近些年，政府部門發(fā)布多個(gè)文件支持電子支付與電子商務(wù)的融合發(fā)展，特別是2016年5月20日國家發(fā)改委等部門發(fā)布的《關(guān)于推動(dòng)電子商務(wù)發(fā)展有關(guān)工作的通知》中提到健全電子商務(wù)支撐體系，推動(dòng)電子支付創(chuàng)新應(yīng)用，大力發(fā)展移動(dòng)支付。一方面隨著監(jiān)管層對支付機(jī)構(gòu)的監(jiān)管收緊，多家支付機(jī)構(gòu)被罰，支付牌照已經(jīng)進(jìn)入存量“洗牌期”，現(xiàn)存支付機(jī)構(gòu)應(yīng)嚴(yán)格遵循行業(yè)規(guī)范開展業(yè)務(wù)；另一方面隨著電子支付應(yīng)用場景的不斷擴(kuò)大，電子支付的安全性也應(yīng)引起人們的重視。

在2009年某電子商務(wù)平臺(tái)和第三方支付平臺(tái)網(wǎng)絡(luò)服務(wù)合同糾紛一案中，由于國家對支付業(yè)務(wù)尚未制定相應(yīng)的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，在發(fā)生黑客攻擊的情況下，無法判定各方是否盡到安全保障義務(wù)，而僅根據(jù)雙方的協(xié)議及雙方提供的證據(jù)認(rèn)定各方責(zé)任，最終法院在判決理由中認(rèn)為電子商務(wù)平臺(tái)負(fù)有當(dāng)妥善保管商戶號(hào)和密碼的責(zé)任，第三方支付平臺(tái)對自身系統(tǒng)的安全和信息保密負(fù)有認(rèn)真和謹(jǐn)慎義務(wù)，其有責(zé)任保證電子支付業(yè)務(wù)處理系統(tǒng)的設(shè)計(jì)和運(yùn)行能夠避免電子支付交易數(shù)據(jù)被泄露，而對于黑客攻擊支付平臺(tái)是否由于電子支付平臺(tái)存在安全隱患，應(yīng)由電子商務(wù)平臺(tái)即商戶承擔(dān)舉證責(zé)任。

分析該判例筆者發(fā)現(xiàn)，由于在當(dāng)時(shí)并未出臺(tái)明確的電子支付行業(yè)標(biāo)準(zhǔn)導(dǎo)致各方責(zé)任的不明確，而在隨后國家陸續(xù)出臺(tái)關(guān)于非金融支付機(jī)構(gòu)的網(wǎng)絡(luò)業(yè)務(wù)規(guī)范中對電子支付的安全性做出了明確規(guī)定。
第一，開戶審核。支付機(jī)構(gòu)為單位開立支付賬戶應(yīng)要求單位提供相關(guān)證明文件，并自主或者委托合作機(jī)構(gòu)以面對面方式核實(shí)客戶身份，或者以非面對面方式通過至少三個(gè)合法安全的外部渠道對單位基本信息進(jìn)行多重交叉驗(yàn)證，并加強(qiáng)對使用個(gè)人支付賬戶開展經(jīng)營性活動(dòng)的資金交易監(jiān)測和持續(xù)性客戶管理。另外，支付機(jī)構(gòu)在為單位和個(gè)人開立支付賬戶時(shí)，應(yīng)當(dāng)與單位和個(gè)人簽訂協(xié)議，約定支付賬戶與支付賬戶、支付賬戶與銀行賬戶之間的日累計(jì)轉(zhuǎn)賬限額和筆數(shù)，超出限額和筆數(shù)的，不得再辦理轉(zhuǎn)賬業(yè)務(wù)。
第二，加強(qiáng)賬戶監(jiān)測。支付機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)對銀行賬戶和支付賬戶的監(jiān)測，建立和完善可疑交易監(jiān)測模型，賬戶及其資金劃轉(zhuǎn)具有集中轉(zhuǎn)入分散轉(zhuǎn)出等可疑交易特征的，應(yīng)當(dāng)列入可疑交易。對于列入可疑交易的賬戶，支付機(jī)構(gòu)應(yīng)當(dāng)與相關(guān)單位或者個(gè)人核實(shí)交易情況；經(jīng)核實(shí)后支付機(jī)構(gòu)仍然認(rèn)定賬戶可疑的，支付機(jī)構(gòu)應(yīng)當(dāng)暫停賬戶所有業(yè)務(wù)，并按照規(guī)定報(bào)送可疑交易報(bào)告或者重點(diǎn)可疑交易報(bào)告；涉嫌違法犯罪的，應(yīng)當(dāng)及時(shí)向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)告。
第三，交易驗(yàn)證。支付機(jī)構(gòu)可選擇靜態(tài)密碼，經(jīng)過安全認(rèn)證的數(shù)字證書、電子簽名，以及通過安全渠道生成和傳輸?shù)囊淮涡悦艽a及客戶本人指紋等進(jìn)行交易驗(yàn)證。
第四，確保交易信息真實(shí)、完整、可追溯。支付機(jī)構(gòu)與銀行合作開展銀行賬戶付款或者收款業(yè)務(wù)的，應(yīng)當(dāng)保存交易渠道、交易終端或接口類型、交易類型、交易金額、交易時(shí)間，以及直接向客戶提供商品或者服務(wù)的特約商戶名稱、編碼和按照國家與金融行業(yè)標(biāo)準(zhǔn)設(shè)置的商戶類別碼；收付款客戶名稱，收付款支付賬戶賬號(hào)或者銀行賬戶的開戶銀行名稱及賬號(hào)；付款客戶的身份驗(yàn)證和交易授權(quán)信息；有效追溯交易的標(biāo)識(shí)；單位客戶單筆超過5萬元的轉(zhuǎn)賬業(yè)務(wù)的付款用途和事由等，以確保交易信息的真實(shí)性、完整性、可追溯性以及在支付全流程中的一致性。

總之，根據(jù)電子支付中可能出現(xiàn)的安全問題，我國已經(jīng)建立健全了多項(xiàng)安全防護(hù)機(jī)制的規(guī)范文件，但是隨著電子支付應(yīng)用場景的增加，支付機(jī)構(gòu)應(yīng)逐步完善電子支付風(fēng)險(xiǎn)管理機(jī)制、建立電子支付災(zāi)難備份機(jī)制等，通過創(chuàng)新技術(shù)及服務(wù)模式以提高整個(gè)電子支付系統(tǒng)的安全水平。