电子支付与安全的关系及其经济分析一

来源：ChinaITLab 收集整理作者：出处：巧巧读书 2006-08-08 进入讨论组

　　总论一：电子支付系统的安全是个“系统”的安全问题
　　对于电子支付系统，大多数人认识的安全是单一的，或者说是纯技术上的，其实电子支付是一个广义的范畴，是支付体系与认证体系的综合，它所带来的安全问题自然也需要从多个角度去观察认识。
　　

　　本人认为首先要做的是澄清这一认识，说电子支付系统的安全问题是因为技术上的不完善是没有错的，但技术上的原因只是单一角度认识的结果，要从根本上解决安全问题，就需要从系统的认识出发，需要增加的是对社会整体的控制（社会环境、立法等）、对规律、方法等深入的认识，以及个人的判断力。技术改进是整体运行的结果，只有这样才能减少单一技术的漏洞，从而在电子支付系统的建设上，真正摸索出一条适合中国国情的建设之路，而对它所带来的对社会各方面的冲击，因为从一开始即研究融入建设之中，所以可减少许多盲目，避免在面临问题时的不知所措。
　　
　　其次，安全体系是附属于电子支付体系的，之所以我们对于电子支付系统的建设慎之又慎、考虑再三，主要是信心不足，而存在的原因很大一部分是安全问题，它的存在不仅是因为一部分人怕担风险、怕担责任，更主要的是研究安全问题的人，对安全问题的定义出现了偏差，过分夸大了纯技术的安全问题，不仅把它说成是电子支付系统的“瓶颈”，而且还有“安全问题一日不解决，电子支付一日都难以实行”的论断，如果按照上述的逻辑，美国等西方国家在建设推行电子支付系统时已经解决了安全问题，至少通过这么多年的完善，他们的电子支付系统应该对安全问题"嗤之以鼻”了吧。可事实根本不是这样的，或者说正好相反，直到如今，我们都能很容易的在对NetCheque、CyberCash、FirstVirtual等已经商业化的支付系统评述文章中发现，在技术性的安全问题所强调的支付保密性上，它们所做的分别是“无”、“部分”、“无”，而像NetBill、SET等“完全”做到的支付系统，现在还处于试验中，这是否说明，国外在支付系统建设推广的领先一步，恰恰是因为他们忽视了纯技术的安全问题，更确切地说是把技术性的安全放在了支付系统的从属地位，不是先有安全的技术才有支付系统，而是先有支付系统再逐步完善安全。
　　
　　一说到支付系统，技术安全性总是作为考评的主要依据，安全很重要，但安全的技术方面并不是主要问题；确保安全的技术只是电子支付系统的一个组成部分，不应该成为决定采用电子支付系统的主要考评依据，因为目前我们的安全技术已经处在一个相对成熟的水平线上。这就是说：安全问题是电子支付系统生命力所在，如果不能保证系统的安全性，系统则不能正常启用，从概率上看，目前的系统安全性措施，已经可以保证绝大多数交易支付的安全，如果单从数量上看，安全问题远远少于解决方案。可以这样说，现有的安全讨论是在为解决明天的问题而努力，现有的安全问题已不是现实行动的阻碍，实际上，电子支付系统建设推广的基础条件（包括硬、软件开发，中央银行、商业银行之间的系统连接）已经基本具备，目前密码技术和认证技术已基本成熟，可以开始前期具体工作。那么，我们为什么还在犹豫呢？从客观角度具体地说，我们目前所欠缺的，是对商家和顾客所需服务功能和安全特性的理解，包括安全电子支付市场的全面模型、通用功能、安全结构等，这些并不是技术范围所能涵盖的，安全问题的延伸需要我们在实践中摸索，建立必要的积累改进机制，随着更多的精英参与进来，总结出相应的规律、方法及必要解决因素，从而把握电子支付和安全问题的实质，以及明确两者之间的关系。
　　
　　最后，有必要着重提出的是，在对电子支付系统与安全的认识上，大多数人的观念上存在着误区，或者说存在思维病毒。
　　
　　何谓思维病毒？
　　思维病毒指一种秩序控制，它决定着我们的思维方式和行为方式。同病毒一样，思维方面的病毒也具有很大的危害性。感染了思维病毒，出现的变化就是“你的思维并不总是你自己的”。
　　
　　"随着金融电子化网络系统的覆盖面扩大，服务项目增多，以及金融终端设备向社会延伸，更贴近人民群众生活，在显示金融电子化系统优越性的同时，其安全性受到越来越大的威胁。”以上的说法，乍听起来完全合理，但这种“听起来合理的事物”事实上已经起到了误导的作用，这是一种利于传播的思维病毒。按照用户习惯思维分析，既然威胁不会缩小反而越来越大，那些存在担心的人又怎么会轻易地采用电子支付的方式，即使尝试的人恐怕也会浅尝辄止，如果大家都等待威胁彻底消除，威胁又怎么会随着使用增多显现出来，没有显现凭空想象更谈不上解决了，结果必然是造成应用环境小、用户少的局面，而人们业已形成的对“熟悉的事物”的认同（另一种利于传播的思维病毒），又将造成恶性循环。
　　
　　其实以上说法的本意是：不能忽视威胁，技术上还需要不断地完善。这是说者站在技术专家的角度，告诫人们要做好心理准备。在安全领域里，本就没有什么绝对安全的概念，在面临问题时，推广者如果按照习惯思维去寻求一个完整的、公认的解决方案，那是根本行不通的，因为安全问题的解决是一个长期的、积累式的改进过程，现有的方案只能解决现存的问题，未雨绸缪是必要的，建立面临威胁的意识也是必须的。对广大用户来说，如果因为可能出现的问题而放弃尝试，那只是因为推广者在传播思维病毒，这种思维病毒还表现在推广者的行为观念上。
　　
　　在行为观念上，中西方存在着很大的不同。面临一个同样的问题，如果问题的解决不是在短时间内能做到的，例如电子支付的安全问题，我们的做法往往是回避，就是宁愿不做事，也不能造成损失，或者说怕难以交代，既然安全问题还没有完全解决，就不妨停一停、看一看，直至有把握时才开始行动，我们所秉承的“三思而后行”在这时成为最大的思想阻碍，它所限制的行动到底是否正确呢？事实上，行动所带来的风险是我们没有充分认识到的，我们没有看到的是更大的损失，即因为思考所浪费的机会成本，以及行动所带来的大于成本的收益。
　　
　　美国人在我们看来是很“冒失”的，他们也知道安全问题的重要性，但他们宁愿承担风险，思考在他们看来是必要的，但更重要的是行动。他们冒失的理由其实并不像我们想象的那么简单，这是因为他们有一个比我们完善许多的风险评估体系，以及对未来更准确的认识。我们讲要符合国情，是相对具体的选择，而整体上的衡量标准，我们是可以借鉴的，特别是对市场经济中符合市场规律的经验，就安全问题所带来的风险评估来说，整体利益的考虑是中美两国相同的地方，而美国的成功经验告诉我们，行动是必然的，由此带来的收益也是可观的，晚行动不如早行动。
　　
　　所以说，安全问题是始终存在着的，完全地解决只是人们一个美好的愿望，实际上主要困扰我们行为的，不是技术上的原因，而是观念和认识上的误区。