随着物联网与互联网的不断发展，移动支付不断渗透到人们的生活当中。然而，移动支付业务在快速发展的同时也面临着诸多瓶颈制约，其中最大的挑战就是安全性。在实际操作中，以手机支付为主的移动支付安全包括存储安全、传输安全、认证安全等。只有实现了SIM卡、手机、第三方支付方案的全程安全，移动支付才可能迎来健康发展的春天。

　　一、我国移动支付发展现状

　　由于移动支付发展前景诱人，为了在市场竞争中抢得先机，包括金融机构、移动运营商、设备厂商、软件厂商在内的产业各方均积极布局。

　　中国银联在2002年就推出第一代移动支付业务，提供航空订票、电子折扣券等多种增值服务。中国联通于2008年12月推出了一系列手机支付业务，2010年4月更是和中国银联合作推广银联手机支付业务。2009年5月，中国电信正式推出移动支付业务，包括手机订购、手机缴费、手机银行和手机刷卡四项子业务。2010年，中国移动斥资398.01亿元入股浦发银行，之后力推手机支付业务。2011年7月，银联商务推出便民支付品牌“全民付”，正式进军线下支付领域。2011年，中国银联还推出家庭迷你终端和手机，用户可在家缴纳水电费、订票、买彩票等。

　　支付宝、财付通、快钱、汇付天下等第三方支付机构纷纷推出移动支付产品;中国银联、联动优势、钱袋宝等企业则举行了大规模的市场推广活动;中国移动、中国电信以及中国联通三大移动运营商均正式成立了支付公司。易观国际的报告显示，2014年中国线下便利支付市场交易规模将达到4350亿元。

　　二、移动支付存在的安全问题

　　目前我国的移动支付产业处于早期发展阶段，移动支付安全是首先要解决的问题。调查数据显示，近七成的手机支付使用者最关注的是安全问题。同时，有50.5%的被调查者对手机支付的安全性表示怀疑。目前，影响移动支付安全的主要因素有以下几方面。

　　1.无线网络的安全漏洞

　　由于自身的限制，无线通信网络在给用户带来通信自由和灵活性的同时也带来了诸多不安全因素。在移动通信网络中，移动设备与固定网络信息中心之间的所有通信都通过无线接口传输，而无线接口是开放的，任何拥有适当无线设备的人，均可以通过窃听无线信道而获得传输消息，甚至可以修改、插入、删除或重传无线接口中传输的消息。同时，在有些移动通信网络中，各基站与移动服务交换中心之间的通信媒质不尽相同，相互之间的信息转换也有可能导致移动用户的身份、位置及身份确认信息等资料的泄漏。

　　2.移动设备的安全隐患

　　移动设备的不安全因素主要表现在用户身份、账户信息和认证密钥丢失;移动设备被攻击和数据破坏;SIM卡被复制;RFID被解密等。当手机仅仅当作通话工具时，密码保护并不是很重要;但当手机作为支付工具时，其丢失、密码被攻破、病毒发作等问题都可能会造成重大损失。目前的手机等移动终端普遍缺乏对 RSA、AES等加解密算法的支持，同时在传统的互联网环境中，USB Key被广泛地用作这一用途。然而，移动终端的形态千差万别，对USB的支持并不普遍，USB Key不适合在物联网环境下推广使用。

　　3.信用意识的缺失

　　在手机支付中，一些小额支付可以捆绑在手机话费中，但手机话费透支、恶意拖欠等现象十分常见，信用意识的缺失以及征信体系的不完善，制约了移动信息化的普及和推广。用户普遍对手机等移动设备缺乏安全感，几乎每个人都收到过欺诈和垃圾短信，遍地开花的山寨机包括很多国产品牌手机更是预设了吸费陷阱。这些都将阻碍移动支付业务的正常发展。

　　4.法律法规滞后，技术标准难统一

　　移动电子商务是虚拟网络环境中的商务交易模式，较之传统交易模式更需要政策法规的规范。现有的法律不能有效适应新的电子商务模式，这也给移动支付带来不良影响，造成责任不清，无法可依。手机支付目前还没有一个统一的安全标准，各家企业采用自己的方式进行安全设置。比如，中国移动选择2.4GHz的 RFID-SIM技术;中国联通选择13.56MHz的SIMPass技术;中国电信选择了13.56MHz的SIMPass技术，同时也在个别试点选择了2.4GHz的RFUIM技术;中国银联选择了13.56MHz的SD卡等。这种状况不仅给用户带来了很大不便，也埋下了安全隐患。

