当前,互联网正以前所未有的发展态势对我国经济社会各个领域、各个行业产生深刻而长远的影响,互联网金融就是其中重要的领域。在2013年,中国互联网金融获得了爆炸式增长。另外,互联网金融的高速发展,也使其正面临日益严峻的网络信息安全风险问题。例如,2013年3月,谷歌抓取到支付宝转账信息及个人敏感信息,并开始在网上大量传播。事后支付宝发表声明称,其系统确实存在类似漏洞,但是泄露信息不含真实姓名、密码等重要隐私。[1]无独有偶,2014年3月22日晚,国内知名漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历(Traversa)下载,导致大量用户的银行卡信息泄露(包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin)。[2]网络信息安全是保障互联网金融创新发展的基础,特别是随着互联网金融的规模和影响逐渐扩大,迫切需要研究解决互联网金融的网络信息安全风险防范及监管问题。
一、互联网金融网络信息安全风险的主要表现
互联网金融是利用固定互联网、移动互联网、金融系统内网等信息通信技术为客户提供服务的新型金融业务模式,其一方面包括传统金融机构利用互联网技术开展的金融业务,如传统金融机构利用互联网进行金融产品的销售;另一方面也包括互联网企业利用固定互联网、移动互联网、金融系统内网等信息通信技术开展的金融业务,如P2P网贷、众筹、第三方支付及大数据金融等业务。可以说,无论是“金融的互联网”,还是“互联网的金融”,都离不开互联网等关键信息技术的运用,而这些关键信息技术本身都存在一定的网络信息安全风险,特别是在云计算、大数据的趋势下,借助互联网平台、电商平台营销,与互联网业务进行深度融合,并通过电子支付手段将线上与线下交易场景进行融合,加上移动智能终端的自主式、互助式服务方式的形成这些变化,无疑将互联网金融网络信息安全风险不断放大。
互联网金融的关键信息技术主要包括支付技术、大数据技术、信用安全技术三大类。支付技术包括PC桌面支付和移动支付。大数据技术主要为大数据的挖掘技术及云计算的数据储存、生产和处理技术,包括社交网络、搜索引擎、电子商务及云计算。信用安全技术包括身份认证或识别技术、数字签名技术等。
从类型上来看,互联网金融的关键信息技术主要引发三大类风险。
(一)互联网整体系统安全风险
互联网整体系统安全风险又可分为三个方面,即互联网系统漏洞和隐患、客户端安全风险、数据过于集中风险。
1.互联网系统漏洞和隐患。主要表现为部分业务系统存在被从互联网人侵和控制的风险。例如,本文开头所列携程“漏洞门”事件就是典型的系统漏洞安全风险。再如,2013年4月8日,丰达财富P2P 网贷平台遭黑客持续攻击,网站瘫痪5分钟;同年7月6日,“中财在线”自主开发的系统遭遇黑客攻击,导致用户数据泄露,此外,温州的几家P2P网站也受到过不同程度的攻击。[3]
2.客户端风险。主要表现为在PC和移动客户端可能存在木马[4]、病毒、恶意第三方插件等安全风险,特别是移动终端的开放性,导致其更容易受到网络攻击。如何在存储资源和处理能力有限的移动终端实现安全而高效的风险管理,值得关注。例如,近年来不法分子就曾利用安卓系统权限设计体系的漏洞,进行钓鱼攻击[5],植入恶意程序,控制用户移动客户端,进而盗刷用户银行卡。再如,2013年9月,网银变种木马病毒“弼马温”通过伪装隐藏在播放器中,通过自动更新配置获利账号,在用户毫无感知的情况下,对网银支付或充值行为进行劫持。
3.数据过于集中风险。主要为互联网金融所采用的大数据,存在海量数据处理、保存、安全防护、管理等带来的数据过于集中的系统风险。复杂多样的海量数据集中存储,能够方便数据的分析、处理,但风险和隐患巨大,如果安全管理不当,一旦运行运转,稍有不慎,很容易出现系统不稳定、服务器故障等问题,产生数据泄露、混乱、丢失或损坏,甚至会带来全国性的金融混乱。
(二)网络身份认证安全风险
