國家網路安全審查持續升級 | 董俊峰:淺析網路支付安全“三大支柱”的現狀與挑戰

語言: CN / TW / HK

編者按

自國家網信辦釋出通報下架“滴滴出行”App以來,國家網路安全審查不斷升級。近日,國家網際網路資訊辦公室會同有關部門修訂了《網路安全審查辦法》,並向社會公開徵求意見。徵求意見稿提到,掌握超過100萬用戶個人資訊的運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查。

近年來,網路資訊保安的重要性不斷提升, 清華金融評論 》(點選訂閱) 2021年2月刊特推出了“資料治理與個人金融資訊保護”封面專題,為做好資料治理、強化資訊保護、破解資料安全之困,以及促進金融科技發展建言獻策。

文/董俊峰

網聯清算有限公司董事長、總裁

伴隨著網路支付高速發展,濫用個人資訊和網路電信詐騙等不法行為時有發生,支付安全逐漸成為行業關注的重點議題。而個人資訊保護、交易風險防控和支付系統平穩是構建支付安全的“三大支柱”。本文分析了網路支付安全“三大支柱”的現狀與挑戰,並就推動支付安全向好發展提出了建議。

當前我國正處在轉變發展方式、優化經濟結構、轉換增長動力的攻堅期。習近平總書記在2020年中央經濟工作會議中強調,“要立足新發展階段,貫徹新發展理念,構建新發展格局,以推動高質量發展為主題,以深化供給側結構性改革為主線,以改革創新為根本動力,以滿足人民日益增長的美好生活需要為根本目的,堅持系統觀念,鞏固拓展疫情防控和經濟社會發展成果,更好統籌發展和安全”。習總書記的重要講話既深刻闡明瞭推動高質量發展的理念,又突出強調了發展與安全之間的統籌平衡關係,揭示了安全是高質量發展的重要前提,這對網路支付行業的持續健康發展具有重大指導意義。

網路支付在國民經濟發展中的重要作用

蓬勃發展的網路支付行業是我國普惠金融的標誌性成果之一

我國網路支付交易規模全球領先,網路支付模式多元發展。《中國網際網路絡發展狀況統計報告》顯示,截至2020年6月,我國網路支付使用者規模達8.05億,佔網民整體的85.7%;手機網路支付使用者規模達8.02億,佔手機網民的86.0%。疫情期間,網路支付覆蓋範圍進一步擴大。非接觸支付、線上支付線下提貨等新興支付方式助推網路支付的客群進一步拓展,向農村使用者、老年使用者群體覆蓋。網路支付已成為居民生活消費離不開的普惠性基礎金融服務。

網路支付服務是零售金融最重要的觸點和入口

在交易規模和使用者數量雙增長的驅動下,網路支付為商業銀行和支付機構積累了大量資訊和資料資源。獲客方面,網路支付是商業活動資金轉移的必要環節,提供網路支付服務的商業銀行和支付機構在獲客方面具有得天獨厚的資源優勢。留客方面,網路支付具有小額高頻的交易屬性,使用者一旦形成特定的使用習慣,將產生路徑依賴心理,進而成為相關機構的忠實客戶,使用者黏性得到有效保障。活客方面,使用者在支付過程中往往會產生支付軌跡,其中包含交易習慣、消費偏好等重要資訊,商業銀行和支付機構可基於此進行使用者畫像,為使用者提供個性化金融服務。近年來,金融機構基於支付業務持續深化使用者經營,提供高附加值金融服務。網路支付業務已經成為金融服務不可或缺的重要入口。

優質高效的網路支付業務推動經濟持續恢復和高質量發展

網路支付保障疫情期間民生消費。疫情期間,餐飲娛樂、商超零售等傳統線下消費場景受到較大沖擊。與此同時,網路支付以其便捷、高效、無接觸的特點,支援線上消費活動有序進行,發揮了為民生消費和經濟發展“補位”的作用。資料顯示,2020年3月底,餐飲行業網路支付交易額環比增長11%;2020年五一假期,部分旅遊平臺網路支付日均交易量環比增長38%,部分餐飲企業日均交易量環比增長超八成。

網路支付安全的“三大支柱”

