事件，现摘编如下：

利用黑客手段盗取某三方支付公司客户资金系列案

2015年6月，珠海市公安机关侦破一宗横跨广东、黑龙江、四川、上海和浙江等5省（市）的特大利用黑客手段盗取支付宝资金系列案件，打掉一个非法买卖公民个人信息、制作扫描探测软件和实施网络套现的犯罪团伙，抓获关键犯罪嫌疑人6名，缴获作案计算机等工具一批。该案是比较常见的支付账户盗窃案件，犯罪嫌疑人通过网上购买他人提供的账号、密码信息，使用扫号软件批量测试是否与支付机构支付账号、密码一致，比对成功后实施盗窃。公安部门初步查明，犯罪嫌疑人涉嫌盗窃支付宝账户117个，涉案金额7万余元。此外，嫌疑人电脑硬盘中存储各类公民个人信息40多亿条，涉及支付宝、京东和Paypal等支付账户达1000多万个，初步估算账户涉及资金近10亿元。

内鬼泄密20G海量用户信息被盗卖

2013年11月27日，某支付公司内部一员工因伙同他人多次以批量出售的方式泄露用户信息被杭州当地警方逮捕。据该涉案嫌疑人交代，他曾经是该支付公司技术员工，利用工作之便，在2010年分多次在公司后台下载了公司用户的资料，资料内容超20G。随后伙同两名外部人员，以500元3万条的价格将用户信息多次出售予电商公司、数据公司。这些用户资料，包括公民个人的真实姓名、手机、身份证号、电子邮箱、家庭住址、消费记录等。

据其供述，仅最大买家服装类电商V公司就曾通过该团伙一次性购买用户资料1000万条。不过V公司一位副总裁表示并不清楚此事。支付公司方面则承认确有内部员工盗卖用户信息案，一名负责人称：“不得不承认，我们在管理上出了一些问题。”

支付公司未履行安全保障义务导致消费者购物款被盗转

2014年7月张先生在某购物网站上和卖家协商购买价值27500元的照相机一台，双方约定分多笔交易付款。后根据支付机构网页提示登录到网上银行进行付款操作，收款方名称为：XX支付科技有限公司。付款后该购物网站显示“等待买家付款中”，张先生到银行查询，被告知钱款已经打到支付机构。后张先生发现打入支付机构的钱款被转入另外一个工商银行账户，而此账号并非本次交易卖方的账户。按照支付机构交易规则，在买方没有确认收货前，支付机构不能将货款转出。张先生诉至人民法院，认为该购物网站和支付机构作为交易平台的提供方和第三方资金管理方，未尽到安全管理义务，致使己方购物款被盗转，要求法院判决该购物网站和支付机构赔偿其相应损失。

经法院查明，支付机构未将货款转入卖方而转入他人账户，法院认定支付机构未尽到安全注意义务。其经营的网络系统、服务器和程序的安全性不足，或他人利用网络技术非法入侵，均有可能导致张先生的财产受到损失。最终法院判决支付机构应赔偿张先生相应损失，共计20129元。

网络融资平台用户资金被盗案

2012年11月，上海陆家嘴国际金融资产交易市场股份有限公司（以下简称“陆金所”）运营的“稳赢”融资交易平台，部分用户600余万元资金被盗。经初步查明，犯罪分子通过买来的某银行600余万条账户信息，将储户账户绑到“陆金所”交易平台，并通过该平台将资金转移到用假军官证开立的同名银行账户，利用“稳赢”网络融资交易平台绑定银行账户时无需提供密码且可一人同时绑定多个账户的漏洞，通过支付机构以购物退款的方式将资金转移到其实际控制的他名银行“网络账户”，以达到其转移赃款的目的。

该案件暴露了以下几方面的问题：一是银行违反账户管理规定和实名审核要求，开立假名账户；二是支付机构账户实名制落实不到位，对特约商户管理不严，为洗钱犯罪提供了通道；三是部分网络交易平台存在安全漏洞，用户在网络融资平台注册的验证手续过于简单，且在绑定银行账户时未经银行验证。

网店店主利用某支付公司漏洞制作营业执照盗取资金

2014年3月5日，两名嫌犯张某、刘某利用某支付公司网上平台在账户改密业务中的漏洞，盗刷数家企业在该支付公司支付账户内的资金共20余万元。因涉嫌盗窃罪，目前他们被海淀区检察院批准逮捕。 张某、刘某一起在某购物网站上开店。在开店过程中，二人发现修改其网店的支付账户用户名和密码时，只需在网上向该家支付公司客服提交电子版营业执照即可，由于客服对电子版营业执照的审核不严，很容易受理通过。二人发现这一漏洞后，就采取PS技术，伪造其他公司的电子版营业执照，提交修改密码申请，进而控制账户并盗窃资金。

