国内互联网金融信息科技风险的新特征与监管建议.pdf

信息安全 practice 65 投稿邮箱： 栏目编辑：梁丽雯 e-mail:liven_01163.com 2015年第4期 国内互联网金融信息科技风险的新特征 与监管建议 中国银行业监督管理委员会广东监管局 许瑞填 一、 互联网金融存在形式 互联网金融是依托互联网技术实现融资、 支付和 信息中介等业务的一种创新金融， 能降低客户对传统金 融机构网点的依赖。 通过建立专门的网络交易平台， 提 高金融服务的运营效率， 不仅普惠低端客户市场庞大的 金融交易需求， 而且突破地理区域的限制， 推广跨国金 融服务。 更具创造性的是， 互联网金融依托互联网技术 和互联网精神对传统金融服务流程进行创新和变革， 从而增强金融的资源配置功能。 当前国内互联网金融 以多种形态和组织形式存在， 按照业务开展模式的差 异， 可以分为以下5大类型。 （一 ）第三方支付 第三方支付机构作为银行卡持卡客户和银行之间 的中介， 通过互联网向客户提供快速货币支付、 资金结 算等功能。 拥有第三方支付账号的客户将账号同自己的 银行卡进行绑定， 每次进行交易支付时， 客户不必登录 不同的网上银行界面， 而是访问相对熟悉和简单的第三 方支付机构界面， 通过加密的电子数据形式传递支付信 息。 客户银行卡实际的资金划转则由第三方支付机构向 银行提交电子交易数据来完成。 （二）金融互联网化 即互联网对传统金融中介包括银行、 证券、 保 险机构以及交易所物理网点和人工服务等的替代， 具体包括网络银行和手机银行、 网络证券公司、 网络 保险公司等。 其中， 以余额宝为典型的金融产品网络 销售模式， 是2013年国内最吸引眼球的金融互联网 化成果。 （三）基于大数据的征信和网络贷款 即通过大数据分析技术， 对借款客户的信用资质 进行评价， 确定相应的贷款利率和条件， 进而在此征信 基础上， 企业在自建网络交易平台上使用自有资金向借 款客户提供贷款的金融服务模式。 国内阿里巴巴征信 系统和对应的阿里小额贷款是基于大数据征信和网络 贷款的典型代表。 （四） p2p网络贷款 即在互联网交易平台上开展的个人对个人借贷模 式。 拥有富余资金同时有理财投资需求的个人， 通过第 三方互联网交易平台的牵线搭桥， 以信用贷款的方式将 资金贷给其他具有借款需求的个人。 （五）众筹融资 新项目的管理者在专门的互联网在线平台上就其 项目发布募资计划， 平台的其他用户根据自己的喜好和 判断， 选择是否出资。 如果项目能够在预定期限内完成 资金募集， 项目管理者将按照募资计划执行项目， 并依 照承诺给予出资者回报。 否则募资计划失败， 项目管理 者需要将当前募集的资金退回出资者。 二、 互联网金融信息科技风险的新特征 互联网金融蕴含传统金融中介面临的信息科技风 险， 包括数据泄露、 被篡改的信息安全风险； 因信息系 统故障、 自然灾害等导致数据或程序丧失可用性的风 险； 因信息系统或人员表现不佳影响公司运营和收益 的风险； 信息系统或人员对数据的操作不符合法律监 管规定、 行业自律要求或公司管理政策致公司声誉受损 的风险等。 因为互联网技术的全面应用和深度渗透， 信息科 技风险在互联网金融中表现得更加突出， 且呈现不可 忽视的新特征。 信息安全 practice 66 投稿邮箱： 栏目编辑：梁丽雯 e-mail:liven_01163.com 2015年第4期 （ 一 ） 更容易转化为信用风险、 声誉风险等其他风险 互联网金融不仅是对传统金融中介物理网点和交 易场所的虚拟化和电子化， 更为深刻的是对传统金融 业务流程的变革。 互联网技术和精神与金融的深入渗 透融合， 导致信息科技风险对信用风险、 声誉风险等其 他风险的影响更加直接。 具体表现在以下几个方面。 1 基于大数据的征信和网络贷款依赖大数据分 析， 系统能自动评价借款客户的信用资质以及厘定相应 的贷款利率和条件， 缩减了贷款审核的期限。 