【导读】 如今，网上支付平台给消费者带来便捷、高效的体验，同时也引发消费者对移动支付安全的担忧。近日发生多起手机卡被冒名补办后支付宝账户余额被他人收入囊中的案例。《天天315》今日聚焦：盗刷支付宝成为产业链，互联网金融安全隐患须重视。

　　央广网财经北京3月16日消息 据经济之声《天天315》报道，我们每个人可能都遇到过手机长时间没信号的情况，通常我们会以为这只是网络或者手机出了故障，不会想到还有可能面临支付宝账户被盗刷的风险。最近，北京的单先生就经历了这样糟心的事情：在出差过程中，单先生的手机突然没有信号了。他本以为是手机出现故障，但回到北京后才发现，手机SIM卡已被不法分子补办。同时，支付宝中的6万5千元以及捆绑银行卡的2000元也不翼而飞。让单先生纳闷的是，补办SIM卡，为什么能盗走自己支付宝中的资金？支付宝的账号和密码是怎么流出去的？再遇到这样的事件，又该如何防范呢？今天的节目我们邀请到中国互联网协会研究中心秘书长胡钢、北京潮阳律师事务所律师郑传锴，和大家一起来聚集这一话题。

　　最近几年互联网已经和我们的普通百姓息息相关，同时互联网金融的介入包括一些网上的购物等等一些资金来往的方式也是导致很多的可能新的一些问题就在互联网当中凸现了，特别是跟钱有关的事情，比如说刚才我们谈到的单先生的案例，单先生的手机丢了，被别人补办了SIM卡，可是为什么能盗走单先生支付宝中的资金呢？这和支付宝的安全设置是不是会有很大关系？

　　郑传锴认为，这应该是支付宝一个严重的漏洞，因为支付宝可以绑定手机，进行手机支付，但是它又同时设置一个利用手机来找回密码这样一个功能，那么，一个最基本的道理，我们不能把鸡蛋放在一个篮子里，就像我们出差不能把重要的证件和现金、手机都放在一起一样，实际上就是一个盗窃行为，这样的一个盗窃行为相当于我把我的现金和密码放在了一起。

　　郑传锴表示，这样的情况还是一种安全设置的一个重大的漏洞，或者是一个理念上的失误。

　　胡钢表示，仅仅就这个案例来说，一般我们的互联网企业在提供互联网相关服务理念它除了你的用户名、密码之外，一般可能还会有一些深度性的密码保护措施，比如说它可能会要求你自己设置一个问题，有可能是自己设置的，类似于这样的相关的技术措施从十几年的邮箱就有了，就别说现在的支付宝了，这些工作应该说是都有的但是也可能是我们的消费者或者说我们的用户没有特别注意相关的安全措施，因为有时候会填很多资料，会繁复，而且现在人往往会有多个网上的虚拟的帐户，然后会对应很多的密码，可能这些帐户和密码管理起来就很繁琐，很多有些朋友可能出于某些便捷或者侥幸的心理，或者说不知情的情况，可能没有设置相关的这种保护措施，结果造成了这种损害。

　　单先生自己也说，他只是给支付宝帐户设置了最基本的一个登陆密码和支付密码，而对于运营商所提供的更加复杂的一些手段没有采用，但是现在涉及到钱上可能就真的挺严重的，那么事情发生之后，单先生马上报了警。警方迅速展开调查，并很快将两名不法分子抓获。据不法分子交代，盗刷支付宝这种犯罪已不新鲜，甚至在圈子里已有了名词叫做"洗宝"。这个"洗宝"是需要很繁琐的一些方法的。第一步就是购买信息。不法分子通过网络购买大量的支付宝账号和密码。

　　支付宝的账号和密码是怎么流出去的？

　　胡钢认为，他恐怕是获得了帐号以及帐号配套的相关的个人信息，然后进行下一步的措施，包括伪造身份证件，补办SIM卡，找回新的密码，然后再盗刷支付宝，这应该是我们这些案例所遇到的一个流程，那么最关键的就是不是帐号也不是个人信息，而是帐号配着个人信息被流出了。帐号和个人信息可能在一个交易当中涉及到的几方，第一是卖家，然后从卖家交给物流方，从物流方到买家，那么物流可能会掌握到你的个人信息，但是掌握到你支付宝帐号的可能性非常小，所以流出这种个人信息加帐号的可能性包括卖家也包括买家，在这方面可能都没有做到很好的防范措施。   

　　胡钢认为，现在很多人都喜欢用智能手机，但是它相应的被侵染、被恶意软件袭扰，被钓鱼的可能性也非常大，所以，他建议大家使用一部最普通的功能手机，就是不带这种所谓通用型的操作系统的，关联你最敏感的相关的帐户等等。

　　对于支付宝用户来说，设置密码的时候有什么需要注意的？

　　郑传锴表示，设置密码的时候尽量不要跟个人的信息相关，手机号、身份证号甚至于自己家人的身份证号、生日都不要用。

　　胡钢则认为，网络密的设置可能是用字母、数字甚至是符号，所以在这里面有一个最基本的原则，长度越长你的安全强度就越大也就是说越安全这是第一点。第二点尽可能不用那种通用的容易记忆的，实际上有时候你做一些变化比如说你比较喜欢的某句古诗，你用它的首字母把它联系起来，但是中间可以插入一些数字，中间有些字母你可以变成大写，而且这些密码应该定期更换。