主要表现为网络身份认证或识别、数字签名等方面的安全风险。网络身份认证和信任体系建设是互联网金融健康快速发展的核心。用户能够被远程识别、确认,是互联网金融得以发展和创新的重要步骤。但在互联网金融模式下,因为搜索引擎、大数据、社交网络和云计算的运用,在缺乏有效的网络身份认证和信任体系下,使得网络攻击者可以通过相关的网络渗透技术,更加隐蔽、低成本地实施金融违法犯罪行为。例如,P2P网贷平台在方便民众的同时,由于借款方的信息不透明,同时缺少第三方的机构对借款人进行测评、评估,容易出现信用卡套现,甚至洗钱交易,而且更加隐蔽,很难发现。
(三)个人信息安全保护风险
主要表现为网络保存、流转的用户个人金融信息(交易记录、银行卡信息)可能存在的泄露、滥用等风险,以及进而带来的用户资金安全风险。信息不对称也是金融领域面临的两大固有风险之一。以大数据为核心资源的互联网金融通过对数据的挖掘、加工和处理分析,可掌握客户的偏好、信用情况等信息,为客户提供针对性、多样化的服务与产品,在一定程度上缓解信息不对称问题。但是,大数据因为拥有庞大的数据库,一旦数据遭到窃取、泄露、非法篡改,加上云计算技术的放大,将对个人隐私、客户权益、数据安全构成严重威胁。例如,在现实生活中,很多用户在登录不同网站时为了图方便好记,往往喜欢用统一的用户名和密码,这给犯罪嫌疑人可乘之机,他们惯常采取“拖库”、“撞库”和“扫号”等黑客手段,获取用户注册名和密码数据,并与网络银行、支付宝、淘宝等有价值的网站进行匹配登录,再批量验证有价值的账号密码,窃取用户账户的资金。[6]
从互联网金融的网络信息安全属性来看,后两方面的网络身份认证和个人信息保护安全风险是与其金融特性相关的特有的信息安全风险,尤其值得重点关注和优先解决。
二、我国互联网金融网络信息安全风险监管现状及问题
当前,针对上述互联网金融的关键信息技术所引发的三大类风险,我国已出台了相应的监管法律法规,初步建立起互联网金融网络安全风险监管体系,极大地保障了互联网金融的网络信息安全。
(一)监管法律法规现状
1.一般性的网络信息安全管理法律法规。据不完全统计,截至目前,我国颁布、施行的有关网络信息安全管理方面的各种文件与法规共有一百多件。按法律效力层级统计,法律有十多件[7],行政法规有二十多件[8],部门规章有四十多件[9],地方性法规有五十多件,规范性文件有二十多件。[10]按涉及的领域统计,有关网络系统安全保障方面的有十多件,有关信息安全管理方面的有七十多件。
上述一般性的网络信息安全法律法规及部门规章设定了网络和信息系统分类管理制度、网络信息分类管理制度、网络信息安全保护责任制度及网络信息安全监管体制等一系列重要的规范和制度,初步形成了我国网络信息安全管理的法律法规体系,极大地促进了我国网络信息安全有序发展,对互联网金融一般性的信息安全风险也有极大的规范意义。但是,缺乏针对互联网金融网络信息安全专门性的法律规范,例如,在市场准入方面没有明确的准入管理制度,互联网金融没有任何准入门槛,导致互联网金融企业良莠不齐,市场不够规范。目前《电信业务分类目录》尚未包括移动支付业务,因此,工信部尚未将第三方支付运营商纳入监管。
2.网络身份认证安全管理法律法规。网络身份认证安全管理的基础性规范主要包括《中华人民共和国电子签名法》、《国务院办公厅转发国家网络与信息安全协调小组〈关于网络信任体系建设的若干意见〉的通知》、《征信业管理条例》,以及工业和信息化部颁布的《电话用户真实身份信息登记规定》等。
针对非金融机构(第三方支付)、网上银行、互联网证券基金、互联网保险、小额贷款、比特币等众多互联网金融业务,我国金融监管部门已陆续出台了一些业务层面监管的部门规章及规范性文件[11],其中也有涉及网络身份认证方面的内容。
这些法律法规特别是金融监管机构的监管法规仅是笼统要求“支付机构应当具备必要的技术手段,确保支付指令的完整性、一致性和不可抵赖性,支付业务处理的及时性、准确性和支付业务的安全性”,“金融机构使用第三方认证系统,应对第三方认证机构进行定期评估,保证有关认证安全可靠和具有公信力”,这仍然是一种将线下的认证评估机制简单搬移到线上的模式,而没有明确可信身份认证闭环操作流程规范。在网络身份认证的行业监管方面,目前采取的认证制度方面主要有中网认证、安全联盟可信认证等方式。但现有方法存在明显的缺陷:一是缺乏权威许可;二是可能出现伪造攻击,如伪造认证照片;三是伪造认证页面;四是利用官网漏洞攻击认证;五是自发自洽不足。[12]因此,从国家层面来看,仍然缺乏建立安全可信的网络身份认证体系的法律规范,互联网金融关键技术如支付技术、客户识别技术、身份验证技术等的行业标准不完备,特别缺乏在大数据、社交网络和云计算运用的大背景下基于互联网金融本身要求的网络身份认证或识别各环节的具体要求规范,而不仅仅是将线下的认证机制简单地复制搬移到线上。
