加拿大公民实验室对移动支付系统进行了一些深入的研究。移动支付系统是一种快速发展的金融技术形式,这些研究将通过一个关于支付宝的案例,概述它们在中国的使用情况——支付宝在中国的发展速度比世界上其他任何地方都快,这将注定它的安全性和数据保护实践正在对数百万用户造成明显影响。
移动支付系统
移动支付系统(MPS)正在改变全球消费,智能手机用户越来越依赖这些应用程序进行日常交易。一些最受欢迎的应用程序包括 Google Wallet,Apple Pay 和支付宝。它们不仅用于在个人之间转移资金,还用于支付工资和账单,以及进行跨币种汇款。包括腾讯和阿里巴巴在内的非银行实体依赖其在电子商务等领域的现有广泛消费者群体,扩展到移动支付领域。
移动支付系统通常要求用户使用他们的电话号码和银行帐户信息注册帐户。除了支付和接收付款外,现在一些 MPS 还存储医院账单支付的医疗记录。通过从点对点交易收集的数据,公司可以提供增值服务,如风险缓解和消费者分析。
收集的支付数据(例如,一个人收到钱的频率或该人经常花费的多少)可以被分析并用于直接营销目的或出售给第三方。随着越来越多的国家转向无现金社会模式,企业甚至银行拒绝现金,MPS 在未来将变得极为重要。
虽然这些平台为用户提供了更多便利和高效的交互,但它们也带来了涉及个人数据传输,收集和存储的风险。一个平台上的大量个人数据也增加了这些 MPS 将成为寻求获取商业,情报,国家安全,执法,反洗钱或恐怖主义融资目的的个人信息的执法机构日益增加的目标的风险。在分析高度集中的移动支付提供商如何控制敏感用户数据方面,中国提供了一个复杂而富有启发性的案例研究。
中国的移动支付系统
也许最迅速、最广泛采用移动支付的最明显例子就是中国,2015 年支付宝(由阿里巴巴分拆出来的蚂蚁金融公司的子公司)拥有约 4.5 亿用户和 68%的市场份额,而腾讯的财付通正在快速增长,占据了国内 MP S市场 20% 的份额。购买国内和国际旅行机票,预约医生,以及呼叫出租车,现在都可以在个人移动支付应用程序内完成。MPS 在中国的流行,使得医院、公共交通系统甚至大使馆都能依靠它们为用户服务。这些应用程序正在欧洲、东南亚和其他司法管辖区扩展其支付和位置跟踪服务,以满足海外中国游客和本地用户的需求。
MPS 平台在中国的飞速发展,让政府迫不及待地填补了监管空白,这引发了一些问题,即:哪些自上而下的规则来保证中国 MPS 的安全和隐私,以及它们可能给用户和与 MPS 合作的中国和海外公司带来的后果。
在一个仍在努力设计有效的数据隐私保护系统的国家,隐私法律、法规和政策的实际执行问题也很突出。鉴于中国政府最近有兴趣利用大数据的力量进行普遍的社会监督和管理,MPS 公司实际从用户那里收集哪些类型的信息?他们如何使用这些信息?他们实施了哪些内部政策来确保用户的数据隐私权受到尊重?这些信息有多安全?如何与第三方,执法机构和政府组织分享这些信息(例如,检测洗钱和恐怖主义融资)?
