FinTech Insights · 观点聚焦 | 董俊峰:网络支付安全“三大支柱”的现状与挑战
深度观察
FinTech Insights
“深度观察·FinTech Insights”聚焦金融科技相关主题,通过深入剖析行业发展动态与趋势,呈现更全面、立体的金融科技行业面貌,旨在为读者提供多元的思考和解读。
导言
Preface
伴随着网络支付高速发展,滥用个人信息和网络电信诈骗等不法行为时有发生,支付安全逐渐成为行业关注的重点议题。而个人信息保护、交易风险防控和支付系统平稳是构建支付安全的“三大支柱”。 网联清算有限公司董事长、总裁董俊峰分析了网络支付安全“三大支柱”的现状与挑战,并就推动支付安全向好发展提出了建议。
当前我国正处在转变发展方式、优化经济结构、转换增长动力的攻坚期。习近平总书记在2020年中央经济工作会议中强调,“要立足新发展阶段,贯彻新发展理念,构建新发展格局,以推动高质量发展为主题,以深化供给侧结构性改革为主线,以改革创新为根本动力,以满足人民日益增长的美好生活需要为根本目的,坚持系统观念,巩固拓展疫情防控和经济社会发展成果,更好统筹发展和安全”。习总书记的重要讲话既深刻阐明了推动高质量发展的理念,又突出强调了发展与安全之间的统筹平衡关系,揭示了安全是高质量发展的重要前提,这对网络支付行业的持续健康发展具有重大指导意义。
1
网络支付在国民经济
发展中的重要作用
蓬勃发展的网络支付行业是我国普惠金融的标志性成果之一。我国网络支付交易规模全球领先,网络支付模式多元发展。《中国互联网络发展状况统计报告》显示,截至2020年6月,我国网络支付用户规模达8.05亿,占网民整体的85.7%;手机网络支付用户规模达8.02亿,占手机网民的86.0%。疫情期间,网络支付覆盖范围进一步扩大。非接触支付、线上支付线下提货等新兴支付方式助推网络支付的客群进一步拓展,向农村用户、老年用户群体覆盖。网络支付已成为居民生活消费离不开的普惠性基础金融服务。
网络支付服务是零售金融最重要的触点和入口。在交易规模和用户数量双增长的驱动下,网络支付为商业银行和支付机构积累了大量信息和数据资源。获客方面,网络支付是商业活动资金转移的必要环节,提供网络支付服务的商业银行和支付机构在获客方面具有得天独厚的资源优势。留客方面,网络支付具有小额高频的交易属性,用户一旦形成特定的使用习惯,将产生路径依赖心理,进而成为相关机构的忠实客户,用户黏性得到有效保障。活客方面,用户在支付过程中往往会产生支付轨迹,其中包含交易习惯、消费偏好等重要信息,商业银行和支付机构可基于此进行用户画像,为用户提供个性化金融服务。近年来,金融机构基于支付业务持续深化用户经营,提供高附加值金融服务。网络支付业务已经成为金融服务不可或缺的重要入口。
优质高效的网络支付业务推动经济持续恢复和高质量发展。网络支付保障疫情期间民生消费。疫情期间,餐饮娱乐、商超零售等传统线下消费场景受到较大冲击。与此同时,网络支付以其便捷、高效、无接触的特点,支持线上消费活动有序进行,发挥了为民生消费和经济发展“补位”的作用。数据显示,2020年3月底,餐饮行业网络支付交易额环比增长11%;2020年五一假期,部分旅游平台网络支付日均交易量环比增长38%,部分餐饮企业日均交易量环比增长超八成。
2
网络支付安全的
“三大支柱”
