每经记者 李玉雯 每经编辑 姚祥云
7月7日,在上海新金融研究院(SFI)主办的第五届金融科技外滩峰会上,中国互联网金融协会会长李东荣指出,在当前全球进入新一轮科技革命和产业变革的大背景下,中国特色社会主义已经进入了新时代,社会的主要矛盾发生转化,经济发展阶段已经转变。这对金融服务实体经济,防控金融风险,深化金融改革,提出了更新、更高的要求。
东荣指出,在这样一个时代背景下,金融科技作为科技驱动的金融创新,给金融功能实现形式、金融市场组织模式、金融服务的供给方式,带来了潜移默化的影响,为经济、金融发展注入了新活力,为解决金融发展不平衡、不充分的问题提供了新的手段。 但随着大数据、云计算、人工智能、区块链等数字技术在金融领域应用的不断深入,金融科技在业务、技术、网络、数据等方面,正面临着一些风险和安全挑战。需要业界、学界清醒认识,高度重视。
李东荣认为,金融科技的发展,尚处于一个不断探索和逐步成熟的过程中。金融科技的现状仍面临着许多安全挑战。而对于这些安全挑战,他从四个方面进行了关注分析:
首先,在业务安全方面。随着经济社会发展和科技进步,金融业的分工日趋专业化、精细化,金融产业链和价值链被拉伸。在数字化、移动化、实时化的背景下,金融机构账户、渠道、数据、基础设施等方面的关联性不断增强,业务连续性的管理难度增大。有的机构安全意识薄弱,为单方面追求极致客户体验,以牺牲资金和交易安全为代价,过度简化必要的业务流程和管控环节,从而隐藏了较大的业务安全隐患。还有的机构假借复杂技术对金融产品进行过度包装,刻意模糊业务本质,并没有真正落实好投资者适当性管理的要求和风险提示责任,把一些不成熟、不可靠的金融产品卖给缺乏相应风险承受能力的消费者。这是需要我们高度重视的。
其次,在技术安全方面,也发现有的机构在未经过严密测试和风险评估的情况下,盲目地追求所谓颠覆式技术,拔苗助长,急于求成,导致技术选型错位、资源浪费,安全事件频发等问题。特别是对部分尚处于发展初期的新兴技术,通过舆论和资本的过度炒作,可能会令它们沦为市场操纵、投机、诈骗的工具。实践表明,一些号称技术和数据驱动的所谓金融创新,实质上是利用制度规则相对滞后,游走在法律和监管的灰色地带。
再次,在网络安全方面。当前,网络安全形势异常复杂严峻,常规攻击持续演变,分布式拒绝服务,高级持续性威胁等攻击手段不断翻新,有组织、有大规模的网络攻击,时有发生。这给金融网络安全防护能力提出了更高的挑战和更多的挑战。特别需要注意的是,金融科技在推动基础设施和金融服务线上化、开放化的同时,也增加了网络安全隐患。在传统的通信环境下,过去金融风险如果发生,往往只是局限于某个营业场所或某个区域,但现在,通过网络,特别是在移动网络的条件下,有可能牵一发动全身,将风险因素迅速传染至其他的机构和关联行业,乃至整个地区,甚至可能引发系统性风险。
最后,在数据安全方面。随着电子商务条件下购物、支付、理财等网络金融系统的不断丰富,一些机构也积累了海量的客户行为数据和交易数据,但因其信息系统管理水平和应对网络攻击能力未能同步跟上,其数据安全保卫能力存在不足,存在数据被集中泄露的风险。此外,由于网络数据复制的无限性和低成本以及数字二次利用和传递的隐蔽性,金融科技领域数据过度采集、数据倒卖、一次授权、重复使用的违法违规行为屡见不鲜。”
在金融科技安全方面,应该如何解决上述的这些问题呢?对此,李东荣提出应从四个方面解决金融科技安全问题:
“一是要牢固树立安全发展理念。我们要清醒地看到,金融科技没有改变金融的功能属性和风险属性,金融的内在脆弱性,风险的负外部性和网络的强涉众性,决定了保障安全永远是金融科技发展的生命线。从业机构更应该把金融科技安全放在更重要、更优先的位置上,在做好全面风险管理和安全保障的前提下,稳妥、审慎地推进金融科技创新,坚定不移地走安全发展之路。同时,也要避免走极端。我们应该认识到,安全是相对的,不是绝对的。我们也不能因为追求所谓绝对安全,在促进发展、提升效率方面缩手缩脚、停滞不前,而是应该通过建立试错、容错机制,开展测试、验证等手段,来丰富我们的安全管理,促进安全和发展在更高水平上实现动态平衡。
二是切实加强安全制度建设。加强金融科技的安全保障,不单是个技术问题,更多是个制度安排问题。从业机构应该深入地学习贯彻国家网络安全与信息化发展战略,严格遵守《网络安全法》等相关法律规定,真正落实好国家信息安全等级保护、技术安全外包、数据治理等具体制度要求。我们应该严格实施数字技术在金融业应用的安全指南和标准规范,建立健全覆盖业务、网络、技术、数据等各个领域、各个环节的安全管理制度体系。我们应该通过绩效考核、测评认证、审计等手段,全面提升制度的执行力和约束力,推动实现业务风险可控、网络高效可用、技术稳定可信、数据安全可靠。
三是扎实做好安全技术防护。所谓“患生于所忽,祸起于细微”。从业机构在安全问题上,必须保持耳聪目明,应通过建立完善全方位的安全态势感知和预警平台,加强探视信息及时共享,提升网络安全保护能力和水平,应该建立完善覆盖信息系统全生命周期的安全管理机制,有效提升防攻击、防篡改、防泄露能力,研究推进数据资源分类分级工作,明确安全策略,权限要求和管理责任。综合应用多因素认证、边界防护、数据脱敏等手段,切实地放缓重要数据被泄露、被篡改、被丢失和非授权访问等风险。
四是要紧密结合金融业务需求。金融科技是金融与科技的深度融合,它不能离开金融的场景和业务需求去空谈技术先进性和安全性,从业机构应该围绕实体经济金融需求和传统金融服务所暴露出来的短板,审慎地选择相对稳定成熟、与业务发展契合度较高的数字技术,明确与相关合作方的责任划分管理要求,科学制定实施技术应用时间表、路线图、任务书,有计划、有步骤、有重点地推进金融科技创新,避免“拿着锤子找钉子”的应用误区。”
(实习生谢婧对本文亦有贡献)
1本文为《每日经济新闻》原创作品。
2 未经《每日经济新闻》授权,不得以任何方式加以使用,包括但不限于转载、摘编、复制或建立镜像等,违者必究。