Apple Pay入华 网络安全法更应及早出台

短短几天，我国移动支付领域变故频生。

这头，微信宣布提现自3月1日起开启收费模式；那头，Apple和中国银联推出Apple Pay――苹果与19家银行合作开通云闪付(即以智能手机为基础的支付方式)支付方式，将于2月18日在中国上线。

安全性是核心所在

不同于微信、支付宝为代表的扫码支付，Apple Pay移动支付是一种云闪付支付方式。

据了解，本质上，Apple Pay完成的还是进行刷银行卡或信用卡的过程，交易过程不需要网络；而微信支付、支付宝则是一种第三方支付手段，资金先从银行卡进入第三方账户，之后再进行交易支付。

如今，储存在手机里的银行卡账号、密码被盗，资金被盗刷的情况屡见不鲜。那么，Apple Pay移动支付方式是否安全？

山寨发布会创始人阳淼表示，从原理上说，在目前的所有电子支付里，Apple Pay是最安全的移动支付方式――它更像是一个“卡包”，不会涉及自有资金的管理和清算，也不会参与买卖双方交易的任何环节，实际上仍是使用银行卡进行支付，只不过是通过Apply Pay这个工具来进行。

2月19日，中国银联北京分公司综合部的工作人员告诉记者，云闪付与Apple Pay结合，通过应用业界领先的支付标记(Token)安全技术，来保障用户的支付信息；支付标记安全技术是通过Token代替银行卡号进行交易验证的，从而避免了卡号信息泄露带来的风险。

“安全性是Apple Pay的核心所在。”该工作人员解释，添加信用卡或借记卡时，实际的卡号既不存储在设备上，也不存储在Apple的服务器上；一旦绑定银行卡，Apple就会生成一个独有的、私密的设备帐号来对该账号进行加密，并安全存储在设备的安全芯片中，每次交易都使用一次性的唯一动态安全码进行授权，手机或Apple服务器上不会留下任何个人信息。

有相当一部分业内人士认为，Apple Pay将改变现有的移动支付格局。阳淼表示：“在银联和各大银行的力推下以及苹果的品牌号召力下，Apple Pay会在相当一部分线上支付的场景里找到位置。”

业界忧思网络安全问题

同样有很多人认为，在我国网络金融监督制度完善之前，Apple携手中国银联推出移动支付服务，不仅是市场考虑，还可能是在网络安全法出台前的“抢跑”行为。

前不久，苹果CEO库克发布一份公开信，针对美国FBI以反恐、安全为由，要求苹果开放“后门”，公开信对此表达了强烈的反对。

“一个国家的网络安全不可能仰仗个人意愿和信念，也不能依靠企业的自觉自律，必须通过国际通行的开放式制度体系，才能真正保障网络安全的长治久安。”互联网实验室创始人方兴东认为，对于Apple Pay入华，我国一定要有相应的制度和技术保障措施，来保障网络安全的万无一失。

方兴东认为，Apple Pay入华大致需要完成三部曲：一是由权威机构对苹果支付的技术、数据和业务等方面的安全进行系统评估和审查，包括苹果安全芯片技术、Touch ID指纹识别、交易加密技术等，以及跨部门、多角度的评估；二是按照评估结果进行相应的合规性调整，完成数据本地化和数据跨境流动等国际通行的基本措施；三是主管的监管部门也要完成苹果支付相应的配套监管制度和技术手段。

那么，Apple Pay是否应该进行网络安全审查？

2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》(以下简称草案)，草案规定了关键信息基础设施运营者的国家安全审查义务。

草案第二十五条规定，用户数量众多的网络服务提供者所有或者管理的网络和系统，连同通信、广电、能源等行业或系统，均被列入关键信息基础设施，并由国家实行重点保护。

中国互联网协会研究中心秘书长胡钢认为，Apple Pay拥有千万级别的苹果终端用户，应当属于关键信息基础设施类。

中国互联网协会信用评价中心法律顾问赵占领认为，Apple Pay入华涉及到金融系统的诸多关键数据，对此应该进行相应的网络安全审查。

上述银联工作人员告诉记者，银联曾在2015年12月发布过相关说明：“Apple Pay相关产品和技术严格遵循中国国家和金融行业移动支付标准，并将按照中国监管部门要求完成相关检测和认证，之后正式向中国地区的银联卡持卡人开放此项服务，预计最快在2016年初。”

中国银联总公司新闻发言人除了表示“Apple Pay是完成中国监督部门的相关检测和认证之后才正式上线”之外，并没有对是否已经通过国家安全网络审查的更多回应。

Apple Pay涉及到网络主权，尤其是国家网络管辖权等一系列监管新课题。胡钢认为，依据习总书记“没有网络安全就没有国家安全”的重要指示和十八届三中全会依法治国的精神，有关网络等高技术领域的立法应当切实遵循“速立频修”的原则。

胡钢认为，所有与网络安全密切相关的电信业务企业、互联网服务提供企业都应当主动适应网络安全法，相关经营者应当依据现行法律及已经公开的法律草案相关规定及精神，及早主动寻求获得具有资质且业内声誉卓著的网络安全评估及检测机构的认可，并主动接受相关部门的安全审查，以合法正当的开展业务。

“严峻的中国网络安全现实，要求网络安全法应当及早出台，以实现以法治建设提高国家网络安全保障能力，掌握网络空间治理和规则制定方面的主动权，切实维护国家网络空间主权、安全和发展利益。”胡钢介绍，由于网络安全法立法工作的高技术性、政策敏感性、全球协调性、内容完备性，因此面临着重重困难。