易宝支付CTO陈斌：大数据助力支付行业风控

华夏时报（www.chinatimes.net.cn）记者 张夏楠 北京报道

作为首部全面规范网络空间安全管理的基础性法律，《网络安全法》从6月正式实施。对于第三方支付公司，这一法律同样有着现实意义。

易宝支付CTO 陈斌在7月28日接受《华夏时报》记者采访时表示，《网络安全法》实施后，支付公司在支付数据的管理，特别是安全管控方面，实现了有法可依。对于新的移动支付方式，陈斌认为其安全性也亟待进一步完善。

支付安全“有法可依”

信息安全一向是支付行业的监管重点。

陈斌表示，此前没有专门的信息安全法，支付机构一方面是从实践中总结规律，另一方面从行业惯例出发，以国际PCI、ISO27000来做一些支撑的框架。在《网络安全法》之后，类似的信息安全保护有了可评价的标准，企业对于适用范围有了一个清楚的认识。

他举例，一个人如果一直带着盔甲确实很安全，但是行动会有很多不便。安全问题很难做到滴水不漏。《网络安全法》使信息安全的松紧程度和范围形成了清楚的认识，“应该说出台非常及时”。

“什么样的数据属于管制的，管制到什么程度，这部法律里面有非常明确的规定。例如用户的个人敏感数据，包括身份证、个人踪迹、家庭住址、家庭电话号码等的保护，以前我国是按美国的一套PII的标准来做，现在有了我们自己的标准，心里更有底了。”他进一步解释称。

另外比如一些支付机构会主动去进行“信息系统安全等级保护”测试，这次的《网络安全法》中也首次提出明确要求。

除了法规的完善，安全更多还在于机构的内部把控。

陈斌解释，支付机构的风控系统主要聚集在交易欺诈方面，重点监控交易额度、交易频次，以及交易习惯的变化情况。

“在易宝我们有一个流水线，这个流水线是一个自动的队列，所有的可疑的交易会进到这个队列里面，有专门的客服人员来澄清交易。这些客服会在收到可疑交易报告后，马上给持卡人打电话，询问是否出现问题。”他表示，为了提高准确率，同时降低人工成本，风控系统引入了机器学习的方式，通过规则学习来提升可疑交易的命中率，从而将欺诈风险控制在极低的水平。

在易宝内部，大数据及人工智能在风控中应用早在2013年左右就已经起步。数据平台上会对每笔交易数据进行清洗、过滤、分类、总结，同时，安全和业务平台监控系统有专人24小时进行监控。

在陈斌看来，风控水平的高低是运营和技术能力的综合体现，包括机器学习的能力高低，大数据采集、快速分析的能力，以及人工客服的专业程度等。

“大数据如果发展到一定程度，必然要做人工智能，不是因为有了AlphaGo出现我们才做，而是因为数据逐渐增长，多到人工没法处理，必须用机器来做决策。”陈斌称，大数据往前走，必然是人工智能。目前易宝支付在光电识别、客服咨询等产品及流程中，已经应用到了人工智能的技术。

移动支付安全破题

目前，二维码支付及NFC支付等支付方式运用广泛，随之也出现了一些新的安全隐患，如二维码支付就出现木马植入、以收款码替代付款码等。

陈斌认为，由于二维码使用已经形成一定的习惯，“很多人看见码就扫”，安全问题比较突出。好在监管层面已经有统一规则出台或正在拟定。

2016年8月，中国支付清算协会下发《条码支付业务规范（征求意见稿）》；2017年7月，中国交通通信信息中心也发布了《交通一卡通二维码支付技术要求》征求意见稿；同样在今年7月，国际芯片卡及支付技术标准组织(EMVCo)也发布了《EMVCo用户出示二维码模式技术规范1.0版》。

在另一方面，陈斌表示，支付机构在后台也有相应的防范措施。

以易宝支付的二维码支付为例，他称，在客户扫描二维码后，支付系统的后端会有一系列的验证，“是不是本人的手机，有没有意愿进行支付”，在确认了交易合理，钱付给了应该给的人以后，支付才可以进行。

针对目前市场上不同的机构实际存在着多个二维码支付的标准，陈斌回应表示，由于聚合支付的存在，不同机构的二维码可以由统一的终端进行处理，并不存在技术层面的问题。如果统一标准对于商家和支付机构会更方便，但是在安全性方面没有什么区别。

他认为，对比来看，由于NFC支付从芯片卡到读卡器，再到后台处理都会涉及到加密，安全性要远高于二维码支付。只是由于用户习惯及终端改造等问题未能大范围推广。

“移动支付的安全问题，在现在这一阶段，我们看到的是二维码，未来会不断地演进，有新的方式、新的场景出现。”在陈斌看来，随着物联网技术发展，未来的支付可能会越来越走向非介质性、无卡的支付方式。类似于亚马逊的无人超市Amazon Go在十年内就可能会大量出现。这也将会是支付机构的发展方向之一。

“道高一尺、魔高一丈，信息安全永远做不完，但支付平台是不是主动去解决，去防范，是有差别的。”陈斌说。

责任编辑：孟俊莲 主编：冉学东

查看更多华夏时报文章，参与华夏时报微信互动（微信搜索「华夏时报」或「chinatimes」）