本报记者 刘飞 北京报道

4月8日晚，全球互联网经历了一场“心脏出血”，市场广泛使用的互联网基础安全协议OpenSSL被发现存在“Heartbleed”巨大安全漏洞，这意味着互联网门户洞开，“黑客”迎来狂欢之夜，进入戒备森严的网站，收集到泄露数据后，拼凑出用户登录电商、网银的账户、密码等关键信息。

一场互联网安全者保卫战通宵打响，“黑客”和“白帽”你盗我堵疯狂赛跑。4月9日腾讯、百度、360、工行等均表示，已经在第一时间对漏洞进行了修复。

“通过4月8日一晚上的通宵工作，阿里已完全修复漏洞并重新回顾了这个时间点支付宝加密机制是否存在问题，没有发现任何问题。”4月9日，阿里小微金融服务集团(筹)首席风险官胡晓明宣布，将联合腾讯、360、金山等多家企业和政府部门共同设立安全基金，首批投入4000万元，主要投向反钓鱼联防、反木马联防、反洗钱、反恶意攻击、用户信息保护等领域。

与此前大行调整快捷支付“一方期待合作、一方感谢支持”如出一辙，“安全”博弈走上了相对平衡。“支付宝今天走的路可能是接下来微信支付、银行、银联都要走的。”胡晓明称，安全和风险，在保护消费者权益面前是没有对手的，只有合作。

商业银行业与支付宝的“零和博弈”应该不仅限于此，4月8日在博鳌亚洲论坛上，民生银行董事长董文标也向马云抛出了“虚实结合、双赢理论”。

4000万建安全大坝

近一个月，整顿第三方支付机构不断升级，先是央行以金融稳定大局为名暂停了二维码支付和虚拟信用卡业务，之后四大行以安全为名下调了快捷支付限额，继而银联在十二周年致辞中发出“宣战书和动员令”，反驳支付宝等公司以创新之名打破“效率”和“安全”的平衡，三方甩出的“王牌”一致指向支付宝等以快捷支付效率为名裹挟亿万用户避开安全问题。

安全性似乎成为了支付宝的阿喀琉斯之踵，让擅长以卖萌回应的支付宝不得不从虚拟的官方微博走到公众媒体面前，4月9日，胡晓明在北京“支付宝安全大趴”见面会开场便称，一直想通过这样一个渠道聊聊“支付宝”是怎么在看安全和做安全的。

曾任职于建行和光大银行等金融机构的胡晓明2005年加入阿里巴巴，如今身为阿里小微金融服务集团(筹)首席风险官，其给出阿里当家人马云和彭蕾的承诺就是，永远做客户体验和安全的平衡，不会去追求绝对的安全，风险概率控制在十万分之一。

他的理由是，对互联网来讲，比拼的是怎么能在有效的时间、网速内，让客户尽快完成一笔交易。“有人问我是否追求百万分之一，我说对不起我不！因为这意味着要多装很多把锁，用户使用也不方便。我认为十万分之一刚刚好。”

据胡晓明透露，支付宝每天交易笔数在6000万，按十万分之一风险概率计算，每天将近五六百笔风险，对这些客户我们可以承担风险，支付宝推出无论涉案金额多少，在24小时内全额赔付。

同时，支付宝还将在产品设计上加强安全投入，在即将面世的支付宝钱包8.1版本中，新加入“设备管理”、“短信保镖”等创新安全服务。前者的考量是大部分移动支付用户会在多个手机上使用，“设备管理”可以查看并随时删掉任意手机的使用记录，再次使用这些手机时“如同第一次使用一样”，起到有效防范风险。

针对当前恶意应用截取用户短信问题，“短信保镖”功能使得用户的支付短信得到妥善保护，避免被恶意软件拦截。

谈及被暂停的虚拟信用卡业务，胡晓明称，虚拟信用卡无非是换了一个介质、账户而已，前提条件是无论是虚拟信用卡还是虚拟借记卡都必须是实名制，但面签不应该是制约虚拟信用卡的首要问题，理由是券商和支付公司都可以在网上开户，开立信用卡同样适用。

对于业务何时重启，胡晓明说，正在与央行沟通。此外，他还透露，央行对二维码的态度也是支持的，无非把标准定下来，央行和工信部会统筹考虑，还要增加一个金融守信标准，标准出台不会太快。