根據(jù)中國人民銀行2009年的統(tǒng)計(jì)，我國已經(jīng)有各類電子支付企業(yè)300多家，大多集中在北京、上海、廣東等經(jīng)濟(jì)發(fā)達(dá)地區(qū)，業(yè)務(wù)種類覆蓋網(wǎng)上支付、電子貨幣發(fā)行與清算、銀行卡和票據(jù)跨行清算及集中代收付等各種業(yè)態(tài)。根據(jù)易觀國際2010年2月發(fā)布的統(tǒng)計(jì)數(shù)據(jù)，2009年全年中國第三方支付交易規(guī)模達(dá)到5808.4億元;2010年第一季度國內(nèi)第三方支付市場規(guī)模達(dá)2081.6億元，其中互聯(lián)網(wǎng)支付達(dá)1999.4億元，環(huán)比增長13%;預(yù)計(jì)到2012年，第三方支付市場的規(guī)模有望達(dá)到12000億元。

　　第三方支付方式雖然方便快捷，但由于當(dāng)前我國電子支付方面的法律較為滯后，對第三方支付市場監(jiān)管不夠，法律地位和責(zé)任均不明確，目前存在的300多家第三方支付產(chǎn)品質(zhì)量參差不齊，魚龍混雜，用戶的交易安全和個人信息存在很大的風(fēng)險。主要問題集中在以下幾個方面：

　　(1)網(wǎng)絡(luò)釣魚導(dǎo)致賬戶信息泄露

　　網(wǎng)絡(luò)釣魚是在網(wǎng)上支付中常見一種攻擊方式，據(jù)稱9成網(wǎng)民遇到過網(wǎng)絡(luò)釣魚，其發(fā)生率已超過木馬，成為危害最大的一種安全威脅。其模式一般為，用戶進(jìn)行網(wǎng)上交易進(jìn)入支付環(huán)節(jié)時，被誘導(dǎo)點(diǎn)擊不安全的鏈接，進(jìn)入與網(wǎng)銀登錄界面幾乎一樣的偽造界面，輸入用戶名和密碼登錄后，其銀行賬戶和密碼就被偽造頁面的惡意用戶全部獲取。

　　這種方式非常隱蔽，警惕性不高的用戶往往在賬戶內(nèi)的資金發(fā)生較大改變時才會發(fā)現(xiàn)，造成的后果非常嚴(yán)重。

　　造成網(wǎng)絡(luò)釣魚的原因可能有二：一是該第三方平臺本身存在安全漏洞，被惡意用戶利用篡改了正常的頁面，或利用平臺賬戶發(fā)送了偽造的電子郵件誘導(dǎo)用戶中招;二是用戶安全意識不足，輕信賣家提供的鏈接或電子郵件，主動點(diǎn)擊了不安全的頁面。

　　(2)未提供安全的登錄方式導(dǎo)致賬戶信息被盜

　　使用HTTPS安全登錄可以很大程度上保障用戶在登錄過程中的安全性，目前規(guī)模較大的、用戶數(shù)量較多的支付平臺都采用這種安全登錄方式，但仍有不少小網(wǎng)站未采用此方式，一旦被惡意用戶盯上，該平臺上賬戶信息被盜取的風(fēng)險極大。

　　(3)第三方支付平臺的設(shè)計(jì)問題導(dǎo)致信息泄露

　　目前不少大型第三方支付平臺要求用戶提供真實(shí)姓名、聯(lián)系方式、住址、銀行賬號甚至身份證復(fù)印件，作為交易雙方信用擔(dān)保的憑證，這是一把雙刃劍，一旦網(wǎng)站設(shè)計(jì)有疏漏，這些信息很容易泄露。

　　另外一個例子，百度通過圖片上的關(guān)鍵字抓取信息，某交易網(wǎng)站—第四媒體分類信息網(wǎng)—了難網(wǎng)”由于安全保密措施不足，用戶提交的身份證信息被百度抓取，放在互聯(lián)網(wǎng)上任人查閱。

　　據(jù)有關(guān)資料顯示，2006年6月，由于安全漏洞被利用，某第三方支付公司的數(shù)據(jù)被竊取，約4000萬張信用卡資料被泄露，有人甚至在網(wǎng)上公開出售這些信息。