　　在网络环境中大量的放置资金是不是一个非常危险的事情？

　　郑传锴建议，如果真的需要绑定信用卡的情况下，又不确认很安全的情况下，去银行办一个小额的信用卡，我就专门用来移动支付的，我这个限额可能只有一两千块钱，我可以最大限度的降低我可预期的损失，这样的话相对来说会安全一些。我给他设置好几万的限额，那骗子一刷就是好几万，如果我设置几千块钱的话，最多最多我可能就损失这几千块钱，另外还不一定能看的上我这个帐户，存在这个问题，我这个办法都是一些不懂网络，不懂金融的这些土办法。

　　运营商或者是互联网的企业，他们有没有办法去加强保障用户资金的安全？

　　胡钢称，目前来说互联网企业总体来说是采取了两类措施，第一类措施是不断的改善技术的防范措施，这一方面实际上投入非常巨大的。第二类实际上它引入了相关的责任保险制度，比如说支付宝、腾讯的一些网络金融服务都引入了责任保险，就是说如果你出现了相关的损失，它会让其投保的保险公司来承担损失。

　　上周五央行暂停了腾讯和支付宝在内的虚拟银行卡和条形码支付业务，同时要求暂停期间相关业务要平稳的过渡，央行在这个时候喊暂停，这是什么样的一个考虑？

　　胡钢表示，首先中国人民银行反复强调是暂停不是停止，也就是它是有后手的，或者说它自己也不一定有充足的把握的。在这里面特别强调一点，两会中的政府工作报告，第一次用了这么一个词汇叫做促进互联网金融健康发展，这是互联网金融可能第一次出现在这种非常高规格的政府规范性文件，所以对整个互联网金融是一个巨大的促

　　虚拟信用卡是一个什么样的东西？什么样的含义？

　　胡钢：我们要申请信用卡的话一般来说都需要本人到达我们的银行的网点，这是个物理存在的真的网点，然后当面要提交身份证明、收入证明、资信证明，还要提交所谓的申请书，银行可能要经过两周甚至更长的时间进行审核给你一个适当的额度，但是如果是完全基于网络的话，这种虚拟信用卡可能就是你的认证方式是你的手机，而我们的手机在用，大家都知道有部分手机是非实名登记的，所以在用户的确认方面是存在一些障碍的。事实上我们整个的实名制要达到彻底的有效的真实的程度是非常难的。所以在这种背景下，央行采取相关的措施来加强这种客户身份认证的工作是有必要的。但同时我们要看到，我们央行进行监管一定要坚持一个合法性底线。

　　郑传锴：我个人稍微有点不同的意见，因为央行对于金融机构信用卡业务进行监管，我个人认为还是有法律依据的，因为它虽然是虚拟信用卡，但是它本质上它还是信用卡，所以央行对于信用卡业务它是有权利进行管理的，这是第一。另外，我们讲银行进行形式审查，那么形式审查实际上它在虚拟的环境下对于客户的这种资信进行形式审查再进行授信的过程当中，实际上是进一步的降低了形式审查的标准，我连人都不见面，原来是我要见面，见你的资料，见你的原件和复印件进行审查之后，我才给你进行一定的授信，现在我人都不见面，我可能就见一下资料的扫描件，而且这个扫描件我不一定确保它是真的情况下我就要进行授信，实际上是对于以往的形式审查的标准的突破，它把形式审查的标准降低了，而且我们在以往的业务当中遇到的普遍来说现在矛盾集中的比较突出的几个点一个是大学生被授信，还有一个就是没有支付能力的这些闲散人员伪造证件或者用家人的证件进行这种授信会产生很大的社会矛盾，甚至于直接导致违法犯罪，而且导致一个家庭的破裂，这个我认为银行是有这个责任的，你在进行审查的过程当中不能一再的降低自己的审查标准了。

　　央行宣布的暂停是不是会对我们目前的互联网金融的市场会带来一定的冲击？

　　胡钢：我个人觉得冲击说不上，但是我至少是一个清醒剂，就是说在这种可能是过于喧嚣浮躁的金融网大潮的面前，我们的相关从业人员特别是提供服务的这些具体的工作人员，要保持一颗适当的冷静的心，更加合规的有效的为我们消费者服务。

　　未来在投身到互联网金融大潮当中有什么样的一些注意的东西？

　　胡钢：我觉得如果说涉及到互联网金融和我们普通金融一样，强调两个字，就是说强调风险管理，就是说你自己能承担多少的风险，你在这个风险出现或者说是程度方面有什么样的预期，你如何进行相关的风险偏好的管理，出现了风险如何快速的反映，有效遏制风险的蔓延和扩大，这些都是我们要做的功课，简单一点我刚才特别同意传锴律师提到的，如果是确实是有些，你希望有些快速支付的话，那么不妨像郑传锴律师所提示的，设立一个数额不是很大、金额不是很大的这么一个银行卡来专门用于支付，这样的话你的总体风险是可控的，这样是比较实在的一个建议。

　　郑传锴：一定要明确风险之后，在选择一件事情去进行操作，包括我们的互联网支付，如果你不明确你的安全存在任何风险的情况下就一定要慎之又慎，而且我们互联网支付所面临的风险，往往是不能弥补的，所以更多的强调的是事前防范。