伴随着网络支付高速发展,滥用个人信息和网络电信诈骗等不法行为时有发生,支付安全逐渐成为行业关注的重点议题。习总书记强调“安全是发展的保障,发展是安全的目的”。支付安全是支付行业有序健康发展的重要保障,而个人信息保护、交易风险防控和支付系统平稳是构建支付安全的“三大支柱”。个人信息保护关注用户在支付各环节中,个人信息的收集、流转、储存、使用与管理;交易风险防控聚焦支付行业风险联防联控,实现支付资金安全流转,致力于保护老百姓“钱袋子”;支付系统平稳着眼行业全链路安全生产运行,提升链路各环节响应效率,确保支付服务不中断。只有“三大支柱”稳健牢固,才能切实保障支付行业长久发展。
3
个人信息保护的
趋势与挑战
我国个人信息保护方兴未艾。欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)的出台吹响了个人信息保护的号角,个人信息保护被提升到越来越重要的位置。2020年是我国个人信息保护制度建设的关键年,有关部门“组合拳”频出,推进相关法律法规建设,加快行业乱象整治行动,为个人隐私和信息安全筑牢保护屏障。2020年5月,全国人大表决通过《中华人民共和国民法典》,明确个人信息受法律保护;2020年7月、10月,备受期待的《中华人民共和国数据安全法(草案)》《中华人民共和国个人信息保护法(草案)》相继发布。我国正建立起一整套权责明确的制度规则,平衡多方主体利益,维护网络空间的良好生态。与此同时,央行启动《个人金融信息(数据)保护试行办法(初稿)》征求意见,发布《个人金融信息保护技术规范》,标志着金融行业正式迎来个人信息保护规范化时代,这势必将对支付行业个人信息保护工作产生深远影响。
网络经济高度集中给个人信息保护带来挑战。近年来,我国网络经济蓬勃发展,新业态、新模式层出不穷,对推动经济高质量发展发挥了重要作用。与此同时,网络经济的市场集中度呈现越来越高的趋势,市场资源加速向头部平台集中。网络支付是网络经济的重要基础设施。上述趋势和现状给网络支付业务的个人信息保护带来深刻挑战。
部分市场主体存在通过其市场优势地位强行获取用户授权的情况。虽然我国现行法律法规已经明确对个人信息收集使用须经信息主体同意,《中华人民共和国个人信息保护法(草案)》征求意见稿中也强调“个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务”,但目前各大应用程序(Application,简称App)仍存在将用户授权与提供服务强绑定的情况,可能导致用户在网络支付环节提交的个人信息受到违背其意愿的超范围使用。特别是目前部分主流App,由于其具有服务覆盖范围广泛、用户数量庞大等属性,已具有“必需品”性质,其对个人信息的收集存在“霸王条款”倾向,应引起社会各界高度重视。
4
支付交易风险防控
取得显著成效
支付行业各方积极参与交易风险防控。按照党中央、国务院有关互联网金融风险专项整治的工作部署,支付行业各方在人民银行指导下积极防范打击电信诈骗、网络赌博等违法违规活动,配合公安机关开展“断卡”等黑灰产反制行动,保障老百姓资金安全。支付市场主体在数字化转型过程中,努力构建全流程、全链路智能风控体系,加强大数据、人工智能等新技术应用,不断提升风险识别精准化水平和智能决策能力,逐步形成联防协作的工作机制,取得了较好效果。
清算机构在防范交易风险过程中发挥了特殊作用。在支付产业中,清算机构承担防范化解金融风险、推动支付行业合规健康发展的重任,是支付交易安全防控的重要一环。清算机构着力发展以支持监管科技为重点的自动化、智能化、数字化风控体系,支撑监管服务需求,助力支付领域监管政策落地。一是保障备付金资金安全。配合监管开展资金流向监测,识别资金挪用、伪冒交易等风险,追踪异常可疑交易,核实资金去向,增强备付金监管有效性,保障人民群众资金安全。二是支持打击违法违规活动。清算机构以识别新型网络违法犯罪为重点建立监测模型体系,协同各方维护风险处置闭环机制,帮助市场主体规避客户和关联方违法违规风险,防范犯罪资金跨机构流动。三是建立联防联控机制。清算机构协同政府部门、行业自律组织建立联防联控机制,增强全网资金链匹配、追溯能力,强化跨网络犯罪活动打击力度。
