| ||||||
央行制定一個移動金融業務流程標準和遵循原則,將來會納入支付寶 與微信支付等 ◎ 財新記者 李小曉 ? 張宇哲 文lixiaoxiao.blog.caixin.com | zhangyuzhe.blog.caixin.com 中國的移動支付具有巨大的潛力。技術創新也在不斷湧現。 近期, 央行發佈了《關於推動移動金融技術創新健康發展的指導意見》(下稱《指導意見》),提升移動金融安全可控能力,促進移動金融技術創 新健康發展,切實發揮移動金融普惠民生的作用。 一位監管層專家向財新記者介紹了《指導意見》的出台背景:“銀行業、互聯網企業、移動商都在開展移動金融業務,但相同的業務做法各有特點、各有風險。因此業內有一個呼聲,希望央行牽頭做一個指導意見,制定一個業務流程標準,從而有利於業內分享經驗和風險控制。”《指導意見》提出了推動移動金融技術創新健康發展的保障措施,指導商業銀行和銀行卡清算機構積極落實國家網絡安全和信息技術安全有關政策,優先採用自主可控的產品及密碼算法,加強移動金融賬戶介質標準符合性管理,增強移動金融安全可控能力,有效保障移動金融應用流程的安全性;指出要加快構建安全可信基礎環境,發揮檢測認 證的質量保障作用,推動標準落地實施,切實保障客戶資金和信息安全。 “這份文件對銀行的改造成本要求並不高。”上述監管層專家表示。 有央行人士表示,《指導意見》目前包含銀行業金融機構和銀聯,將來會納入支付寶與微信支付等。 一位監管層人士對財新記者透露,針對非金融機構的移動金融文件目前正在徵求意見,不久也會推出,兩個文件是配套的。 遵循原則 《指導意見》發佈目的是:進一步貫徹落實《國務院關於促進信息消費擴大內需的若干意見》和《國務院辦公廳轉發密碼局等部門關於金融領域密碼應用指導意見的通知》有關精神,明確了移動金融技術創新健康發展的方向性原則。 第一是遵循安全可控原則。移動金融技術創新應以安全可信和風險可控為底線,遵循金融及密碼領域的相關技術標準,發揮檢測認證的質量保障作用,切實維護客戶資金和信息安全,保護金融消費者合法權益。 第二是秉承便民利民理念。移動金融技術創新應以服務民生為出發點,採用安全可控技術有效擴大金融服務覆蓋範圍,特別是填補農村及偏遠地區金融服務空白,讓社會公享受到移動金融的普遍性、安全性和便利性。 第三是堅持集成創新發展。移動金融是金融IC 卡應用的繼承和創新。移動金融技術創新應堅持集成式發展,最大限度使用現有金融IC 卡技術基礎設施,減少重複建設,實現集約化發展和規模化應用。 關於如何理解該條中提到的“減少重複建設”,監管層專家表示,是指線下POS 機、ATM 機等基礎設施。“重複建設”並不是指不同金融機構重複布設機具,而是指同一台機具要盡可能兼容現在所有的銀行卡,並且應當支持金融IC 卡和NFC 支付。 “不能一台POS 機只能刷卡,另一台POS 機只能刷手機。”監管層專家表示,這是從節約成本的角度出發。在新設計的POS 機中,儘量做到兼容性強,讓金融IC 卡能用,手機也能用,否則改造舊的POS 機要增加很多人力物力成本。 第四是注重服務融合發展。移動金融是金融服務在信息化、移動化環境下的渠道拓展和功能延伸。移動金融技術創新應加快銀行卡與手機銀行服務的協同發展,促進移動金融與電子商務、公共服務等領域的融合發展。 短信驗證碼作廢 《指導意見》還對移動金融服務的交易可靠性提出了要求:採取手機等移動終端直接與後台系統遠程交互的方式提供移動金融服務時,各商業銀行和銀行卡清算機構應使用可靠的多因素身份認證 方式,並採用手機安全單元(SE)、智能密碼鑰匙(Key)等基於安全芯片的電子設備作為必要的認證因素、以確保資金類、重要信息變更類、重要業務變更類等高風險交易的安全。 “過去PC 端的網上銀行要求使用U 盾,手機銀行其實也是網上銀行。這次的要求就是要提升手機銀行的安全保障能力,”監管層專家稱,“過去病毒、木馬主要針對PC 端,以後移動端用戶多了,可能會存在風險隱患。”按照《指導意見》要求,手機需具備SE 或Key 等基於安全芯片的電子設備。