伴隨著網路支付高速發展,濫用個人資訊和網路電信詐騙等不法行為時有發生,支付安全逐漸成為行業關注的重點議題。習總書記強調“安全是發展的保障,發展是安全的目的”。支付安全是支付行業有序健康發展的重要保障,而個人資訊保護、交易風險防控和支付系統平穩是構建支付安全的“三大支柱”。個人資訊保護關注使用者在支付各環節中,個人資訊的收集、流轉、儲存、使用與管理;交易風險防控聚焦支付行業風險聯防聯控,實現支付資金安全流轉,致力於保護老百姓“錢袋子”;支付系統平穩著眼行業全鏈路安全生產執行,提升鏈路各環節響應效率,確保支付服務不中斷。只有“三大支柱”穩健牢固,才能切實保障支付行業長久發展。

個人資訊保護的趨勢與挑戰

我國個人資訊保護方興未艾

歐盟《通用資料保護條例》(General Data Protection Regulation,簡稱GDPR)的出臺吹響了個人資訊保護的號角,個人資訊保護被提升到越來越重要的位置。2020年是我國個人資訊保護制度建設的關鍵年,有關部門“組合拳”頻出,推進相關法律法規建設,加快行業亂象整治行動,為個人隱私和資訊保安築牢保護屏障。2020年5月,全國人大表決通過《中華人民共和國民法典》,明確個人資訊受法律保護;2020年7月、10月,備受期待的《中華人民共和國資料安全法(草案)》《中華人民共和國個人資訊保護法(草案)》相繼釋出。我國正建立起一整套權責明確的制度規則,平衡多方主體利益,維護網路空間的良好生態。與此同時,央行啟動《個人金融資訊(資料)保護試行辦法(初稿)》徵求意見,釋出《個人金融資訊保護技術規範》,標誌著金融行業正式迎來個人資訊保護規範化時代,這勢必將對支付行業個人資訊保護工作產生深遠影響。

網路經濟高度集中給個人資訊保護帶來挑戰

近年來,我國網路經濟蓬勃發展,新業態、新模式層出不窮,對推動經濟高質量發展發揮了重要作用。與此同時,網路經濟的市場集中度呈現越來越高的趨勢,市場資源加速向頭部平臺集中。網路支付是網路經濟的重要基礎設施。上述趨勢和現狀給網路支付業務的個人資訊保護帶來深刻挑戰。

部分市場主體存在通過其市場優勢地位強行獲取使用者授權的情況。雖然我國現行法律法規已經明確對個人資訊收集使用須經資訊主體同意,《中華人民共和國個人資訊保護法(草案)》徵求意見稿中也強調“個人資訊處理者不得以個人不同意處理其個人資訊或者撤回其對個人資訊處理的同意為由,拒絕提供產品或者服務”,但目前各大應用程式(Application,簡稱App)仍存在將使用者授權與提供服務強繫結的情況,可能導致使用者在網路支付環節提交的個人資訊受到違背其意願的超範圍使用。特別是目前部分主流App,由於其具有服務覆蓋範圍廣泛、使用者數量龐大等屬性,已具有“必需品”性質,其對個人資訊的收集存在“霸王條款”傾向,應引起社會各界高度重視。

支付交易風險防控取得顯著成效

支付行業各方積極參與交易風險防控。按照黨中央、國務院有關網際網路金融風險專項整治的工作部署,支付行業各方在人民銀行指導下積極防範打擊電信詐騙、網路賭博等違法違規活動,配合公安機關開展“斷卡”等黑灰產反制行動,保障老百姓資金安全。支付市場主體在數字化轉型過程中,努力構建全流程、全鏈路智慧風控體系,加強大資料、人工智慧等新技術應用,不斷提升風險識別精準化水平和智慧決策能力,逐步形成聯防協作的工作機制,取得了較好效果。

清算機構在防範交易風險過程中發揮了特殊作用。在支付產業中,清算機構承擔防範化解金融風險、推動支付行業合規健康發展的重任,是支付交易安全防控的重要一環。清算機構著力發展以支援監管科技為重點的自動化、智慧化、數字化風控體系,支撐監管服務需求,助力支付領域監管政策落地。一是保障備付金資金安全。配合監管開展資金流向監測,識別資金挪用、偽冒交易等風險,追蹤異常可疑交易,核實資金去向,增強備付金監管有效性,保障人民群眾資金安全。二是支援打擊違法違規活動。清算機構以識別新型網路違法犯罪為重點建立監測模型體系,協同各方維護風險處置閉環機制,幫助市場主體規避客戶和關聯方違法違規風險,防範犯罪資金跨機構流動。三是建立聯防聯控機制。清算機構協同政府部門、行業自律組織建立聯防聯控機制,增強全網資金鍊匹配、追溯能力,強化跨網路犯罪活動打擊力度。

