电子支付系统作为电子货币与交易信息传输的系统,既涉及国家金融和个人的经济利益,又涉及交易信息的安全。支付电子化的同时,既给消费者带来便利,也为银行业带来新的机遇,同时也对相关主体提出了挑战。电子支付面临多种风险,既面临着传统金融所固有的风险,还面临着网络所带来的新风险。能否有效防范电子支付过程中的风险是电子支付健康发展的关键。
10.2.1 电子支付风险管理步骤电子支付与传统金融风险管理的基本步骤和原理几乎是一样的,但是,不同的国家、不同的监管机构可能会根据不同的情况,制定出不同的电子支付风险管理要求。目前,最为常见、最为通俗易懂的是巴塞尔委员会采用的风险管理步骤。以网上银行为例,巴塞尔委员会把电子支付风险管理分为三个步骤:评估风险、管理和控制风险以及监控风险。
评估风险实际上包含了风险识别过程,不过,识别风险只是最基本的步骤,识别之后,还需要将风险尽可能地量化;经过量化以后,银行的管理层就能够知道银行所面临的风险究竟有多大,对银行会有什么样的影响,这些风险发生的概率有多大,等等。在此基础上,银行的管理层要做出决定,确定本银行究竟能够忍受多大程度的风险。换句话讲,如果出现了这些风险,造成的相应损失银行的管理层能不能接受。到了这一步,风险的评估才算完成。
管理和控制风险的过程比较复杂,简单地说就是各种各样相应的控制措施、制度的采用。最后一个步骤即风险的监控是建立在前两个步骤基础上的,实际上是在系统投入运行、各种措施相继采用之后,通过机器设备的监控,通过人员的内部或者外部稽核,来检测、监控上述措施是否有效,并及时发现潜在的问题,加以解决。
许多国家都接受巴塞尔委员会电子支付风险管理的步骤,并加以本土化,针对本国银行的特点,制定出本国电子支付风险管理的基本程序。比如美国的国民银行,随着大量采用各种各样的电子技术向用户提供电子支付服务,国民银行将与技术有关的风险管理也分成三个步骤:计划、实施、检测和监控。计划阶段在一定程度上包括风险的识别、量化等,但主要是针对某一个具体项目的采用而言。实施阶段实际上类似于巴塞尔委员会的管理和控制风险这一步骤,即将各种相应风险控制和防范措施加以实际运用,以控制项目运行后造成的风险。检测和监控阶段则同巴塞尔委员会的风险监控大同小异。
因此,简单地说,风险的管理过程是技术措施同管理控制措施相结合而形成的一系列制度、措施的总和。整个过程同传统银行业务的风险管理差别并不是很大,但电子支付采用的新的风险管理措施需要同银行原有的内控制度相配合,同传统业务的风险管理措施相融合。
10.2.2 电子支付风险防范措施1技术保障(1)防火墙技术防火墙是一系列硬件和软件的总称,有理论上的和物理上的两种含义。理论上的防火墙概念是指提供对网络的存取控制功能,保护信息资源,避免不正当存取。物理上的防火墙是Internet和Intranet之间设置的一种过滤器、限制器。防火墙在电子支付系统中的位置有以下几种。
①防火墙在业务Web服务器设置外。将业务Web服务器装在防火墙内的好处是它可以得到安全防护,不容易被外界攻击,但Web服务器本身不易被外界所应用。这种防火墙的主要功能是创建一个“内部网络站点”,它仅能由内部网中的用户访问。
由于电子商务业务的需要,仅用于企业面向职员的网络服务的专门站点中。因此,一般性电子商务业务中将Web服务器设置在防火墙外比较更为常见。
业务Web服务器放在防火墙内的配置②防火墙在业务Web服务器设置内。为了能使Internet上的所有用户都能够访问本业务Web服务器,就要将Web服务器放到防火墙的外面。这种配置方式主要是为了保护内部网络的安全,虽然Web服务器不受保护,但内部网处于良好的保护下,即使外部攻击者进入了该Web站点,而内部网络仍然是安全的,这是为了保护内部网络做出得一定牺牲。虽然防火墙在这种配置中对Web业务服务器并未起到一点保护作用,但是,可以通过系统软件和操作系统自身的病毒检测和安全控制功能来对Web服务器进行防护。
