互联网金融监管:安全要付出代价

2015-08-20 10:42:39

互联网金融监管棋局落子,第三方支付、P2P行业首当其冲,后手陆续有来,8月10日出版的《财新周刊》封面文章互联网金融结束野蛮生长”写道。安全的代价?

  “征求意见稿”不鼓励支付机构开设支付账户,对于用于理财投资的综合类账户,除了实行限额管理,也提高了开户门槛,明确提出要对客户的实名制进行外部数据验证。“从支付账户的使用角度看,"征求意见稿"门槛低,但从开户的角度看,门槛很高。”一位支付机构人士表示。

  综合支付账户的开户条件是现场实名认证,即面对面方式身份核实;

  如果非面对面方式即线上开户,要通过五个以上合法安全的外部渠道,对身份基本信息多重交叉验证;对消费类支付账户的开户,门槛相对低,若仅线上方式核实身份,也要通过三个以上合法安全的外部渠道,对身份信息多重交叉验证。能否独立远程开户,一直是互联网企业最关心的核心因素。

  “支付宝有数亿用户,都面对面开户肯定做不到,不面对面开户,按照"征求意见稿"的要求需要多种方法安全验证;支付企业通用的验证方法是两种,即身份证号码连接公安网+绑定银行卡校验,如果再加一层验证方法,难度很高,能满足三种验证因素很难,能满足五种验证因素就更难以实现了;这对所有的支付公司影响都很大。”一位接近支付宝的人士表示。

  对于数字证书或电子签名的双验证因素,以及要求“通过硬件设备加密”。

  在支付行业看来,这意味着电脑支付必须用U盾、手机支付必须用外接硬件。

  “用户是否愿意花钱买这个硬件?手机根本就没有ukey插口--一种通过USB(通用串行总线接口)直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备。用硬件或者网银方式做验证,都会降低用户体验。现在的整个趋势,还是通过大数据等智能方法来验证,应该吸收更多新技术。”这位接近支付宝的人士认为。

  银行人士看法显然不同,因为央行对银行的要求就是这样。

  建行电子银行部人士则告诉记者,“手机也可以用外接key插口,建行工行都有通用盾;"征求意见稿"在安全性方面的要求,和央行对银行在移动支付方面的要求基本一致。”

  今年初,央行发布《关于推动移动金融技术创新健康发展的指导意见》,要求银行和清算机构提供手机等移动金融服务时,应使用可靠的多因素身份认证方式,并采用手机安全单元(SE)、智能密码钥匙(Key)等基于安全芯片的电子设备,作为必要的认证因素,以确保资金类、重要信息变更类、重要业务变更类等高风险交易的安全。文件要求商业银行的移动金融业务一定要绑定硬件,并给银行提出了整改期限是2015年12月31日前。记者获悉,未来有可能将非银行支付机构也纳入这一技术标准。

  一些支付机构和银行亦认为,“征求意见稿”并未明确哪五项外部验证渠道等,建议进一步明确第三方验证渠道使用的流程、范围以及客户隐私的保护措施等。

    在公安部三所一位信息安全专家看来,用户体验好不好与是否与使用硬件无关,比如安全指纹识别是靠不泄露指纹信息的安全芯片完成。他介绍说,国际知名线上快速身份验证联盟

  (Fast Identity Online,FIDO)并未下结论说用硬件用户体验不好,其目标是消灭密码。比如,苹果手机指纹开机、手势密码开机等。FIDO联盟于2012年7月成立,宗旨是满足市场需求和应付网上验证要求。该协议为在线与数码验证方面的首个开放行业标准,可提高安全性、保护私隐及简化用户体验。

  剑桥大学亚太及中国新兴金融研究项目主任陆克(Luke Deer)称,澳大利亚更加依赖传统银行机构及其支付系统,不过PayPal使用率也在提高,它的认证须和银行账户关联。在他看来,“征求意见稿”的五要素验证,跟中国的征信信息缺乏有关。目前,在中国人民银行的征信中心个人信息数据库中,只有3亿多人的征信信息。这也是央行积极推动互联网企业开展个人征信业务的原因。

