編者按
自國家網信辦釋出通報下架“滴滴出行”App以來,國家網絡安全審查不斷更新。近日,國家網際網路資訊辦公室會同有關部門修訂了《網絡安全審查辦法》,并向社會公開征求意見。征求意見稿提到,掌握超過100萬使用者個人資訊的營運者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。
近年來,網絡資訊安全的重要性不斷提升,《清華金融評論》(點選訂閱)2021年2月刊特推出了“資料治理與個人金融資訊保護”封面專題,為做好資料治理、強化資訊保護、破解資料安全之困,以及促進金融科技發展建言獻策。
文/董俊峰
網聯清算有限公司董事長、總裁
伴随着網絡支付高速發展,濫用個人資訊和網絡電信詐騙等不法行為時有發生,支付安全逐漸成為行業關注的重點議題。而個人資訊保護、交易風險防控和支付系統平穩是建構支付安全的“三大支柱”。本文分析了網絡支付安全“三大支柱”的現狀與挑戰,并就推動支付安全向好發展提出了建議。
目前我國正處在轉變發展方式、優化經濟結構、轉換增長動力的攻堅期。習近平總書記在2020年中央經濟工作會議中強調,“要立足新發展階段,貫徹新發展理念,建構新發展格局,以推動高品質發展為主題,以深化供給側結構性改革為主線,以改革創新為根本動力,以滿足人民日益增長的美好生活需要為根本目的,堅持系統觀念,鞏固拓展疫情防控和經濟社會發展成果,更好統籌發展和安全”。習總書記的重要講話既深刻闡明了推動高品質發展的理念,又突出強調了發展與安全之間的統籌平衡關系,揭示了安全是高品質發展的重要前提,這對網絡支付行業的持續健康發展具有重大指導意義。
網絡支付在國民經濟發展中的重要作用
蓬勃發展的網絡支付行業是我國普惠金融的标志性成果之一
我國網絡支付交易規模全球領先,網絡支付模式多元發展。《中國網際網路絡發展狀況統計報告》顯示,截至2020年6月,我國網絡支付使用者規模達8.05億,占網民整體的85.7%;手機網絡支付使用者規模達8.02億,占手機網民的86.0%。疫情期間,網絡支付覆寫範圍進一步擴大。非接觸支付、線上支付線下提貨等新興支付方式助推網絡支付的客群進一步拓展,向農村使用者、老年使用者群體覆寫。網絡支付已成為居民生活消費離不開的普惠性基礎金融服務。
網絡支付服務是零售金融最重要的觸點和入口
在交易規模和使用者數量雙增長的驅動下,網絡支付為商業銀行和支付機構積累了大量資訊和資料資源。獲客方面,網絡支付是商業活動資金轉移的必要環節,提供網絡支付服務的商業銀行和支付機構在獲客方面具有得天獨厚的資源優勢。留客方面,網絡支付具有小額高頻的交易屬性,使用者一旦形成特定的使用習慣,将産生路徑依賴心理,進而成為相關機構的忠實客戶,使用者黏性得到有效保障。活客方面,使用者在支付過程中往往會産生支付軌迹,其中包含交易習慣、消費偏好等重要資訊,商業銀行和支付機構可基于此進行使用者畫像,為使用者提供個性化金融服務。近年來,金融機構基于支付業務持續深化使用者經營,提供高附加值金融服務。網絡支付業務已經成為金融服務不可或缺的重要入口。
優質高效的網絡支付業務推動經濟持續恢複和高品質發展
網絡支付保障疫情期間民生消費。疫情期間,餐飲娛樂、商超零售等傳統線下消費場景受到較大沖擊。與此同時,網絡支付以其便捷、高效、無接觸的特點,支援線上消費活動有序進行,發揮了為民生消費和經濟發展“補位”的作用。資料顯示,2020年3月底,餐飲行業網絡支付交易額環比增長11%;2020年五一假期,部分旅遊平台網絡支付日均交易量環比增長38%,部分餐飲企業日均交易量環比增長超八成。
網絡支付安全的“三大支柱”
