央行科技司原副司长李晓枫:五路并进,移动支付安全发展总趋势
雷锋网AI金融评论报道,第二届中国移动金融大会近日成功举办。会上,中国金融电子化公司原董事、人民银行科技司原副司长李晓枫先生,带来了主题为《移动支付安全技术发展总体趋势》的演讲。
李晓枫首先分析,当前金融效力提升和风险并存的矛盾下,中国的移动支付要着眼于触达普惠和整治二者并垂。尽管移动支付体系取得了不小成就,但其中存在的业务和技术的违规,需要系统合规和风控管制来整治。
他指出,中国的移动支付,其实已经是触达普惠金融了,这就表现了金融的效力提升。“但在另一方面,互联网金融从去年开始降支,二者形成一个矛盾——尽管你触达普惠金融,金融效力提升,但是风险在增加。”
其次他认为对支付机构整治合规的重点就是持牌经验。针对业务合规,提出:
-
商业实体可信;
-
支付工具可信;
-
结算模式可信。
而在技术方面,则指出以下两点前提,来保证交易的安全性和可追溯性:
-
交易双方的身份认证;
-
数据的机密性和完整性。
基于上述观点,他进一步阐述安全技术方面五大趋势:
-
金融机构安全技术标准化;
-
清算组织回归四方模式;
-
云端、终端的高质量安全产品产出加快;
-
智能手机和金融业实现产业共进共融;
-
深化推广反欺诈联控。
据雷锋网 (公众号:雷锋网) AI金融评论了解,最后李晓枫先生给出三点个人意见:
-
建立风险联合防控、信息共享机制;
-
PAY要突破单一的PAY而形成统一的PAY;
-
手机盾亦应有所统一,以便公众识别。
以下是李晓枫先生演讲原文,雷锋网AI金融评论作了不改变原意的编辑:
中国的移动支付,其实已经是触达普惠金融了,这就表现了金融的效力提升;但在另一方面,互联网金融从去年开始降支,二者形成一个矛盾:尽管你触达普惠金融,金融效力提升,但是风险在增加。
今天主要分享四点:
这种矛盾之中,趋势问题是什么?
业务合规、技术架构安全核心要求是怎么样?
安全技术发展五大趋势;
最后谈个人的三点意见。
安全趋势发展问题:整治合规
首先趋势是一个大的方面的问题。曾有撰文指出我们进入了中国的后半场移动支付,我的理解是触达普惠和整治并垂,这种整治就是合规和安全。合规的核心问题就是参与移动支付的商业主体是否可信,安全参与移动支付的设备是否可信。
中国移动支付兴起过程中,为什么说是金融提升的效力增加,但是风险并存呢?我们整个支付体系存在业务违规、技术违规创新,合规监管就是消除这些隐患。
支付跟其他互联网金融不一样,支付是需要持牌的。
我们看合规这一块,首先是体系风险,一个是线上、线下费率不一致,96费改,去年9月6日费率改了之后基本上一致了,差别就缩小了,这非常有利于把二清、套码切机的风险控制住,这是体系性的风险。
第二个就表现在网联成立,这个稍微晚一点,这个说白了,三方模式回归四方模式,就是正本清源,网联成立的核心。
我们在移动支付触达普惠取得很大成绩,形成三个比较大的生态体系:支付宝,微信和银联。
银联是以散户为主的,银联在这个品牌上,相比起支付宝和微信,它的技术战略的选择有些模糊。对此希望在座各位能努力把产业链提升上来,特点变得更加鲜明。
这几年我们通过小额支付、非银支付机构等可知,支付场景也是一种软硬因素,支付工具是和场景、和安全有关的。
系统合规是一方面,而另一方面,风控管制水平成为近期的重点。你的风控水平跟你的资金流向、你可追溯、可报告构成了下半场整治的重点。
业务和技术安全下的合规
实体,从商业角度来说是商业实体,像银行、非支付机构、清算机构;而从技术角度来看,就是POS,ATM,包括PAY、手机银行、支付宝、微信等这些工具。其中实体的可信是第一位的。其次技术设备也要可信。
商业实体一定要持牌,持牌接受监管,达到可信,这才能达到整治到商业实体——比如支付机构、银行或者收单的目的。
当然这里还有一个问题:商业清算、结算的模式非常重要。所以体系纠偏,回归四方模式是个很重要的方面。底层的就比如密码算法,密钥体系,包括现在新发展的生物识别,苹果的iPhone X引入3D人脸识别,这些都是最新的技术发展。
业务合规,对支付机构河沿的整治合规,就是持牌经验。所以为什么要打击支付机构的无证经营?