3.个人信息安全保护法律法规。个人信息安全管理的基础性法律法规主要包括《全国人大常委会关于网络信息保护的决定》、《中华人民共和国消费者权益保护法》及工业和信息化部颁布的《电信和互联网用户个人信息保护规定》和《信息安全技术公共及商用服务信息系统个人信息保护指南》、国家工商行政管理总局颁布的《网络交易管理办法》。金融监管部门相继颁布的关于业务监管的部门规章及规范性文件都有涉及个人信息安全保护方面的内容。[13]
包括身份基本信息、支付业务信息、消费习惯、个人数据、行为特征等在内的用户信息,是互联网金融企业最重要的核心资产之一。因此,用户个人信息安全保护成为互联网金融中信息安全管理的重中之重。目前,我国已建立起包括《全国人大常委会关于网络信息保护的决定》在内的相对完善的个人信息安全保护的法律体系。但是,对于个人信息的范围,“目的明确”、“最少够用”、“公开告知”、“个人同意”及“个人敏感信息明示同意”等个人信息收集原则,以及互联网金融企业搜集、保存、使用用户信息的具体要求,仍缺乏明确的法律规定,而且在实践中,还存在用户个人信息保护力度不够的情形。
(二)监管机构及其职责
当前,对互联网金融的监管由传统金融监管机构向互联网延伸而形成,监管机构主要包括中国人民银行和“三会”(银监会、证监会和保监会)等金融监管机构,以及公安部和工信部等网络信息安全监管机构。
我国金融行业已实行由中央银行、银监会、证监会、保监会构成的“一行三会”的分业监管制度,金融监管机构主要从金融业务层面监管,其中也涉及网络和信息安全的风险监管。如中央银行颁布的《非金融机构支付服务业务系统检测认证管理规定》[14]和银监会颁布的《电子银行业务管理办法》[15]都对安全认证提出了明确的要求。
公安部作为公共信息网络安全的监管机构,主管全国计算机信息系统安全保护工作,各级公安机关信息网络安全监察部门负责监督管理计算机信息系统的安全保护工作,其涉及互联网金融安全的主要职责包括:组织、指导并查处计算机网络违法犯罪案件侦查和电子数据鉴定工作;监督、检查、指导并开展计算机信息系统和互联网的安全保护、上网场所的安全管理工作;组织实施计算机信息系统安全评估、审验;组织处置重大计算机信息系统安全事故和事件;负责计算机病毒和其他有害数据防治管理工作;组织落实互联网安全保护技术措施;对计算机信息系统安全服务和安全专用产品实施管理;组织开展与信息网络安全保护有关的其他工作。
工信部作为互联网行业主管部门,主要承担电信和互联网行业网络安全监管职责,负责网络安全防护技术标准的制定、互联网域名注册管理和服务机构以及增值电信企业的网络安全监管,以及电信和互联网行业网络安全认证体系建设等方面的工作。其互联网金融的网络信息安全的监管职责,主要体现为对互联网金融网站的接入和备案管理,制定身份识别、数字签名等互联网金融关键安全技术的行业标准,保护电信互联网用户个人信息等。
互联网环境下的金融业务普遍具有跨行业、跨部门、业务交叉性强等特征,如P2P网络借贷、网络融资、互联网支付、网络银行、网络保险、证券基金等各类互联网金融业务的发展,需要金融监管体系和互联网安全防护网络与信息安全体系的配合。但是,当前我国“分业经营、分业监管”的金融监管体制与互联网金融混业经营的现状存在不相适应的地方,现有金融监管体系尚无法完全覆盖互联网金融,存在一定的监管缺位和职责交叉,金融监管部门与安全管理机关、行业主管部门在网络信息安全方面的信息共享和沟通协调机制仍不通畅。
三、完善我国互联网金融网络信息安全的监管建议
