李玲飞 :移动支付风头渐劲・支付安全成最大困扰

来源:财经网 专栏:盘古智库 2021/08/05
分享到:

作者:李玲飞 盘古智库高级研究员、东北亚研究中心副主任

一年前,如果你去一家日本面馆要份面条外卖,恐怕会遭遇老板的黑脸以及语带不满的解释——为什么不提供打包服务;一年前,你可以通过结账时下意识掏手机还是钱包来分辨哪些人是游客哪些是土著;一年前,日本人想不到有一天国家会因为口罩断供而陷入危机。一年过去后,知名美食网站评选出的“今年の一皿”(年度代表菜)就是拉面外卖;原来只接受现金的小蔬菜店也贴出了收款二维码;夏普的国产口罩开辟了新供应链后虽然供货依然紧张,但能够以定期购的形式慢慢满足大量需求。这一切,都源于一年前突如其来的肺炎疫情。

疫情如此严重且持久,受到冲击的产业或不得不改变自己以维持生存,如某些几乎变成中央厨房的居酒屋,同时也创造出许多新的商机、开辟出新的发展领域,比如远程办公与移动支付。在新冠肺炎来袭一年后,我们聚焦日本的移动支付、远程医疗、餐饮服务等受其影响最直接的行业和领域,考察疫情如何改变这些行业的世界观,如何催生出新的发展模式、商业机会与行业规则,希望能总结出一些有益的启示。

移动支付风头渐劲・支付安全成最大困扰——疫情冲击下的日本产业经济形态(一)

在日本民间消费的B to C领域,由于支付成本较高,商铺(尤其是中小型商铺)普遍不愿意设置刷卡、读卡等支付终端,而由于消费者接受程度偏低,扫码或者刷手机等移动方式又难以普及,这是日本要实现“无现金社会”最难啃的一块“骨头”。2020年新冠疫情的出现,对接触感染隐患的担心,迅速提高了移动支付的使用频率,不仅减少了现金的使用,也挤压了信用卡等实体卡的使用空间,移动支付方式风头渐劲,政府制订的“非现金支付”KPI的完成时间似乎可以大幅提前。不过,在各大公司纷纷进入移动支付领域、各类“Pay”软件纷纷上台竞争的同时,信息安全和隐私保护问题成为阻碍日本移动支付行业发展的新难题。

普及“非现金支付”,实现“无现金社会”,是日本政府推进“第四次工业革命”和“社会5.0”的重要战略课题之一。《未来投资战略2018》将“无现金社会”的实现作为金融科技革命组成部分,列出未来3年和10年间的关键绩效指标:到2020年6月,国内所有银行全部导入开放API(应用编程接口),到2027年6月,“非现金支付”比例达到40%(2017年为21%)。为此,日本政府专门制订《无现金・愿景》对“非现金支付”环境的搭建做出完整而详细的规划,并推动建立“产、官、学”联携的“无现金推进协议会”,为支付方式改革的普及提供信息、相关设备和政策等全面支持。

民间消费B to C领域的“非现金支付”是一块难啃的“骨头”

《未来投资战略2018》和《无现金・愿景》中将“非现金支付”的讨论范围界定为民间消费领域,主要是B to C(商家与消费者之间)的非现金结算,也包括消费者个人间的C to C(或P2P)以及部分个人与政府之间(C to G,税金缴付等)非现金结算。详见图1:

1

日本政府选择民间消费的B to C领域作为讨论对象,主要原因是从广义角度来看,日本的“非现金支付”水平并不算低,民间消费的B to C是拖累日本成为“无现金社会”的最后一块难啃的“骨头”。

根据国际货币基金组织的一份工作论文统计,2016年日本家庭最终消费中现金的使用比例仅为23%,与丹麦(22%)的水平相当,低于新加坡(30%)、美国(29%)和英国(24%)等国家(见图2)。

