在當前的支付安全形勢下，為有效防范電信網絡新型違法犯罪、保護人民群眾財產安全和合法權益，人民銀行認真落實黨中央、國務院決策部署，積極與相關部門齊抓共管，著力推動支付產業各方攜手合作，共同構建電信網絡欺詐風險管理體系，全面加強個人信息安全保護，提升支付交易安全強度，切實營造健康、可持續的支付發展環境。

　　加強研判，正確認識支付行業發展與安全形勢

　　近年來，技術創新與支付業務深度融合發展，技術創新扮演著越來越重要的角色，逐步由支撐業務向引領業務轉變。一是支付產品形態不斷推陳出新。密碼學、安全芯片、大數據等技術的應用，使支付方式由紙質票據、卡基支付向網絡支付發展，支付介質經歷了從現金、支票、磁條卡、芯片卡到移動終端的演進過程，形成了豐富多樣的支付產品體系。二是支付服務向移動化方向發展。移動通信技術的不斷升級和手機APP的逐步普及，使移動支付方式日益受到青睞。移動支付憑借其終端便攜、受眾面廣等優勢，能夠及時捕捉長尾客戶需求，打破線上線下支付服務邊界，為公眾提供全天候、全方位、一站式的金融服務，成為推動數字普惠金融的重要手段。三是支付入口成為提升產品競爭力的關鍵。在互聯網時代，支付業務競爭本質上是流量的競爭，而決定流量競爭成敗的關鍵是對支付入口的把控程度。根據場景應用掌握支付入口有助于快速聚合大量用戶和商戶資源，有效提升公眾對支付產品的使用黏性與忠誠度。四是支付參與主體呈現多元化。傳統支付業務相對封閉、參與主體類型較為單一，商業銀行是主要的支付服務提供方。而隨著我國電子商務的蓬勃發展，越來越多的互聯網企業憑借技術優勢，依托多年積累的客戶、商戶、供應鏈資源，紛紛參與到支付生態體系中來。

　　支付行業快速發展的同時也面臨諸多挑戰，支付安全形勢仍不容樂觀。由于互聯網的虛擬化、支付服務的移動化、參與主體的多樣化，支付行業在敏感信息保護、客戶資金安全、業務連續性等方面面臨較大壓力。相對于傳統支付，網絡支付風險呈現出蔓延速度快、隱蔽性強、潛伏期長、外溢效應明顯的特點。針對手機的電信網絡欺詐手法不斷翻新，更是加劇了支付風險防控的難度，給公眾財產安全造成危害。因此，我們要秉持理性、科學的態度，深挖支付安全問題根源，只有找準癥結所在，才能對癥下藥。

　　追根溯源，深入剖析當前支付安全問題

　　1. 信息泄露是支付安全問題的風險源頭

　　近期一些個人信息泄露事件成為社會輿論的焦點，不法分子利用泄露數據刻畫客戶身份并實施精準詐騙，影響十分惡劣。竊取信息已成為實施電信詐騙犯罪的基本作案條件，也是造成支付風險的源頭。探究信息泄露事件高發的原因，一是電子商務、通信服務、網絡支付等高速發展，酒店、醫院、物流、保險、商業零售、房屋中介等傳統行業的數據存儲方式也開始由本地存儲轉向網絡存儲、云端存儲，大量客戶信息暴露在互聯網環境中，內容涉及身份證號、手機號、賬號、家庭住址等，容易造成信息批量泄露。二是一些機構和消費者個人信息安全保護意識薄弱，沒有認識到個人信息泄露的潛在環節及其帶來的危害。消費者經常通過互聯網、移動終端甚至面對面等方式，輕易將個人信息提供給他人;部分機構開展業務合作時，常常將自身所掌握的客戶信息作為資本和籌碼，甚至將數據資源隨意共享，導致信息被濫用。三是非銀行機構逐步參與支付業務，拉長了支付鏈條。不同參與主體的風險防控能力參差不齊，風險洼地效應明顯，容易向產業鏈相對薄弱環節聚集，鏈條中任何一個環節出現問題，都可能造成信息泄露。四是不法分子竊取信息的方式花樣繁多，從面對面或冒充客服方式向遠程化、專業化方向升級，形式由單打獨斗向團伙作業發展，網上非法買賣信息猖獗。

