第 4 章 案例研究--支付宝钱包风险防控分析
随着移动支付的发展,如今的移动支付已经不只是支付工具,特别是在支付行业充分利用大数据等手段与其他行业进行深度合作的情况下,移动支付与移动金融越来越难以区分。随着移动支付应用场景的一再扩展,移动支付正由单一的支付工具向移动金融综合平台发展,也就是移动支付与各行各业的融合发展,这使得移动金融呈现混业发展的态势。作为移动支付行业的龙头老大,支付宝钱包的案例分析具有很强的现实意义。
4.1 支付宝钱包概况。
4.1.1 支付宝钱包发展历程。
说起支付宝钱包,就不得不从支付宝说起。2004 年,支付宝从淘宝网分拆独立,结合当时中国商品经济交换情况和个人信用体系不健全的局面首创第三方担保交易模式,暨在买方和卖方的交易过程中,提供第三方强制担保,假设买卖双方一方或者同时出现问题,由第三方承担责任。此模式的推出无疑是金融领域的一个创举。2008年 2 月 27 日,支付宝推出手机支付业务。2008 年 10 月 25 日,支付宝公共事业缴费正式上线。2011 年 5 月 26 日,支付宝获得人民银行颁发的国内第一张《支付业务许可证》。2013 年 6 月 13 日,余额宝上线,移动理财的加入让支付宝钱包的用户激增。
2013 年 11 月 13 日,支付宝钱包用户数达到 1 亿,支付宝钱包也正式宣布成为独立品牌。2013 年,支付宝完成超过 27.8 亿笔移动支付业务,涉及金额超过 9000亿元,已成为全球最大的移动支付公司。2014 年 2 月 28 日,余额宝已拥有超过 8100万的用户。2014 年 3 月 20 日,支付宝移动端日均有超过 2500 万笔支付。2015 年 7月 8 日,支付宝宣布,支付宝钱包和支付宝两个品牌将合二为一,升级成为新的支付宝,加入了"商家"和"朋友"两个模块,取代"服务窗"与"探索",试图打开 O2O 和社交领域的市场。此外,还增加了亲情账户、借条、群账户等一系列功能。2015 年 9 月25 日起,支付宝和麦当劳进行大数据合作,全上海地区的麦当劳将可使用支付宝支付,并将进一步推广至全国门店,支付宝在 O2O 领域的动作频频。
支付宝钱包由单纯的交易工具逐步向移动金融综合平台转变,应用场景一再扩展,活跃用户也随之激增。
4.1.2 支付宝钱包现状。
众所周知,支付宝的出现是为了满足用户于淘宝网购物时的快捷支付需求,随着淘宝网一步步壮大,支付宝的支付功能也越来越成熟,于是被更多的电商平台所使用。
强支付能力带来巨大的用户量。由于用户的支付行为贯穿线上线下,于是近几年开始,支付宝逐渐在线下发力,便利店,菜市场等处处出现支付宝的身影。2015 年 7 月 8日,支付宝 9.0 上线,阿里称之为十二年之最大变革,加入 O2O 与社交功能,支付宝在场景支付领域的进一步拓展深耕。新版本中,支付宝基于多年的技术积累、用户积累、数据积累,以"支付"与"信用"为两大核心,搭建起全场景支付闭环体系,开始实现由应用向生态的稳健转型。
支付宝已经与超过 200 家金融机构达成合作,为近千万小微商户提供支付服务,拓展的服务场景不断增加。支付宝也得到了更多用户的喜爱,截至 2015 年 6 月底,实名用户数已经超过 4 亿。在覆盖绝大部分线上消费场景的同时,支付宝也正通过多种场景的拓展,激活传统商业,通过互联网方式的营销、大数据服务等,助力传统商业的升级。包括餐饮、超市、便利店、出租车、医院、公共服务等。在海外市场,支付宝也推出了跨境支付、退税、海外扫码付等多项服务。
随着场景拓展和产品创新,支付宝钱包已发展成为融合了支付、生活服务、政务服务、社交、理财、保险、公益等多个场景与行业的开放性平台。支付宝钱包已经超越了支付本身,成为移动互联网时代生活方式的代表。
4.2 支付宝钱包模式分析。
支付宝 9.0 版本的"朋友"与"商家"功能虽然博尽了业界的眼球,支付宝本身亦对新功能寄予厚望,但其本质上依旧是在满足更多场景支付需求上的进一步开拓。
再回首支付宝 app 的发展史,最早只有汇款、转账等功能,满足用户的基础金融需求,之后的城市服务、生活缴费等功能,满足用户的生活金融需求,到余额宝、娱乐宝等产品上线,支付宝 app 已能满足用户的理财金融需求,到 9.0 版本新增社交交融与 O2O,支付宝 app 支持的支付场景越来越多,但每个场景中均离不开其最本质的功能,支付。