业务Web服务器放在防火墙外的配置为了提高电子支付的安全性,还可以采用在外部网络设置一个防火墙,采用同样的技术在内部网络设置一个防火墙,将内部网络加以分割。这样,不同级别、不同岗位的人就无法随意进入其他部门,不同保密程度的信息可以放置在不同的位置。
(2)身份认证技术用户名/密码方式用户名/密码是最简单也是最常用的身份认证方法,一般情况下用户都是选择自己容易记忆的字符作为密码。登录账户时,只要输入正确的密码,银行的服务器就认为该用户是合法用户。这种方式的优点是密码是用户自己设定的,只有用户知道。而且用户只需记住密码就可以,比较方便。但是,这种方式却存在着极大的风险。其一,许多用户为了使密码方便记忆,通常设定自己或者亲友的生日、电话号码这些比较公开的信息作为密码,这样的密码很容易被他人得知。其二,有的用户账户比较多,相应的密码就比较多,为了防止记错,就将密码写在一张纸上或者别的地方,而且疏于保管,以至于密码丢失。其三,由于密码是静态的,在验证中需要在计算机内存中和网络中传输,而每次验证使用的验证信息都是相同的,很容易被驻留在计算机内存中的木马程序或者网络中的监听设备截获;而且,有的密码设置得比较简单,黑客只需简单的排列组合就可以识破。所以,这种方式是最不安全的方式。
可以采取一些措施来防止密码被盗取:如果密码被多次使用或通过网络传递,必须对密码进行加密才能存储或传送;使用安全子系统和应用程序建立密码的历史档案,防止重复使用不久前才使用过的密码;为了防止犯罪分子使用一些自动的程序软件猜测密码,必须规定一个界限,如密码输入错误三次将退出登录,并通知系统的管理员;为了防止犯罪分子盗用他人的合法密码进入内部网络,应该随时将上次使用密码的时间等情况通知合法的使用者,便于发现自己的密码是否已经被人盗用。
②IC卡认证IC卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,IC卡由专门的厂商通过专门的读卡器读取其中的信息,以验证用户的身份。IC卡认证是基于“Whatyouhave”的手段,通过IC卡硬件不可复制来保证用户身份不会被仿冒。然而,由于每次从IC卡中读取的数据是静态的,通过内存扫描或者网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。所以,如果使用智能卡,应该定期更换内部程序或密码,以便保证其安全性能。
③动态口令动态口令又叫动态令牌、动态密码,英文名为(One-TimePassword, OTP)。动态口令的主要原理是:用户登录前,依据用户私人身份信息并引入不确定因素产生随机变化的口令,使每次登录过程中传送的口令信息都不同,以提高登录过程的安全性。我国建设银行率先就推出了网上银行动态口令卡的服务。现在动态口令卡使用者非常地普遍,如支付宝推出了手机动态口令卡,在一定程度上确保了网上支付的安全性和便捷性。
由于每次使用的密码必须由动态口令来产生,只有合法用户才持有该硬件,所以只要密码验证通过就可以认为该用户的身份是可靠的。而动态口令技术采用一次一密的方法,也有效地保证了用户身份的安全性。但是,如果用户端硬件与服务器端程序的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题;并且,用户每次登录时都需要通过键盘输入一长串无规律密码,一旦输错,就要重新操作,所以使用起来非常不方便。
④生物特征认证生物特征认证又称生物特征识别,是利用人体所固有的生理特征如虹膜、指纹、声音等进行个人身份鉴定,是新生的生物认证技术。许多国家将其作为重大基础战略技术加以研究。美国通过立法明确要求在国家安全领域采用这一技术。