　　2. 電信網絡欺詐是當前造成支付安全問題的重要渠道

　　電信網絡欺詐實施成本低廉，隱蔽性與成功率高，成為支付安全問題產生的主要渠道，嚴重侵犯公眾財產安全，給支付體系的前中后臺都帶來巨大挑戰。在支付前臺，不法分子通過“偽基站”短信、條碼掃碼等手段將木馬程序植入手機，感染、操控支付客戶端軟件，偽造交易指令;也可利用網絡釣魚仿冒真實的客戶端軟件或官方網站，達到“以假亂真”的目的，誘騙客戶在虛假界面輸入敏感信息。在支付中臺，不法分子通過非法改裝POS機，進行磁條側錄，盜取銀行卡卡號、密碼等，并制作偽卡盜刷資金;也可利用“偽WiFi網”劫持通信網絡實現中間人攻擊，截取、篡改支付交易指令。在支付后臺，不法分子利用業務系統的安全漏洞和設計缺陷，通過非法腳本注入等手段攻擊服務器，批量竊取、偽造數據，實施拖庫、撞庫。

　　3. 財產損失是支付安全問題的直接危害

　　此前發生的大學生受騙殞命和教授受騙千萬資財等事件令人痛心遺憾。不法分子處心積慮實施欺詐，最終目的是突破支付體系中賬戶和交易的安全防護轉移受害者資金，并實現贓款變現。賬戶和交易安全是資金安全的關鍵，對其中暴露的問題我們要深刻審視、認真反思。線上交易安全方面，受“重便利、輕安全”的觀念影響，部分機構片面追求便捷的用戶體驗，忽視信息和資金的安全防護。以快捷支付為例，業務開通環節和交易環節身份驗證的強度普遍較弱，交易額度與安全認證強度不匹配，一旦銀行卡卡號、手機號被泄露，不法分子就可能通過快捷支付繞過商業銀行、支付機構的風控體系，盜取客戶資金。線下交易安全方面，由于磁條卡本身不具備加解密功能、易被側錄復制，因此線下欺詐行為主要集中在磁條卡偽卡欺詐交易。磁條交易安全驗證主要依靠交易密碼，不法分子通過窺探、密碼鍵盤附膜甚至從數據庫批量獲得交易密碼后，利用POS終端進行支付或套現。

　　4. 風險意識不足是導致支付安全問題的重要因素

　　金融的本質在于經營風險，風險管理始終是金融行業的一項基礎工作。在互聯網與金融服務融合發展的背景下，部分從業機構和消費者對信息泄露與電信網絡欺詐的影響范圍、嚴重程度估計不足，風險防范意識沒有跟上，防范措施也不到位。一是部分傳統金融機構風險意識錯位，仍沿用老一套的風控思維和手段，以不變應萬變，對支付安全風險由線下逐步轉移至線上的形勢沒有做好充分準備，對開放互聯環境下的風險傳導、放大效應的應對能力不足。二是部分非銀行支付機構風險意識缺位，受網絡開放、極簡思維影響，在支付產品設計、服務模式創新方面往往更多地關注用戶體驗，沒有正確處理安全與效率之間的辯證關系。三是部分消費者忽視支付安全，將快速、便捷體驗作為評價支付產品的首要標準，風險意識薄弱，對支付風險表現形式缺乏認知，風險識別能力也有待加強。

　　多措并舉，切實防范支付安全風險

　　11月7日，全國人大常委會通過了《中華人民共和國網絡安全法》，這是我國網絡安全工作的里程碑，意義重大、影響深遠。我們要學習好、理解好、貫徹好網絡安全法，將其作為加強信息保護和支付安全、打擊電信網絡欺詐最有力的法律武器。要統一思想認識，高舉網絡安全法的大旗，加強聯動、凝聚合力，在防范機制、管理措施、宣傳教育上常抓不懈，把防范支付風險貫穿于支付產業各個環節，切實維護人民群眾的財產安全。

　　1. 正確把握安全與發展的關系

　　網絡安全事關廣大人民群眾生命財產安危。安全與發展是對立統一、緊密聯系的，發展是第一要務，安全是第一責任。近年來，支付體系建設取得顯著成效，在促進經濟社會發展方面發揮了重要作用。但是我們必須清醒地認識到，支付行業要取得長遠發展，就必須擺正安全與發展的關系，從知行合一上下功夫，辯證看、務實辦。在思想上，要正確認識安全為了發展、發展必須安全的辯證關系，牢固樹立以安全為根基的發展理念，把支付安全與產品創新、服務優化、產業升級緊密結合起來，轉變“重發展、輕安全”的觀念。在行動上，要固守安全底線，寓安全于發展，注重支付安全能力建設，認真落實支付安全管理要求，從業務系統、風控措施、管理制度等方面查漏補缺，在實踐中探索兼顧安全與發展的業務模式，堅決走與發展相匹配的安全路徑。