截至目前,支付宝已与国内外近 200 家银行建立了合作,合作银行规模与银联不分伯仲,且支付质量与用户体验均远超其他支付产品。支付本身才是支付宝的本,至于其他产品,不论是"朋友"还是"商家",不过是基于支付之本延伸出的产品而已。换言之,只要支付宝保证其在支付领域的绝对优势,就可以延伸出与支付相关的所有产品,只需选择最适合自己的罢了。下图阐述了支付宝模式的演变过程。
如果支付宝只以支付为本,即使其能力再强大,也不过只是一个好用的工具,用户并不会与工具发生强依赖关系,如果有了一个更好用的工具,用户随时可能弃之不用。支付宝亦认识到了只做工具的不足,于是年初时推出了其又一战略性产品,芝麻信用。
基于海量实名用户多年的支付行为数据,借助人民银行征信数据等外部信息,支付宝为每位用户提供了信用评分。高评分用户不仅可于阿里体系内享受"花呗"、"借呗"等金融产品,还可在办理签证等场景享受优惠。在未来的发展中,芝麻信用会成为更多用户的信用证明,用户亦可使用信用评分在更多的场景享受便捷优惠。
鉴于芝麻信用于用户的作用会越来越重要,而欲想增加评分,用户就需要为支付宝提供更多的金融行为数据,即在阿里提供的产品中进行更多的支付行为。在强大支付能力的支持下,支付宝可为用户提供更多的产品,而用户为了获得更高的信用评分,就会更多地使用这些产品。使用产品的用户越多,支付宝获得的数据也就越多,信用体系也就更成熟,从而吸引更多用户,形成良性循环。所谓两仪生四象,支付与信用,就是支付宝的两仪。以支付与信用为两大核心,支付宝为用户的金融支付打造了完整的闭环,基于支付能力可延伸更多产品,而基于信用体系可吸引更多用户。
此时再回头看 9.0 版本上线的"朋友"与"商家"两大产品,"朋友"功能为支付宝提供更多的用户行为数据,以壮大信用体系,而"商家"可为支付宝导流,吸引用户加入支付宝的闭环。如今支付宝已经进入 9.5 时代,支付宝的基础业务继续强化细化;"商家"改名为"口碑",接入的商家越来越多;"朋友"引入"生活圈",继续扩展支付场景;基于芝麻信用的产品也陆续开放。支付宝的闭环已经将越来越多的要素收入囊中。
4.3 支付宝钱包关键风险分析。
同金融市场中的各类机构一样,移动金融机构同样面临着各类型的风险,支付宝钱包自然也不例外。因为诸类风险,支付宝发生过很多案例,也在一定程度上遭受了财产和名誉的损失。支付宝钱包的各种功能,在本质上都是以支付作为基础,只不过有不同的应用场景。本文主要从支付宝钱包移动支付风险的来源的角度,分外部和内部对支付宝钱包的关键风险进行分析。
(一)来自外部的风险。
1.法律政策风险。
移动支付作为新兴产业,如今有关移动金融的法律法规并不完善,而移动支付的产业链比较复杂,涉及的行业领域较多,许多现实问题也就此产生。国内在推动移动支付领域立法方面进度较慢,目前只有《电子签名法》等为数不多的法律法规用于保护移动支付的健康发展,各项法规均未明确规范移动支付中的各种问题,支付宝公司、银行、消费者等参与者遇到问题无法找到法律依据,会纵容金融诈骗等犯罪行为的发生。国内在移动支付的标准制定上也存在滞后性。但同时移动支付又拥有值得争抢的巨大市场,于是移动支付相关政策便成了各方的焦点。移动支付的业务类型多种多样,同时国内非银行机构相对于银行机构而言对移动支付更有兴趣,但移动支付毕竟是金融业务,需要接受相应的制约。比如,2015 年人民银行正式出台《非银行支付机构网络支付业务管理办法》,对支付宝钱包等移动第三方支付应用造成了很大的冲击,号称史上最严的第三方支付规定,应付不当的话会引发一系列问题。对支付宝钱包而言,法律政策风险无法回避,只能积极面对。
2.声誉风险。
声誉风险主要从两个方面看。在用户看来,支付宝钱包作为老牌互联网公司由PC 端发展而来的移动应用,本身拥有许多忠实用户。但安全问题不容小视,任何安全事件加上舆论的引导都会造成很大的信任危机,造成声誉风险。比如余额宝的收益如果无法兑现,支付宝钱包在移动理财上的口碑就会急剧下降,同时失去许多用户。
在商家看来,如果支付宝钱包无法确保用户的不良率在一定水准之下,对商家造成直接或间接的损失,支付宝钱包的吸引力就会大大下降,进而放弃与之合作,这也是一种声誉风险。
