互聯網金融之困：誰動了你的賬戶？

當我們討論互聯網的時候，起點是可數據化，可互聯網化，大數據，帳戶以及平臺。關于帳戶，我們已經區(qū)分了帳戶，客戶，以及前置和后置綁定等問題。


帳戶的必須是實名身份驗證的，在此基礎之上才能加載服務。例如銀行帳戶或全球通帳戶，雖然兩者都是實名，但前者是強實名，后者是弱實名。帳戶安全驗證的強弱之分，取決于提供帳戶服務的機構，在帳戶的止付、非授權使用時，帳戶提供機構所承擔的責任截然不同。


當我們開立了銀行儲蓄帳戶之后，儲戶很少感知，此時銀行已就帳戶的安全，現金存取、匯款結算、投資理財等提供了相應服務。沒有感知的原因往往在于儲戶沒有使用這些服務，因此體驗不足甚至不佳。


IT企業(yè)提供的電子郵件，支付寶，QQ或微信帳戶不是帳戶，這些帳號往往是匿名且安全驗證十分簡便。但可以確信的是，當我們越頻繁使用這些軟件服務號，其潛臺詞是這些服務的使用體驗越好。理性人必須清晰地意識到，任何體驗良好的IT服務，最終都要在服務模式之上加載盈利模式，這是“驚險的一躍”。IT企業(yè)的這種先體驗后商的模式，和銀行帳戶的提供方式，在邏輯順序上是完全相反的。當IT服務不能獨立提供，必須綁定銀行帳戶時，這種綁定是前置綁定，例如買家使用的支付寶。當IT服務率先獨立提供，然后被引導綁定銀行帳戶時，這種綁定是后置綁定，后置綁定的成功率很低，例如QQ和微信的銀行卡綁定。


當然也存在完全無法綁定帳戶的軟件服務，例如搜索引擎或者門戶網站服務，這意味著這些IT企業(yè)要獲得具有黏性的客戶并從中賺錢更為棘手。


當銀行帳戶被成功地后置綁定到一些軟件服務帳號之上，良好的軟件使用體驗，可能使使用者建立其這樣的信心，即使用后置綁定的銀行帳戶也將同樣便捷。姑且不論便捷性是否能夠得益保障，我們需要理解的是，綁定意味著帳戶發(fā)生了怎樣的變化？


在銀行帳戶未被綁定之前，銀行對客戶真實身份的驗證，采取了限場景、強實名、多重驗證的方式，以確保具有全功能的銀行帳戶，處于安全和授權的使用狀態(tài)之下。所謂限場景，在于金融機構往往會清晰地告知客戶，其可以接入帳戶的場景，例如網點， ATM，網絡銀行等，這些場景是有限的。所謂強實名，是身份證、家庭地址，緊急聯系人等往往是需要的。中國的銀行體系也做過許多愚蠢的事情，例如濫發(fā)銀行卡，使得這些銀行卡買賣可以被用于詐騙，洗錢等犯罪行為。所謂多重驗證，是銀行和收單機構往往會交叉地、反復地驗證水身份，例如收銀員要求持卡人出具身份證，而卡中心的客服電話有時也要求客戶確認正在發(fā)生的大額奢侈品消費是否由持卡人本人進行。這些諸多限制必然使客戶接入和使用帳戶的便捷性受到很大限制。


