“互联网+金融”模式下的信息安全风险防范研究,本文主要内容关键词为:互联网论文,信息安全论文,风险防范论文,金融论文,模式下论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
中图分类号:F832 文献标识码:A 文章编号:1001-4403(2015)06-0124-07 “互联网+金融”已经正式纳入中国“互联网+”行动计划的发展序列。以P2P、众筹、第三方支付、大数据金融等为代表的新兴互联网金融产业的高速发展,引发了金融市场交易模式和交易观念上的一场深层次的历史变革,正成为一股潜力巨大的金融发展创新力量。[1] 然而,互联网金融的迅猛发展,也产生了一系列“互联网账户信息安全”问题。黑客侵袭、系统漏洞、病毒木马攻击、用户信息泄露等事件频发,给互联网金融信息安全带来巨大挑战。互联网金融除了具有传统金融业面临的一般性风险外,其虚拟化的服务方式、跨领域的业务开展、开放与透明的市场经营环境,也使其还面临基于信息技术导致的平台风险、技术风险、系统安全风险和基于虚拟金融服务的业务风险。因此,必须高度重视在互联网金融快速发展过程中暴露的信息安全风险问题,采取一系列措施加强互联网金融信息安全风险防范。在互联网金融时代如何保障信息安全、维护消费者权益,提升互联网金融的安全感正成为“互联网+金融”风险亟待破解的新问题。 一、我国互联网金融发展现状与模式创新分析 中国人民银行于2011年5月18日,发放了第一张第三方支付的牌照,这标志着互联网与金融结合的起步。2012年3月平安陆金所推出了首宗P2P业务,随后互联网金融在我国迅速发展。2013年,互联网金融的发展逐步纳入高层视野,众筹融资也开始出现,第一家专业网络保险公司正式开业,众多互联网行业巨头纷纷跨界涉水金融业务,部分银行、券商等传统金融机构也依托互联网加速建设电商平台,互联网金融行业组织开始组建。2014年则是互联网向金融业全面渗透的一年,政府工作报告首次提及互联网金融,相关监管政策密集出台,首家互联网民营银行正式上线,各大互联网企业及电商平台加速布局互联网金融领域,以余额宝为代表的互联网金融开始为用户提供更加便利的金融服务。 2014年底,我国已成为全球最大的互联网金融市场。[2]其中第三方支付持牌企业已达269家,总交易量将达31.2万亿元;P2P网贷平台数量超过2 000家,平台总规模达3 291.94亿元;股权众筹平台接近100家;蚂蚁微贷累计发放网络小额贷款超过2 000亿元;以京东、苏宁为代表的供应链金融也突破百亿。 目前互联网金融模式创新呈现四大趋势[3]: 一是依托互联网拓展新型投、融资渠道的创新模式。该模式的典型是众筹和P2P网贷。它是指在投、融资过程中脱离传统的金融中介,依托互联网平台开展新型股权、债权投融资业务的创新模式,是一种直接融资形式。借款人可以以更低的借款成本获得比民间借贷更便利的信用融资,投资人可以获得比银行存款更高的投资回报。 二是基于大数据和云计算的金融服务创新模式。该模式是一种大数据金融模式,是指拥有海量数据(如交易数据、收支数据、违约数据等)的电商企业,以云计算为技术支持,集合并实时处理海量非结构化数据,分析和挖掘客户的交易和消费信息并从中快速获取有用信息,以客户需求为导向提供有针对性的金融服务。其主要形式有网络小额贷款、供应链金融、互联网征信等。 三是传统金融机构互联网化的创新模式。它是指传统金融机构应用信息技术,对运营流程和经营方式进行改造或重构,缓解甚至解决信息不对称的问题,实现经营、管理全面电子化、信息化。常见的有网络银行、网络证券、网络保险、网络基金销售和网络消费金融等。建行“善融商务”、交行“交博汇”、招商银行“非常e购”以及华夏银行“电商快线”等都是传统金融机构互联网化的体现。 