快捷支付验证不足导致的客户资金被盗案件

托人代办信用卡的李先生由于将银行预留手机号码、身份证与储蓄卡的高清照片都泄露给了骗子，尽管存款当天便惊醒回神，迅速去银行柜面关闭网银并更改预留联系方式，但仍未能避免三日后卡内现金被悉数盗刷而空的命运。更让李先生气愤的是，此番快捷支付扣除他的款项，竟无需经过他银行卡支付密码的验证。

记者调查获悉，开通快捷支付业务并不繁琐，只需在支付机构快捷支付页面提供本人的姓名、身份证号码、银行卡号以及银行预留手机号等有效个人信息，即可快速开通，而后期支付时也无需经过原有银行卡的支付密码验证，只需在支付页面上输入支付密码或关联银行卡信息即可完成资金交易。而对于为何支付转账等走款流程要越过银行卡支付密码的环节，支付机构方面则对记者表示：“这是国际上的规定和惯例，不允许在网上支付的时候输入银行卡密码。”快捷支付业务模式里，银行的服务界面被屏蔽在客户的支付流程之外，银行从用户支付结算的前台，退到了代理第三方清算的后台，只扮演‘账房先生’的角色，被动地处理来自支付机构的指令，不再认证用户的身份，不再掌握用户的支付行为。当你的银行卡忽然在不知情的某天被绑上了别人的快捷支付，且未经自己银行卡支付密码的验证便被刷走卡内所有现金，这种惊心动魄的切身体验是否还会让你继续一往无前地依赖那种“方便”与“快捷”?

利用网络支付平台盗划银行卡资金案

2015年3月，中国人民银行四川省射洪县支行相继接到商业银行金融重大事项报告，称其客户赵某个人银行结算账户大额资金被盗划。

2015年3月11日，赵某分别向银行反映其5个银行卡存款账户资金在2015年3月7日至9日期间遭到连续盗划二十余次，盗划金额累计达到21.9万元，期间被屏蔽了手机动账短信提示。

通过查询赵某5个银行卡个人银行结算账户交易流水，发现其资金通过上海某网络支付机构划至北京一家公司账户，系客户个人身份信息被不法分子盗取，不法分子冒用客户在网上注册三方理财公司所致。该盗划事件的特点在于屏蔽了银行客户手机动账短信提示功能，并关联客户所有银行卡个人结算账户。

经各方努力，截至5月，客户被盗资金全部被追回。

不法分子利用支付平台从事虚假交易实施诈骗

广东省公安机关经侦部门在侦办一起涉嫌合同诈骗案件时发现，犯罪嫌疑人吴某、文某、曾某等人虚构现货交易平台，通过第三方支付机构将被骗群众账户的亏损资金转移至犯罪嫌疑人所控制账户非法牟利。初步统计两个平台涉及受害群众近4000名，涉案金额1亿余元。与以往虚假大宗现货交易平台直接收取被害人资金、修改数据侵吞钱款的手法相比，这种方式更加隐蔽和难以打击，应予关注。(来源：人民日报)

就在彭蕾发布这篇文章后，昨天下午，央行在接受人民日报记者采访后时，就为何限制第三方支付支付额度进行了回应，历数第三方支付在安全方面的缺陷，并强调：罔顾安全，简单地迎合消费者金融需求，往往是造成金融风险乃至金融危机的重要原因。如美国次贷危机爆发前，金融机构为消费者提供零首付房贷服务，极大便利了消费者，但经过长期风险积累，过度创新导致相关金融衍生产品风险聚集，引发连锁反应，最终导致金融机构倒闭，全面爆发金融危机，最终还是由消费者承担了沉重损失。

央行回应支付限额:为防风险

人民日报记者 王观

今天，央行就出台网络支付新规作出回应，称满足金融消费者的有效需求、维护消费者权益是金融工作的出发点。罔顾安全，简单地迎合消费者金融需求，往往是造成金融风险乃至金融危机的重要原因。并对《办法》在维护消费者权益方面的规定作了详细解释。

此前，7月31日，为规范非银行支付机构网络支付业务，中国人民银行发布了《非银行支付机构网络支付业务管理办法（征求意见稿）》。网络支付出台一系列新规，其中包括对网络支付进行限额，引发热议。

