鲸犀峰会
您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
金融科技 正文
发私信给周蕾
发送

0

央行科技司原副司长李晓枫:五路并进,移动支付安全发展总趋势

本文作者:周蕾 编辑:温晓桦 2017-11-24 14:59
导语:移动支付的后半场,谁来保驾护航?

雷锋网(公众号:雷锋网)AI金融评论报道,第二届中国移动金融大会近日成功举办。会上,中国金融电子化公司原董事、人民银行科技司原副司长李晓枫先生,带来了主题为《移动支付安全技术发展总体趋势》的演讲。

李晓枫首先分析,当前金融效力提升和风险并存的矛盾下,中国的移动支付要着眼于触达普惠和整治二者并垂。尽管移动支付体系取得了不小成就,但其中存在的业务和技术的违规,需要系统合规和风控管制来整治。

他指出,中国的移动支付,其实已经是触达普惠金融了,这就表现了金融的效力提升。“但在另一方面,互联网金融从去年开始降支,二者形成一个矛盾——尽管你触达普惠金融,金融效力提升,但是风险在增加。”

其次他认为对支付机构整治合规的重点就是持牌经验。针对业务合规,提出:

  • 商业实体可信;

  • 支付工具可信;

  • 结算模式可信。

而在技术方面,则指出以下两点前提,来保证交易的安全性和可追溯性:

  • 交易双方的身份认证;

  • 数据的机密性和完整性。

基于上述观点,他进一步阐述安全技术方面五大趋势:

  1.  金融机构安全技术标准化;

  2. 清算组织回归四方模式;

  3. 云端、终端的高质量安全产品产出加快;

  4. 智能手机和金融业实现产业共进共融;

  5. 深化推广反欺诈联控。

据雷锋网AI金融评论了解,最后李晓枫先生给出三点个人意见:

  • 建立风险联合防控、信息共享机制;

  • PAY要突破单一的PAY而形成统一的PAY;

  • 手机盾亦应有所统一,以便公众识别。

以下是李晓枫先生演讲原文,雷锋网AI金融评论作了不改变原意的编辑:

中国的移动支付,其实已经是触达普惠金融了,这就表现了金融的效力提升;但在另一方面,互联网金融从去年开始降支,二者形成一个矛盾:尽管你触达普惠金融,金融效力提升,但是风险在增加。

今天主要分享四点:

这种矛盾之中,趋势问题是什么?

业务合规、技术架构安全核心要求是怎么样?

安全技术发展五大趋势;

最后谈个人的三点意见。

安全趋势发展问题:整治合规

首先趋势是一个大的方面的问题。曾有撰文指出我们进入了中国的后半场移动支付,我的理解是触达普惠和整治并垂,这种整治就是合规和安全。合规的核心问题就是参与移动支付的商业主体是否可信,安全参与移动支付的设备是否可信。

中国移动支付兴起过程中,为什么说是金融提升的效力增加,但是风险并存呢?我们整个支付体系存在业务违规、技术违规创新,合规监管就是消除这些隐患。

支付跟其他互联网金融不一样,支付是需要持牌的。

我们看合规这一块,首先是体系风险,一个是线上、线下费率不一致,96费改,去年9月6日费率改了之后基本上一致了,差别就缩小了,这非常有利于把二清、套码切机的风险控制住,这是体系性的风险。

第二个就表现在网联成立,这个稍微晚一点,这个说白了,三方模式回归四方模式,就是正本清源,网联成立的核心。

我们在移动支付触达普惠取得很大成绩,形成三个比较大的生态体系:支付宝,微信和银联。

银联是以散户为主的,银联在这个品牌上,相比起支付宝和微信,它的技术战略的选择有些模糊。对此希望在座各位能努力把产业链提升上来,特点变得更加鲜明。

这几年我们通过小额支付、非银支付机构等可知,支付场景也是一种软硬因素,支付工具是和场景、和安全有关的。

系统合规是一方面,而另一方面,风控管制水平成为近期的重点。你的风控水平跟你的资金流向、你可追溯、可报告构成了下半场整治的重点。

业务和技术安全下的合规

实体,从商业角度来说是商业实体,像银行、非支付机构、清算机构;而从技术角度来看,就是POS,ATM,包括PAY、手机银行、支付宝、微信等这些工具。其中实体的可信是第一位的。其次技术设备也要可信。

商业实体一定要持牌,持牌接受监管,达到可信,这才能达到整治到商业实体——比如支付机构、银行或者收单的目的。

当然这里还有一个问题:商业清算、结算的模式非常重要。所以体系纠偏,回归四方模式是个很重要的方面。底层的就比如密码算法,密钥体系,包括现在新发展的生物识别,苹果的iPhone X引入3D人脸识别,这些都是最新的技术发展。

业务合规,对支付机构河沿的整治合规,就是持牌经验。所以为什么要打击支付机构的无证经营?