案例研究:支付宝
支付宝是中国使用最广泛的 MPS 应用程序,也是海外扩张最雄心勃勃的应用程序。该应用程序经常自动推出新的技术功能,并参与试点计划,使用从应用程序派生的数据来生成个人的信用评分,创建一个全国性的社会信用系统。
阿里巴巴集团是一个位于中国的电子商务平台,企业和消费者可以通过该平台向彼此出售和购买。支付宝于 2004 年作为阿里巴巴集团的支付服务推出,并称自己是“支付处理和托管服务”的提供商,可用于处理阿里巴巴平台上的支付。阿里巴巴平台上的大部分交易都使用支付宝。
尽管支付宝最初是在开曼群岛注册成立的阿里巴巴的子公司,但它在 2011 年被分拆为蚂蚁金服下的一个独立实体,以遵守中国的许可规定,这些规定使外资公司无法经营中国的非银行支付公司。支付宝现在是一家中国国内实体。蚂蚁金服与阿里巴巴达成协议,管理双方之间的关系:支付宝以优惠条款向阿里巴巴提供支付服务。
2016 年,支付宝表示,它正在扩展到欧洲,允许海外的中国游客在国外支付商品和服务费用。支付宝国际(Alipay International)总裁 Sabrina Peng 表示:“未来五到十年内,不仅在中国,还在其他国家,目标是吸引20亿人”。为了实现这一目标,支付宝推出了一个国际版本,用于生活在中国以外的用户。支付宝为中国用户保留了一个单独的国内版本。
正如公民实验室在报告中所展示的“一个应用,两个系统:微信如何在中国和国际上使用同一个审查政策”,国际版是从国内版分离出的单个中文应用程序,每个都具有不同的功能,并不总是引起人们的注意,这不是一个新现象。
该报告的调查结果提出了一个问题,即支付宝的中文版是否正在跟踪出国旅行的中国用户,而没有通知他们正在进行此类监控。
零售数据跟踪
支付宝在中国提供一些与众不同的服务,包括与知名的外国零售商和酒店以及中国中央政府的协调。现在,在英国、法国、德国、泰国、日本和台湾的中国游客可以在这些接受支付宝的国家找到销售点(POS)零售商。该应用程序为用户提供地理位置,并为提供额外的附近的观光建议。离开这几个欧洲国家后,中国游客现在可以在海关申请支付宝支付购物的退税,直接退款到他们的支付宝账户。
用户在国内外交易留下的数据踪迹可以描绘出他们的消费金额和消费时间的细节情况。由于公司获得的公民数据丰富,支付宝与中国政府分享此类数据的程度令人不安。
此外,随着支付宝和类似平台对用户越来越重要,可能会出现政府暂停这些账户的威胁。例如,政府可以要求支付宝暂停活动人士和其他个人的帐户,有效地钳制言论自由。
需要更多来自 MPS 提供者的信息,例如透明度报告,以告知用户与政府和执法机构的访问和合作程度。特别是当支付宝和类似的社会信用分发服务与中国政府更紧密地合作时,这种披露极不可能发生。正如“一个应用程序,两个系统”微信报告所显示的那样,国家可以通过这些应用程序对海外中国公民进行“治外法权”控制,这对于中国政府是非常有价值的,不可能放弃。
崭新且越来越个性化的服务
支付宝开始提供的非传统服务包括医院账单支付,学生贷款支付和管理,以及“爱心捐赠”的新形式的健康保险。支付宝与中国国家开发银行(国家政策银行)合作提供利息——免费向大学生提供贷款,支付宝再次管理申请和还款流程。
在与支付宝配对的医院,该应用程序的“后付费”功能允许没有健康保险的人支付医疗费用。还有计划与保险公司合作,使有保险的人只需支付剩余的医疗费用。支付宝还与医院合作,提高医疗服务效率,“客户可以将支付宝账户与医院服务联系起来,让他们在网上注册,获取医疗报告,当然还可以使用支付宝钱包付款。”
这些例子引起了对支付宝收集的个人数据类型以及如何使用这些数据的担忧。例如,收集的健康记录可以由附属阿里巴巴的保险公司访问,影响用户获得健康保险的能力。此外,应用内学生贷款和医疗服务正在规范高度个人数据的共享,并带来重大的数字安全后果。
支付宝适用的风险环境
如何保护数据?