網路支付交易仍然面臨三大風險考驗

移動化、線上化趨勢下,支付行業面臨更大的網路安全威脅。隨著支付行業的數字化轉型,支付服務日趨開放和便捷,支付領域創新速度加快,線上化、移動化趨勢明顯,危害系統、網路和應用安全的漏洞日益增多,針對網際網路應用的網路安全威脅更直接、更突出,拖庫、撞庫、非法爬蟲等資訊洩露安全隱患也更嚴重、更隱蔽,黑客入侵、偽冒身份等網路攻擊行為給行業網路安全防控帶來了嚴峻考驗。

網路欺詐案件高發,非法交易融合交織,保障客戶交易、資金安全任重道遠。近年來,電信網路詐騙等犯罪手法不斷翻新,刷單代理、網購退款、“殺豬盤”、騙貸等網路犯罪層出不窮,犯罪團伙利用各類新興技術手段隱藏資金鍊。犯罪場景由原來的賬戶盜用、詐騙轉賬支付向網路貸款、虛假商戶、信用卡和理財等領域延伸,各類犯罪資金交易交織,欺詐風險、合規風險、信用風險等風險形態融合,風險防控形勢更加複雜嚴峻,保障客戶資金和交易安全成為防控重點。

網路黑產犯罪呈現產業化、集團化、專業化趨勢,風險防控挑戰升級。網路黑產已出現產業化、集團化和專業化趨勢,上游提供作案裝置和工具,中游負責非法獲取、出租出借身份證、手機號、銀行卡號等使用者個人資訊,下游為電信詐騙、賭博等犯罪活動洗錢和銷贓,甚至可以提供資料打包、精準訂製和技術眾包等一站式解決方案。網路黑產犯罪鏈條向著分工精細、組織靈活、資金快速流轉的方向發展,隱蔽性更強,風險對抗升級,為全鏈條打擊帶來更大困難。

支付系統平穩執行的重要性與挑戰

支付系統平穩是經濟社會穩定的重要基礎

支付清算系統作為社會資金週轉的“動脈”,是支援我國經濟社會發展的重要基礎設施,支付清算系統安全穩定執行,關係到廣大人民群眾生活便利和支付體驗,影響著人民群眾對經濟發展、金融安全的信心。中央政治局常委會會議提出要充分發揮我國超大規模市場優勢和內需潛力,構建國內國際雙迴圈相互促進的新發展格局。促進傳統消費,培育新型消費,推進各類消費業態的線上線下深度融合,是完善國內大迴圈體系、擴大有效內需極為重要的一環。網路支付作為保障人民群眾消費購物、中小微企業收付資金的重要支付方式,其業務的高效、準確處理對於推動國內大迴圈正常運轉具有極為重要的意義。

支付業務發展對系統平穩執行提出更高要求

支付業務規模上升需要支付系統平穩承接。隨著支付行業高速發展,支付業務規模呈快速上升趨勢。面對不斷上升的交易量,支付行業各方須付出更大努力備足系統冗餘、預留系統資源,平穩承接持續上升的支付交易“水位”,保證支付系統全網全鏈路的穩定執行。

支付業務模式變化需要支付系統適配調優。近年來,金融安全已被提升至國家安全的高度,監管機構陸續出臺監管政策,進一步規範市場主體創新業務,支付行業監管政策呈審慎、趨嚴態勢。監管政策環境變化有可能對市場主體業務邏輯產生較大影響,進而影響系統配置需求。支付行業各方需要結合監管政策環境對自身業務的影響,及時對系統容量、處理邏輯、執行情況進行關注和維護,在保持業務連續性的基礎上實現系統平穩執行。可以說,目前支付行業的系統平穩與業務模式、監管政策處於深度耦合狀態,挑戰前所未有。