(二)来自内部的风险。
1.技术风险。
在移动支付过程中电子信息系统发生技术故障,不能保障支付业务正常有序、高效顺利地进行,从而使得交易不能正常进行而带来的损失。技术风险主要涉及网上银行系统、支付平台、商家的业务处理系统等。这些风险主要来自硬件设备和软件两个方面,硬件设备方面的风险主要是指由于硬件设备的运营状况及在业务高峰时的处理能力等方面不能适应正常移动支付需要,不能有效及时地应付突发事件而可能造成的经济损失。软件方面的风险主要是指软件的运行效率、业务处理速度及可靠性不能满足业务需要给支付宝带来损失。
2.操作风险。
本文中的操作风险是指支付宝员工违规或不当操作以及业务流程设计不当所带来的直接或间接损失的风险。作为移动支付中介,移动第三方支付平台用户量非常巨大,用户操作也相当频繁。任何操作失误或者业务流程设计不当就会引发比较严重的操作风险。一是新技术、新流程增加了操作难度。支付宝钱包较多地运用了新技术和新流程。由于缺乏充分的投资者教育,用户很难全面掌握的这些相关知识。在这种情况下,用户很容易出现操作失误,造成经济上的直接损失。二是操作程序和内部控制不当。支付宝钱包在内控管理方面存在一些漏洞,对于用户身份信息、认证信息、资金信息以及交易信息等个人敏感数据和信息,虽然已经建立起比较严格的安全保护机制,但非法使用或者泄漏事件依然存在,导致对用户造成不必要的困扰,甚至于引发巨大的经济损失。例如,2013 年,前支付宝技术员工泄露用户数据,此事件引起了用户恐慌。
3.资金风险。
通过支付宝钱包,客户可以将不记名的充值卡等支付工具内的资金余额方便地转入虚拟账户用于支付或转账,这一方式隐匿了资金的源头。同时,通过支付宝钱包进行洗钱与信用卡套现的情况也时有发生,由于资金流转的便捷化和虚拟化,对监控和追责造成了很大困扰。
4.4 支付宝钱包与其他类似产品风险防控对比。
支付包钱包在移动支付等核心业务上起步较早,占据了大量了市场份额。作为互联网公司的优秀代表,腾讯和百度也不甘示弱,通过自身积累的渠道和资源,迅速抢占移动金融市场,在风险防控方面也都有所建树。
4.4.1 支付宝钱包风险防控现状。
作为国内第三方移动支付的代表,支付宝钱包在构建风险防控体系方面做了许多开创性的工作,总结起来有三点:一是对全流程进行风险防控;二是利用多年积累开发的智能风险实时监控系统;三是在保障自身安全的基础上与相关机构进行合作。
对全流程的风险防控,基础是保障系统和数据库的安全,进而通过一系列手段保护用户的账户信息和交易过程,包括提供风险预警和自行开发的安全产品,比如数字证书等。对交易过程也有针对用户的保护,比如通过多种手段确认是否用户本人操作,进而保护用户财产安全。
而智能风险实时监控系统是支付宝钱包在风控上的一大优势,这个系统会通过对用户一些信息和行为的分析,来判断用户的行为是否存在风险,进而为用户提供最佳建议。这个系统是 2005 年正式上线使用的,通过这些年 7*24 小时全天候的监控,数据积累和技术创新并重,使他日趋成熟。他能通过对数据的分析和研究,自动升级自己的风险防控策略,并通过用户行为来评估风险等级,在分析的基础上对风险进行预警或强制管控,监控内容包账户风险、交易风险、反洗钱套现、商户违规等方面。
目前这个系统已经能监控支付宝钱包所有的交易和操作。举个例子,用户发起一个付款的交易行为,终端会作为事件发送到智能实时监控系统,通过积累的大量规则分析,对这个行为进行一个综合判断,区分是本人意愿的交易、还是一次操作失误,甚至是用户是否被恶意攻击,如果判定是一次本人意愿的交易,那这个行为就能继续下去。而如果系统判定这次操作具有高风险,就会给用户提供一些提示或者验证的选项,来判定这次交易是否本人意愿。如果能够通过验证,那么交易就能继续。如果系统认为还不能让这次交易行为通过,支付宝会通过人工进行核查,确认是否本人意愿的操作。再比如,支付宝对用户套现行为进行了长期的研究,总结出适用于支付宝的数十套反套现模型。支付宝通过风险监控系统,对用户交易行为进行反套现跟踪,并根据反套现数据模型所提供的多个相关嫌疑数据参考字段通过多维度分析、多重条件组合,对用户进行实时监控。经过不断地实践及调整,目前反套现的系统成功监控率高于 98%.