资金的流向要可追溯,帐户一定要实名,分类开设;

开设条件要满足监管认可的安全技术。

之所以整治支付机构,包括民营银行,互联网银行,正是因为技术到现在还不被认可,才没有得到普及。支付机构的报文规范等等,都是整治的目标。

技术方面,在技术设备、软件可信的基础上:

第一个是交易双方认证,双方的真实身份。当然现在认证技术只是认定技术,并不认定人。

第二就是数据的机密性、完整性。经过检测认证的产品,至少是一个可靠的产品。纳入到技术管理的体系,我们就可以保证交易的安全性和可追溯性。

关于移动支付存在的问题,从两大主要参与者来谈。

一是支付机构的问题。它主要体现在实名制、冒名开户,甚至是虚构代理。这些问题很严重,开了户,做支付业务,洗钱、黄赌毒等参与其中。

二是商户资料的操作、造假,包括正规的收单机构也存在这些问题。有时候想做好的机构也被迫陷入其中。

移动支付涉及到安全技术发展的话,我们就要从安全体系,实体可信,安全技术方面来了解它的大趋势。

移动支付安全技术五大趋势

首先,是标准,金融机构的安全技术标准化。正如前文所言,要做到你的设备可信,标准化很重要,包括检测认证体系和标准的研制。现在这一领域有中国互联网金融协会、移动支付产业联盟出了个金融盾,包括生物认证,有三个机构都涉及到指纹的认证。由于整个支付机构水平提升,如果这个编制送审完成最终落地,能够符合移动终端的认证,那么手机APP的认证体系就有了基础。

标准是通过技术检测+安全要求和指标的体现,并对安全技术和产品进行实际的考量和评定,这是整个产业链规范化提升整体安全水平的前提和必经之路。为什么我国二维码发展得比较好?其实跟产业链水平提升落后有些关系。如果以后上升了,移动支付的安全将来会提升一个档次。

第二,清算组织回归四方模式,将会是实体安全在技术层面的第一道防线。也就是把所有的收单、平台,全部纳入,现在银联已经做到了。把网上的收单平台统一注册,并且实体可信,可以预测下一步就是实体之间的互联,通过四方模式,保证互联的安全可控。不过目前商户还没有解决。

第三,云端、手机终端的高质量安全产品产出加快,极大地改善了金融机构移动支付应用基础。手机银行APP植入TEE环境成为值得期许的监管要求。

云计算的核心是安全。银行的包袱很重,就像有些发达国家,它的技术很陈旧,要转换成像中国这样的高铁很难——我们的商业银行转后台可行,带来的是产业链和产业基础。手机终端方面,像华为的inSE,还有TEEI、豆荚TEE、手机盾都成为移动支付安全的基本要素。金融机构移动支付的创新发展,是需要整个产业链机构参与的,其中的合作交流、规则标准要产业界来提供。

第四,我们跟产业能够共进共融。最近大家看到徽商银行和建行跟华为,在手机厂商华为合作PAY和盾,可以感知整个中国的智能手机产业,还有工业制造的水平都在快速升级。在高端升级以后,明年国内销售的新款智能手机将成为标准配置,千元以下手机应该都能实现。手机银行涉及较广,人民银行要求手机银行、APP植入TEE安全环境。

合规方面,网络支付业务和支付机构内部的风险隐患无疑还会存在。排雷整治,消除收单,要支付机构无论是做收单,还是做移动支付的,风控管理水平要达到监管的要求。

最后,反欺诈的联控,会在移动支付和网络支付的后半场深化推广。银行与支付机构之间的反欺诈合作,也成为趋势之一。黑场、灰场是非常严重的问题。要做普惠金融,像多头借贷怎么防治,就需要大家来合作。现在又要体现快速放贷,这些都会涉及到欺诈防范的问题。

手机盾这个产品说一下,除了做到一机一盾跟数字证书绑定,其次要跟风控相关。

三点个人意见

确实手机金融盾今年已经开启了,把风险联合防控、信息共享的机制建立起来,非常重要。

第二个,随着我们的产业基础的供应链发生改变,PAY要突破单一的PAY,应该有一个统一的。

当然手机盾也应该如此,这样我们的公众易于识别,讲银行金融机构的支付是什么呢?那就应该有PAY。

    谢谢!

雷锋网原创文章,未经授权禁止转载。详情见转载须知

央行科技司原副司长李晓枫:五路并进,移动支付安全发展总趋势

分享:
相关文章

文章点评:

表情
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说