來源：中國電子銀行網(wǎng)

　　作者：汪晨

　　2015年7月31日，央行[微博]下發(fā)了《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法(征求意見稿)》，這項(xiàng)舉措在電子支付行業(yè)內(nèi)掀起了不小的波瀾。業(yè)內(nèi)人士普遍認(rèn)為，該意見主要有兩個(gè)中心思想：限制經(jīng)營范圍、限制支付額度。

　　此消息公開后，經(jīng)過社交網(wǎng)絡(luò)的傳播發(fā)酵，有一種擔(dān)憂在部分支付業(yè)務(wù)最終消費(fèi)者中間流傳，即正式意見下發(fā)后網(wǎng)絡(luò)支付將被強(qiáng)制限額若干金額之內(nèi)。8月1日上午即有資深業(yè)內(nèi)觀察人士出面辟謠，指出這份征求意見稿中有關(guān)單筆支付金額和年累計(jì)支付金額的限制規(guī)定實(shí)為敦促支付機(jī)構(gòu)加強(qiáng)安全性，在滿足交易用數(shù)字證書或電子簽名驗(yàn)證的進(jìn)行驗(yàn)證的條件后，單筆和年度總支付金額將不受限制，僅由支付機(jī)構(gòu)與用戶雙方的交易契約決定。

　　央行于8月1日上午公布的征求意見稿答記者問中證實(shí)了這一說法，央行特別指出，相對于單位客戶，個(gè)人客戶對支付賬戶余額的實(shí)際屬性和潛在風(fēng)險(xiǎn)的理解程度較低，風(fēng)險(xiǎn)承受能力也較弱，因此相關(guān)限制支付金額的條款著重于保障個(gè)人客戶的資金安全，并通過強(qiáng)化支付機(jī)構(gòu)對客戶資金支付安全驗(yàn)證等級與限額相關(guān)聯(lián)的管理要求，引導(dǎo)支付機(jī)構(gòu)在保障客戶資金安全和支付便捷性方面兼顧平衡發(fā)展。

　　記者綜合業(yè)內(nèi)人士和央行兩方的解讀，進(jìn)一步向相關(guān)安全技術(shù)專家求證“規(guī)定支付限額為促進(jìn)安全保障升級”的說法，得到了肯定的答復(fù)。中國金融認(rèn)證中心安全專家劉通認(rèn)為，征求意見稿第二十七條到第二十九條，定義了用于支付交易驗(yàn)證的三類要素，規(guī)定采用包括數(shù)字證書或電子簽名在內(nèi)的兩類(含)以上要素進(jìn)行驗(yàn)證的交易，單日累計(jì)限額可由支付機(jī)構(gòu)與客戶通過協(xié)議自主約定，而不采用證書或數(shù)字簽名作為驗(yàn)證要素的，則必須設(shè)定日累計(jì)限額，這說明證書及數(shù)字簽名具有最高的安全級別。這樣的規(guī)定可以讓支付機(jī)構(gòu)提升安全防護(hù)能力，逐步建立銀行級別的安全認(rèn)證體系。此外，第三十條到第三十二條，要求支付機(jī)構(gòu)制定突發(fā)事件應(yīng)急預(yù)案，建立災(zāi)備系統(tǒng)，并每年開展全面評估，可以促進(jìn)支付機(jī)構(gòu)提升系統(tǒng)運(yùn)維水平，保障業(yè)務(wù)連續(xù)性和系統(tǒng)安全性。

　　關(guān)于我國電子支付行業(yè)數(shù)字證書與數(shù)字簽名的應(yīng)用現(xiàn)狀，有業(yè)內(nèi)人士指出，電子簽名在我國尚未廣泛普及，同樣移動端數(shù)字證書也面臨小眾化，用戶認(rèn)知度低的境遇。在第三方支付行業(yè)，數(shù)字證書與數(shù)字簽名的應(yīng)用幾乎淪為雞肋。因此有一種看法認(rèn)為，監(jiān)管層將通過政策引導(dǎo)第三方支付行業(yè)廣泛啟用數(shù)字簽名與數(shù)字證書技術(shù)，提高安保等級，保護(hù)消費(fèi)者權(quán)益。

　　另一位業(yè)內(nèi)專家認(rèn)為，國家工信部于2015年出臺了“電子認(rèn)證服務(wù)管理辦法”，結(jié)合央行新頒布的征求意見稿推斷，該管理辦法的適用范圍今后將有可能進(jìn)一步涵蓋第三方支付機(jī)構(gòu)，也就是說關(guān)于數(shù)字證書的要求，銀行和第三方支付機(jī)構(gòu)是一樣的。

　　業(yè)內(nèi)專家詳細(xì)解讀“電子認(rèn)證服務(wù)管理辦法”具體條款，進(jìn)一步提出以下觀點(diǎn)：監(jiān)管部門要求強(qiáng)化客戶身份信息核實(shí)，加強(qiáng)支付賬戶實(shí)名制管理，要求支付機(jī)構(gòu)通過外部渠道對客戶信息進(jìn)行多重驗(yàn)證，具體驗(yàn)證渠道包括但不限于公安，工商，教育，財(cái)稅等管理部門及商業(yè)銀行，征信機(jī)構(gòu)等單位所運(yùn)營的，能夠有效驗(yàn)證客戶身份基本信息的數(shù)據(jù)庫或系統(tǒng)。綜上所述，即要求支付及互聯(lián)網(wǎng)金融行業(yè)全面提升軟硬件水準(zhǔn)，從技術(shù)層面提升支付交易安全水平。

　　專家解惑

　　為什么數(shù)字證書和數(shù)字簽名能全面提升支付交易安全性

　　據(jù)介紹，因?yàn)閿?shù)字證書是由第三方認(rèn)證中心對用戶身份進(jìn)行嚴(yán)格的審核后，為用戶頒發(fā)的，它通過公鑰加密技術(shù)對用戶的公鑰信息和用戶的身份信息做了數(shù)字簽名，把用戶所宣稱的身份信息與公鑰綁定在一起。于是，包含有用戶個(gè)人身份信息，公鑰和數(shù)字簽名的一個(gè)特殊的電子文件就形成了數(shù)字證書。數(shù)字證書通常存儲在usbkey硬件設(shè)備里。

　　采用數(shù)字證書進(jìn)行電子簽名，可以解決交易信息的完整性和有效性，并且不可被抵賴。

　　如果某甲用自己的證書私鑰加密交易信息，傳給某乙，某乙可以用某甲的公鑰來解密信息。這時(shí)，這個(gè)被加密的交易信息，例如支付的金額，賬號等就是完整的，有效的，同時(shí)也是不可抵賴的。這是因?yàn)槟臣椎乃借�是世界唯一的，別人不可能掌握，如果有人篡改了加密信息，某乙將無法解密。那么從效用上講，這個(gè)用私鑰加密交易信息的動作就像為一個(gè)文件簽名蓋章一樣，經(jīng)過“簽名”后的信息是完整，有效的，不可篡改，也是不可抵賴的。

　　支付交易最關(guān)鍵就是安全問題，通常支付系統(tǒng)會根據(jù)安全級別設(shè)定交易限額，而存在硬件中的數(shù)字證書技術(shù)能夠解決身份認(rèn)證，防抵賴，防篡改，安全傳輸?shù)汝P(guān)鍵安全問題，所以采用數(shù)字證書技術(shù)的支付業(yè)務(wù)可以設(shè)置最高交易限額。