淺談金融科技的信息技術(shù)安全三個重要體系的建設(shè)

伍旭川++劉學(xué)

隨著金融科技的快速發(fā)展，其規(guī)模和交易量的不斷上升，對金融科技的信息技術(shù)安全提出了更高的要求和標準。當(dāng)前，金融科技發(fā)展面臨著網(wǎng)絡(luò)安全、平臺安全和信息與數(shù)據(jù)安全等多種信息技術(shù)安全風(fēng)險隱患，一旦發(fā)生安全風(fēng)險，不但威脅到用戶的利益，也會給金融科技企業(yè)本身帶來巨大的損失，破壞整個行業(yè)的發(fā)展，甚至還會帶來系統(tǒng)性金融風(fēng)險。因此，需要高度關(guān)注金融科技的信息技術(shù)安全風(fēng)險，在社會各參與主體共同的努力下，建設(shè)金融科技的信息技術(shù)安全體系。

一、構(gòu)建金融科技信息技術(shù)安全制度體系

（一）建立與完善金融科技監(jiān)管的法律法規(guī)

首先，要完善金融科技法律法規(guī)，搭建起金融科技的法律體系。這需要制定金融科技信息安全行業(yè)標準，提高金融科技企業(yè)的安全準入門檻，同時還要明確金融科技企業(yè)的法律地位、金融監(jiān)管部門以及政府的監(jiān)管職責(zé)、金融科技行業(yè)的準入和退出機制。

其次，要構(gòu)建包含一行三會、司法和稅務(wù)等多部門的多層次、跨行業(yè)、跨區(qū)域的金融科技監(jiān)管體系。

另外最后，還要提升金融科技消費者權(quán)益保護力度，逐步完善金融科技消費者權(quán)益保護的法律制度框架。這需要加強信用環(huán)境建設(shè)，完善信息披露制度，暢通金融科技消費的投訴受理渠道，建立消費者保護的協(xié)調(diào)合作機制。

（二）加強金融科技信息安全技術(shù)體系建設(shè)

加強金融科技信息安全技術(shù)體系建設(shè)，在核心軟硬件上去除對國外產(chǎn)品的依賴，開發(fā)具有高度自主知識產(chǎn)權(quán)的核心技術(shù)，使在金融科技的關(guān)鍵領(lǐng)域和關(guān)鍵環(huán)節(jié)使用國產(chǎn)化軟硬件設(shè)備，提升金融科技行業(yè)的信息安全風(fēng)險防范能力。

另外，還要加大對信息安全技術(shù)的投入，以信息安全等級保護為基礎(chǔ)，建立基于云計算和大數(shù)據(jù)的標準體系，從整個信息系統(tǒng)生命周期來實現(xiàn)金融科技長期有效的安全保障。

（三）建設(shè)金融科技信息安全風(fēng)險評估應(yīng)急體系

針對當(dāng)前金融科技的發(fā)展特點，借鑒考國際先進風(fēng)險評估規(guī)范的經(jīng)驗做法，建設(shè)金融科技安全風(fēng)險評估應(yīng)急體系。，以風(fēng)險管理的視角分析金融科技信息安全系統(tǒng)所存在的漏洞、威脅及脆弱性，評估發(fā)生信息安全事件時可能造成的危害，并提出整改措施和相應(yīng)對策，提升金融科技信息安全風(fēng)險的防范與應(yīng)對能力。高度重視并持續(xù)推進金融科技的系統(tǒng)災(zāi)備和應(yīng)急體系建設(shè)，應(yīng)急演練常態(tài)化，建立第三方評估機制，從而保障金融科技的信息安全。

二、

構(gòu)建金融科技信息技術(shù)安全風(fēng)險防范與內(nèi)控體系

（一）提升金融科技的信息安全風(fēng)險防范與應(yīng)對能力

首先，金融科技企業(yè)要重視并提升終端設(shè)備的信息安全風(fēng)險防范能力與應(yīng)對能力，減少對國外先進技術(shù)的依賴，盡可能地使用國產(chǎn)的軟硬件產(chǎn)品，要把科技的發(fā)展作為風(fēng)險管理的重要手段，努力建立網(wǎng)絡(luò)安全防護體系，降低安全隱患。