  在唐凌和陈宇看来,技术上,开设综合类账户需要五个验证渠道并不难,大的支付机构都已对接公安部、各个银行。一位央行支付司人士则称,哪五种外部渠道验证,需要支付机构自己选择和验证,比如除了银行和公安部渠道,还有水电卡编号、社保编号等。支付机构应通过技术手段改进安全性门槛。  尹振涛(博客,微博)认为,第三方支付行业应该更加注重技术革新,发展高安全性和高便捷性的新技术。“征求意见稿”中提到的收款客户特点专属设备、五种交叉身份验证方式和三类支付指令验证要素,虽然在一定程度上限制了交易的便利性,却为技术革新指出了具体方向,实打实地在鼓励技术进步,对之前备受关注的指纹、

  人脸技术在金融领域的进一步广泛应用给予肯定。

  “实名制开户是所有金融业务的入口,是最重要的金融基础设施,不能都等大乱了以后再大治。”一位银行信用卡部负责人表示。一位资深金融专家建议,“迫切需要设立"一行三会"和公安部门信息安全部门的联席会议制度或者监管协调机制,对有关互联网金融的规则从源头介入。”

  银行远程开户开门缝不光第三方支付,在银行账户管理上,央行也将进一步加强落实实名制要求,近期也将下发《关于促进个人银行结算账户规范服务的通知》。此前,这一通知的内部征求意见稿已经悄然下发。这一意见稿不再区分强、弱实名电子账户,而是将账户分为全功能银行账户和限定银行账户。前者是线下开立的账户,可以实现银行账户的一切功能;后者在功能上则介于强弱实名账户之间,在转账、支付、投资理财上都有所放松。

  央行之前用强、弱实名账户界定账户时,直销银行等网上银行账户属弱电子账户,功能受到很大限制,只能与绑定账户进行资金划转,购买本行发行或代销的理财产品。这次限定银行账户的功能略微放开,还可用于小额支付,单日累计限额5000元。这与近日正在征求意见的《非银行支付机构网络支付业务管理办法》中,对非银行支付机构网络支付账户的要求一致。

  按照央行要求,全功能银行账户开户,仍以柜台面签为主,所有的远程验证手段,包括人脸等生物识别技术、远程视频柜员机(VTM)等机具,可以作为辅助开户手段。如果没有物理网点柜台的网上银行,需自己想办法解决开户问题,可以委托其他有物理网点的银行代理实名认证,以实现现场开户。

  这意味着,央行仍将现场开户作为网络银行独立开户的先决条件。

  首次开户必须在线下进行柜台面签,有了线下开立的账户后,经由交叉验证才可线上开户。同时,央行将不再针对远程开户单独制定制度。

  “中国对个人身份信息保护,以及征信体系的建设还比较薄弱,远程开户还不到时候,网络欺诈太厉害。”富国银行负责中小微企业风险管理和数据风险管理高级副总裁王强称。这让网络银行感到失望。网络银行想做的,是直接突破线下面签,实现线上开户,并将此前的弱电子账户功能变强。

  远程开户只能说是开了门缝,离真正的网络银行账户还是相差太远。”一位网络银行高层坦言,这一功能仍约束了发展,“仍然类似于银行的直销银行账户、第三方支付账户。”

  据记者了解,央行曾多次召开了关于远程开户的内部会议,曾一度打算在浙江、广东两省“先试先行”,但后来风向略有转变,网络银行只能随之调整自己的战略。

  微众银行董事长顾敏曾公开表示,微众银行不仅没有网点,还要变成没有客户、没有贷款、没有存款的银行。目前,微众银行正在与多家银行谈全面合作。“跑马圈地,几乎每周都有银行签署合作协议。”一位微众银行高层说。除了华夏银行,微众银行近期也与东亚银行、平安银行、重庆农商行、汉口银行等签署业务合作协议,覆盖理财、小微等多种业务。接近微众银行高层人士说,未来推出的理财等业务,也会用到人脸识别技术,但只能是开户辅助手段,增加一些开户乐趣,相当于微众银行自身积累照片库。  记者了解到,在征求意见稿下发后,网商银行高层曾专门到央行反馈意见。“既然给网商银行颁发了牌照,就应该大胆鼓励尝试,不然这样的银行寸步难行,也不符合颁发牌照的初衷。我们还是希望和相关部门积极沟通,争取在一定范围内先行先试,通过积累数据,不断扩大范围。”蚂蚁金服集团总裁井贤栋说。

英科信息-互联网金融大数据方案服务商【官方网站】

Copyright @2014 上海主林金融信息服务股份有限公司 版权所有 沪ICP备13030964号-6