1

而根据日本银行协会和信用卡协会2019年所做的调查统计结果,“非现金支付”在家庭最终消费中所占比例分别为52.7%和62.2%(见图3)。说明在民间消费领域,日本“非现金支付”的整体水平并不落后。

1

但是,在去除住宅租金以及水、电、燃气等公共服务等费用后,按照日本政府的讨论范围,家庭消费(B to C和部分C to G) 领域的“非现金支付”水平就降到了21.4%(2017年),导致这一结果的主要原因有两个:

第一,由于支付成本较高,商铺或服务机构不愿添置设备、增加卡支付手段。目前日本信用卡、借记卡等刷卡设备、非接触式读卡设备的添置成本在数万日元~数十万日元不等,如果是与POS终端联动的刷卡或读卡设备价格更高,而信用卡等支付的手续费一般在3.25%上下,对于中小店铺来说,综合手续费率通常在5~7%之间,从成本角度考虑,这些支出都是不小的负担。除此之外,出于银行转账手续费用等方面考虑,发卡机关通常安排较长入账周期,给商铺尤其是中小店铺带 来资金周转的压力。

据国际清算银行统计,2016年日本信用卡、借记卡和充值卡的人均保有数为7.7枚,在主要国家中仅次于新加坡(9.8枚),远高于韩国(5.5枚)、美国(4.1枚)等。据日本银行统计,2016年,日本信用卡、借记卡等卡支付总金额超过60万亿日元,高于除美国之外的多数国家。持卡数量和刷卡金额,说明日本人对非现金支付方式既有基础条件,也有很高的需求。但是,由于支付成本问题,B to C和C to G领域的商铺、机构无法提供非现金支付的比例很大(见图4)。另外根据经济产业省的消费者问卷调查,在商店街购物时遭遇只能使用现金支付的消费者比例达到了63.7%,公共设施(美术馆、动物园等 )只接受现金支付的比例达48.5%。

1

第二,扫码等移动支付方式尽管无须特殊设备、支付手续费也很低,但出于安全、使用便利性以及对现金支付的偏好,消费者接受程度较低。相对于刷卡、读卡等支付方式,扫码支付依靠的是手机程序和网络而无须特殊设备,部署难度小、所需时间短、支付手续费相对较低(不到1%,Line Pay和PayPay目前无手续费)、账期相对较短(PayPay翌日到账)。

1994年日本电装(DENSO)发明的QR二维码奠定了今天手机读码操作的基础,同年,索尼公司将其研发的无线IC芯片定名为FeliCa,之后广泛应用于移动支付领域如苹果手机的Apple Pay等。然而,在这样的便利条件和先进技术支持基础上,扫码等移动支付一直以来并未在日本本土打开市场,仅有的移动支付份额也多是为海外(尤其是中国和韩国)游客所准备。日本银行的调查显示,2016年携带具有移动支付功能手机的日本消费者,在店铺已经具备移动支付条件的情况下,使用手机进行支付的仅为6%左右,同期中国的数字是98.3%(过去3个月间使用过移动支付)。日本消费者拒绝使用移动支付的前三大理由为安全顾虑(五成以上)、不易使用(四成以上)和偏好使用现金(四成以上)。

由上述两点原因可见,日本要推进“非现金支付”战略,最主要的工作在于降低中小型店铺的支付成本,以及减少移动支付的安全风险并转变消费者的支付偏好。

疫情意外地迅速改变消费者的观念并催生移动支付行业高速增长

2019年9月,针对前文提到的“非现金支付”两大阻碍、促进“非现金支付” 在B to C领域的普及,日本政府开始一项称为“无现金・返积分”活动。一方面是通过补贴来降低商铺“无现金支付”的成本,对交易手续费的补贴使中小商铺的实质手续费降到2.17%以下,对支付设备的补贴使商铺的负担降为0。另一方面,通过返还积分(结账时直接折扣5%)的方式鼓励消费者使用非现金方式支付。