其次，要提升金融業(yè)務(wù)交易環(huán)節(jié)的安全風(fēng)險防范能力，要在業(yè)務(wù)交易環(huán)節(jié)，主要包括交易平臺的登錄和支付兩大重要環(huán)節(jié)，提供足夠的安全保障。

另外最后，還要提升數(shù)據(jù)傳輸中的信息安全風(fēng)險防范能力。數(shù)據(jù)的傳輸環(huán)節(jié)也是黑客的攻擊重要目標，因此需要引入電子認證技術(shù)等多種措施提升數(shù)據(jù)在傳輸過程中的信息安全性。

（二）加強內(nèi)部控制體系建設(shè)

首先，要提高管理人員的風(fēng)險意識和管理水平。金融科技企業(yè)要高度重視內(nèi)部控制體系對提高風(fēng)險防范能力的重要性，要建立一套完整的內(nèi)部控制管理制度體系，提高管理人員的風(fēng)險意識、內(nèi)部監(jiān)督管理水平和風(fēng)險管理能力。

其次，金融科技企業(yè)要對金融交易進行監(jiān)測?？梢圆捎么髷?shù)據(jù)技術(shù)對平臺上的金融交易行為進行全方位實時監(jiān)測與分析，以防止出現(xiàn)金融科技的監(jiān)管漏洞，并對交易進行整體評估，確定其風(fēng)險狀況和必要的預(yù)警。

另外最后，金融科技企業(yè)的內(nèi)部控制體系還要配合監(jiān)管部門的統(tǒng)計監(jiān)測和風(fēng)險評估。由于監(jiān)管部門應(yīng)對重視金融科技風(fēng)險也比較重視，也會根據(jù)金融風(fēng)險防范的需要，制定金融科技風(fēng)險的監(jiān)控標準（包括確定數(shù)據(jù)類別、定義監(jiān)控指標、劃分統(tǒng)計范圍、確定監(jiān)控頻率等）并建立相應(yīng)的風(fēng)險評估機制，金融科技企業(yè)要配合好監(jiān)管部門的這些相應(yīng)工作，以有利于金融科技發(fā)展的整體安全環(huán)境的創(chuàng)造。

（三）通過新技術(shù)與新業(yè)務(wù)來提高金融科技信息安全風(fēng)險的防范能力

第一首先，加強新興技術(shù)在金融科技信息安全風(fēng)險防范中的應(yīng)用。隨著新興技術(shù)的不斷發(fā)展和升級換代，金融科技企業(yè)要積極采用先進的信息技術(shù)軟硬件設(shè)施來提升平臺的安全性，甚至還可以積極創(chuàng)造條件開發(fā)擁有自主知識產(chǎn)權(quán)的信息技術(shù)設(shè)施，開發(fā)新型認證設(shè)備，提高金融科技系統(tǒng)的安全防御能力，保證終端平臺的認證安全。

第二其次，還可以創(chuàng)新保險產(chǎn)品在信息安全風(fēng)險防范中的新應(yīng)用，通過引入保險產(chǎn)品來降低安性風(fēng)險帶來的損失。比如，可以購買安全與隱私保護綜合保險、網(wǎng)絡(luò)安全險等。由于這類保險承保標的主要是企業(yè)內(nèi)部存有的機密商業(yè)信息、客戶信息和雇員個人信息等，針對各種原因引起的數(shù)據(jù)丟失、網(wǎng)絡(luò)被加插惡意軟件、網(wǎng)絡(luò)盜竊與網(wǎng)絡(luò)敲詐、企業(yè)或客戶信息泄露等風(fēng)險事件做出理賠，可以激勵企業(yè)加強信息保護方面的力度，有效協(xié)助客戶減輕安全和隱私侵犯導(dǎo)致的負面效應(yīng)和市場不利影響，從而有利于降低企業(yè)在發(fā)生安全風(fēng)險事件后所帶來的經(jīng)濟損失。