从理论上说,生物特征认证是最可靠的身份认证方式,它直接使用人的生物特征来表示每个人的数字身份,不同的人具有不同的生物特征,因此几乎不可能被仿冒。但是,现有生物特征识别技术不够成熟,识别成功率低,且识别设备价格昂贵,不便远程使用,而且尚未形成统一的技术标准,因此,不便于大规模推广使用,现在多用于高密级机构内部的现场身份识别。
⑤移动数字证书认证USBKey是一种USB接口的硬件存储设备。USBKey的模样跟普通的U盘差不多,不同的是它里面存放了单片机或智能卡芯片,USBKey有一定的存储空间,可以存储用户的私钥以及数字证书,利用USBKey内置的公钥算法可以实现对用户身份的认证。目前USBKey被广泛应用于国内的网上银行领域,是公认的较为安全的身份认证技术。
USBKey在网上银行中被用做用户数字证书和私有密钥的载体。目前,我国大部分网上银行都已采用USBKey作为加密手段。招商银行首次推出免驱动移动数字证书——“优KEY”,省略了驱动安装步骤,从而降低了USBKey的使用门槛,提高了用户使用移动数字证书的积极性,从而进一步提升了网上个人银行的安全性。
2管理保障
(1)信用体系的建设
电子支付是基于一个虚拟的空间之上,市场参与者的诚信度完全建立在虚拟网络信息的基础上,诚信问题显得至关重要。电子支付的两个基本支撑,一是高效安全的交易平台,二是完善的社会信用体系。从技术的角度看,我国在支付平台硬件和软件的建设上与发达国家基本同步。而社会信用体系是一个多层次的复杂系统,包括了买卖双方、第三方机构、网站、银行、管理者等所有参与者之间的信用保证。目前我国还没有这样的信用体系,电子支付中的信用风险尤为突出。一方面,我国缺乏完整的信用信息披露机制,没有一套约束个人和企业信用行为,促使其自觉履行承诺的诚信机制;另一方面,整个社会诚信观念缺乏,欺诈现象比较严重。可以说,诚信问题已成为制约我国电子支付业务发展的瓶颈问题。
电子支付的信用风险主要来自买卖双方,网上交易实质上是买卖双方的一场博弈。买方害怕在货款到达卖方时卖方不发货,而卖方担心买方在收到货物时不承认到货,不发货款给卖方。这种局面催生了第三方支付平台的产生,第三方平台提供中介服务,但本质上是一种信用担保服务,是用第三方支付使买卖双方放心。但是这些平台只限于部分网站上使用,没有被普及和推广。目前,第三方支付平台的业务主要集中在B2C的小额支付,涉及B2B交易的特别少。
防范电子支付信用风险,首先要建设个人和企业的征信体系。中国人民银行与信息产业部于2006年4月发布了《中国人民银行、信息产业部关于商业银行和电信企业共享企业和个人信用信息有关问题的指导意见》(以下简称《意见》)。《意见》要求,从共享企业和个人欠缴电信费用信息起步,逐步扩大信息共享范围,发挥征信体系为企业和个人积累信用财富的功能;可在部分信息化程度较高的省市进行试点,再逐步向全国推广。《意见》特别指出,在实施信息共享时,有关企业需要保护个人的合法权益,依法使用企业和个人信用信息。各商业银行和电信企业工作人员要遵守相关法律规定,对所知悉的商业秘密和个人隐私承担相应的保密义务。《意见》对信用信息的共享和使用等关键问题提出了有建设性的意见,对个人和企业征信体系的建设有着积极的意义。
2005年8月18日,中国人民银行发布《个人信用信息基础数据库管理暂行办法》,于2005年10月1日起正式实施。2006年1月,个人信用信息基础数据库正式运行,目前已有近5亿3千万人的信用报告被收录在内,其中有信贷记录的人数约为5000万人。
