江朝阳：网络支付必须平衡好效率和安全关系

新华08网2月28日讯 27日，在由新华社国家金融信息中心和中国金融台主办的“互联网  新金融——网络支付安全学术研讨会”上，支付宝大安全副总裁江朝阳认为，在整个网络安全管理上面，必须平衡好效率和安全的关系，网络支付的风险是可以得到有效的管理的。

支付宝（中国）网络技术有限公司大安全副总裁江朝阳发表主题演讲 新华08网 陈周阳 摄

江朝阳认为，在整个网络安全管理上面，必须平衡好效率和安全的关系，也就是平衡好发展和安全的关系。他指出，从网络支付来讲，从创新的角度来讲支付企业希望能带来整个社会效率的提高，推进整个社会效益成本的降低，但是同时必须面对客户的信息安全、资金安全，在发展过程中必须得到充分的保障，这是两边要平衡好的工作。

江朝阳还指出，网络支付的风险是可以得到有效的管理的。传统的支付方式的安全管理，更多的是侧重于客户身份认证的风险管控是基于这些身份认证的安全的管控，但网络支付的风险管控更侧重于行为识别的管控.这个是网络支付风险管控手段和传统线下的风险管控手段最大的差别，

同时，江朝阳表示，任何的网络支付创新和风险控制，都必须把保障消费者权益放在首位。

以下为演讲实录：

江朝阳：前面巴老师和谢总应该说是高见，从宏观的角度看待网络支付安全的问题，我尽量从微观感受到的问题和大家分享一下这些观点。今天主要想讲五个方面的内容，网络支付创新影响的不仅仅是支付本身，能够影响更多的社会行为；支付的创新和发展也一定会面临相关风险的挑战；第三个是网络管理我们觉得应该更好的平衡好发展和安全的关系；第四个是网络支付风险从实践的经验来看是可以得到有效的管理；最后一个观点就说所有的支付创新，所有的风险管理都必须落实到一个点，就是所有的消费者的利益都必须得到切实的保障。

第一个是网络支付创新影响的不仅仅是支付。这个刚刚巴老师和主持人已经用了这个数据，网络的发展非常快，电子商务的发展非常的快，这也是网络支付现在占的社会零售总额的占比不断攀升。从整个网络支付本身，我们会一直在看，网络支付一开始和电子支付本身成长起来，是为了电子支付需要发展起来的支付手段，我们做网络支付的时候一直会关心，电子商务对网络支付的需求到底是什么状况，应该说这是一个实体的过程，电子商务我们看到一个实体的比例，一个网站进来一百个客户访问的话，只有50个客户会进到商品的详细面看商品到底怎么样，到了商品的详情页只有8%的客户决定我要买这个商品，决定买这个商品以后，到这个支付环节，我们目前整个支付成功率我们看的话，大概整个社会网络支付成功率在65-70%之间，所以你可以看到电子商务网站要做一笔生意是非常不容易的，一百个客户进来，可能最后从这个比例看，最后可能只有2-3%一个比例的用户可以最后买成那个东西，所以这个里面电子商务对网络最大的需求是减少客户的耗损，也就是最后一个环节里面支付成功率要尽可能高，这个是电子商务对于网络支付来讲非常高的一个要求。

我以我们做的一个网络支付产品的创新，快捷支付为例做出说明，我们在前年推出快捷支付这么一个产品，这个产品我们经过两年的运作，我们跟踪它的效果，我们看到底怎么样，现在这个快捷支付，一个网络支付产品的创新，它基本上一个可以节省大概3/4左右的交易时间，更重要的是把原来的传统支付成功率从65-70%，提高到90%以上，提高了50%以上的比例，我们如果换算一个数据的话，去年有一亿人用我们快捷支付，大概做了24亿笔支付，按照这个来算，相当于一年给这个社会，因为这个产品的创新，节省了将近5500个劳动力，我觉得一个网络支付创新本身不仅仅对网络支付创新，对整个社会效率提高有非常实际的意义在里面。所以我们可以看网络支付创新提高了整个社会交易的效率。

