互联网金融发展推动下的支付安全
发布时间:2015-05-08

工业和信息化部电信研究院泰尔终端实验室  袁琦


【摘要】首先介绍互联网金融发展进程和特征,分析了支付安全在账户生命周期过程中的重要性,并分析互联网金融发展推动下的支付安全技术和威胁,研究了国内外支付安全监管政策和现状,最后提出了我国支付安全发展的问题和建议。

【关键词】互联网金融    支付安全    支付安全监管    第三方支付    银行支付

中图分类号:TP399    文献标识码:A    文章编号:1006-1010(2014)-23-

 

1   互联网金融发展进程

互联网行业时刻在变化,它一直在和各行各业进行融合创新。互联网也在改变着金融业,传统金融行业随着技术的变化不断地发展。我国传统金融业信息化发展的进程是一个金融互联网化的过程。从1993年的金桥金卡工程,发展到1995—1998年的网络银行、网络保险和网络证券。从1997年中国各大银行推出服务网站和网页,到中国保险公司推出的信息网、证券网网上交易系统。2010年和2012年中国各大银行推出智能手机客户端服务平台,2013年招商银行推出微信服务平台。随着信息化的发展和技术手段的不断丰富,金融业信息化的进程在不断地向前发展。然而,由于传统金融业具有垄断的性质,信息化进程发展较为缓慢。

互联网行业不断发展、迭代迅速、充满创新。国内互联网金融发展的进程是一个互联网金融化的过程。这个过程的起源是1998年的美国易趣第三方支付,2004年中国阿里巴巴推出支付宝、2007年上海拍拍贷公司推出国内首家P2P纯信用担保网络借贷平台、2009年阿里巴巴推出阿里小贷,2012年点名时间推出众筹的智能硬件平台,再到2013年阿里巴巴推出余额宝以及各个公司推出的金融服务。这是一个从小额的支付到大额的货币开始进入互联网金融的过程,也是一个互联网向金融行业渗透的过程。

从以上2个方面可以看到,整个传统金融行业的互联网化的进程很慢。然而,互联网金融化是以一个在快速发展的过程。

 

2   互联网金融发展特征

互联网金融的发展是从跟随模仿向探索创新驱动转变。第三方支付、P2P网贷等都是模仿国外的企业。中国的互联网企业在本土化改造过程中考虑了中国的国情,通过互联网思维方式考虑用户体验,采用模仿的策略使其发展呈现良好态势。另外阿里巴巴、京东、百度等具有代表性的中国互联网企业积极创新,在各自的平台上推出了有特色的金融服务。

新兴的企业和传统的企业相互竞合。各行各业都在思考在互联网技术发展下如何拥抱互联网,使自己的行业与互联网有更好的融合,从而改变整个经济的发展方式以及传统产业的发展趋势。新兴企业和传统企业存在双向进入的特征,例如阿里和腾讯在申办民营银行,传统的金融机构在开展P2P网络带宽等新业务。这些企业彼此之间也在进行一些业务合作和组织方式的融合,在业务合作方面出现了基于电子商务的新险种(运费险)和基于第三方支付的货币基金(余额宝和理财通),在组织方式融合方面阿里、腾讯、中国平安等成立了众安保险。

 

3   支付安全是互联网金融的核心问题

互联网金融的新发展层出不穷,其中最根本的一个问题就是账户支付的安全。无论是在传统的互联网行业,还是在新兴的互联网金融行业,账户支付安全永远是一个核心问题。

互联网金融应用账户表现形式:银行账户、第三方支账户、基金账户、保险账户、虚拟货币账户(例如Q币账户、比特币账户)等。互联网金融应用使用的资金最根本来源于2类账户:

◆银行支付账户:指付款人在银行开立的银行账户,例如招商银行、建设银行等,主体是银行企业。

◆第三方支付账户:指付款人在非金融支付机构开立的支付账户,例如支付宝、财富通,主体是第三方支付企业。

无论是银行支付的账户还是第三方,要完成交易需经过的生命周期流程为:账户开设、账户登录、账户审核、账户资金转移和账户资金清结算。在这个流程中,银行账户和第三方支付账户不同的环节在于账户开设与账户登录阶段。传统的金融业都是通过柜台进行操作,而第三方支付赋予用户线上操作的权限,账户登录审核通过后台完成。因为第三方支付往往额度较小,所以其账户开设阶段的安全性尚可接受。账户支付主要在账户资金转移和账户资金清结算2个环节,会采用一定的安全技术手段和措施。所以账户安全贯穿账户完成资金交易的整个生命周期过程,其中支付安全是互联网金融的核心问题。

 

4   互联网金融发展推动下的支付安全技术和威胁

支付安全与终端、网络、业务应用的安全有关,涉及的关键要素包括:数据安全、应用安全、平台安全、网络安全、终端安全和用户安全。在用户安全方面,一些用户登录的账号、密码会被盗用或冒用;在终端安全方面,PC和移动终端软硬件的后门漏洞可能植入病毒和恶意代码,PC和移动终端可能存在的病毒和恶意代码等都可能会导致用户信息泄露;网络安全威胁来自在传输网络中业务数据和信令数据的窃取或篡改;平台安全威胁是指部分平台存在从互联网入侵和控制的危险,如果平台有了漏洞,黑客攻击到后台的平台,平台或会瘫痪;数据安全就是交易账号和密码的盗用以及保存的用户信息和交易信息存在泄露和滥用的风险,例如用户存在终端活平台上的一些应用数据、用户数据、业务数据的损失,都有可能会对支付安全造成影响。