以下为回应全文：

近年来，非银行支付机构（以下简称支付机构）以服务电子商务发展和为社会提供小额、快捷、便民的小微支付服务为宗旨，适应公众日益增长的个性化、差异化支付需求，网络支付服务得到快速发展。但支付机构在迅速发展的过程中，相关问题和风险不断显现，消费者未能得到有效保护。

一是支付账户普遍未落实账户实名制。据公安部反映，不少机构为“黄赌毒”、洗钱、恐怖融资及其他违法犯罪活动提供便利。某支付机构通过开立大量假名支付账户，为境外昆明论坛构提供支付交易高达数千亿元，非法跨境转移资金风险巨大。

二是挪用客户资金事件时有发生。多地屡次引发消费者上街和围堵政府部门事件，严重影响社会稳定。

三是疏于安全管理。部分支付机构风险意识薄弱，客户资金和信息安全机制缺失，安全控制措施不到位，对消费者的信息和财产安全构成严重威胁，甚至可能将相关风险引导至消费者的银行账户。今年1月，某支付机构泄露了上千万张银行卡信息，涉及全国16家银行，截至7月31日由于伪卡形成的损失已达3900多万元。

四是缺乏消费者权益保护意识，夸大宣传、虚假承诺，普通消费者维权困难。

同时，消费者在使用网络支付等服务时自我保护意识和风险识别能力亟待提高。在追求和享受支付便捷性的同时，消费者忽视了自身金融信息的保护，对支付业务内在风险的警惕性不足，风险不断积累。伴随着日益频繁的支付活动，个人支付信息泄露风险大大增加，消费者面临更大的资金被盗和欺诈风险。据统计，2014年至今，人民银行全系统金融消费权益保护部门受理的网络支付类投诉占互联网金融类投诉的95.06%。

满足金融消费者的有效需求、维护消费者权益是金融工作的出发点。罔顾安全，简单地迎合消费者金融需求，往往是造成金融风险乃至金融危机的重要原因。如美国次贷危机爆发前，金融机构为消费者提供零首付房贷服务，极大便利了消费者，但经过长期风险积累，过度创新导致相关金融衍生产品风险聚集，引发连锁反应，最终导致金融机构倒闭，全面爆发金融危机，最终还是由消费者承担了沉重损失。

因此，为促进网络支付市场健康发展，更好地履行央行保护金融消费者权益的法定职责，《办法》遵循“鼓励创新，防范风险，趋利避害，健康发展”的总体要求，基于我国网络支付业务发展的实际和金融消费的现状，引导支付机构建立完善的风险控制机制和客户权益保障机制，系统地平衡了支付的便捷性和安全性，能够有效降低网络支付业务风险，保护消费者的合法权益。

《办法》在维护消费者权益方面做出如下主要规定：

知情权方面，规定支付机构与客户签订的协议应当包括的具体内容，并要求支付机构以显著方式提示客户注意协议中与其有重大利害关系的核心事项，采取有效方式确认客户充分知晓并清晰理解协议内容（第七条、第十条）；

选择权方面，规定支付机构应充分尊重客户真实意愿，公平展示客户可选择的各种资金收付方式，不得以任何形式诱导、强迫客户选用某种资金收付方式（第三条、第十二条、第三十三条）；

交易安全方面，强调快捷支付应当由客户直接授权银行，并按约定进行交易验证，明晰各方的法律责任，防止银行和支付机构互相推诿扯皮。采用正向激励机制，引导支付机构努力采用更高安全验证手段来保障客户资金安全（第十五条、第二十七条、第二十八条）；

信息安全方面，要求支付机构完善信息安全管理制度和技术防范措施，以“最小化”原则采集、发送、处理和存储客户信息（第三十条、第三十四条、第三十五条）；

欺诈损失赔偿方面，要求支付机构建立风险准备金和赔付机制，并对不能有效证明因客户原因导致的资金损失使用风险准备金及时予以先行赔付（第三十七条）；

差错争议和投诉处理方面，要求支付机构建立健全相关服务机制（第四十一条、第四十二条、第四十三条、第四十七条）。

《办法》在起草期间广泛听取了支付机构、商业银行、专家学者、自律组织和消费者意见，较为完整的体现了引导支付机构建立完善的风险控制机制和客户权益保障机制，加强监管机构对消费者权益保护的思路。

编者注：本文仅代表作者个人观点。

【文章来源：“金羊毛工作坊”微信公众号，腾讯财经已取得授权，再次转载需得到原公众号授权】