第二方面，网络支付的创新和发展一定会面临风险的挑战。我们可以看出，网络支付现在面临的挑战大致是几个方面，一个是信息安全，一个是资金安全，一个是在金融合作上的安全，比如套现、洗钱、盗卡这样的问题，无时无刻面临这样的问题。调查显示，消费者过去一年碰到的网络安全大致是这样的问题，虚假的仿冒网站，也就是我们传统说的钓鱼网站，一个假的网站在上面输进你的信息，结果这个信息因为你在一个虚假网站上输入了，信息被盗走了，还用账户和密码被盗的情况，还有木马和病毒，你在机器上中了木马和病毒，导致你在电脑上的行为被操控，还有个人因为自己非常不小心或者其他的方面，个人信息泄露之后导致被诈骗、欺诈的活动带来的网络风险。我们看这些网络支付安全的问题，根本上的原因，来源两个方面，一个互联网环境的复杂性，互联网本身是非常开放，低门槛，每个人都可以共享的环境，在这个环境里面好的人进来了，坏的人也非常低门槛可以进来，他开个网站成本几乎是零，在这个情况下我们永远无法杜绝互联网钓鱼网站，也无法杜绝个人电脑上终端上有木马，或者个人电脑上的病毒，我们生活不能说指望空气里面没有细菌，这是我们必须面对的环境。中国在目前的发展阶段，个人也罢，或者整个产业链相关机构也罢，对信息安全的保护，我觉得可能还没有到那个程度，所以信息泄露的事件，不管是个人的行为还是什么都时有出现，在这个阶段里还是没有办法完全杜绝这两个源头的东西，所以我们做网络支付的时候，我们不可能指望网络支付没风险，网络支付风险是我们在网络发展过程中必须面对、解决的问题。

第三个，在整个网络安全管理上面，我非常赞成巴老师的观点，必须平衡好效率和安全的关系，也就是我们讲发展和安全的关系。从网络支付来讲，从创新的角度来讲我们希望能带来整个社会效率的提高，推进整个社会效益成本的降低，但是同时我们必须面对客户的信息安全、资金安全，在发展过程中必须得到充分的保障，这是两边要平衡好的工作。我们现在要思考的问题，从整个社会的角度，我们怎么评价网络支付风险，或者网络支付安全的水平是到一个比较好的水平，还是比较差的水平，就是这一个我们要思考的问题，网络支付风险水平达到多少才是好的，这个东西我希望我们大家可以从多个角度看，这是国外在线支付风险的状况，这是一个第三方机构的统计数据，大家可以看从2001年开始国外在线支付风险从3.2%降到1%，但是到现在仍然是1%的水平，也就是支付一百块钱，就有欺诈一块钱的损失，这个水平是非常高的，可能是一个糟糕的网络支付风险的水平。但是如果我们切换到另外一个角度来看的话，刚刚巴老师有个成本率的公式，我们会从具体的企业的利润水平来测算的话，我们做一个比较，我们现在比较几种支付方式给企业带来的利润是什么样的，我们现在国内的网上支付风险水平，我们下来大概在行业整个水平在万分之一左右的水平，国外的网上支付的方式是一个mo/to的支付方式，你在网站上输入信用卡的卡号、有效期等就可以完成一笔支付，这种方式它的支损水平大概在1%，我们有几个假设，一个电商买卖一个产品毛利10%的话，国外mo/to支付成功方式大概在90%，可以说在95%以上，因为它没有门槛，只要有信用卡或者借记卡就可以完成。这样我们等出来一个结论，mo/to的支付方式，虽然是1%的支损水平，但是成功率比较我们要高50%以上，所以他带来的毛利要比国内的支付方式增加15%左右，所以反过来看不是说1%就比万分之一糟，是要看相应的支付方式带给社会的收益是多少。而且从消费者的角度来看，我们要看这种支付方式对消费者签约时间的耗用，交易时间的节省，所以我们觉得在评估整个社会网络支付风险水平的时候，要从效率和风险两个角度一起切入。