四是以第三方平台提供金融中介服务的创新模式。它是指第三方平台利用互联网为金融产品的销售,为客户之间的转账、支付、结算等提供中介服务的创新模式,如互联网金融门户(金融超市)、互联网支付等。 二、互联网金融面临的信息安全风险分析 近几年来,我国互联网金融在技术与基础设施、业态与产品创新、监管与法制建设等方面都有了迅速的发展。然而,由于互联网金融具有产品虚拟、经营环境开放,以及市场运行透明等特征,因而随着互联网金融的快速发展,互联网金融正面临着严峻的信息安全风险的考验。[4] 互联网金融信息安全风险与传统金融风险不同,同时具有金融和互联网双重风险。仅在2014年的短短4个月时间内,就先后出现了携程漏洞门、二维码支付欺诈、网络安全协议OpenSSL“心脏出血”漏洞等一系列信息安全风险事件。根据国家互联网应急中心数据显示,2014年我国共有46.3%的网民遭遇过网络信息安全问题,其中电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。从上述统计数据可知,安全事件的频频发生将互联网金融的信息安全风险推向了风口浪尖,如何有效防范互联网的风险事件成为国家上层机构和全体国民关注讨论的焦点。 (一)监管滞后的法律风险 互联网金融发展迅猛,日新月异。正因为如此,立法监管是首要问题,如果法制建设没有跟上互联网金融的发展速度,那么互联网金融“野蛮生长”就成为必然。近年来,我国虽然相继出台了《中华人民共和国电子签名法》《网上银行业务管理暂行办法》《电子银行业务管理办法》等看似与互联网金融有关的法律法规,但这些有关金融法律法规的规制对象主要是基于传统金融业务领域,并未涉及专门针对互联网金融新业态的监管领域,不利于消费者权益的保护。这种“无准入门槛、无行业准则、无监管机构”的“裸奔”状态,使得我国互联网金融行业存在监管缺位和职责重叠,金融监管明显滞后于互联网金融的迅速发展,互联网金融的“野蛮生长”导致信息安全风险日益突出。如果各部门的监管能力和水平不能提升,服务的手段和质量不能满足互联网金融的需要,顶层设计滞后形成监管不足,则无法有效防范金融风险。一旦出现金融风险,由于互联网信息的迅速传播,就使传统金融风险作用范围和蔓延速度加倍放大,金融体系的脆弱性愈发严重。 由于法律和监管缺位,使得部门互联网金融创新模式自身与现有法律相抵触。如股权众筹,作为目前互联网金融典型特征和风险投资创新形式的新型小额股权融资活动发展迅猛。但从本质上看,股权众筹平台这种运营模式还未获得我国现有法律上的认可。从法律上看,这一运营模式与非法集资的构成要件相吻合。①除此之外,由于目前股权众筹的部分行为可能违反《公司法》《证券法》有关规定,还会面临代持股和公开发行证券的风险。 2015年7月18日,中国人民银行等十部委联合发布了《关于促进互联网金融健康发展的指导意见》(以下简称《指导意见》),从鼓励创新、分类指导、健全制度三大方面、20个具体环节提出了明确的监管目标和指导要求。然而《指导意见》虽然部分填补了一直以来我国互联网金融法规方面的空白,但从法律层级上看,该意见不是法律,也不是行政法规,只是行政规范性文件,缺乏权威性,还难以成为执法的依据。 此外,与《指导意见》相配套的具体监管条例还未落地。由于《指导意见》明确划分了监管部门,按照不同业态分类监管,因此各部门之间如何贯彻意见的指导精神,如何协调配合,如何将各项制度落到实处十分关键。对互联网金融的监管难度与传统金融相比要复杂得多,可能遇到的外部阻力也要大得多,如果各部门间协调监管的节奏把握不当,采取的方法、手段不够得力,就会产生复杂的后果。所以针对互联网金融的特征,全方位地加速互联网金融立法迫在眉睫。 (二)数据安全风险 在物联网、大数据、云计算发展如火如荼的时代,互联网金融正面临着前所未有的数据安全风险的挑战。互联网金融依靠非金融领域积累的大量客户数据等信息迅速崛起,因此这些数据就是互联网金融有别于传统金融行业的资本。互联网金融机构掌握着客户的投资偏好、需求定位、信用状况、存贷款记录等信息,这些数据要求绝对安全和保密,一旦客户的个人信息丢失、泄露或遭到篡改,不仅会对客户隐私、投资人收益和信用情况等个人隐私造成严重威胁,而且会给互联网金融企业造成不可估量的损失。[5]如2014年,全国知名票务服务公司携程旅行网被曝其支付日志存在漏洞,用户银行卡信息可被黑客任意读取。这一事件引发大量用户更换信用卡,给社会公众造成巨大的恐慌,也对相关机构的信誉和作为互联网金融主力军之一的互联网支付蒙上了阴影。目前,很多互联网金融平台整体安全技术水平跟其业务的风险不匹配,加密系统和传输系统安全性并不完善,缺乏专业、核心的防范黑客攻击技术,一旦网络传输系统和环境被攻破,或者加密算法被黑客所破解,黑客就会乘虚而入,就会导致用户信息泄露、恶意冒充投资人进行恶意提现、大型DDOS攻击和CC攻击,以及来自黑客的恶意勒索。 (三)技术操作风险 技术操作风险指因不正当或不正确的内部控制程序、员工欺诈、操作系统缺陷、职员及管理技能落后、不可控外部事件等导致直接或潜在损失的可能性风险。该风险因涉及面广、可控性小、关联性强,一旦发生,会在互联网金融业务中迅速蔓延开来,可能会给互联网金融业务造成不可预期的损失,从而危及互联网金融业务的整体安全。如光大证券策略投资部门自营业务在使用其独立的套利系统时出现严重问题引发的光大证券“乌龙指”事件,该事件凸显了互联网金融背景下信息安全风险的技术风险诱因。易观智库《中国第三方网络支付安全调研报告》数据显示,互联网金融业务中,由于木马、钓鱼网站等风险导致用户账户、密码等数据被盗所引起的资金损失的比例是最高的,分别为24.0%和33.9%。 从博弈论的角度看,网络攻击者想要利用最低成本成功攻击目标,而系统本身的相关人员则试图采用成本最低、速度最快的防御方法使系统损失减少到最低限度。网络上的攻防就是典型的博弈。特别是对互联网金融公司来说,公司处于发展阶段,资源有限,往往忽视网络安全建设,但是网络攻击的手段越来越高明。由于互联网金融企业的漏洞及其对信息安全的忽视,使得攻击方有机可图,通过非法手段获得远大于其付出成本的收益。这就直接导致了数据安全风险和技术操作风险频频发生。 三、欧美互联网金融信息安全风险监管经验及其启示 (一)美国互联网金融信息安全风险监管的经验 1.以法律为基准,多部门分头监管,辅以同业自律的监管体制 监管立法上监管部门以现有立法为基础,参照不同网络银行的优劣,不断更新法律法规,做到监管规则与迅速发展的网络电子环境相适应。主要的立法有:财政部货币监理署的《技术风险管理——个人电脑银行业务》;联邦储备局的《网络信息安全稳健操作指南》;联邦存款保险公司的《电子银行业务——安全域稳健审查程序》;联邦银行机构监察委员会的《外包技术服务风险管理》。就监管职责分工来看,美国没有唯一的主监管机构,而采用州与联邦分头管理的监管模式,众多部门都会参与其中。金融监管上对机构的性质不加以区分,由于各机构的业务不同,所以行使不同的监管职能。强调监管与自律相结合,不断提升网络金融机构风险管理的能力。 2.按照货币转移业务监管第三方支付 第三方支付被归入货币转移,而参与第三方支付的企业则被定为非银行金融机构,监管机构包括财政部、通货监理署等多个单位。在监管机制上,仍然是州和联邦分管的监管模式,公司第三方支付的监管职责由联邦存款保险承担,同时,各州可以在遵守本州法律的前提下,对相关事项做出符合实际的规定。 3.以市场准入和信息透明度作为网络平台管理的重点 (1)准入门槛的设定。