鉴于支付宝已经开始提供的新功能中,存在前所未有的数据收集范围以及相关的潜在安全问题,因此必须反思过去公司安全措施失效的事件。值得注意的是,2011年当支付宝在 PC 上使用时,该公司已与 UC 浏览器合作,该浏览器的安全漏洞已被公民实验室(Citizen Lab)已经调查和公布。2011年12月28日,据报道有1500万至2500万支付宝帐户遭黑客入侵。该公司的公开声明是,只有帐户 ID,而不是密码和财务信息被盗。
2014 年1月,该公司一名前员工下载了 20GB 的用户数据,包括支付宝用户名、联系信息和购买记录,然后他和同伙将其出售给竞争对手,支付宝为此道歉。同样在 2014 年,行业杂志“中国信息安全”发表了一篇文章,详细解释了黑客组织成功进行欺骗尝试的过程,该欺骗尝试将恶意软件植入到真正的支付宝安全更新中。这种欺骗使他们“入侵网站并进行两种类型的手机网络钓鱼,以获取用户的真实姓名、身份证号码、支付宝帐户密码、其他信息,最后是他们的钱。”
在 2015 年,财新报道称,一个支付宝用户在新浪微博上称,在他不知情的情况下,支付宝已被用于授权向五个不同的电子商务网站付款。大约在同一时间,在对这篇文章的评论中,其他用户声称他们的帐户发现了同样的问题,并表示他们需要联系支付宝以删除这些错误的费用。
目前还不清楚这是否是由于黑客攻击造成的,支付宝发言人只是将其称为“设计缺陷”。同样的财新文章指出,支付宝之前曾与中央银行和其他中国监管机构发生过分歧,鉴于该公司倾向于采用新的技术特征,而不是国家可以验证其安全性的速度。
2016年初,Quora 的中文版上有一些名为知乎的帖子,声称支付宝应用程序秘密拍摄了用户的照片以及下载和执行未经授权的文件。在某些情况下,提供了这些过程的屏幕截图。
最后,在2017年1月10日,支付宝在他们的官方新浪微博帐户上确认他们已经解决了一个主要的安全问题,用户可以通过识别他们最近的购买和他们认识的人来重置他们的密码,这一功能使朋友可以在未经授权的情况下访问另一个帐户。
该公司完全不合适的解决方案是仅启用这些形式的用户验证,以便从个人用户的个人电话重置密码。考虑到应用收集进行金融和其他交易的个人用户数据的范围和数量,支付宝的数据泄露历史以及公司对用户安全的傲慢态度令人不安。
QR 码和 NFC
中国支付宝和其他移动支付服务中的许多冲突都与监管机构有关,政府认为这些功能并不完全安全。例如,从2012年,支付宝开始使用快速响应(QR)码,用户在出租车和POS商家进行支付。2014年3月,由于对安全漏洞的担忧以及国家无法对其进行监管,中国人民银行(PBoC)下令腾讯和阿里巴巴暂停使用QR码和虚拟信用卡进行支付。
引述的风险包括可以轻松复制虚拟信用卡,通过使用 QR 码支付进行身份识别和财务盗窃,以及将条形码与钓鱼网站链接的能力。当时政府还表示担心使用虚拟信用卡可能会破坏向全国范围内实名注册的转变。
也是在此期间,国有银行对第三方支付工具可以允许用户转移的金额设置上限。新华社一篇关于暂停的文章指出,在涉及二维码的交易过程中,曾发生过用户个人信息和资金被盗的事件。中国人民银行的冯新亚表示,银行“要求相关在线支付服务提供商提交分析其虚拟信用卡和二维码支付服务安全性的文件......我们将进行安全风险评估”,以及该商家的二维码使用可能很容易被改变,而是用于链接到钓鱼网站。政府还限制用户可以在移动支付应用程序中花费多少资金来减少风险。国家监管机构最终没有明确解释为什么最终允许支付应用程序恢复使用此技术。
QR 码的临时暂停促使支付应用程序寻求安装基础设施以使用近场通信(NFC),这涉及为智能手机和供应商配备该技术,并了解系统如何将磁感应用于彼此相邻的设备进行通信。目前看来,中国主要的移动支付应用程序同时使用 QR 码和 NFC。