互联网最大的特点就是融合性,各个行业都有广泛的融合渗透及业务模式的交织,互联网金融就体现了互联网和金融的融合性特点,因此,亟须根据互联网金融业务模式与特点,加强金融监管部门与安全管理机关、行业主管部门等机构之间的协同,强化网络技术与安全的监管,确保交易过程安全、网络业务数据可靠。
一是进一步完善互联网金融网络信息安全方面的法律法规。明确互联网金融的准入管理制度,研究完善与互联网金融密切相关的网络安全管理基础性法律法规保障条件,如电子签名、电子证书方面的法律法规。
二是通过已有的金融监管协调机制,加强金融监管部门与公安部、工信部等网络信息安全监管机构之间的协调合作,建立健全网络信息安全方面的信息共享、沟通和协调机制。
三是加强可信网站生态系统建设,完善网络身份认证体系。可信网络身份是预防和减少互联网金融领域的网络欺诈和身份盗窃的关键,应当从国家层面逐步建立统一的个人和法人的虚拟角色认证。明确管理部门职责,建立政府、协会和公众多元监督模式。
四是完善用户个人信息保护制度。加大互联网金融业务涉及的用户信息保护的力度,出台互联网金融企业搜集、保存、使用用户信息的管理规定。提升互联网信息网络保障,保护互联网金融用户的信息、数据和资金安全。
五是完善互联网金融安全管理技术标准,加强新技术新业务的跟踪监测。完善与互联网金融发展相适应的关键技术、流程、信息安全管理标准,制定移动支付、身份识别、数字签名等互联网金融关键技术的行业标准和国家标准。加强新技术新业务的跟踪监测,研究制定互联网金融技术安全指南。
六是进一步强化互联网金融网站的安全管理,更好地保障互联网金融网站的安全性、可靠性。针对互联网金融网站网络与信息安全现状,进一步强化系统的安全维护,明确互联网金融企业网络与信息安全的责任和标准,加强对互联网金融企业网络信息安全管理的指导,督促互联网金融企业建立健全风险评估、网络防护、数据信息保护及应急灾备等制度。
四、结语
我国互联网金融发展前景广阔,其在颠覆传统金融的同时,更与传统金融相互结合,相得益彰。互联网金融的高速发展,也使其正面临日益严峻的网络信息安全风险问题。互联网关键信息技术本身都存在一定的网络信息安全风险,特别是云计算、大数据在将其网络信息安全风险不断放大。我国应当关注互联网金融面临的整体性、一般性的安全风险,更应当重点防范和解决网络身份认证和个人信息保护安全风险等与其金融特性相关的特有的信息安全风险,亟须进一步完善互联网金融网络信息安全方面的法律法规,加强金融监管部门与公安部、工信部等网络信息安全监管机构之间的协调合作,加强可信网站生态系统建设,完善网络身份认证体系,加强用户个人信息保护,完善互联网金融安全管理技术标准和互联网金融网站的安全管理。
【注释】
作者原供职于工业和信息化部电信研究院,现在中国政法大学博士后流动站从事博士后研究工作。
[1]周小苑:《互联网金融开始加装“安全阀”》,载《人民日报?海外版》,2013-12-09。
[2]因为用户信用卡的CVV码被视为密码或签名,在一些消费场景下,如利用相关信息注册第三方支付账号后,使用这个验证码就可以等同于用户使用信用卡后签字,交易会被银行认可。携程违反银联规定将用户支付的记录用文本保存了下来这一明显违规的操作行为,使得网络支付安全再次成为关注焦点。所谓遍历,是指沿着某条搜索路线,依次对树中每个节点均做一次且仅做一次访问。访问节点所做的操作依赖于具体的应用问题。详见庄小琴、沈旭辉:《携程网漏洞或成为互联网金融的标志性事件》,载《杭州日报》,2014-03-25。
[3]李珮:《互联网金融信息安全风险防范刻不容缓》,载《金融时报》,2013-12-11。
[4]目前,就出现了运用手机木马病毒控制受害人手机通过快捷支付转款的案例。通常流程是,受害人收到犯罪嫌疑人发送的手机短信里的地址链接就是一个木马病毒,接到短信的用户一旦点击了它,这个病毒就会迅速安装在用户手机里,控制受害人手机。犯罪嫌疑人在不知道受害人的银行卡密码的情况下,只用受害人手机收到的动态密令,就可以把银行卡里面的钱通过快捷支付的方式转移出去。详见《支付宝遭窃分230笔转走32万》,http://3g.l63.com/ntes/special/034073AA/wechat_article.html?docid=A2V909SG00252V0H&from=timeline&isappinstalled=0,2014年8月6日访问。