应联邦证券交易委员会的要求,网络信贷机构注册成为证券经纪商,其出售的凭证属于证券。而注册的高成本,使得其他的潜在市场参与者难以进入,从而不仅提高了网络借贷机构的抗风险能力和债务偿付能力,而且保证了网络借贷市场的安定。 (2)信息透明度的规定。SEC(Security and Exchange Commission)的关注重点在于网贷机构是否按要求设置信息透明度。在证券发行信息透明度的相关法律条文的基础上,美国证券交易委员会和州证券监管部门要求网络借贷机构对信息进行全面披露,主要从三个层次规定:一是注册时的信息透明度规定。注册时,公司全面的信息必须包括在网络借贷机构提交的注册文件和相关材料中。二是存续期的信息透明度规定。每季度,网络借贷机构的经营和财务状况必须定期披露,重大事项变更要立即披露。三是贷款项目的信息透明度规定。网络借贷机构要及时向贷款人披露贷款的具体信息。 (二)欧盟互联网金融信息安全风险监管的经验 1.较低的第三方支付机构准入条件 欧盟为了将第三方支付纳入电子货币体系来方便监管,规定欧盟的一切商业支付工具均限于“商业银行货币”或“电子货币”。欧盟通过公布“电子货币机构指令”来规范各国电子货币机构的成立、运营及审慎监管。2009年11月颁布的“支付服务指引”,明确电子货币机构不属于银行类机构,不需申请银行执照,但必须持有电子货币机构执照。 “支付服务监管法”主要内容如下:(1)支付机构持有电子货币机构执照可以从事第三方支付业务。但第三方支付机构吸收客户资金不再视同吸收存款,更不能进行贷款的发放。(2)第三方支付机构必须拥有充足的资本。电子货币机构注册资本在已发行电子货币中所占比例不得低于2%。(3)对于支付中形成的沉淀资金,必须委托第三方机构托管或担保。(4)欧盟的任何一国的第三方支付机构一旦获得支付业务许可,必须定期将财务和审计报告提交给监管部门,并遵守欧盟反洗钱监管规定。 2.网络金融机构与传统金融机构受相同法规监管 欧盟对设立和运营网络保险公司和网络银行不设任何阻碍,监管只按照现行“保险监管法”和“银行法”进行。 从欧盟的经验来看,对于网络保险公司和网络银行的监管,完全可以在现有的监管规定下进行。而在特定金融创新(例如P2P、众筹融资及第三方支付)方面,专门法规(例如我国对待第三方支付,就出台了相应规范)有必要出台,准入门槛应适当调低,市场的培育逐步进行。与此同时,加强监控和评测,适时对监管政策进行调整,确保市场的秩序和健康发展。 (三)欧美互联网金融信息安全监管经验对我国的启示 一是要夯实法律基础,捍卫制度规范。为了保证一切有法可依,应将互联网金融纳入已有的法律体系,以法律保证落实监管。 二是要更新监管模式,保证金融安全。只有根据金融创新的特征去更新监管模式,扩大监管领域,才能保证金融安全,降低金融风险。 三是要加强对监管框架的评估,探索未来监管方向。如2011年7月,美国国会对P2P互联网金融模式进行了评估,充分认识到P2P是一种金融创新,如果政府监管过重,其创新性可能受到打击,而如果放任自由,金融风险则会放大。欧美国家强调了“合理评估”,因为监管框架中只有坚持“合理评估”才能更有效地实现金融创新与安全的对立与统一,这为我国互联网金融的未来发展提供了合理的监管思路。 四、互联网金融信息安全风险的防范措施与建议 在研究发达国家互联网监管经验的基础上,针对我国互联网金融的发展现状和特点,提出以下的对策措施与建议。 (一)完善互联网金融法律法规,构建更为完善的监管体系 十部委联合发布的《关于促进互联网金融健康发展的指导意见》为我国互联网金融的健康发展指明了方向,也为其自身风险的发生筑起了有效的篱笆。为了构建互联网金融更为完善的制度与监管体系,还可以在以下三个方面继续完善。 1.