比如阿里 小额贷款依托自己研发的覆盖整个网络贷款生命周期 的it系统， 开展贷款的审批、 发放和贷后管理， 对借款 客户信用资质的评价则是在阿里巴巴征信系统的基础 上， 通过自有的水文交易预测算法实现。 然而这些应用 程序和算法完成开发不久， 接受事实检验的程度还不 够高， 技术的完善性和可靠性还须进一步确证。 其可能 隐含的漏洞和缺陷将降低信用评价的质量， 形成严重 的信用风险敞口。 2 p2p网络贷款和众筹融资允许客户的匿名注册 和非实名制认证， 存在的客户身份欺诈和黑客攻击风险 将更加容易为犯罪分子和恐怖集团所利用， 用以进行 洗钱活动和恐怖融资， 从而转化为洗钱风险和恐怖融 资风险。 3 具有明显 “长尾” 特征的互联网金融吸纳了不同 层次的客户。 客户对互联网金融信息科技风险的知识积 累程度不一， 难以有正确和理性的认知。 因而在信息科 技风险事件发生并造成损失时， 单个客户对机构声誉 的质疑将在互联网特性和 “羊群效应” 的双重作用下迅 速获得群体性的响应， 单个机构的声誉风险将可能波 及其他机构。 （二）传染速度更快， 波及范围更广 追求信息即时传输、 数据共享融合、 接口开放可用 的互联网将互联网金融的各个个体以及各个业务流程 紧密地联系在一起， 也增强信息科技风险的传染效应 以及扩大风险衍生的边界。 具体表现在以下几个方面。 1 大多数互联网金融机构由于自身规模和技术实 力限制， 可能无法建造完全独立的覆盖整个业务流程 生命周期的it信息系统， 同时互联网精神也不倡导这种 封闭、 仅靠一己之力的技术建设方法。 因此某项互联网 金融服务的it技术架构常常部分接入第三方的技术支 持， 比如采用支付宝作为第三方支付工具， 或者全部依 托第三方提供的基础架构， 比如租用第三方软件企业 提供的公有云iaas和paas服务搭建自己的门户网站。 某 个技术构件出现风险事件， 比如第三方支付不安全或公 有云基础软硬件设施的故障， 将迅速波及相关的机构 和用户。 2 互联网金融加速了跨国金融的发展。 国内外不 同互联网金融机构在技术和业务上的合作已经开始出 现并将是今后互联网金融发展的必然趋势。 在这种背 景下 ， 信息科技风险已突破单个机构或国家的封闭性而 隐藏于开放的国际互联网环境中， 从单个机构的范畴出 发去界定以及防范信息科技风险将呈现局限性。 （三） 更具复杂性、 多样性和隐蔽性， 防范控制和 应急处置难度加大 互联网金融信息科技风险更加复杂、 多样和隐蔽， 对防范控制和应急处置提出更高的技术和管理要求。 具体表现在以下几个方面。 1 随着业务的逐步开展和普及， 互联网金融的信息 科技风险正以各种不同的形式呈现， 比如近年来多次发 生的信用卡被支付宝盗刷、 二维码病毒等安全事件。 2 互联网金融是云计算、 大数据、 搜索引擎等多 种新兴技术应用的实验田， 不管研究学界还是工业界， 对这些新兴技术的研究和运用也正处于 “摸着石头过 河” 的阶段。 由于研究水平的限制， 这些新技术可能蕴 含的风险及其产生机理还须进一步的探讨和验证。 3 互联网对技术创新的追求带来的是， 对某项新 兴技术存在缺陷的公开远远晚于该项技术的投入使 用。 如open ssl面世16年之后其一直存在的可被黑客利 用的漏洞才被公开。 因此互联网金融信息科技风险的 隐蔽性不容忽视。 （四） 监管难度和要求更高 互联网金融的特性对信息科技监管工作提出更高 的要求， 具体表现在以下几个方面。 1 互联网金融机构群体范畴突破原有传统金融中 介边界。 在众多互联网企业、 通信运营商纷纷进军互 联网金融的今天， 如何界定互联网金融信息科技监管 边界， 如何有效及高效地利用当前有限的监管力量对 庞大的互联网金融机构群体进行监管， 已然成为监管 者需要面对的难题。 此外， 传统金融中介涉足互联网金 融， 如何协调已有的金融机构信息科技监管体系与互联 网金融信息科技监管之间的矛盾， 以及如何处理对涉 足互联网金融的金融机构与非金融机构的差异化监管 和公平监管问题， 也同样是监管者需要解答的。 