除了做好自身的风控体系构建,支付宝还与监管部门及相关产业机构沟通合作,共同探索防控风险之路。比如在用户的财产确实受到损失的情况下,支付宝还提供财产安全险的选项,通过与保险公司合作对用户进行赔付。
以反洗钱为例,支付宝建立了一套完善的反洗钱解决方案,来防范利用网络支付技术进行洗钱活动。一是设立反洗钱机构。从 2008 年开始,由法务及合规部下设的合规部,以及风险管理部下设的金融风险组共同开展反洗钱工作。2010 年 10 月开始,为了提升效率,反洗钱专员岗位并入合规部,反洗钱工作统一归口合规部。2010 年11 月,支付宝制定了《反洗钱和反恐怖融资内部控制制度》,规范公司内部开展反洗钱工作的相关职责和行为。二是建立严格的身份识别认证机制。支付宝实名认证是针对所有用户采取的常规识别手段。通过身份证或营业执照认证、银行账户认证两方面来完成。三是严格的商户审核。在大额和风险敏感业务发生时,采取强化的用户尽职调查措施,包括要求用户提交相关合同、交易单据、出库与发货、物流单据等,以核实交易的真实性与合法性。针对签约商户,要求销售拓展专员定期回访,更新用户信息。根据签约商户使用的特殊服务或权限,对商户进行洗钱风险等级的划分与评估,从多方面更为有针对性地发现洗钱可疑行为的存在。洗钱风险共分三档五个层级,可直接应用于日常大额可疑交易的核查,不同风险等级检查频率、力度有所差异,高风险数据优先分析。支付宝与公安部门建立了沟通渠道,将公安部门提供的一套在逃犯罪人员黑名单列入重点监控名单。一旦发现可疑交易行为,即上报给人民银行。四是运用智能实时防控技术和商户审核追查可疑交易。支付宝大额和可疑交易标准严格根据《金融机构大额交易和可疑交易报告管理办法》和《支付清算组织反洗钱和反恐怖融资指引》的规定执行。在大额交易为基础之上,运用智能实时防控技术,通过数据仓库开发大额交易及异常交易报表,设置一个交易总额阈值,将符合阈值的异常交易滤出。反洗钱专员对滤除的符合规则条件的交易进行人工核查。主要分析交易方本方和交易方对手方所处地域(是否为洗钱高危地区或反洗钱监管薄弱地区)、交易商品内容、交易金额、交易频率、交易事实性(交易需求是否合理)等。如有疑点,发函要求用户提交行业资质凭证、交易资金凭证、银行对账单、汇款单等相关文书文件,并要求商户进行合理的解释说明。根据系统记录的信息和用户提供的文件,对交易评定风险等级,按正常、关注、高危分类处理,高危可疑交易报送人民银行。如果交易方是商户,可能与商户终止合作关系,并视情况举报给司法、公安等机关或部门。五是保存用户身份资料和交易记录。支付宝《反洗钱和反恐怖融资内部控制制度》对用户身份资料、身份资料变更情况和交易记录的保存制定了详细的规定。实际上目前支付宝所有用户记录及交易记录都是无限期保存的。
4.4.2 微信支付风险防控现状。
微信支付是继支付宝钱包之后,国内最流行的移动支付手段之一。微信支付是与微信 5.0 同期推出的,用户在使用微信支付过程中,仅需要在微信中关联相应的银行卡,并完成银行卡的身份验证,那么就可以直接对所需要购买的产品与服务进行微信支付购买。支付时不需要进行任何刷卡步骤,仅需要在手机上输入支付密码,那么就可以完成整个支付过程与购买过程。改变了传统网络消费购买途径需要打通线上、线下的障碍,使整个电子交易流程变得简单、便捷。自微信支付推出以后,对社交属性有需求的粘性用户对微信支付也大感兴趣。微信支付利用微信红包、滴滴打车、Q 币充值、理财通等功能服务,使移动支付用户得到大幅度提升,对支付宝钱包等其他移动支付应用产生了一定的威胁。