第四个观点，网络支付的风险是可以得到有效的管理的，这里面我想简单说一下，传统的支付方式的安全管理，更多的是侧重于客户身份认证的风险管控，主要说你必须有你的身份证件到柜台面对面的签约认证过，你做支付的时候要有一张卡片，必须有一个密码才能交易通过，所以是基于这些身份认证的安全的管控，但网络支付的风险管控更侧重于行为识别的管控，因为没有卡，很多时候我们只能根据这个客户的行为识别这笔交易是不是您本人付的，这里面我们看，像传统的现代支付机构基本上你卡对了，密码对了，这个交易就成功，但是在网上的话，你账户对了、密码对了，但是我们还会看你行为对不对，这是非常重要的，如果行为不对，这笔交易还是不会成功，这个是网络支付风险管控手段和传统线下的风险管控手段最大的差别，为什么网络支付我们可以用行为去看，就像刚刚巴老师将的，网络支付过程当中，客户留下的行为信息是非常充分的，只要我们有足够强的数据分析能力，我们是可以通过机器的手段把客户的行为识别出来，这个是和传统线下支付非常不一样的地方。

这里面也是以支付宝为例，我们风险管控的过程是什么样，首先是终端环境的控制，形象的理解就像人的健康一样，人的健康首先要从环境的健康做起，好的空气、好的水、好的生活环境才有健康基本的保证，我们前一段时间也在关心PM2.5，这个是人的健康最重要的东西，所以我们觉得网络支付也一样，所以终端环境的保护是我们要联合产业链的上下游一起为客户营造一个安全的终端环境，减少钓鱼、木马，控制病毒的发生，这个是我们要做的一块。第二个，刚才讲的和传统的类似，我们要做用户的身份识别，也和公安网金融机构、其他的机构合作，对客户的身份进行必要的印证，才能开立这个账户，我们对客户隐私的信息，我们需要有非常系统的手段，让客户的隐私信息得到充分的保证，包括对客户信息的分级、存储的控制，对访问的控制，以及对传输的控制，保证客户的隐私信息安全。第四块就是我们在账户上的保护，我们会有大量的安全产品，就像一个锁一样，有这把钥匙才能开这把锁。第五块应该说是在网上最核心的工作，就是交易行为识别和监控，要求我们积累大量的客户交易行为，通过分析和挖掘，识别每一笔交易到底有没有风险，这些交易实时识别，在一百毫秒内做出反应，到底接受还是拒绝这笔交易，还要进行核查，所以它是一个网络支付风险的管控，是一个立体的管控方式，不是靠一个环节，是靠一个立体的管控方式来做的。这个是我们交易实时监控的图。从目前来看，网络支付的欺诈类的水平和国际相比还是偏低的，低这么多到底是不是比国外真的好，我觉得还要从另外一个角度来看。网络支付安全技术未来的发展，我们可能会看到是往更安全的终端环境，加强产业链，让客户整个环境更加健康，本身他的个人的健康就会得到一个保障。第二个就是我们要有更精准的行为识别，在数据挖掘方面，技术要不断改进和提升。

第五个方面，我们想任何的网络支付创新和风险控制，都必须把保障消费者权益放在首位，为什么在国外1%的支付风险水平大家都能接受，一个是提高了电子商务的效率，商家是有获益的。第二销售价格的利益都得到充分的保障，这1%的支损不是消费者承担，是产业链当中商户、支出机构承担的，这个过程中用户承担了零风险，这1%的风险不是用户承担的，因为有这样的机制，所以大家都能认可、接受这样的风险水平。支付宝也是在这些年建立了我们消费者保障金，我们现在对快捷支付来讲，不是客户做的交易，我们快捷支付是实行全额赔偿的，我们在去年也推出了余额支付这样的支付方式的用户保障，只要是在我们这边实名制的客户用了我们的安全产品，但是它的账户出现风险了，我们支付宝赔偿最高五千块钱，保证让用户在我们创新过程中权益得到充分的保障。

所以在这里也有个呼吁，我们希望在整个网络支付环境当中，要改变以身份认证授权为基础的用户保障机制，现在我们只要卡是你的，密码是你的，输完以后就默认是你做的，造成的损失就持卡人本身承担，我们觉得应该更多的是以操作行为为基础的风险保证，这笔交易到底是不是你做的，如果不是你做的，我们在整个风险分摊机制上，在整个消费者保障机制上面必须充分保证消费者的权益，这个我们是觉得未来在网络支付发展方面应该努力的方向，让消费者利益得到更充分的保障，这个我想也是前面的小结，我们要正视网络安全问题，但是要从社会效益角度看网络支付风险水平，积极推进网络支付风险管理及业务创新，建立一个能充分保障消费者权益的风险承担机制。我就说这些，谢谢。