　　2. 合力構建電信網絡欺詐風險管理體系

　　電信網絡欺詐防范涉及的部門多、范圍廣，關乎百姓切身利益，是一項系統工程。各機構要強化部門協同聯動，尋求風險管理效能最大化，將風險防控關口前移，合力構建電信網絡欺詐風險管理體系。事前要健全支付風險內控管理制度，強化風險管理主體責任，加強外包服務機構管理，規范支付機構與銀行間報文接口和支付指令，定期開展業務系統外部安全評估和內部審計。事中要利用大數據分析、用戶行為建模等手段，建立交易風險監控模型和系統，運用IP、MAC地址、終端設備標識、瀏覽器緩存等信息綜合識別異常交易，并及時采取附加驗證、拒絕請求等手段。事后要充分發揮緊急止付、快速凍結機制作用，協助相關部門開展交易信息追蹤、賬戶止付和凍結，利用技術手段及時阻斷資金轉移通道。

　　3. 全面加強個人信息安全保護

　　信息泄露是支付安全問題的風險源頭，保護好個人信息是風險防范的基礎工作。各機構要加快信息安全保護技術研究與應用，實現信息全生命周期安全管理。在采集環節，要采用具有信息輸入安全防護、即時數據加密功能的安全控件，嚴禁留存非本機構的敏感支付信息，確有必要留存時，應當取得客戶本人及賬戶管理機構的授權。在存儲環節，要對重要信息關鍵字段進行散列或加密存儲，嚴格控制存儲設備和介質的訪問權限，合理制定備份策略，按照全量與增量相結合的方式定期進行數據備份。在使用環節，要基于SE、TEE技術構建安全可信的手機支付環境，采取可靠的密碼技術進行通道加密或雙向認證，利用支付標記化技術對敏感信息進行脫敏處理，從源頭控制信息泄露風險。

　　4. 進一步提升支付交易安全強度

　　保障公眾財產安全是支付行業義不容辭的責任，事關社會和諧穩定。各機構要多管齊下，全面提升支付交易安全強度，給用戶資金加上安全鎖。在賬戶管理方面，要推動賬戶實名制、賬戶分類管理制度切實落地，按照“了解你的客戶”原則，采用科學合理的方法對客戶進行風險評級，審慎確定賬戶功能，對賬戶進行合理分類和動態管理。在身份認證方面，要采用身份鑒別安全強度與交易額度相匹配的多因素認證方式，積極使用基于數字證書、動態令牌設備、客戶行為動態挑戰應答等的技術手段，嚴把業務開通、交易環節的資金進出關口。在轉賬管理方面，要與客戶事先約定交易限額和筆數，針對不同渠道、場景的風險特點，提供實時到賬、普通到賬、次日到賬等有針對性的轉賬方式，最大限度阻斷不法分子誘導客戶進行資金轉賬和贓款變現。

　　5. 持續開展支付安全宣傳教育

　　防范電信網絡欺詐是一場持久戰，要保護群眾、依靠群眾，營造良好的安全支付輿論氛圍，進一步增強公眾對正規金融機構的安全信心。各機構要建立宣傳教育長效機制，加強組織策劃，把宣傳工作與業務發展有機結合起來，走進農村、社區、校園和企業，開展全方位、有特色的宣傳活動，讓支付安全知識深入人心，切實增強公眾參與防范和打擊電信網絡欺詐的自覺性和主動性。在宣傳內容上，既要普及常見支付方式的風險特性和各種身份認證手段的安全強度，也要結合典型案例揭示常見欺詐手法，使公眾了解風險甄別方法，培養公眾“大額重安全、小額講便捷”的支付習慣。在宣傳形式上，要采取自有渠道與新聞媒體相結合的方式，開展貼近公眾、通俗易懂的宣傳活動，夯實防范電信網絡欺詐的群眾基礎。

　　當前支付行業正處于規范發展和優化調整的新階段。如何更好地服務經濟社會和大眾民生，確保支付安全，是每個行業參與者的歷史使命。我們要牢記“支付安全永遠在路上”，正確處理發展與安全的關系，攜手共筑支付安全防線，切實保障客戶資金和信息安全。