5
网络支付交易仍然面临
三大风险考验
移动化、线上化趋势下,支付行业面临更大的网络安全威胁。随着支付行业的数字化转型,支付服务日趋开放和便捷,支付领域创新速度加快,线上化、移动化趋势明显,危害系统、网络和应用安全的漏洞日益增多,针对互联网应用的网络安全威胁更直接、更突出,拖库、撞库、非法爬虫等信息泄露安全隐患也更严重、更隐蔽,黑客入侵、伪冒身份等网络攻击行为给行业网络安全防控带来了严峻考验。
网络欺诈案件高发,非法交易融合交织,保障客户交易、资金安全任重道远。近年来,电信网络诈骗等犯罪手法不断翻新,刷单代理、网购退款、“杀猪盘”、骗贷等网络犯罪层出不穷,犯罪团伙利用各类新兴技术手段隐藏资金链。犯罪场景由原来的账户盗用、诈骗转账支付向网络贷款、虚假商户、信用卡和理财等领域延伸,各类犯罪资金交易交织,欺诈风险、合规风险、信用风险等风险形态融合,风险防控形势更加复杂严峻,保障客户资金和交易安全成为防控重点。
网络黑产犯罪呈现产业化、集团化、专业化趋势,风险防控挑战升级。网络黑产已出现产业化、集团化和专业化趋势,上游提供作案设备和工具,中游负责非法获取、出租出借身份证、手机号、银行卡号等用户个人信息,下游为电信诈骗、赌博等犯罪活动洗钱和销赃,甚至可以提供数据打包、精准订制和技术众包等一站式解决方案。网络黑产犯罪链条向着分工精细、组织灵活、资金快速流转的方向发展,隐蔽性更强,风险对抗升级,为全链条打击带来更大困难。
6
支付系统平稳运行的
重要性与挑战
支付系统平稳是经济社会稳定的重要基础。支付清算系统作为社会资金周转的“动脉”,是支持我国经济社会发展的重要基础设施,支付清算系统安全稳定运行,关系到广大人民群众生活便利和支付体验,影响着人民群众对经济发展、金融安全的信心。中央政治局常委会会议提出要充分发挥我国超大规模市场优势和内需潜力,构建国内国际双循环相互促进的新发展格局。促进传统消费,培育新型消费,推进各类消费业态的线上线下深度融合,是完善国内大循环体系、扩大有效内需极为重要的一环。网络支付作为保障人民群众消费购物、中小微企业收付资金的重要支付方式,其业务的高效、准确处理对于推动国内大循环正常运转具有极为重要的意义。
支付业务发展对系统平稳运行提出更高要求。支付业务规模上升需要支付系统平稳承接。随着支付行业高速发展,支付业务规模呈快速上升趋势。面对不断上升的交易量,支付行业各方须付出更大努力备足系统冗余、预留系统资源,平稳承接持续上升的支付交易“水位”,保证支付系统全网全链路的稳定运行。
支付业务模式变化需要支付系统适配调优。近年来,金融安全已被提升至国家安全的高度,监管机构陆续出台监管政策,进一步规范市场主体创新业务,支付行业监管政策呈审慎、趋严态势。监管政策环境变化有可能对市场主体业务逻辑产生较大影响,进而影响系统配置需求。支付行业各方需要结合监管政策环境对自身业务的影响,及时对系统容量、处理逻辑、运行情况进行关注和维护,在保持业务连续性的基础上实现系统平稳运行。可以说,目前支付行业的系统平稳与业务模式、监管政策处于深度耦合状态,挑战前所未有。
7
推动支付安全向好发展
的几点建议