推動支付安全向好發展的幾點建議

個人資訊保護不應侷限於法律層面

隨著立法的發展,個人資訊保護獲得了更多的制度支援,但是實際執行過程中仍面臨法律以外的挑戰。構建形成執法監督機構、行業自律組織、市場主體的三層治理架構,有助於在合法合規基礎上有效監督規範個人資訊處理行為,促進個人資訊合理利用,保護個人資訊權益。一是加強個人資訊保護執行情況監督檢查。個人資訊採集存在於資金流轉各環節,在相應法律法規頒佈出臺後,建議執法監督機構進一步關注支付市場主體是否存在個人資訊採集“霸王條款”和既往個人資訊處置不當等行為,及時加以制止,收斂個人資訊濫用和洩露風險。二是支付行業自律組織可將個人資訊保護內容納入行業標規體系建設。對於國家法律法規難以顧及到的領域和特殊業務場景,支付行業自律組織可結合實際業務開展情況,從個人資訊獲取的必要性、資訊收集範圍、資訊處理方式、資訊保管與儲存、資訊銷燬等方面組織制定行業標準,通過行業標準約束從業市場主體,實現資訊收集最小化、資訊處理必要化、資訊銷燬及時化。三是支付市場主體和清算機構可從業務流程設計入手,提升個人資訊保安。2020年,網聯平臺協同銀行和支付機構,創新推出一站式簽約功能,支援使用者在銀行App、線下自助裝置、線下網點等銀行側環境完成快捷支付簽約,使用者個人資訊無需流轉至支付機構,減少不必要的資訊互動與介面跳轉,提升個人資訊保安。

交易風險防控須加強行業協同

隨著數字化支付時代的到來,支付行業進入新的發展時期,面對新風險形勢挑戰,全行業應在資訊共享、行業協作、法律懲戒等方面加深共識、提升協同、嚴防嚴控,保障支付交易安全。首先,發展監管科技是強化穿透式監管的有力抓手。建議監管機構加大監管科技研發和應用力度,以科技對科技,探索大資料、人工智慧等數字化監管技術,提升監管效能,將監管過程前置,加強違規行為監管。清算機構可充分發揮資料和技術優勢,為監管科技發展提供底層支撐。其次,行業協同是提升交易風控智慧化的關鍵。通過開展風險資料共享、模型共建、聯合研發等多種形式的合作,支付市場主體可建立全流程風險監測識別體系,提升風險預警準確度,強化實時、準實時偵測處置能力,實現對違法犯罪活動的精準打擊。清算機構可發揮行業中樞作用,為行業協同提供組織協調服務。最後,聯防聯控是應對黑產產業化、集團化、專業化的必由之路。支付行業各方應深化風控領域合作,擴大風險資訊共享,實現風險資訊多維度關聯分析,增強聯合研判和資料線索互動,及時應對犯罪手法變化,及時調整風控策略和模型,提升協作效果。清算機構可為聯防聯控提供居中平臺和統一介面,幫助優化聯防聯控的成本和效率。

互聯互通是切實保障支付業務連續性的關鍵舉措

隨著網路支付行業集中度日益升高,個體系統的單點風險已經成為影響支付系統平穩和業務連續性的主要風險點,支付系統互聯互通成為解決問題的重要舉措。部分機構將資金、交易和資料置於其自身體系內封閉迴圈,導致支付系統之間人為割裂、畫地為界。同時,隨著網路支付市場高度集中的趨勢愈演愈烈,一旦主要機構出現問題,其他機構無法為其體系內使用者、商戶提供服務,可能造成大面積的服務中斷,進而引發系統性金融風險和社會動盪。鑑於此,一方面,應積極促進網路支付行業的百花齊放、均衡發展;另一方面,應推動機構之間互聯互通,引導各類支付市場主體相互開放業務許可權,建成支付市場主體平等參與、無差別的共享網路,實現線上、線下各類交易的全方位互聯互通,保證在任何支付工具服務中斷的情況下,使用者、商戶仍可享受到連續、穩定的支付服務,保護消費者權益,呵護好網路支付這個民族金融科技品牌。

本文刊發於 《清華金融評論》 (點選訂閱) 2021年2月刊,2021年2月5日出刊,編輯:王曄君

歡 迎 訂 閱

深刻|思想|前瞻|實踐

專注於經濟金融政策解讀與建言的

智庫型全媒體平臺

更多原創請點選下方 閱讀原文

「其他文章」