个人信用信息基础数据库是由中国人民银行组织商业银行建立的个人信用信息共享平台,其日常运行和管理由征信中心承担。它就像一个“信用信息仓库”,负责采集、保存、整理个人信用信息,为商业银行和个人提供信用报告查询服务,为货币政策、金融监管提供统计信息服务。个人信用信息基础数据库已经实现全国联网,只要用户与银行发生过借贷关系,就能在国内任何地方和任何一家商业银行信贷网点查到用户的个人信用报告。
央行称个人信用报告为“第二张居民身份证”,认为它将能帮助商业银行发现优质用户。如果某个人在信用报告中留下了不良记录,虽然“信用污点”不会跟随人一辈子,但是在一段时间内对其个人信贷等还是会有很大的影响。个人信用报告主要包括以下四个方面:个人基本信息、个人信贷信息、个人信用报告查询记录、其他相关信息。
在美国,信用体系完全交付市场化公司运作,三大个人信用调查公司掌握着1.7亿美国人的信用资料。其中,TransUnion公司宣称,为保证信用报告的准确、及时和完整,其个人信用记录每月要更新12次。我国的信用体系有异于美国,个人信用信息被分割在银行、工商、公安等多个部门之中,难以捏合成块。央行个人信用报告的数据主要依靠各商业银行提供,原则上“每月更新一次”。而且,数据量十分庞大。因此,出现一些个人信用信息出错的问题,目前似乎也在所难免。信息错漏大致有四种可能:首先是用户本人提供了模糊或错误的信息;其次是商业银行的柜台工作人员可能疏忽大意,造成录入错误;第三,计算机在处理数据时可能出现技术性错误;第四,被他人采取违规手段盗用了个人资料并冒名贷款。
个人如发现信用报告有问题,可以以三种途径纠错,如果对最终处理结果仍有异议,则可以申请在信用报告中加入“本人说明”,进行解释。
个人信用报告也存在一些问题:①如上述出现的漏错现象;②有的信息过于陈旧,甚至几年前已经注销的信用卡信息仍然在案,而新的信用卡信息没有被收录;③如果没有和银行发生借贷关系,则不能录入个人信用报告中。
个人信用报告纠错途径但是,随着经验的不断积累,技术的不断发展,个人信用报告也会日臻完善。个人信用报告是社会信用体系建设的基础。个人信用报告对电子支付信用的风险防范有很大的作用,买卖双方可以根据对方的信用来确定是不是要进行交易。个人可以根据信用报告的情况,不断完善自己的信用。电子支付也可以给个人信用打分。这样,就形成了一个良好的循环。
(2)电子银行的管理
电子银行是电子支付产业的主体。电子银行在电子支付中占有很大的比重。现在,各大银行都推出了电子银行业务,而且各具特色。加强对电子银行的管理,是防范电子支付风险的管理保障。
2001年5月,巴塞尔银行监管委员会(TheBaselCommitteeonBankingSupervision)发布《电子银行业务风险管理原则》(RiskManagementPrinciplesforElectronicBanking),2003年7月发布最终版本,提出3方面14项电子银行业务风险管理原则,协助金融机构建立自身风险管理政策与流程。2006年月6日,中国银监会借鉴了巴塞尔银行监管委员会的《电子银行业务风险管理原则》,颁布了《电子银行业务管理办法》(简称《管理办法》)。《管理办法》主要是对电子银行业务的申请与变更、风险管理、数据交换转移管理和业务方面做了具体的规定,在一定程度上为电子银行的业务安全、风险管理、风险控制、安全控制提供了一定的标准。
依据《管理办法》,中国银行业监督管理委员会(简称银监会)明确了监管权力,金融系统的整合力大大增强。银监会规定,金融机构在申请电子银行时必须提交业务情况说明、业务发展规划、安全评估报告等材料,从而可以从国家层面上安排电子银行业务整体布局,增强银行间的业务协调,避免众多银行的同质化、低水平、高强度的竞争。
2006年3月1日,银监会颁布了《电子银行安全评估指引》(简称《指引》)。《指引》