微信支付主要依靠五项措施进行风险防控。一是强大的技术支持:依托腾讯及微信在大数据上的优势,基于大数据和云计算,配合安全认证和风险提醒,对用户的操作行为进行全面保护。二是 7 * 24 小时急速响应的客户服务:为微信支付用户开通了专属客服服务,对用户反映的问题及时解决。三是与相关机构进行一定程度上的合作形式的联盟。四是针对用户行为和心理的安全机制和手段:包括支付密码、交易终端和过程监控、交易紧急终止等。五是赔付机制:如果出现用户账户异常等情况造成的用户损失,微信支付将赔付因平台原因给用户带来的损失,并积极配合用户追讨因用户个人原因或其他因素造成的损失。
4.4.3 百度钱包风险防控现状。
2014 年 4 月,百度正式推出移动支付品牌"百度钱包",抢夺移动支付这一巨大的市场,为百度各类服务提供入口。百度钱包主要是将百度长期积累的线上线下业务以及合作商家,利用移动互联技术与用户连接起来,打通 O2O 服务道路,并提供理财等金融服务功能。
百度钱包构建风控系统是通过系统、人工、合作三大举措。首先利用大数据技术建立系统的监控手段,对用户的操作行为进行数据处理,通过规则和模型进行分析判断,将异常操作转交人工核查或者直接强制拦截。同时为了监控的全面和准确,专门组建了强大的人工团队,目前已实现 7*24 小时对快捷转账业务进行人工事中监控,对疑似危险操作进行提醒,确认危险后进行强制处理。同时与合作机构定期沟通交流,互换重要信息,投身于移动支付自律组织的建立,加强对用户权益的保护。最后,通过百度手机卫士推出"安全支付亿元保赔计划",对于百度钱包的责任造成的经济损失,每年允许用户申请最多 10 万的全额赔付等。
4.4.4 风险防控对比。
阿里巴巴、腾讯、百度是国内互联网公司的翘楚,在移动金融时代也都各自推出了移动金融的综合平台,主要是以移动支付作为基础,抢夺应用场景,增加用户粘性。
通过对支付宝钱包、微信支付、百度钱包风险防控现状的分析可以发现,支付宝钱包由于在移动支付上起步最早,且在电商金融等领域有长期的积累,在风险防控方面最为成熟。大数据应用于风险防控需要大量真实数据的支撑,得益于淘宝、天猫长期积累的真实数据,支付宝钱包在征信体系的建设上走在了前面。而智能风险实时监控系统的基础就是对大数据的应用,相对于人工监控在成本和效率上也更有优势。
作为老牌互联网公司,腾讯和百度资金和技术实力雄厚,微信支付和百度钱包对支付宝钱包的许多模式都进行了快速复制。但是单单复制是不够的,对移动金融服务业务的监控流程和监控系统还需要精心设计,并加快升级智能风险监控系统。第三方支付机构由于没有与央行的征信体系对接,自身积累的真实数据就显得极为重要,对风控体系的科学运转和决策起到了决定性的作用。支付宝钱包和微信支付得益于母公司在电商和社交等领域的长期积累和对相关规则、模型的长期试验升级,在大数据风控上有其优势。尤其是支付宝钱包,成功推出了芝麻信用分评分体系,未来可以在生态圈内进行信用体系输出,提高自身话语权。百度在搜索和 O2O 领域也深耕多年,但掌握的真实数据有一定局限性,未来还需要更多的应用场景来为大数据风控提供数据基础。另外对三款应用风险防控体系的有关项目进行对比。
最后,在消费者权益保障方面,三款应用虽然都有账户资金保障的承诺,但是实际执行过程中有各种各样的问题,特别是在应对消费者自身原因导致的损失时,应对不够积极,对消费者的权益造成了损害,容易引发信任危机,需要在未来继续改进,加大力度保障消费者权益。
4.5 本章小结。
作为移动金融综合应用平台,几家主流应用的风险防控体系建设主要是依托本身强大的资金和硬件实力,以及对大数据与云计算的应用,通过事前审核、实时监控、意外赔付等多种手段来对风险进行防控。但是在对金融的理解和风险的识别上,互联网企业相对金融机构还存在很大的不足,导致风控体系的设计容易出现问题。另外移动金融和传统金融之间并没有对接,许多经验做法还有待验证。未来还需要在真实数据的共享上多做文章,加强风控体系输出,配合行业自律,积极对接传统金融的风险防控体系,尤其是征信体系。