伴随着網絡支付高速發展,濫用個人資訊和網絡電信詐騙等不法行為時有發生,支付安全逐漸成為行業關注的重點議題。習總書記強調“安全是發展的保障,發展是安全的目的”。支付安全是支付行業有序健康發展的重要保障,而個人資訊保護、交易風險防控和支付系統平穩是建構支付安全的“三大支柱”。個人資訊保護關注使用者在支付各環節中,個人資訊的收集、流轉、儲存、使用與管理;交易風險防控聚焦支付行業風險聯防聯控,實作支付資金安全流轉,緻力于保護老百姓“錢袋子”;支付系統平穩着眼行業全鍊路安全生産運作,提升鍊路各環節響應效率,確定支付服務不中斷。隻有“三大支柱”穩健牢固,才能切實保障支付行業長久發展。
個人資訊保護的趨勢與挑戰
我國個人資訊保護方興未艾
歐盟《通用資料保護條例》(General Data Protection Regulation,簡稱GDPR)的出台吹響了個人資訊保護的号角,個人資訊保護被提升到越來越重要的位置。2020年是我國個人資訊保護制度建設的關鍵年,有關部門“組合拳”頻出,推進相關法律法規建設,加快行業亂象整治行動,為個人隐私和資訊安全築牢保護屏障。2020年5月,全國人大表決通過《中華人民共和國民法典》,明确個人資訊受法律保護;2020年7月、10月,備受期待的《中華人民共和國資料安全法(草案)》《中華人民共和國個人資訊保護法(草案)》相繼釋出。我國正建立起一整套權責明确的制度規則,平衡多方主體利益,維護網絡空間的良好生态。與此同時,央行啟動《個人金融資訊(資料)保護試行辦法(初稿)》征求意見,釋出《個人金融資訊保護技術規範》,标志着金融行業正式迎來個人資訊保護規範化時代,這勢必将對支付行業個人資訊保護工作産生深遠影響。
網絡經濟高度集中給個人資訊保護帶來挑戰
近年來,我國網絡經濟蓬勃發展,新業态、新模式層出不窮,對推動經濟高品質發展發揮了重要作用。與此同時,網絡經濟的市場集中度呈現越來越高的趨勢,市場資源加速向頭部平台集中。網絡支付是網絡經濟的重要基礎設施。上述趨勢和現狀給網絡支付業務的個人資訊保護帶來深刻挑戰。
部分市場主體存在通過其市場優勢地位強行擷取使用者授權的情況。雖然我國現行法律法規已經明确對個人資訊收集使用須經資訊主體同意,《中華人民共和國個人資訊保護法(草案)》征求意見稿中也強調“個人資訊處理者不得以個人不同意處理其個人資訊或者撤回其對個人資訊處理的同意為由,拒絕提供産品或者服務”,但目前各大應用程式(Application,簡稱App)仍存在将使用者授權與提供服務強綁定的情況,可能導緻使用者在網絡支付環節送出的個人資訊受到違背其意願的超範圍使用。特别是目前部分主流App,由于其具有服務覆寫範圍廣泛、使用者數量龐大等屬性,已具有“必需品”性質,其對個人資訊的收集存在“霸王條款”傾向,應引起社會各界高度重視。
支付交易風險防控取得顯著成效
支付行業各方積極參與交易風險防控。按照黨中央、國務院有關網際網路金融風險專項整治的工作部署,支付行業各方在人民銀行指導下積極防範打擊電信詐騙、網絡賭博等違法違規活動,配合公安機關開展“斷卡”等黑灰産反制行動,保障老百姓資金安全。支付市場主體在數字化轉型過程中,努力建構全流程、全鍊路智能風控體系,加強大資料、人工智能等新技術應用,不斷提升風險識别精準化水準和智能決策能力,逐漸形成聯防協作的工作機制,取得了較好效果。
