互联网金融之困:谁动了你的账户?

时间:2014-05-14 09:02来源:新华网 作者:未知 点击:
当我们讨论互联网的时候,起点是可数据化,可互联网化,大数据,帐户以及平台。关于帐户,我们已经区分了帐户,客户,以及前置和后置绑定等问题。

为什么我们可以轻易地将这些软件服务,移动终端和银行帐户绑定,并天真地以为,所有这些相关企业或金融机构,会对我们负责?

  当我们讨论互联网的时候,起点是可数据化,可互联网化,大数据,帐户以及平台。关于帐户,我们已经区分了帐户,客户,以及前置和后置绑定等问题。

  帐户的必须是实名身份验证的,在此基础之上才能加载服务。例如银行帐户或全球通帐户,虽然两者都是实名,但前者是强实名,后者是弱实名。帐户安全验证的强弱之分,取决于提供帐户服务的机构,在帐户的止付、非授权使用时,帐户提供机构所承担的责任截然不同。

  当我们开立了银行储蓄帐户之后,储户很少感知,此时银行已就帐户的安全,现金存取、汇款结算、投资理财等提供了相应服务。没有感知的原因往往在于储户没有使用这些服务,因此体验不足甚至不佳。

  IT企业提供的电子邮件,支付宝,QQ或微信帐户不是帐户,这些帐号往往是匿名且安全验证十分简便。但可以确信的是,当我们越频繁使用这些软件服务号,其潜台词是这些服务的使用体验越好。理性人必须清晰地意识到,任何体验良好的IT服务,最终都要在服务模式之上加载盈利模式,这是“惊险的一跃”。IT企业的这种先体验后商的模式,和银行帐户的提供方式,在逻辑顺序上是完全相反的。当IT服务不能独立提供,必须绑定银行帐户时,这种绑定是前置绑定,例如买家使用的支付宝。当IT服务率先独立提供,然后被引导绑定银行帐户时,这种绑定是后置绑定,后置绑定的成功率很低,例如QQ和微信的银行卡绑定。

  当然也存在完全无法绑定帐户的软件服务,例如搜索引擎或者门户网站服务,这意味着这些IT企业要获得具有黏性的客户并从中赚钱更为棘手。

  当银行帐户被成功地后置绑定到一些软件服务帐号之上,良好的软件使用体验,可能使使用者建立其这样的信心,即使用后置绑定的银行帐户也将同样便捷。姑且不论便捷性是否能够得益保障,我们需要理解的是,绑定意味着帐户发生了怎样的变化?

  在银行帐户未被绑定之前,银行对客户真实身份的验证,采取了限场景、强实名、多重验证的方式,以确保具有全功能的银行帐户,处于安全和授权的使用状态之下。所谓限场景,在于金融机构往往会清晰地告知客户,其可以接入帐户的场景,例如网点, ATM,网络银行等,这些场景是有限的。所谓强实名,是身份证、家庭地址,紧急联系人等往往是需要的。中国的银行体系也做过许多愚蠢的事情,例如滥发银行卡,使得这些银行卡买卖可以被用于诈骗,洗钱等犯罪行为。所谓多重验证,是银行和收单机构往往会交叉地、反复地验证水身份,例如收银员要求持卡人出具身份证,而卡中心的客服电话有时也要求客户确认正在发生的大额奢侈品消费是否由持卡人本人进行。这些诸多限制必然使客户接入和使用帐户的便捷性受到很大限制。

  在银行帐户被绑定,尤其后置绑定之后,强实名验证帐户以牺牲安全性为主要代价,换取了弱实名,甚至匿名互联网服务的便捷性。绑定意味着对银行帐户的安全性,涉及更多的机构,例如,软件帐号服务企业,电信通道企业,第三方支付企业,数据存储企业,以及银行等。也就是说,银行本身无法独自对银行帐户的安全性承担责任,场景,身份和多重验证都被弱化或模糊了。IT企业对微信等软件服务帐户的密码,中国移动等对客户挂失补卡流程,刷码机具所背后连接的公众网络或者专线网络,IT企业对客户数据的存储,或者作为外包的数据存储商对数据的责任等,每个环节对安全性的要求迥异,这将最终导致银行帐户被未授权使用时,银行无法确认非法使用的具体环节,银行有可能拒绝承担或分担因此产生的银行帐户损失。以扫码支付或网络信用卡为例,其得以使用的最起码的前提,必然包含发卡行认可扫码是其可接受的收单场景之一,而目前,扫码收单不在大多数银行认可的,和持卡人约定的收单场景之中。

  我们或者隐约地会觉得危险,并采取某种软件服务和银行卡解绑的措施,但这也可能是徒劳的。如果IT企业留痕了你绑定时的银行帐户,身份,手机以及密码信息,那么解绑本身可能仅仅意味着IT企业不能公然接入和使用绑定帐户;但数据由员工或者数据存储公司的泄漏,有可能造成解绑帐户的非授权使用,除非IT企业能证明,客户的解绑操作本身,就意味着相关IT企业彻底地,物理地、不可逆地删除了客户在绑定过程中所输入的全部数据。但这些是强烈未知的。

  新近携程的客户银行卡数据泄漏问题,折射了交易留痕在互联网企业是一个普遍的做法。这种留痕可能是法定强制的,例如开卡行对其发行的信用卡的交易记录;这种留痕也可能是未经客户授权,甚至是通过软件硬件的后门或漏洞恶意抢盗的。据说携程仅泄漏了过去一个月在携程有交易的部分客户的信息,并且漏洞在2小时之内就得以弥补,但是银行卡号以及CVV码的泄漏,仍然存在潜在风险,例如,这些杯泄漏信息可能用于无卡交易购买珠宝奢侈品,并用物流快递的方式收货,电商对买家和快递员对收货人的真实身份验证通常都十分粗疏,要侦破这样的案件难度很大。

  从已发生的帐户信息泄漏看,携程客户帐户信息泄漏事件远远不是最糟糕的,甚至只能说是轻微的。在国际上,数据的产生、存储和挖掘是高度细分外包的生态。在美国、韩国等发生的银行卡信息泄漏等严重事态,大多都是数据存储机构出了问题,并通常以不了了之的方式落幕,甚至其他国家的央行要求了解数据泄漏的细节时,都会遭遇敷衍和冷淡。

  未来我们的银行帐户一定在云端,但现在轻易地将自己的强实名帐户,和某种或多种弱实名甚至匿名的软件帐号共同放置在银行体系之外,并且相关软件、电讯、数据等相关企业和银行之间,并未就绑定帐户的安全性及其使用过程中的权责关系有只字片语的话,那么必然的潜在风险是,你轻易放置在云端的银行帐户,将有可能被众多来自云端的匿名黑手所操纵。

  考虑到绝大多数人对帐户,前置绑定,后置绑定等缺乏任何了解和认真思考的兴趣,那么我们不妨考虑一下,在你的微信帐户,手机,银行卡丢失时,腾讯,中国移动以及发卡银行对你所丢失的,是否同样认真在意和愿意承担损失?如果不是,为什么我们可以轻易地将这些软件服务,移动终端和银行帐户一锅煮,并天真地以为,所有这些相关企业或金融机构,会对这锅负责?以及这些企业是否具备充裕的资本金或拨备来扛起责任?

  作者:钟伟

(文章为作者独立观点,不代表本网立场。)

(责任编辑:佚名)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
精彩文章