梁越平他们对任何支付宝账户都采取两个维度去考量:一是被盗概率;二是假设被盗后这个账户的资损金额。
现在,支付宝的账户安全险是用0.88~2.88元保障100万元,这在保险界是比较“疯狂”的定价,但其保障范围很广,支付宝账户的余额、余额宝、理财资产和包括授信的资产全在这个保障范围之内。与之相对应的是,在传统的银行市场,类似的保险基本上是1元保2000元的水平。
梁越平他们是怎么做到的呢?
于是,一个动议开始逐渐形成,即在支付宝账户保障体系之外,能否以商业保险的方式为支付宝的账户再提供一道安全保障。
在完成这两个维度层面的工作之后,就可以形成一个矩阵,把风险跟保费匹配出来,目前价格的区间是0.88~2.88元,然后通过风险定价,不同的账户对应不同的价格。
在账户安全险产品推出初期,团队非常小心,担心激起用户的反弹,也担心用户产生支付宝是不是不安全的怀疑。所以,在2014年账户安全险刚推出来时,公司定了200万的用户规模目标,这与动辄亿计的支付宝账户数相比可以忽略不计。但是出乎意料的是,这个产品用户规模的增长超出了梁越平等人的想象。第一年下来,用户数目就达到了2400万,是他们最初目标的12倍。2015年用户规模达到了1.2亿,远远超出了梁越平最初的想象。目前,账户安全险已经运行了两年,赔付率基本上是在一条稳定而健康的水平线上波动。
这个想法一提出,就在公司内部遇到了很大的阻力,反对的声音主要来自公司安全部门和公关部门。安全部门的理由是,支付宝的安全体系已经很完整,没有必要再用商业保险的方式来保证用户账户的安全;而公关部门的理由是,支付宝账户盗刷赔付的印象已经在用户心中扎根,再推出商业保险,是不是说明支付宝账户不安全,或者说赔付过高,需要用商业化的方式来解决。
随着业务的快速发展,支付宝的支付场景日趋丰富,特别是在移动支付发展之后,它早已摆脱了作为淘宝网担保交易工具的初始状态,开始在众多场景中应用。同时,随着余额宝的诞生,支付宝虚拟账户的金融属性大大加强,开始有理财、贷款、消费借贷等多种功能,这就和之前“账户+支付”并绑定担保交易的简单模式产生了很大的区别。客观上讲,用户对账户的安全性要求也大大提升了。
最初做这个产品时,梁越平等人的想法比较简单,想通过保险的商业化方式来强化用户的安全意识,所以在保费的设计上就想到让保险价格和安全防护相关。账户安全防护程度越高,价格就越便宜。他们希望借此促使用户提升账户的安全保护,但一算下来,按照这样的逻辑,保险价格定出来也很高,最高的甚至达到50元,这种定价模式也就走向了死胡同。
能不能通过保险来教育用户提升自己账户的安全水平呢?
如果有这个商业保险,前面提到的“支付账户保障体系”就成为一个基础产品。也就是说,当用户进行支付时,如果这笔支付不是本人发起,属于被盗支付或者被欺诈的支付,支付宝仍然会进行赔付。在赔付之后,支付宝会对被盗的账户做保护,出于安全的考虑也会限制很多功能,用户的使用会受到限制,但是如果用户投保了账户安全险,不管账户被盗多少次,支付宝都会赔付,赔付的金额峰值是100万元。
第二个维度就是先假设这个账户被盗,然后预测资损金额,通过用户的财富属性、支付资金属性以及银行卡相关数据,支付宝可以预测出,假设用户账户被盗后,大概会被盗窃多少钱,这其中也可以分出很多档次。
在计算被盗概率上,团队参考了与账户、用户和设备相关的三百多个指标,包括行为、环境、资产和身份等,找出与被盗最相关的变量,放到模型里去计算被盗概率,然后把这个模型跟实际被盗概率进行持续的虚拟学习,使模型成熟优化。通过模型持续去学习,进而与概率匹配,算出这些账户被盗的概率,随后将概率从低到高进行分档,这是第一个维度。
对于一款保险产品而言,报案和理赔是事关用户体验的重要环节。目前,支付宝账户安全险已经支持自助报案和理赔。
后来,梁越平等人认为,安全应该是两方面的结合,二者缺一不可。一方面是支付宝本身账户体系的安全,目前,支付宝的安全体系是世界领先的,这一点公司可以控制,但随着移动互联网的发展,安全产品需要不断更新,不敢说以前的安全产品就一定全部适应新的场景;另一方面是用户自身的安全意识,虽然可以通过对用户进行安全教育来解决,但是实际上效果并不理想,在使用支付宝的过程中,更多的用户关注的是支付的便捷而非安全。
这个问题让梁越平及其团队纠结了很长时间。
首先,支付宝的资损率极低,现在支付宝每发生一百万笔支付,只有不到一笔会被盗,在这样的资损率水平上,保险价格可以定得很低;其次,支付宝账户安全险这款保险不是独立存在的,它已经深入了业务风控场景中,在余额宝、招财宝等特定的理财型产品的场景中,它会融入其中跟业务共同发展。比如,用户的虚拟账户中可能有理财资金50万元,这50万元被盗的概率就会极低,当支付宝跟业务形成联防时,安全性就会更高。
在经历了安全和保险两个部门之后,梁越平感到,安全和保险其实很相似:前者是利用数据分析用户的行为,如果用户行为是恶意的,就要做出风险拦截;而后者是通过数据的力量,将信用和风险商业化。本质上,两者都要依靠数据,安全是用数据把坏账堵在门外,而保险则是把数据的分析变成商业。
在报案时,智能的判案引擎会自动判断用户被盗的笔数和金额。以前用户报案时,要告诉支付宝可能被盗了多少。现在智能的判案引擎会根据支付的特征、环境等因素的差异,自动计算出用户的损失,用户只要按确认键即可。
[1] 当时支付宝的外卡收单业务主要指的是,用户用外币卡向商家进行在线支付,而支付宝在线提供收单服务。
这也是传统保险跟互联网保险的差异。传统保险很难做到个性化定价,受渠道的限制,它不可能针对每个用户给出一个有针对性的风险定价。互联网渠道则不一样,因为平台掌握的数据信息比较全面,所以可以针对每个用户做出个性化的定价。
在理赔时,账户安全险与芝麻信用结合。比如,系统在判断用户的账户被盗以后,会去查看被盗用户的信用。如果用户信用很高,并且金额在2000元以内,系统会采用极速赔款的方式直接进行赔付。但如果用户被盗的金额超出一定幅度,就需要提交更多材料,如公安的报案回执、银行的回执,这些通过在线拍照上传即可。拍照上传以后,所有的赔付流程都可以在线看到,理赔体验非常好。
梁越平是蚂蚁金服保险事业部总监。2007年他进入阿里软件工作,阿里软件是阿里云的前身。后来他到了阿里B2B中国供应商工作,做企业之间的平台“诚信通”。再后来他到了阿里的安全部门工作。2013年他来到当时的阿里小微金服做保险业务。
从2005年的“你敢付,我敢赔”,到2012年的“支付账户保障体系”,以及现在的蚂蚁金服智能风控大脑,支付宝对用户交易和账户的安全保障水平一直在不断提升。2014年推出的“账户安全保险”又从另一个维度给用户的账户安全增添了一道保障。