[5]钓鱼网站,通常指伪装或模仿成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。“钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。
[6]犯罪嫌疑人用技术手段入侵一些安全防范不是很好的中小网站,取得大量的用户注册名和密码数据,即为“拖库”;然后,再把这些用户名及密码跟网络银行、支付宝、淘宝等有价值的网站进行匹配登录,即为“撞库”;实际操作中,黑客往往是通过专门的“扫号”软件,批量验证账号密码是否是有价值的。详见《支付宝遭窃分230笔转走32万》,资料来源:http://3g.163.com/ntes/special/0034073A/wechat_article.html?docid=A2V909SG00252V0H&from=timeline&isappinstalled=0,2014年8月6日访问。
[7] 主要包括《全国人大常委会关于维护互联网安全的决定》、《全国人大常委会关于加强网络信息保护的决定》等。
[8]主要包括《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网管理暂行规定实施办法》、《互联网信息服务管理办法》等行政法规。
[9]主要包括工业和信息化部颁布的《计算机信息网络国际联网出入口信道管理办法》、《中国公用计算机互联网国际联网管理办法》、《非经营性互联网信息服务备案管理办法》、《电信网络运行监督管理办法》、《通信网络安全防护管理办法》,以及公安部颁布的《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《互联网安全保护技术措施规定》等部门规章。
[10]例如,工信部颁布的《关于进一步开展电信网络安全防护工作的实施意见》、《木马和僵尸网络监测与处置机制》、《互联网网络安全信息通报实施办法》,以及公安部颁布的《关于执行〈计算机信息网络国际联网安全保护管理办法〉中有关问题的通知》、《信息安全等级保护管理办法》、《金融机构计算机信息系统安全保护工作暂行规定》等规范性文件。
[11] 主要包括中国人民银行颁布的《非金融机构支付服务管理办法》、《非金融机构支付服务管理办法实施细则》、《非金融机构支付服务业务系统检测认证管理规定》、中国银监会颁布的《电子银行业务管理办法》,中国人民银行、工信部、中国银监会、中国证监会、中国保监会颁布的《关于防范比特币风险的通知》,中国证监会颁布的《证券投资基金销售机构通过第三方电子商务平台开展业务管理暂行规定》,中国保监会颁布的《保险代理、经纪公司互联网保险业务监管办法(试行)》,中国银监会颁布的《关于小额贷款公司试点的指导意见》、《小额贷款公司改制设立村镇银行暂行规定》。
[12]方滨兴:《构建可信网站生态系统:从源头遏制钓鱼网站的侵害》,在“2014年网络犯罪与社会安全(中国)论坛”上的发言,2014年6月12日。
[13]如《非金融机构支付服务管理办法》、《非金融机构支付服务管理办法实施细则》、《非金融机构支付服务业务系统检测认证管理规定》、中国人民银行2013年颁布的《银行卡收单业务管理办法》及中国银联风险管理委员会2008年颁布的《银联卡收单机构账户信息安全管理标准》等。
[14] 其第二条明确规定,非金融机构支付服务业务系统检测认证,是指对申请《支付业务许可证》的非金融机构或《非金融机构支付服务管理办法》所指的支付机构,其支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行的技术标准符合性和安全性检测认证工作。
[15]其第四十四条规定,金融机构开展电子银行业务,需要对客户信息和交易信息等使用电子签名或电子认证时,应遵照国家有关法律法规的规定。金融机构使用第三方认证系统,应对第三方认证机构进行定期评估,保证有关认证安全可靠和具有公信力。