浅谈移动电子商务的风险与防范

浅谈移动电子商务的风险与防范移动电子商务作为电子商务的一个分支正在蓬勃发展，移动支付以其本身所具有的的方便快捷等优势，以及用户、运营商、服务提供方、银行等各方对移动支付渐趋明朗的态度，使得我国大力发展移动支付的时机逐渐趋于成熟。

所谓移动支付就是用户使用手机、掌上电脑、笔记本电脑登移动电子终端和设备，通过手机短信、IVR（即互动式语音应答，是基于手机的无线语音增值业务的统称）、手机上网业务WAP（无线应用协议）等多种方式对所消费的商品或服务进行账务支付、银行转账等的商务交易服务。

一、移动支付流程

一般来说，移动支付系统包括四个部分：消费者、商家、金融机构和移动运营商。移动支付流程见下图。

1.消费者选择商品，发出购买指令。购买指令通过无线运营商支付管理系统发送到商家商品交易管理系统。

2.商家将消费者的详细购买信息通过无线运营商支付管理系统发送到消费者手机终端进行确认操作，得到确认后再继续往下操作，否则停止。

3.消费者确认支付后，无线运营商支付管理系统记录详细的交易记录，同时通知金融机构在商家和消费者的账户间进行支付和清算，并且通知商家提货或提供服务。

4.商家供货或提供服务。

5.交易结束。

从上述流程可看出，移动运营商的支付管理系统是整个支付过程中具有核心纽带功能的部件，它要完成对消费者鉴别和认证、将支付信息提供给金融机构、监督商家提供的产品和服务、进行利润分成等等。

消费者发出购买指令时，消费者的权限和开户行账号等信息先传到移动运营商的支付管理系统，而不是商家系统。移动运营商只知道消费者的账户可用额度信息，初步判断消费者是否有足够的余额进行购买。消费者的开户行账号详细信息由金融机构进行管理，接到经消费者确认的支付指令后，由银行进行账户处理、支付和清算。移动运营商不能进行消费者账户处理，商家更不可以进行消费者的

账户处理。这样，避免了消费者被欺骗的可能性，同时由于消费者的个人资料不是存放在商家系统中，也保护了消费者的隐私权。

二、移动支付的安全问题

移动支付面临的环境非常复杂，它不仅仅同普通的电子商务安全体系一样存在被外部恶意攻击的可能，而且由于移动支付的参与者存在着种种利益方面的冲突。使得一些不诚实的参与者也有向系统发起攻击的可能。同时加上网络和移动环境等差强人意，网络带宽不足，终端计算机能力相对较弱，这种种因素为安全的移动支付系统的设计好实施带来了相当大的困难。移动支付系统的主要安全问题如下方面：

1、移动支付信息的机密性。商家向移动支付平台传递的产品信息、买家付费的账户信息以及在移动支付平台上传输的机密信息，有可能在网络上传送或存储的过程中被他人窃取、泄露或披露给未经授权的人或组织，造成用户损失。不安全的移动终端也有可能使个人账号、密码等敏感信息受到病毒、木马程序的攻击，威胁用户银行账号安全。移动支付的WAP协议中存在一个安全漏洞：服务器到WAP网用SSL（安全套接层）加密的信息需要在WAP网关解密后，再用WTLS（无线传输层安全）加密后发送出去。这样尽管内容服务器到网关，网关到终端用户是安全的，但信息层一明文形式在网关上存在了一段时间，这就有可能被攻击者窃取，造成安全隐患。

2、移动支付信息的完整性。敏感、机密信息以及买卖双方与移动支付平台间的数据可能被未授权者修改、嵌入、删除、重复传送或由于其他原因使原始数据被更改。如果没有一种让持卡人认可的措施来确保支付过程是安全的，将极大影响用户选用移动支付的信心和积极性。

3、移动支付多方身份的认证性。移动支付是在支付各方见不到面的情况下，使用移动终端通过移动通信网址进行的交易。移动用户与服务提供商之间不存在固定的物理连接，很难确认彼此的合法身份，建立信任关系，保证支付全过程的安全进行。

三、移动支付的风险与防范措施

基于无线通信和开放性传输的移动支付给人们生活带来方便和快捷的同时，也存在着较高的潜在风险，容易遭受非法入侵和恶意攻击。对移动支付的风险进行分析，制定与之相关的安全策略，有助于移动支付的健康发展。

1.风险分析。移动支付的风险集中于三个方面：技术风险、法律风险和信誉风险。短信支付密码被破译、实时短信无法保证、身份识别缺乏和信用体系缺失是移动支付面临的主要技术难题。手机仅仅作为通话工具时，密码保护并不是很重要；但作为支付工具时，设备丢失、密码被攻破、病毒发作等问题都会造成重大损失。在由移动运营商、金融机构、商家和消费者共同支撑的移动支付运行架构中，任何一个环节出现问题，整个框架都面临着坍塌的危险。

大多数国家在移动支付方面的法律法规还不完善，交易各方权利和义务规定的也不明确。比如，我国消费者保护法对手机银行运作的适用性还不明确，客户通过电子媒介所达成协议的有效性也具有不确定性，使得移动支付在交易中存在着法律风险。

开展移动支付，可靠的服务平台至关重要。金融机构要能够持续提供安全、准确和及时的移动金融服务；移动运营商的服务质量也要有保障，如果客户访问

其资金或账户信息时遇到严重通讯网络故障，将会造成客户对移动支付服务的怀疑和不信任，引发信誉风险

2.防范措施。在技术风险防范方面，要保证数据的保密性和完整性、系统的完整性、用户的身份鉴别、灾难恢复性和操作的不可否认性。针对这些问题，必须对敏感信息进行全程数据安全加密；系统中配备适当的安全措施如防火墙、侵入窃密检测系统、监视控制系统等；对访问系统的用户进行身份鉴别；装备必要的恢复和后备系统；使用数字签名等。

在法律风险防范方面，首先要充分利用我国现行法律来拟定移动支付相关协议，如《合同法》、《会计法》、《票据法》、《支付结算办法》等；其次，技术安全上充分利用目前执行的关于信息技术安全方面的行政法规，如《中华人民共和国计算机信息系统安全保护条例》等；最后，银行应注重交易数据的保管，为可能的纠纷或诉讼做必要准备。

在信誉风险防范方面，重点要防范操作风险和利用移动支付进行金融欺诈的行为。完善移动支付系统中各相关部门的制度规范，加强对人员的管理，防范操作风险；随着移动支付业务的不断拓展，应对重点客户加强监控，防范金融欺诈问题的发生。