信息安全 practice 67 投稿邮箱： 栏目编辑：梁丽雯 e-mail:liven_01163.com 2015年第4期 2 互联网金融技术的复杂性对监管能力和水平提 出了更高的要求， 而互联网精神的超前性， 必将不断挑 战现有的监管理念。 这些都要求监管者不断地适应互 联网金融日趋快速的发展， 以保障我国金融安全甚至是 国家安全。 3 互联网金融的发展日益国际化和全球化， 单靠 一个国家的监管将无法完全保证互联网金融体系的信 息安全风险。 国际监管力量协作成为选择， 然而如何实 施国际监管协作、 如何处理和避免国际监管协作衍生 的国际事务问题、 如何在国际监管协作中最大限度地 保障本国利益， 都是对监管者的挑战。 三、 监管建议 为应对互联网金融信息科技风险新特征带来的挑 战， 需要在鼓励互联网金融发展的同时加强监管， 努力 防控信息科技风险， 促进互联网金融健康成长。 （一）分类监管和协调监管并行， 多方联动、 横向 合作 一是遵循分类监管原则。 目前国内对互联网金融的 监管基本确定p2p网络贷款由银监会监管、 众筹融资由 证监会监管、 第三方支付归央行监管、 网络小额贷款由 各地金融办监管。 自然地， 各类互联网金融模式的信息 科技风险主要由各归口监管部门负责监管。 二是重视协 调监管的作用。 在发挥各归口监管部门监管主体作用的 前提下， 应强调各监管部门之间的协调互助， 建成高效 的信息沟通和资源共享机制。 同时可辅以财政部、 工业 和信息化部、 商务部、 公安部等其他部门的协调监管， 建成多方联动横向合作的监管体系， 弥补分类监管的短 板。 三是加强规范互联网金融协会的建设和发展， 借助 行业协会自律管理的功能， 弥补政府监管的局限。 （二）加快互联网金融信息科技监管办法和技术 标准的出台与完善 一是尽快出台互联网金融信息科技监管相关办 法， 明确监管原则和界限， 制定监管规范。 监管办法的 制定应该充分考虑互联网技术的复杂性， 需要明确和 细化各项监管要求， 包括信息系统的可用性、 客户信息 保护、 数据管理等方面。 二是建立持续高效的政策法规 修订机制， 适时推进监管办法的修订和完善， 以适应快 速发展的互联网金融技术。 三是协调有关方面出台或优 化相关制度， 加快互联网金融行业技术规章和国家标 准的制定。 通过规范互联网金融信息技术的研究和应 用， 降低信息科技风险。 （三） 发展具有自主知识产权的互联网金融信息科 技和安全体系 长期以来， 我国互联网和it领域处于核心技术受 控于其他国家的局面。 而基础软硬件设施以及核心安 全技术又是防控信息科技风险的关键。 因此落实 “自主 可控、 安全可信、 高效可用” 的信息科技发展目标， 促 进具有自主知识产权技术和设施的应用与推广成为必 然。 具体包括大力推行软件国产化、 密码算法国产化、 互联网金融 “去ioe” 化等。 （四）健全互联网金融信息科技审计和安全认证 的市场体系 健全和规范信息审计和安全认证市场， 建设一批 专业的拥有先进信息审计技术和安全认证水平的国内 机构， 在当前是迫切需要的。 一方面， 独立第三方审计 和认证机构能够为互联网金融机构开展信息科技建设 和信息安全保护提供专业的咨询。 另一方面， 规范的第 三方审计和认证体系将有效地缓解监管部门在信息科 技方面的监管压力。 （五）强化队伍建设， 提升监管能力 一是完善健全考核和激励机制， 保持队伍长期稳 定。 人员稳定是一支监管队伍战斗力持续提升的基础 保证。 如果人员变动频繁， 将在很大程度上阻碍监管工 作的顺利开展。 二是增加和优化监管人员配置， 扩充监 管队伍， 加快解决监管力量不足的现实问题。 三是完善 培训体系， 实行多样化的分级分类培训， 交叉运用多种 培训方式， 包括讲座授课、 以查代训、 委托培养、 联合 研究， 促进监管人员对新兴互联网技术的学习和掌握， 建立一支学习型监管队伍。 四是学习互联网精神创新 监管理念， 运用大数据、