三、

構(gòu)建金融科技信息技術(shù)安全的消費者保護體系

（一）加大對投資者的風(fēng)險宣傳和消費者保護的力度

由于投資者缺乏專業(yè)的金融知識和金融科技風(fēng)險意識，需要加大對投資者的風(fēng)險宣傳力度，建立消費者權(quán)益保護機制。

首先，金融科技企業(yè)要加大加強信息的披露，要在交易時向投資者進行足夠的風(fēng)險提示，確保交易安全、信息安全和投訴渠道暢通。

其次，金融科技企業(yè)不能過度營銷高收益產(chǎn)品，甚至還要對投資者的風(fēng)險偏好和風(fēng)險承擔(dān)能力進行足夠的了解，實事求是地向投資者說明金融科技產(chǎn)品可能面臨的所有風(fēng)險，讓投資者自主決策自己的投資行為。

另外最后，要引導(dǎo)投資者提高風(fēng)險意識、養(yǎng)成良好的網(wǎng)絡(luò)使用習(xí)慣，比如在使用金融科技服務(wù)時，應(yīng)加強自身風(fēng)險防范意識，注意保護個人隱私。

（二）加強用戶信息安全教育

用戶的信息以及由此帶來的長尾效應(yīng)和對用戶數(shù)據(jù)進行有效的挖掘和分析，這是金融科技實現(xiàn)快速發(fā)展的重要基礎(chǔ)。加強對用戶的信息安全教育，這本身不只是對投資者的保護，也是對金融科技發(fā)展的市場環(huán)境的保護。金融科技企業(yè)要高度重視對用戶的信息安全教育，以及該項工作的重要性，對于用戶的信息安全意識普及和教育除了依靠社會資源外，更重要的是要把信息安全的宣傳普及工作融入到產(chǎn)品的設(shè)計當(dāng)中，系統(tǒng)性地考慮對用戶的金融風(fēng)險提示與信息安全教育，使用戶在使用金融科技產(chǎn)品的過程中不自覺地培養(yǎng)出重視信息安全的習(xí)慣。比如，在用戶設(shè)置支付密碼時，要推薦并引導(dǎo)用戶使用復(fù)雜度足夠的且不容易被盜取的支付密碼，并在交易產(chǎn)品各個環(huán)節(jié)都要提醒用戶加強自身的隱私保護等，使用戶信息安全教育融入到產(chǎn)品的交易之中，從而有效提升客戶的安全意識。

（三）通過法律與自律保護用戶的隱私與數(shù)據(jù)

客戶的隱私保護，需要從法律、行業(yè)、企業(yè)三個方面共同努力。

首先，完善的法律是保護客戶隱私的根本，行業(yè)與企業(yè)的自我約束是必要條件，要充分結(jié)合法律和行業(yè)自律機制來保護用戶的隱私和數(shù)據(jù)。

其次，盡管我國當(dāng)前還沒有出臺特別細致的金融科技客戶隱私保護法律，但消費者權(quán)益保護、計算機安全及網(wǎng)絡(luò)犯罪相關(guān)的法律條文或管理辦法做了原則上的規(guī)范與限制，這就要求金融科技企業(yè)嚴格遵守這些法律法規(guī)的相關(guān)條款，保護好用戶的隱私和數(shù)據(jù)。另外

最后，金融科技企業(yè)要做好自律，嚴格遵循信息安全的基本規(guī)則進行數(shù)據(jù)存儲和分析，將客戶的隱私視為企業(yè)信用的核心加以保護。

總之，金融科技的信息技術(shù)安全需要政府、企業(yè)和社會等各方的共同參與和共同努力，積極采用法律、法規(guī)、技術(shù)和教育等多重手段措施，共同建立一個安全的金融科技生態(tài)環(huán)境，推動我國金融科技的健康持續(xù)發(fā)展。

作者單位： 中國人民銀行金融研究所

責(zé)任編輯：鹿寧寧 劉穎 伍旭川

中國人民銀行金融研究所互聯(lián)網(wǎng)金融研究中心 劉 學(xué)