清算機構在防範交易風險過程中發揮了特殊作用。在支付産業中,清算機構承擔防範化解金融風險、推動支付行業合規健康發展的重任,是支付交易安全防控的重要一環。清算機構着力發展以支援監管科技為重點的自動化、智能化、數字化風控體系,支撐監管服務需求,助力支付領域監管政策落地。一是保障備付金資金安全。配合監管開展資金流向監測,識别資金挪用、僞冒交易等風險,追蹤異常可疑交易,核實資金去向,增強備付金監管有效性,保障人民群衆資金安全。二是支援打擊違法違規活動。清算機構以識别新型網絡違法犯罪為重點建立監測模型體系,協同各方維護風險處置閉環機制,幫助市場主體規避客戶和關聯方違法違規風險,防範犯罪資金跨機構流動。三是建立聯防聯控機制。清算機構協同政府部門、行業自律組織建立聯防聯控機制,增強全網資金鍊比對、追溯能力,強化跨網絡犯罪活動打擊力度。
網絡支付交易仍然面臨三大風險考驗
移動化、線上化趨勢下,支付行業面臨更大的網絡安全威脅。随着支付行業的數字化轉型,支付服務日趨開放和便捷,支付領域創新速度加快,線上化、移動化趨勢明顯,危害系統、網絡和應用安全的漏洞日益增多,針對網際網路應用的網絡安全威脅更直接、更突出,拖庫、撞庫、非法爬蟲等資訊洩露安全隐患也更嚴重、更隐蔽,黑客入侵、僞冒身份等網絡攻擊行為給行業網絡安全防控帶來了嚴峻考驗。
網絡欺詐案件高發,非法交易融合交織,保障客戶交易、資金安全任重道遠。近年來,電信網絡詐騙等犯罪手法不斷翻新,刷單代理、網購退款、“殺豬盤”、騙貸等網絡犯罪層出不窮,幫派利用各類新興技術手段隐藏資金鍊。犯罪場景由原來的賬戶盜用、詐騙轉賬支付向網絡貸款、虛假商戶、信用卡和理财等領域延伸,各類犯罪資金交易交織,欺詐風險、合規風險、信用風險等風險形态融合,風險防控形勢更加複雜嚴峻,保障客戶資金和交易安全成為防控重點。
網絡黑産犯罪呈現産業化、集團化、專業化趨勢,風險防控挑戰更新。網絡黑産已出現産業化、集團化和專業化趨勢,上遊提供作案裝置和工具,中遊負責非法擷取、出租出借身份證、手機号、銀行卡号等使用者個人資訊,下遊為電信詐騙、賭博等犯罪活動洗錢和銷贓,甚至可以提供資料打包、精準訂制和技術衆包等一站式解決方案。網絡黑産犯罪鍊條向着分工精細、組織靈活、資金快速流轉的方向發展,隐蔽性更強,風險對抗更新,為全鍊條打擊帶來更大困難。
支付系統平穩運作的重要性與挑戰
支付系統平穩是經濟社會穩定的重要基礎
支付清算系統作為社會資金周轉的“動脈”,是支援我國經濟社會發展的重要基礎設施,支付清算系統安全穩定運作,關系到廣大人民群衆生活便利和支付體驗,影響着人民群衆對經濟發展、金融安全的信心。中央政治局常委會會議提出要充分發揮我國超大規模市場優勢和内需潛力,建構國内國際雙循環互相促進的新發展格局。促進傳統消費,培育新型消費,推進各類消費業态的線上線下深度融合,是完善國内大循環體系、擴大有效内需極為重要的一環。網絡支付作為保障人民群衆消費購物、中小微企業收付資金的重要支付方式,其業務的高效、準确處理對于推動國内大循環正常運轉具有極為重要的意義。
支付業務發展對系統平穩運作提出更高要求
支付業務規模上升需要支付系統平穩承接。随着支付行業高速發展,支付業務規模呈快速上升趨勢。面對不斷上升的交易量,支付行業各方須付出更大努力備足系統備援、預留系統資源,平穩承接持續上升的支付交易“水位”,保證支付系統全網全鍊路的穩定運作。
支付業務模式變化需要支付系統适配調優。近年來,金融安全已被提升至國家安全的高度,監管機構陸續出台監管政策,進一步規範市場主體創新業務,支付行業監管政策呈審慎、趨嚴态勢。監管政策環境變化有可能對市場主體業務邏輯産生較大影響,進而影響系統配置需求。支付行業各方需要結合監管政策環境對自身業務的影響,及時對系統容量、處理邏輯、運作情況進行關注和維護,在保持業務連續性的基礎上實作系統平穩運作。可以說,目前支付行業的系統平穩與業務模式、監管政策處于深度耦合狀态,挑戰前所未有。