目前方案分兩類,包括Key(類似網銀U 盾),或手機內置SE 安全芯片。 監管層專家表示,目前包括三星、華為等部分支持非接觸支付的智能手機已內嵌了SE 元件,電信運營商也在部分SIM 卡里增加了SE 元件;如果不具有SE,也可以通過網銀Key 的形式。 Key 類似PC 端網上銀行的U 盾,但由於手機沒有USB 接口,因此可以通過藍牙等方式。 銀聯人士認為,目前的手機銀行只要安裝後輸入用戶名密碼就能用,但這樣很容易被黑客用遠程手段或電話詐騙 破解。《指導意見》要求移動金融業務一定要綁定硬件,這無疑加強了手機銀行的安全性,但也對銀行提出了挑戰。 銀聯人士表示, 用令牌(Token,顯示跳變的六位數)登陸網上銀行的銀行很多,但把令牌加進手機銀行做校驗的銀行還不多。銀行也擔心客戶不理解,再發放一個外置設備,客戶可能會覺得麻煩。 但在監管層專家看來,這“不是一個問題”,“只要手機有藍牙功能,就可以安裝Key ;銀行使用的令牌也可以。”這條規定其實未對設備提出新的要求,因為現在的手機“幾乎都符合條件”。 《指導意見》還對一次性安全驗證 碼提出了安全警示:使用一次性安全驗證碼(如手機短信驗證碼)作為多因素之一時,應切實防控因一次性安全碼獲 取端與交易指令發起端為同一物理設備等隱患帶來的風險。 “2015年12月31日前,各商業銀行和銀行卡清算機構提供的相關移動金融服務原則上應符合上述要求。”《指導意見》明確表示。 銀行人士表示,一般的認證方式主要是用戶名密碼的單因素認證方式,雙因素認證方式就是除了用戶名密碼認 證,還採用如Key、PIN 碼、數字證書 等其他認證方式,從而達到強身份認證。 監管層專家表示,《指導意見》指出在移動支付、手機銀行上慎用短信驗證碼,其原因是安全碼獲取端和發起端為同一物理設備,手機不再是第二安全渠道。“以前有的銀行採取密碼+ 手機短信安全碼作為雙因素認證,今後手機短信安全碼可以繼續輔助使用,但它屬於無效因素,用不用都一樣。”《指導意見》指出要採用包括基於安全芯片的電子設備、密碼在內的多因素認證,這其實比接收短信更安全、方便。監管層專家表示,希望通過《指導意見》提醒商業銀行,防止一旦有專門截獲短信的木馬出現而帶來的風險。 讓創新有跡可循 在卡標準方面,《指導意見》指出,採取移動終端在交易現場與受理終端交互的方式提供移動金融服務時,原則上應使用基於安全芯片的賬戶介質(包括SIM 卡、SD 卡、全終端手機等各種形態的SE,統稱為移動金融IC 卡),並符合中國金融IC 卡、銀行卡受理等金融領域的相關標準。 監管層專家表示,應當注意的是,如果銀行是和電信運營商、手機廠商合作開展移動金融服務時,《指導意見》指出銀行有責任要求運營商、手機廠商的產品符合金融標準。“原先的SIM 卡是通信標準,安全級別較低,但如果加載了金融賬戶,就是一個金融IC 卡了,就要符合金融的安全標準。”《指導意見》還提出,自2016年1月1日起,各商業銀行和銀行卡清算機構開展移動金融服務所採用的TSM、SE、嵌入式應用軟件等軟硬件產品,原則上應符合相關標準,並通過“移動金融技術服務”認證。相關認證機構名錄可以通過國家認證認可管理部門網站查詢。 監管層專家認為,《指導意見》主要是把之前總結的一些內容明確提出來了,給銀行指出一個健康的大方向,按照這個方向去做,是符合國家的發展方向的。在滿足必要條件前提下,鼓勵銀行大膽創新。 “現在銀行普遍困惑在於,希望創新但不知道怎麼創新是安全、符合標準的,《指導意見》也是讓銀行未來的發展有跡可循;同時《指導意見》有利於加快移動金融在公共服務、電子商務等領域的廣泛應用,有效滿足社會大對安全便捷金融服務的需求。”監管層專 家表示。 一位銀聯人士認為,央行先對銀行下發了《指導意見》,隨後應該會有針對非金融機構的類似文件出來,否則會造成不公平監管。“銀行監管本身已經很嚴格了,如果和非金融機構(比如支付寶、微信)監管不一致,會導致逆向激勵。”“一定要儘快出台針對非金融機構的文件,否則這種移動金融方案反而使得銀行在支付寶等面前更弱勢。”一位大行電子銀行部人士表示。 | ||||||