在銀行帳戶被綁定，尤其后置綁定之后，強實名驗證帳戶以犧牲安全性為主要代價，換取了弱實名，甚至匿名互聯網服務的便捷性。綁定意味著對銀行帳戶的安全性，涉及更多的機構，例如，軟件帳號服務企業(yè)，電信通道企業(yè)，第三方支付企業(yè)，數據存儲企業(yè)，以及銀行等。也就是說，銀行本身無法獨自對銀行帳戶的安全性承擔責任，場景，身份和多重驗證都被弱化或模糊了。IT企業(yè)對微信等軟件服務帳戶的密碼，中國移動等對客戶掛失補卡流程，刷碼機具所背后連接的公眾網絡或者專線網絡，IT企業(yè)對客戶數據的存儲，或者作為外包的數據存儲商對數據的責任等，每個環(huán)節(jié)對安全性的要求迥異，這將最終導致銀行帳戶被未授權使用時，銀行無法確認非法使用的具體環(huán)節(jié)，銀行有可能拒絕承擔或分擔因此產生的銀行帳戶損失。以掃碼支付或網絡信用卡為例，其得以使用的最起碼的前提，必然包含發(fā)卡行認可掃碼是其可接受的收單場景之一，而目前，掃碼收單不在大多數銀行認可的，和持卡人約定的收單場景之中。


我們或者隱約地會覺得危險，并采取某種軟件服務和銀行卡解綁的措施，但這也可能是徒勞的。如果IT企業(yè)留痕了你綁定時的銀行帳戶，身份，手機以及密碼信息，那么解綁本身可能僅僅意味著IT企業(yè)不能公然接入和使用綁定帳戶；但數據由員工或者數據存儲公司的泄漏，有可能造成解綁帳戶的非授權使用，除非IT企業(yè)能證明，客戶的解綁操作本身，就意味著相關IT企業(yè)徹底地，物理地、不可逆地刪除了客戶在綁定過程中所輸入的全部數據。但這些是強烈未知的。


新近攜程的客戶銀行卡數據泄漏問題，折射了交易留痕在互聯網企業(yè)是一個普遍的做法。這種留痕可能是法定強制的，例如開卡行對其發(fā)行的信用卡的交易記錄；這種留痕也可能是未經客戶授權，甚至是通過軟件硬件的后門或漏洞惡意搶盜的。據說攜程僅泄漏了過去一個月在攜程有交易的部分客戶的信息，并且漏洞在2小時之內就得以彌補，但是銀行卡號以及CVV碼的泄漏，仍然存在潛在風險，例如，這些杯泄漏信息可能用于無卡交易購買珠寶奢侈品，并用物流快遞的方式收貨，電商對買家和快遞員對收貨人的真實身份驗證通常都十分粗疏，要偵破這樣的案件難度很大。


從已發(fā)生的帳戶信息泄漏看，攜程客戶帳戶信息泄漏事件遠遠不是最糟糕的，甚至只能說是輕微的。在國際上，數據的產生、存儲和挖掘是高度細分外包的生態(tài)。在美國、韓國等發(fā)生的銀行卡信息泄漏等嚴重事態(tài)，大多都是數據存儲機構出了問題，并通常以不了了之的方式落幕，甚至其他國家的央行要求了解數據泄漏的細節(jié)時，都會遭遇敷衍和冷淡。


未來我們的銀行帳戶一定在云端，但現在輕易地將自己的強實名帳戶，和某種或多種弱實名甚至匿名的軟件帳號共同放置在銀行體系之外，并且相關軟件、電訊、數據等相關企業(yè)和銀行之間，并未就綁定帳戶的安全性及其使用過程中的權責關系有只字片語的話，那么必然的潛在風險是，你輕易放置在云端的銀行帳戶，將有可能被眾多來自云端的匿名黑手所操縱。


考慮到絕大多數人對帳戶，前置綁定，后置綁定等缺乏任何了解和認真思考的興趣，那么我們不妨考慮一下，在你的微信帳戶，手機，銀行卡丟失時，騰訊，中國移動以及發(fā)卡銀行對你所丟失的，是否同樣認真在意和愿意承擔損失？如果不是，為什么我們可以輕易地將這些軟件服務，移動終端和銀行帳戶一鍋煮，并天真地以為，所有這些相關企業(yè)或金融機構，會對這鍋負責？以及這些企業(yè)是否具備充裕的資本金或撥備來扛起責任？


本文地址:http://quema.com.cn/artinfo/504.html