　　三、移动支付的安全策略

　　1.尽快建立移动支付安全标准和产品

　　以人民银行为主的管理和监管部门要加强电子支付服务市场的制度建设，强化对电子支付机构的监督管理，制定在线支付、移动支付技术标准和安全规范，组织示范城市开展在线支付、移动支付等基础平台试点工作，推动电子支付互联互通与安全保障体系、金融IC卡检测认证服务体系建设，促进电子支付、金融IC卡的应用与推广。人民银行表示，下一步将继续与各金融监管部门和金融机构协同努力，积极推进金融标准化战略实施，并将在金融基础标准、网银安全和移动支付等重点方面加大制标和贯标力度。同时，目前我国金融银行体系的安全加密算法均采用西方标准，在中国金融体系日益完善和发展的今天，加快具有自主知识产权的国产银行密码算法体系研究显得尤为重要，这不仅关系到个人的账户安全，更涉及国家层面的利益。因此，我国需要尽快推出基于国产银行密码算法体系的一系列产品和应用。

　　2.加强各环节的安全防范

　　在整个移动支付的过程中参与者包括消费者、商户、移动运营商、第三方支付服务提供商和银行。消费者和商户是系统的服务对象，移动运营商提供网络支持，银行提供银行相关服务，第三方支付服务提供商提供支付平台服务。从移动运营商来讲，要严防用户的SIM卡被复制或冒领，可采用实名认证和指纹认证等技术相结合的手段，同时在移动终端上安装金融级安全芯片和加密软件。从终端设备上讲，可以让移动运营商或金融机构统一采购，保障终端设备的安全。消费者要注意设置移动设备使用密码，防止在移动设备丢失时产生不必要的损失。考虑到对密钥存储和使用的安全要求，采用外接的密钥和密码运算载体势在必行。在具体交易过程中，银行和第三方支付服务提供商可通过限额、机卡捆绑、身份验证、多重密码、动态验证等技术手段，防止风险的发生。

　　3.加强支付信用体系建设

　　在移动支付发展较为成熟的欧美国家，金融服务领域信用体系较为完善，信用已经成为一个人在社会中安身立命的基础。此外，欧美信用卡和个人支票使用相对普及，消费者和商家对银行具有很强的依赖性。在这种情况下，欧美国家的公民比较自然和容易接受移动支付。信用是一个社会问题，更是一个文化问题，同时也是手机支付能够形成规模的一个最基本的保障。为深入开展国家电子商务示范城市创建工作，人民银行积极推动电子商务信用服务体系建设，适时启动面向电子商务服务企业的在线信用信息服务平台试点工程建设;研究建立涉信执法信息开放共享和规范信用信息服务的机制、体制，组织示范城市率先开展电子商务信用体系、信用服务标准和信用服务监管等方面的工作，这将有利于推进支付信用体系建设和完善。

　　4.法律和制度层面需要突破

　　目前，我国针对电子支付领域仅有《电子签名法》、《电子支付指引》、《非金融机构支付管理办法》及其实施细则、《电子银行业务管理办法》、《电子银行安全评估指引》等几部法律法规。这些法律法规存在立法层级不高、法律体系不全、执行效力不强等问题。目前世界主要国家和地区以及国际组织均制定了电子支付方面的法律规范，比较有代表性的是美国的《电子资金划拨法》和《统一电子交易法》、欧盟的《欧洲电子商务提案》、英国的《2002电子商务规则》等。发达国家的一些成功实践为我国电子支付法律的制定和电子商务法律体系的完善提供了有益的借鉴。如美国、日本、韩国和欧洲国家，都具备一套完善的法律及支付管理办法，明确产业链各环节在安全保障方面的角色定位，为支付安全提供了一把绿色的保护伞。我国应加快制定《中华人民共和国电子支付法》，从立法宗旨、适用范围、基本原则、电子支付定义、电子支付类型、监管部门、电子支付主体、电子支付审批与认证等方面作出明确规定，为移动支付的制度建设提供法律依据。（文/中国人民银行辽宁省凤城市支行 夏志琼 吴新民）