支付安全需要保证用户的身份认证唯一、交易准确无误以及数据传输和存储的安全,它将涉及终端、网络、业务应用等很多因素。账户安全技术解决方案有以下几个部分。身份认证要有多重用户名和密码、U盾、校验码、短信验证以保证用户安全;目前采用可信终端技术保证支付安全,终端实现可信区域,在可信区域使用支付应用,与普通应用进行隔离,在硬件、操作系统、应用安全方面采用安全加固措施。如果是普通终端可采用操作系统加固、应用软件安全检测、安装防病毒工具等方式保证终端安全;网络安全方面,通过网络安全防护和网络加密传输等保证支付安全;平台安全方面,为了防止黑客攻击,可以对平台进行风险评估,采用部署防火墙、入侵检测设备等安全防护措施;应用安全方面,客户端和服务器采用SSL加密、日志审计等保证安全;数据安全一般通过数据的加密、存储、传输和备份实现。

 

5   国内外支付安全监管政策和现状

对于支付安全不同的国家有各自的监管政策。韩国对所有从事支付业务的企业都实施强化准入条件的许可证制度并要求其接受金融监管委员会的监管,而且在保障交易和数据安全方面制定了明确的法律条文。日本是移动互联网比较发达的国家,其移动金融是发展最早也是最成熟的。这得益于日本宽松的金融管制政策,它允许运营商开展多种模式的支付业务,并且属于各个经济产业省管辖,央行则侧重对资金安全的管理。欧盟委员会正式发布的《电子货币机构指令》覆盖已出现的大多数电子支付工具,包括电子钱包方案、充值卡、账户、互联网支付机制等,说明提供这类电子支付服务需要普通的银行执照或申请ELMI执照,这相当于准入资格监管。在美国,非金融机构被允许开展电子支付业务,大多受到货币转账等法律监管,有资本金、储备金和执照方面的限制,还会受到金融隐私、反洗钱等法律的约束。

我国对非金融机构的监管起步较晚。2010年,中国人民银行才出台了《非金融机构支付服务管理办法》,在此之前非金融机构都是监管的灰色地带。2010年12月1日,中国人民银行颁布了《非金融机构支付服务管理办法实施细则》,使得各个企业的金融业务合法化。2014年3月,中国人民银行发布了《支付机构互联网支付业务管理办法》(以下下简称“管理办法”)和《中国人民银行关于手机支付业务发展的指导意见》(以下简称“指导意见”)征求意见稿,明确了交易和数据保护的要求。《管理办法》的第五章——“风险管理”,规定了信息和数据安全要求,《指导意见》的第三章——“保障信息与信息安全”,规定了交易数据处理过程中的完整性、安全性和不可抵赖性,并要求要对客户信息保密并防止信息泄露。另外,2013年中国人民银行发布移动支付系列标准,对于移动支付从安全模块到网络传输和应用平台的整套方案都作出了技术要求。同时,工信部也发布了移动支付部分标准,包括总体安全、手机终端安全等要求。这些办法和标准为电子支付的安全提供了技术依据。

 

6   我国支付安全发展存在的监管问题和建议

目前我国对于互联网金融的支付安全监管体系尚未建立,电子支付过程的参与者包括消费者、商户、移动运营商、第三方支付服务提供商和银行。针对这些对象和整个过程的安全制度不够明确,安全标准实施后的监督力度不足,安全监控体系尚未建立,各环节安全风险防范不够。

促进我国支付安全发展的建议如下:

(1)在政策方面,希望政府能够细化第三方支付和互联网金融账户安全方面的政策,并对账户、交易和数据安全保护的要求进行监督和实施。

(2)建立覆盖整个账户、业务交易环节的内部控制制度及实施监督机制,落实内部控制考核,确保账户、业务交易环节操作的规范性。

(3)远期来看,我国应当积极开展对信用体系建设的探索,研究制定相应的交易规则,强化对交易双方的信用分析。同时对已有的信用信息进行有效整合,实现部门间信用信息的共享,对失信的单位或个人及时纳入“黑名单”管理,并实现动态的发布以减少交易信息不对称的问题,降低移动支付的信用风险。

 

参考文献:

[1] 曹红辉. 中国电子支付发展研究[M]. 北京: 经济管理出版社, 2008.

[2] 李俊. 中国移动支付产业发展及监管策略研究[D]. 北京: 北京邮电大学, 2009.

[3] 中国人民银行. 非金融机构支付服务管理办法[Z]. 2010.

[4] 中国人民银行. 非金融机构支付服务管理办法实施细则[Z]. 2010.

[5] 中国人民银行. 支付机构互联网支付业务管理办法[Z]. 2014.

[6] 中国人民银行. 中国人民银行关于手机支付业务发展的指导意见[Z]. 2014.★

请输入评论内容
登录注册访问网站首页。

copyrights @ 2013  版权所有:中国电子科技集团公司第七研究所《移动通信》杂志社

粤ICP备17061932号-2     粤公网安备 44010502000212号