　　(4)第三方支付平臺隱私政策不合理

　　由于第三方平臺掌握了大量用戶的真實(shí)信息，它除了應(yīng)采用技術(shù)手段進(jìn)行保護(hù)之外，還應(yīng)該以文件、政策或公告的方式在網(wǎng)站上公開對用戶信息進(jìn)行安全承諾。

　　但目前網(wǎng)站隱私政策的普遍不完整，內(nèi)容不合理，免責(zé)條款過多，不少網(wǎng)站公然將黑客、病毒等引發(fā)的安全問題當(dāng)做“不可抗力”，推卸責(zé)任。用戶為了使用其服務(wù)只能同意該條款，導(dǎo)致發(fā)生問題時維權(quán)艱難。

　　(5)網(wǎng)站服務(wù)終止或權(quán)利人發(fā)生轉(zhuǎn)移時個人信息不能得到保護(hù)

　　由于目前第三方支付行業(yè)競爭激烈，《非金融機(jī)構(gòu)支付服務(wù)管理辦法》實(shí)施之后，一些競爭力不足的機(jī)構(gòu)必將被淘汰，這些公司掌握的用戶信息應(yīng)該屬于保密信息予以嚴(yán)格保護(hù)，但第三方平臺普遍都沒有這方面的承諾，甚至有的網(wǎng)站將“本網(wǎng)站可以隨時終止服務(wù)”作為服務(wù)協(xié)議的一部分迫使用戶默認(rèn)。

　　2009年10月，工業(yè)和信息化部發(fā)布《個人信息保護(hù)指南》(征求意見稿)(簡稱《指南》)，針對使用信息系統(tǒng)的企事業(yè)單位進(jìn)行的個人信息處理行為進(jìn)行了規(guī)定，是第一個專門轉(zhuǎn)對個人信息保護(hù)制定的指導(dǎo)性文件?！吨改稀芬?guī)定相關(guān)企事業(yè)單位應(yīng)制定完善、合理的個人信息保護(hù)政策;在信息收集、存儲、交換、轉(zhuǎn)移、披露、公開、傳輸、交換、刪除、銷毀等等針對信息所進(jìn)行的所有行為中，保障個人信息安全;對個人信息管理單位內(nèi)部機(jī)構(gòu)、風(fēng)險管理、內(nèi)控機(jī)制等進(jìn)行了規(guī)定。

　　其次，為了規(guī)范第三方支付市場，保障網(wǎng)民利益，中國人民銀行于2010年6月21日發(fā)布《非金融機(jī)構(gòu)支付服務(wù)管理辦法》，對第三方支付機(jī)構(gòu)的資質(zhì)、安全要求等進(jìn)行了規(guī)定，并將于2010年9月1日正式執(zhí)行。

　　辦法規(guī)定，辦法實(shí)施前已經(jīng)從事支付業(yè)務(wù)的非金融機(jī)構(gòu)，應(yīng)當(dāng)在辦法實(shí)施之日起1年內(nèi)申請取得《支付業(yè)務(wù)許可證》;逾期未取得的，不得繼續(xù)從事支付業(yè)務(wù)。 辦法第三十二條:“支付機(jī)構(gòu)應(yīng)當(dāng)具備必要的技術(shù)手段，確保支付指令的完整性、一致性和不可抵賴性，支付業(yè)務(wù)處理的及時性、準(zhǔn)確性和支付業(yè)務(wù)的安全性;具備災(zāi)難恢復(fù)處理能力和應(yīng)急處理能力，確保支付業(yè)務(wù)的連續(xù)性?！保浯?，支付機(jī)構(gòu)應(yīng)當(dāng)依法保守客戶的商業(yè)秘密，不得對外泄露。法律法規(guī)另有規(guī)定的除外。

　　國內(nèi)支付企業(yè)從出生之日就處于監(jiān)管的灰色地帶，涉黃、涉賭、欺詐等行為給支付企業(yè)帶來巨大的風(fēng)險和壓力，有些支付企業(yè)甚至違法參與網(wǎng)絡(luò)賭球等行為。新規(guī)實(shí)施在即，第三方支付要想順利獲得“牌照”必先自檢。同時，辦法的出臺，也客觀上促使支付企業(yè)進(jìn)一步加強(qiáng)內(nèi)控管理，避免卷入黃、賭、毒中，更好的為廣大商戶和消費(fèi)者服務(wù)。