进一步细分不同互联网金融业态的具体监管思路 在互联网金融的实践中有诸多的组织机构、产品、渠道等要素掺杂在一起,各自具有特定的业务运行特点与风险,难以进行统一监管。因此,在深入梳理合理的业态划分基础上,需要进一步落实相应监管细则。特别重要的是,监管细则的制定必须真正以功能监管、业务监管为主,通过加强监管部门之间的协调配合,真正解决互联网信息技术所导致的混业型金融创新带来的潜在风险与不确定性。 2.着力解决各种互联网金融模式背后的根本矛盾 例如,在P2P网贷等基于互联网的资金配置活动中,之所以会产生各种无序现象,究其根本原因是因为背后的民间金融机构缺乏有效引导和法律规制。只有加快推动以民间借贷为主的民间金融机构走向合法化,才能促使作为互联网金融主力军的P2P网贷行业的发展真正跳出民间金融的某些限制,着力推动技术与服务创新。 3.构建多层次且层次分明的监管协调机制 一是因为现有的“归口管理”模式不一定最佳,但是在目前的既定格局下,加强部门之间的协调就成为重中之重。实际上就许多互联网金融业态来看,都难以简单纳入已有的分业监管框架之中。无论是积极蓬勃的有益创新,还是“挂羊头卖狗肉”的灰色创新,过去都主要发生于不同监管部门的视线交叉或空白领域。二是因为许多投融资类互联网金融业态无法纳入现有的自上而下的监管框架中来,而且各地方情况大相径庭,因此地方金融监管部门的介入也非常重要,主要应该明确地方政府在其中的责任、权利和义务。三是因为互联网金融的发展应该以自律监管为重中之重,在各国都面临互联网金融形态不断变化的时代,“一步到位”的规则显然难以形成,更需要以自律来构建良好的发展生态环境。 (二)提高互联网金融企业对互联网金融信息安全风险的防范能力 互联网金融是一场金融变革的盛宴,互联网金融企业是推动互联网金融发展的中流砥柱,必须不断深化改革、创新求变,用新的思维模式,从以下四个方面制定互联网金融信息安全的风险应对机制。[6] 1.加强对互联网金融终端设备的信息安全风险防范 互联网金融企业应加大对自主知识产权的信息安全技术的研发和投资力度,采用防火墙、智能卡、数据加密等多种关键技术保障数据信息的安全,减少对国外先进技术的依赖,把科技的发展作为风险管理的重要手段,努力建立网络安全防护体系。比如在管理端、网络终端等采用综合的安全和防护密码技术,有效应对和解决互联网金融的信息安全问题。而对于智能化的终端设备来说,应用软件的安全性是至关重要的一个环节,在使用过程中要对第三方支付类的应用软件的权限进行检测,通过控制各种软件的安装来有效防范非法软件的应用和推广。 2.加强对互联网金融数据传输中的信息安全风险防范 建立和完善互联网金融应对攻击的防御体系,引入电子认证技术,保障用户在进行互联网金融交易时数据信息传输的安全性、可靠性、真实性、机密性、完整性和抗抵赖性。加强网络安全管理,从更高层次上防范黑客攻击导致的系统瘫痪,比如采用同态密码加密技术。在云计算安全防护技术不断应用于互联网金融的今天,基于同态密码技术,在对用户的权限控制中,采用对网络用户的实时身份认证、授权认证以及证书检查等环节,可以有效防止黑客的越权和非法访问,将明文信息通过加密掩藏来实现其安全性,起到保护隐私数据的目的。 3.强化新兴技术在互联网金融信息安全风险防范中的应用 当今世界科学技术发展日新月异,互联网金融企业应大力开发拥有自主知识产权的信息技术设施用以保护金融信息的安全,同时继续加大技术投资力度,开发新型认证设备,提高互联网金融系统的安全防御能力,保证终端平台的认证安全。比如,采用后量子密码技术和可信计算技术,在任意的操作环境中都可以被准确预测,且能够对应用软件、恶意入侵代码、各种病毒和某种程度上的物理干扰造成的破坏进行识别和防范并进行很好的抵抗,利用卫星计算机系统来提高整个系统的安全性,构建更加诚信的体系。 