推動支付安全向好發展的幾點建議
個人資訊保護不應局限于法律層面
随着立法的發展,個人資訊保護獲得了更多的制度支援,但是實際執行過程中仍面臨法律以外的挑戰。建構形成執法監督機構、行業自律組織、市場主體的三層治理架構,有助于在合法合規基礎上有效監督規範個人資訊處理行為,促進個人資訊合理利用,保護個人資訊權益。一是加強個人資訊保護執行情況監督檢查。個人資訊采集存在于資金流轉各環節,在相應法律法規頒布出台後,建議執法監督機構進一步關注支付市場主體是否存在個人資訊采集“霸王條款”和既往個人資訊處置不當等行為,及時加以制止,收斂個人資訊濫用和洩露風險。二是支付行業自律組織可将個人資訊保護内容納入行業标規體系建設。對于國家法律法規難以顧及到的領域和特殊業務場景,支付行業自律組織可結合實際業務開展情況,從個人資訊擷取的必要性、資訊收集範圍、資訊處理方式、資訊保管與存儲、資訊銷毀等方面組織制定行業标準,通過行業标準限制從業市場主體,實作資訊收集最小化、資訊處理必要化、資訊銷毀及時化。三是支付市場主體和清算機構可從業務流程設計入手,提升個人資訊安全。2020年,網聯平台協同銀行和支付機構,創新推出一站式簽約功能,支援使用者在銀行App、線下自助裝置、線下網點等銀行側環境完成快捷支付簽約,使用者個人資訊無需流轉至支付機構,減少不必要的資訊互動與界面跳轉,提升個人資訊安全。
交易風險防控須加強行業協同
随着數字化支付時代的到來,支付行業進入新的發展時期,面對新風險形勢挑戰,全行業應在資訊共享、行業協作、法律懲戒等方面加深共識、提升協同、嚴防嚴控,保障支付交易安全。首先,發展監管科技是強化穿透式監管的有力抓手。建議監管機構加大監管科技研發和應用力度,以科技對科技,探索大資料、人工智能等數字化監管技術,提升監管效能,将監管過程前置,加強違規行為監管。清算機構可充分發揮資料和技術優勢,為監管科技發展提供底層支撐。其次,行業協同是提升交易風控智能化的關鍵。通過開展風險資料共享、模型共建、聯合研發等多種形式的合作,支付市場主體可建立全流程風險監測識别體系,提升風險預警準确度,強化實時、準實時偵測處置能力,實作對違法犯罪活動的精準打擊。清算機構可發揮行業中樞作用,為行業協同提供組織協調服務。最後,聯防聯控是應對黑産産業化、集團化、專業化的必由之路。支付行業各方應深化風控領域合作,擴大風險資訊共享,實作風險資訊多元度關聯分析,增強聯合研判和資料線索互動,及時應對犯罪手法變化,及時調整風控政策和模型,提升協作效果。清算機構可為聯防聯控提供居中平台和統一接口,幫助優化聯防聯控的成本和效率。
互聯互通是切實保障支付業務連續性的關鍵舉措
随着網絡支付行業集中度日益升高,個體系統的單點風險已經成為影響支付系統平穩和業務連續性的主要風險點,支付系統互聯互通成為解決問題的重要舉措。部分機構将資金、交易和資料置于其自身體系内封閉循環,導緻支付系統之間人為割裂、畫地為界。同時,随着網絡支付市場高度集中的趨勢愈演愈烈,一旦主要機構出現問題,其他機構無法為其體系内使用者、商戶提供服務,可能造成大面積的服務中斷,進而引發系統性金融風險和社會動蕩。鑒于此,一方面,應積極促進網絡支付行業的百花齊放、均衡發展;另一方面,應推動機構之間互聯互通,引導各類支付市場主體互相開放業務權限,建成支付市場主體平等參與、無差别的共享網絡,實作線上、線下各類交易的全方位互聯互通,保證在任何支付工具服務中斷的情況下,使用者、商戶仍可享受到連續、穩定的支付服務,保護消費者權益,呵護好網絡支付這個民族金融科技品牌。
本文刊發于《清華金融評論》(點選訂閱)2021年2月刊,2021年2月5日出刊,編輯:王晔君