“无现金・返积分”活动的即时效果是:2019年12月,加入活动的中小商铺增长接近1倍,达到75万家,当月消费支出指数接近1.2,支付金额指数约1.35(以2019年10月为基准指数1)。但这一活动能否作为“长久之计”推动“无现金”化,疑问不少:短期补贴无法从根本上解决支付成本高企问题,返积分也恐怕只能起到暂时激励消费的目的,能在何种程度上改变消费者的支付习惯,没有定论。经产省对此进行的调查结果显示,有超过半数的中小商铺认为,在活动结束后,考虑到卡支付的手续费用较高(3.25%以上),将不再继续提供“非现金支付”手段,对消费者来说,新增的“非现金支付”活跃用户中,有近三成表示可能恢复过去(以现金为主)的状态或不倾向于“非现金支付”。

2020年3月,日本疫情呈暴发趋势,出于卫生和防疫的需求,对现金和刷卡等接触式支付的“抵抗感”意外地将“无现金支付”带入“无钱包支付”状态。疫情期间,过去对移动支付兴趣不大的50岁以上人群扫码支付的使用频率甚至超过了年轻人。消费者的需求热情也促使商铺增加移动支付功能。

以扫码支付为例。2018年,各扫码支付APP的月活用户数平均为355万,2020年4月日本政府发布“紧急事态宣言”时已增长至2688万,2020年6月“返积分”活动结束时为2856万,此后仍保持缓慢增长,至9月的数字为3043万。APP账户余额,2019年12月末为1123亿日元,2020年3月本土疫情暴发时为1864亿日元,6月活动结束时为2056亿日元,9月继续增长至2175亿日元。

消费额角度,2020年前三个季度实体店铺扫码支付消费额总计28993亿日元,相当于2018年总额的17.6倍、2019年总额的2.6倍。本土疫情暴发后,每月实体店扫码支付额基本都在3000亿日元水平上(4月略低,为2957亿日元)。

1

2020年上半年,由于日本政府大力推广“非现金支付”以及疫情原因,现金在日常生活中的使用频率不断下降。据市场调研公司易索普(IPSOS)的调查统计,2020年上半年,现金在民间消费支付中的比例由年初的42.7%降至37.5%,而在“非现金支付”内部,也出现了一个显著的“脱离”信用卡支付的趋势,人均信用卡使用枚数在2017~2019年始终在1.55~1.54区间,而2020年则减少至1.49枚。经济产业省的统计数据也支持了这一结论:2020年日本信用卡消费额同比由2月的13%骤然下落,5月跌至谷底(17.7%)后虽有反弹,但直至9月也未能恢复增长。

1

2020年扫码支付的使用人数由2019年的38%增长至50.4%(易索普统计数据),如果纳入Apple Pay等非接触型移动支付手段,这一数字将会更高,相对现金与信用卡,移动支付之所以能大幅并稳定增长,除政府和服务商大力推广外,最重要的原因在于疫情所带来的卫生和防疫需求。根据多个市场调查公司针对疫情与支付偏好所做的消费调查结果,疫情期间偏好移动支付的消费者主要的选择理由包括:避免接触现金、硬币而导致感染;避免在结账过程中人与人的接触;避免信用卡使用过程中因签字而导致的接触;减少去银行或ATM取现而导致感染的可能性;通过手机转账和充值可以减少出门的机会,等等。

日本移动平台之争进入战国时代,账户安全与隐私保护问题频出,几成灾难

与支付宝和微信合计占据中国整个移动支付行业九成份额的情况不同,日本有数十个金融机构、网络通信服务商和风投公司在移动支付平台领域形成了群雄争霸的局面。主要的移动支付平台情况见表1:

1

除了LINE、乐天这样拥有先天技术和资源优势得以提前布局移动支付的“老牌”企业,或是像Origami这样设立之初就瞄准移动支付市场这片蓝海的初创公司,加入移动支付产业竞争的其他各路企业基本都是近两年来筹划业务、追赶风头的后起之秀。尤其是日本政府决定在2019年下半年通过补贴和返积分等优惠手段推进“非现金支付”后,大量金融、零售等相关行业的公司惟恐错过良机,纷纷赶在政策实施前推出自己的支付产品, 一时间,各种“Pay”争先恐后地不断面市,令人眼花缭乱。

运营商匆忙上马、金融体系也没有为整合移动支付做好准备,导致支付系统安全漏洞频出,而利用这些漏洞制造出的欺诈、盗刷事件屡屡发生。从2019年“7Pay”诞生即夭折,到今天仍未补救的Docomo和邮储行盗刷、盗用他人账户充值等事件,日本移动平台的支付安全问题主要可以归纳为两条:

一是支付系统本身缺乏安全保护设计。以“7Pay”为例,“7Pay”是知名连锁便利店7-11的母公司7&I控股旗下的支付产品。2019年7月1日正式推出服务,仅一天之后便接到大量有关账户被盗的询问,一周后仍未能修补安全漏洞而接到金融厅命令,要求其报告其合规情况,一个月后认定“7Pay”从系统安全认证、开发体制到系统风险管理均存在重大且短期内无法解决的问题。运营公司宣布自9月30日停止服务,清退资金,此时已有808人报告账号被盗,盗刷金额3862万日元。

调查发现,“7Pay”的安全漏洞无论从数量上还是级别上都达到了匪夷所思的程度:账号登陆没有“二次验证”程序,公司高层甚至也不知道何为“二次验证”;账号登陆没有防暴力破解功能,允许进行无数次尝试而无预警或封锁措施;注册时对账户保密性设计不完善,可以用其他邮箱“找回密码”,同样,找回密码的尝试也没有次数限制,等等。

事后“7Pay”运营公司全额赔偿了受害人的损失,公司事业停止也导致了30亿日元的直接损失。该事件给整个社会的“非现金支付”战略带来的间接影响则更为严重:事件发生的时间节点正是日本政府大力推广“非现金支付”活动前,本来日本民众就对移动支付的安全性疑问重重,“7Pay”盗号事件更加重了大家不信任感,导致更多人对移动支付维持观望态度。

第二条涉及支付APP建立账号以及关联银行账户时的“身份核实”问题。在中国,无论是支付宝、微信还是其他支付APP,消费者在建立账号以及关联银行卡时,除输入正确的银行账号与密码外,均需要通过验证手机和(或)身份证来确认注册用户身份与银行账户一致。日本最近出现的银行账户被盗充值的案件,简单地说,是犯罪分子仅仅使用非法获取的被害人的银行账号与密码,成功将自己的支付APP关联至被害人的银行账户,转账充值后,到便利店大量购买香烟再转卖变现,达到盗取目的。而开设账户只需要一个邮件地址,关联银行账户以及充值过程,只要银行方面确认关联的账号信息与密码一致即可完成,无论是银行端还是支付APP端都没有进一步的身份核实。

在金融机构核实客户身份方面,日本有着严格而行之有效的法律体系,除开户外、关联银行账户以自动缴纳税金或水、电、气等公共服务费用,以及大额转账时都必须认真核实客户身份信息。参见图7和图8,我们以缴税为例来理解关联银行账户实现自动转账和核实用户身份的流程:

第1步,是客户向税务部门提交自动缴纳税费的申请书(样式见图8),申请书中包含客户的地址、电话等个人信息(A部分)以及银行账号和印鉴(B部分)。

1

第2步,税务部门收到申请后,首先核实客户的个人信息(A部分),由于与客户间的联系往来基本是通过(不可转交的)挂号信或类似邮件,因此核实A部分的个人信息并不困难。在核实个人信息后,税务部门将申请书交给银行。