4.创新保险产品在信息安全风险防范中的新应用 企业作为控制信息泄露风险的主力军,除了加强其对于信息安全的风险意识,加强内部人员管理外,通过引入保险产品联合治理网络安全也是应对手段之一,如购买安全与隐私保护综合保险、网络安全险等。[7]此类保险承保标的主要是企业内部存有的机密商业信息、客户信息和雇员个人信息等,针对各种原因引起的数据丢失、网络被加插恶意软件、网络盗窃与网络敲诈、企业或客户信息泄露等风险事件做出理赔,可以协助企业主动加强信息保护方面的力度,有效协助客户减轻安全和隐私侵犯导致的负面效应和市场不利影响,大大降低企业所遭受的损失。 (三)加强互联网金融企业的内部控制体系建设,引导投资者的消费者权益保护意识 1.加强内部控制体系建设,提高管理人员的风险意识和管理水平 互联网金融企业首先应注重加强自身的内部控制体系建设,提高管理人员的风险意识和监督管理水平。同时,要对互联网金融交易进行全方位实时监测与分析。为了防止出现互联网的监管“黑洞”,应对互联网数据信息进行全方位的实时监测,基于大数据对交易进行整体评估,确定互联网金融的风险状况。监管部门应根据互联网金融风险形成的基本机理和过程,制定监控标准(包括确定数据类别、定义监控指标、划分统计范围、确定监控频率等)。比如对于进入门槛较低、风险涉及人数较多的P2P互联网金融平台,监管部门可同时制定相应的经营性指标和风险性指标。监管部门在建立风险评估机制时,应追踪互联网金融发展的最新动态,以便捕获新的金融风险类型,并及时制订应对方案。 2.加大对投资者的风险宣传力度,建立消费者权益保护机制 在我国,很多投资者缺乏专业的金融和互联网知识,也没有权益保护和风险意识,因此要加大对投资者的风险宣传力度,建立消费者权益保护机制,进一步明确各金融消费权益保护管理机构的职责和权利。具体建议是:一是互联网企业应该将自己的可信网站等信息安全标识更加突出显示,通过提供技术保障、优化服务水平、强化内控建设等措施,在交易时向投资者充分进行风险提示,确保交易安全、信息安全和投诉渠道畅通。二是互联网企业应实事求是地向投资者说明互联网金融产品可能面临的所有风险,投资者平时也要注重提高提升投资管理水平,洞悉互联网金融产品的本质,在面对种类繁多的理财产品时保持头脑清醒,不要被过度营销的高收益率所迷惑。三是投资者要养成良好的网络使用习惯,在使用互联网金融服务时,应加强自身风险防范意识,注意保护个人隐私,有选择性地填写某些信息时,应该仔细检查一些涉及关键隐私信息,慎之又慎,时刻警惕钓鱼网站、恶意软件、密码盗窃、网络诈骗等。 金融业“基因革命”已是大势所趋,我国已成为世界互联网金融的最大市场。互联网金融在推动我国金融业发展创新和促进我国经济在“互联网+”新模式下转型升级的同时,也带来了信息安全的重大风险隐患。只有加强对互联网金融特有的数据安全和技术操作等风险的充分识别与认识,从信息安全的源头抓起,从法律监管的切入口出发,从企业的内控体系和消费者权益保护意识的增强为突破,才能有效地防范互联网金融的风险,促进我国互联网金融更健康地发展。 ①根据《最高人民法院关于审理非法集资刑事案件具体应用法律若干问题的解释》第一条,非法集资应当同时满足四个条件:(一)未经有关部门依法批准或者借用合法经营的形式吸收资金;(二)通过媒体、推介会、传单、手机短信等途径向社会公开宣传;(三)承诺在一定期限内以货币、实物、股权等方式还本付息或者给付回报;(四)向社会公众即社会不特定对象吸收资金。标签:信息安全论文; 网络安全论文; 互联网+论文; 互联网金融论文; 网络金融论文; 传统金融论文; 数据与信息论文; 技术风险论文; 网络监管论文; 业务管理论文; 管理风险论文; 风险防范论文; 监管机构论文; 信息发展论文; 安全平台论文;