涉及的有关电子银行安全评估的内容主要有以下几个方面:
①电子银行评估的基本要求,包括电子银行安全评估的定义,评估的时间规定。如“至少每两年对电子银行进行一次全面安全评估”。
②对电子银行安全评估机构的要求,包括评估机构的管理制度和操作规程、评估的指导性文件、必备的专业人才等方面。
③电子银行安全评估的主要内容,包括安全策略、内控制度建设、风险管理情况、系统安全性、业务运行连续性、业务运行应急能力、风险预警体系和其他管理机制。
(3)人才的管理与培训
通过管理、培训手段来防止金融风险的发生。电子支付是技术发展的产物,许多风险管理的措施都离不开技术的应用,而技术需要人来完成和操作。因此,通过管理、培训手段提高从业人员素质是防范金融风险的重要途径。《中华人民共和国电脑系统安全保护条例》、《中华人民共和国电脑信息网络国际联网管理暂行规定》对电脑信息系统的安全和电脑信息网络的管理使用作出了规定,严格要求电子支付等金融业从业人员要依照国家法律的规定进行操作和完善管理,提高安全防范意识和责任感,确保电子支付业务的安全操作和良好运行。
人员管理和技术培训工作包括两个方面。一是要通过各种方法加强对各级工作人员的培训、教育,使其从根本上认识到金融网络系统安全的重要性,并且要加强各有关人员的法纪和安全保密教育,提高电子支付安全防护意识。二是要培训银行内部员工。由于电子支付是技术的产物,内部员工应该具有相应的技术水平。这些培训可考虑采取多种方式,如进行专门的技术课程培训、参加业内研讨会等。同时,应保证相应的技术人员能够有足够的时间进行研究、学习,以便及时跟踪市场和技术的最新发展。
外部环境建设
(1)加强立法电子支付业务的迅速发展,导致了许多新的问题与矛盾,也使得立法相对滞后,另一方面,电子支付涉及的范围相当广泛,也给立法工作带来了一定的难度。在电子支付的发展过程中,为了防范各种可能的风险,不但要提高技术措施,健全管理制度,还要加强立法。
对目前电子支付活动中出现的问题,应及时制定相关法律,以规范电子支付参与者的行为;应制定犯罪案件管辖、仲裁等法规,对电子支付业务操作、电子资金划拨的风险责任进行规范。对电子商务的安全保密也必须有法律保障,对电脑犯罪、电脑泄密、窃取商业和金融机密等也都要有相应的法律制裁,以逐步形成有法律许可、法律保障和法律约束的电子支付环境。
(2)监管体制的加强目前,我国电子支付的一些监管政策主要是针对电子银行与网上银行的。《电子支付指引(第一号)》(以下简称《指引》)也只是对银行进行规范性指导,所以,在监管方面很难发挥作用。草拟中的《支付清算组织管理办法》和《电子支付指引(第二号)》考虑到了第三方支付平台,但是正式文件还没有颁布。借鉴国外在电子支付方面的经验,我国的电子支付监管应该从以下几个方面入手。
①市场准入监管:对于第三方机构的准入问题,应该从信用、资金、设备、人才、用户接受和拥护程度等各个角度综合评定,等级高的发放牌照,而等级低的让其进行整顿。
②业务范围监管:包括业务运营风险监管、对董事会和经理层的监管、对内部操作人员的管理、对用户的管理、市场退出监管。对电子支付业务的管理可以借鉴《网上银行业务管理办法》。对单位管理层的监管,可以借鉴巴塞尔以及美国、新加坡的做法——可考虑设立技术总监。对内部操作人员,应禁止单人操作,实行职责分离和准入控制。对用户的管理,要通过法律手段来保证用户资料的保密、用户资产的安全。对非金融机构市场退出,应考虑合并、兼并或收购等方式,通过建立保证金和准备金机制来减少风险。
③监管机构:包括加强技术监管,加强业务监管,加强内控,防范违规与电脑犯罪,建立健全监管法律体系,实施适时与定期监控,加强市场退出监管,加强国际合作等。但对于非金融机构的第三方支付平台,如何通过银监会来监管,值得研究。