1

第3步,银行收到自动缴费(转账)申请后,核对客户银行信息(B部分),包括账号、姓名,最主要的,也是最重要的,是检查申请书上加盖的客户银行印,并与开户时所盖印章仔细对比,从而确定申请人是账户持有人,并向税务部门发出确认通知,向客户邮寄自动缴费(转账)通知。

企业或机构负责核实客户个人信息与缴费申请人一致,银行负责核实客户账户信息一致,一直以来分工明确而且各尽其职,几乎没有可钻的空子。

但在手机支付领域,这一身份核实模式就出现了很大的漏洞。参见图9,我们以“正常使用”和“漏洞犯罪”两个例子理解犯罪分子是如何利用漏洞避开身份核实,关联受害者银行账户并通过充值变现达到盗刷目的。

1

假设客户要注册docomo的支付账号并关联自己的银行账户以实现充值、提现等目的。那么:

第1步,在支付平台上注册账号,并且第2步向银行提交关联申请。

第3步,客户填在手机客户端填写银行账号密码提交给银行进行验证。

第4步,银行确认账号密码无误并将确认信息发给用户客户端实现绑定。

第5步,支付平台通过短信或者其他方式核实注册人与手机持有人信息一致。

以上步骤都完成后,银行能够响应用户客户端的请求,向支付平台的用户账号进行充值转账。

过去,docomo支付APP的注册用户均为使用docomo公司网络的手机用户,因此docomo核实客户身份的手段包括通过短信确认客户手机号码与注册账号信息一致,通过查询过往账单邮寄信息或类似信息确认客户地址、姓名等个人信息与注册账号一致即可。

在正常情况下,这种身份验证方式与传统方式一样,没有什么问题。

但2019年docomo的支付APP开放注册后,该APP面向的客户不止限于自己公司的手机用户,而是开放给所有手机用户,那么也就无法通过短信或者客户手机号码确认用户注册信息了,所以docomo放弃手机验证方式,而简单地以电子邮箱认证作为创建账户的要件。第5步的身份核实实际上无法完成,形同虚设。犯罪分子可以用自己的邮箱和手机注册支付账号,用非法手段得来的受害人银行账号密码通过第3步和第4步关联到支付账号上,再执行充值和消费实现盗刷的目的。

现实中,如三井住友等大银行在绑定账户和充值时会在网银端有额外的验证程序(如邮件发送一次性密码,或是密码器等),然而一些小银行或地方银行则只凭账号和4位提款密码就能实现绑定,毕竟遵循经验,客户个人信息的验证是企业或机构的责任。

与“7Pay”自身漏洞不同,身份核实漏洞波及几乎所有支付平台和邮储行等大小近百个银行,但尤以docomo严重。其中 “ドコモ口座”平台盗刷案件120件(截至2020年9月10日),涉案金额2542万日元,“d払い”平台2020年10月末发现类似事件,涉案120台手机,盗刷金额292万日元。邮储行对关联支付平台的客户近600万账户逐一核对,在核对完成之前关闭了所有平台关联充值的功能。

1

日本政府的大力推动,加上疫情的客观条件,给日本移动支付行业带来了极好 的发展机遇和成长空间。对于日本政府和那些如雨后春笋般崭露头角的移动支付运营商们来说,挑战来自于如何从传统的金融技术顺利升级,以及由传统的法律规则迅速变道,从而打造安全的支付环境和顺滑易用的支付工具。就目前大家的表现来看,尚需时日。

版面编辑:文静
关键字:
分享到:

声明:财经网专栏文章版权属作者本人或相关权利人所有,文章仅为作者观点,不代表财经网立场。

相关新闻

专栏人物推荐

张礼卿

中央财经大学金融学院前院长、国际金融研究中心主任。经济学博士。

屈宏斌

中国首席经济学家论坛副理事长

伍戈

经济学博士,研究员。长江证券首席经济学家。曾长期供职于央行货币政策部门...

要闻

+更多