资金的流向要可追溯,帐户一定要实名,分类开设;
开设条件要满足监管认可的安全技术。
之所以整治支付机构,包括民营银行,互联网银行,正是因为技术到现在还不被认可,才没有得到普及。支付机构的报文规范等等,都是整治的目标。
技术方面,在技术设备、软件可信的基础上:
第一个是交易双方认证,双方的真实身份。当然现在认证技术只是认定技术,并不认定人。
第二就是数据的机密性、完整性。经过检测认证的产品,至少是一个可靠的产品。纳入到技术管理的体系,我们就可以保证交易的安全性和可追溯性。
关于移动支付存在的问题,从两大主要参与者来谈。
一是支付机构的问题。它主要体现在实名制、冒名开户,甚至是虚构代理。这些问题很严重,开了户,做支付业务,洗钱、黄赌毒等参与其中。
二是商户资料的操作、造假,包括正规的收单机构也存在这些问题。有时候想做好的机构也被迫陷入其中。
移动支付涉及到安全技术发展的话,我们就要从安全体系,实体可信,安全技术方面来了解它的大趋势。
移动支付安全技术五大趋势
首先,是标准,金融机构的安全技术标准化。正如前文所言,要做到你的设备可信,标准化很重要,包括检测认证体系和标准的研制。现在这一领域有中国互联网金融协会、移动支付产业联盟出了个金融盾,包括生物认证,有三个机构都涉及到指纹的认证。由于整个支付机构水平提升,如果这个编制送审完成最终落地,能够符合移动终端的认证,那么手机APP的认证体系就有了基础。
标准是通过技术检测+安全要求和指标的体现,并对安全技术和产品进行实际的考量和评定,这是整个产业链规范化提升整体安全水平的前提和必经之路。为什么我国二维码发展得比较好?其实跟产业链水平提升落后有些关系。如果以后上升了,移动支付的安全将来会提升一个档次。
第二,清算组织回归四方模式,将会是实体安全在技术层面的第一道防线。也就是把所有的收单、平台,全部纳入,现在银联已经做到了。把网上的收单平台统一注册,并且实体可信,可以预测下一步就是实体之间的互联,通过四方模式,保证互联的安全可控。不过目前商户还没有解决。
第三,云端、手机终端的高质量安全产品产出加快,极大地改善了金融机构移动支付应用基础。手机银行APP植入TEE环境成为值得期许的监管要求。
云计算的核心是安全。银行的包袱很重,就像有些发达国家,它的技术很陈旧,要转换成像中国这样的高铁很难——我们的商业银行转后台可行,带来的是产业链和产业基础。手机终端方面,像华为的inSE,还有TEEI、豆荚TEE、手机盾都成为移动支付安全的基本要素。金融机构移动支付的创新发展,是需要整个产业链机构参与的,其中的合作交流、规则标准要产业界来提供。
第四,我们跟产业能够共进共融。最近大家看到徽商银行和建行跟华为,在手机厂商华为合作PAY和盾,可以感知整个中国的智能手机产业,还有工业制造的水平都在快速升级。在高端升级以后,明年国内销售的新款智能手机将成为标准配置,千元以下手机应该都能实现。手机银行涉及较广,人民银行要求手机银行、APP植入TEE安全环境。
合规方面,网络支付业务和支付机构内部的风险隐患无疑还会存在。排雷整治,消除收单,要支付机构无论是做收单,还是做移动支付的,风控管理水平要达到监管的要求。
最后,反欺诈的联控,会在移动支付和网络支付的后半场深化推广。银行与支付机构之间的反欺诈合作,也成为趋势之一。黑场、灰场是非常严重的问题。要做普惠金融,像多头借贷怎么防治,就需要大家来合作。现在又要体现快速放贷,这些都会涉及到欺诈防范的问题。
手机盾这个产品说一下,除了做到一机一盾跟数字证书绑定,其次要跟风控相关。
李晓枫先生的三点个人意见
确实手机金融盾今年已经开启了,把风险联合防控、信息共享的机制建立起来,非常重要。
第二个,随着我们的产业基础的供应链发生改变,PAY要突破单一的PAY,应该有一个统一的。
当然手机盾也应该如此,这样我们的公众易于识别,讲银行金融机构的支付是什么呢?那就应该有PAY。
谢谢!
。