关于 QR 码和二维码阅读器的安全和隐私问题的研究,提出了中国政府最初可能关注的一些问题。一项针对 Android 和 iOS 手机上流行的二维码阅读器应用程序的研究发现,“许多二维码扫描器将用户数据转发给开发人员,关于扫描内容,扫描时间,甚至是当时智能手机在全球定位系统(GPS)的坐标,以及特定应用程序开发人员可能感兴趣的众多其他数据元素。“
研究支付宝的 QR 码扫描功能的安全性将在未来进行,研究人员可以开始询问应用程序的阅读器是否是能够识别已被篡改的 QR 码,以便将用户引导到有时会要求提供信用卡信息的恶意网站。支付宝是否有黑白单系统,以防止重复尝试网络钓鱼?虽然支付宝可能通过其他方式收集相同的数据来提供基于位置和附加的服务,但是对于每天进行数百万笔交易的应用内 QR 码阅读器的安全性提出质疑仍然很重要。
生物识别技术
移动支付应用程序与政府之间的监管斗争可能会继续出现,特别是在生物识别支付身份验证等新功能方面。
2015年,支付宝自己的首席安全架构师徐天表示,“通过使用指纹和面部识别,以及其他形式的生物识别认证,我们将提升用户的操作体验和安全感,大大提高了帐户被盗的门槛和成本”。
早在2014年,支付宝就与华为合作提供支付服务,用户的指纹可以验证对后者的 Ascend Mate 7 手机的支付,这种合作关系可能引起人们对华为可能与中国军方的联系以及与受制裁国家的交易的担忧。几个月后,指纹认证系统也扩展到了 iPhone。第二年,阿里巴巴的马云展示了一种潜在的新支付宝功能,即“微笑付费”,用户可以使用面部识别来验证付款。
据财新称,2015年3月,“中国人民银行已经开始致力于阿里巴巴的要求,此前中央银行在1月份与在线技术专家会面。中央银行还开始制定一个监管框架,为实验计划打开大门,这些实验计划为希望在线开立银行账户的互联网用户测试生物识别技术的安全性和实用性”。2015年5月,中央银行宣布了必须评估生物识别数据的传输,并确定其使用的技术标准,然后才能在传统银行中使用。这对移动支付应用程序和其他非传统银行服务的反映程度尚不清楚。
投资安全
重要的是还要考虑支付宝过去和现在为保护用户安全所做的努力。
据新华社报道,“2013 年,支付宝屏蔽了大约15万个网络钓鱼网站,并协助警方打击涉及金额超过1000万元的16个网络团伙,导致35人被捕”。2014年4月,支付宝设立了4000万人民币基金。该公司表示将用于与政府,银行、其他电子商务公司和安全软件提供商合作,以保护用户的安全和数据。阿里巴巴小额信贷服务集团副总裁表示,该基金将专注于“反洗钱,反恶意软件和用户信息保护”。
2014年,支付宝还与上海863信息安全产业园有限公司共同投入1000万元资金,致力于改善信息安全。这些投资的结果尚未公布,正如支付宝2014年宣布将推出一项“与所有参与互联网安全行业的组织分享其风险控制能力......以帮助他们提高能力和加速他们的研究和开发过程”的计划,目前尚不清楚这样的计划将如何在实践中运作,或支付宝通过这些近期投资改善用户数据保护所做的可衡量贡献。
结论
支付宝举例说明了 MPS 如何提供有可能收集高度敏感的个人数据的服务。MPS平台在中国取得的速度未能解决许多关于用户数据隐私和安全如何受到保护的问题。支付宝在中国的成功可能会激发世界其他地方类似应用的采用,因此值得安全社区和政策制定者的密切关注。
随着中国的金融科技将应用生态系统的模型转变为更加集中,一站式的中心,满足所有人的需求,至关重要的是要质疑作为数亿公民数据保管人的公司正在做些什么以确保它是被合法获得和使用。以前的数据泄露和支付宝安全性的失误表明了对改进安全实践的强烈需求。