个人信息保护不应局限于法律层面。随着立法的发展,个人信息保护获得了更多的制度支持,但是实际执行过程中仍面临法律以外的挑战。构建形成执法监督机构、行业自律组织、市场主体的三层治理架构,有助于在合法合规基础上有效监督规范个人信息处理行为,促进个人信息合理利用,保护个人信息权益。一是加强个人信息保护执行情况监督检查。个人信息采集存在于资金流转各环节,在相应法律法规颁布出台后,建议执法监督机构进一步关注支付市场主体是否存在个人信息采集“霸王条款”和既往个人信息处置不当等行为,及时加以制止,收敛个人信息滥用和泄露风险。二是支付行业自律组织可将个人信息保护内容纳入行业标规体系建设。对于国家法律法规难以顾及到的领域和特殊业务场景,支付行业自律组织可结合实际业务开展情况,从个人信息获取的必要性、信息收集范围、信息处理方式、信息保管与存储、信息销毁等方面组织制定行业标准,通过行业标准约束从业市场主体,实现信息收集最小化、信息处理必要化、信息销毁及时化。三是支付市场主体和清算机构可从业务流程设计入手,提升个人信息安全。2020年,网联平台协同银行和支付机构,创新推出一站式签约功能,支持用户在银行App、线下自助设备、线下网点等银行侧环境完成快捷支付签约,用户个人信息无需流转至支付机构,减少不必要的信息交互与界面跳转,提升个人信息安全。
交易风险防控须加强行业协同。随着数字化支付时代的到来,支付行业进入新的发展时期,面对新风险形势挑战,全行业应在信息共享、行业协作、法律惩戒等方面加深共识、提升协同、严防严控,保障支付交易安全。首先,发展监管科技是强化穿透式监管的有力抓手。建议监管机构加大监管科技研发和应用力度,以科技对科技,探索大数据、人工智能等数字化监管技术,提升监管效能,将监管过程前置,加强违规行为监管。清算机构可充分发挥数据和技术优势,为监管科技发展提供底层支撑。其次,行业协同是提升交易风控智能化的关键。通过开展风险数据共享、模型共建、联合研发等多种形式的合作,支付市场主体可建立全流程风险监测识别体系,提升风险预警准确度,强化实时、准实时侦测处置能力,实现对违法犯罪活动的精准打击。清算机构可发挥行业中枢作用,为行业协同提供组织协调服务。最后,联防联控是应对黑产产业化、集团化、专业化的必由之路。支付行业各方应深化风控领域合作,扩大风险信息共享,实现风险信息多维度关联分析,增强联合研判和数据线索交互,及时应对犯罪手法变化,及时调整风控策略和模型,提升协作效果。清算机构可为联防联控提供居中平台和统一接口,帮助优化联防联控的成本和效率。
互联互通是切实保障支付业务连续性的关键举措。随着网络支付行业集中度日益升高,个体系统的单点风险已经成为影响支付系统平稳和业务连续性的主要风险点,支付系统互联互通成为解决问题的重要举措。部分机构将资金、交易和数据置于其自身体系内封闭循环,导致支付系统之间人为割裂、画地为界。同时,随着网络支付市场高度集中的趋势愈演愈烈,一旦主要机构出现问题,其他机构无法为其体系内用户、商户提供服务,可能造成大面积的服务中断,进而引发系统性金融风险和社会动荡。鉴于此,一方面,应积极促进网络支付行业的百花齐放、均衡发展;另一方面,应推动机构之间互联互通,引导各类支付市场主体相互开放业务权限,建成支付市场主体平等参与、无差别的共享网络,实现线上、线下各类交易的全方位互联互通,保证在任何支付工具服务中断的情况下,用户、商户仍可享受到连续、稳定的支付服务,保护消费者权益,呵护好网络支付这个民族金融科技品牌。
来源:清华金融评论
-END-
推荐阅读
ZAIF
资政兴业 经世致用
潮起钱塘 引领全球