查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《金融法苑》
互联网金融的网络信息安全风险及其监管研究
【作者】 丁道勤【作者单位】 中国政法大学
【分类】 金融法【期刊年份】 2014年
【期号】 2【总期号】 总第八十九辑
【页码】 75
【全文】法宝引证码CLI.A.1194738    
  
  当前,互联网正以前所未有的发展态势对我国经济社会各个领域、各个行业产生深刻而长远的影响,互联网金融就是其中重要的领域。在2013年,中国互联网金融获得了爆炸式增长。另外,互联网金融的高速发展,也使其正面临日益严峻的网络信息安全风险问题。例如,2013年3月,谷歌抓取到支付宝转账信息及个人敏感信息,并开始在网上大量传播。事后支付宝发表声明称,其系统确实存在类似漏洞,但是泄露信息不含真实姓名、密码等重要隐私。[1]无独有偶,2014年3月22日晚,国内知名漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息,指出携程安全支付日志可遍历(Traversa)下载,导致大量用户的银行卡信息泄露(包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin)。[2]网络信息安全是保障互联网金融创新发展的基础,特别是随着互联网金融的规模和影响逐渐扩大,迫切需要研究解决互联网金融的网络信息安全风险防范及监管问题。
  一、互联网金融网络信息安全风险的主要表现
  互联网金融是利用固定互联网、移动互联网、金融系统内网等信息通信技术为客户提供服务的新型金融业务模式,其一方面包括传统金融机构利用互联网技术开展的金融业务,如传统金融机构利用互联网进行金融产品的销售;另一方面也包括互联网企业利用固定互联网、移动互联网、金融系统内网等信息通信技术开展的金融业务,如P2P网贷、众筹、第三方支付及大数据金融等业务。可以说,无论是“金融的互联网”,还是“互联网的金融”,都离不开互联网等关键信息技术的运用,而这些关键信息技术本身都存在一定的网络信息安全风险,特别是在云计算、大数据的趋势下,借助互联网平台、电商平台营销,与互联网业务进行深度融合,并通过电子支付手段将线上与线下交易场景进行融合,加上移动智能终端的自主式、互助式服务方式的形成这些变化,无疑将互联网金融网络信息安全风险不断放大。
  互联网金融的关键信息技术主要包括支付技术、大数据技术、信用安全技术三大类。支付技术包括PC桌面支付和移动支付。大数据技术主要为大数据的挖掘技术及云计算的数据储存、生产和处理技术,包括社交网络、搜索引擎、电子商务及云计算。信用安全技术包括身份认证或识别技术、数字签名技术等。
  从类型上来看,互联网金融的关键信息技术主要引发三大类风险。
  (一)互联网整体系统安全风险
  互联网整体系统安全风险又可分为三个方面,即互联网系统漏洞和隐患、客户端安全风险、数据过于集中风险。
  1.互联网系统漏洞和隐患。主要表现为部分业务系统存在被从互联网人侵和控制的风险。例如,本文开头所列携程“漏洞门”事件就是典型的系统漏洞安全风险。再如,2013年4月8日,丰达财富P2P 网贷平台遭黑客持续攻击,网站瘫痪5分钟;同年7月6日,“中财在线”自主开发的系统遭遇黑客攻击,导致用户数据泄露,此外,温州的几家P2P网站也受到过不同程度的攻击。[3]
  2.客户端风险。主要表现为在PC和移动客户端可能存在木马[4]、病毒、恶意第三方插件等安全风险,特别是移动终端的开放性,导致其更容易受到网络攻击。如何在存储资源和处理能力有限的移动终端实现安全而高效的风险管理,值得关注。例如,近年来不法分子就曾利用安卓系统权限设计体系的漏洞,进行钓鱼攻击[5],植入恶意程序,控制用户移动客户端,进而盗刷用户银行卡。再如,2013年9月,网银变种木马病毒“弼马温”通过伪装隐藏在播放器中,通过自动更新配置获利账号,在用户毫无感知的情况下,对网银支付或充值行为进行劫持。
  3.数据过于集中风险。主要为互联网金融所采用的大数据,存在海量数据处理、保存、安全防护、管理等带来的数据过于集中的系统风险。复杂多样的海量数据集中存储,能够方便数据的分析、处理,但风险和隐患巨大,如果安全管理不当,一旦运行运转,稍有不慎,很容易出现系统不稳定、服务器故障等问题,产生数据泄露、混乱、丢失或损坏,甚至会带来全国性的金融混乱。
  (二)网络身份认证安全风险
  主要表现为网络身份认证或识别、数字签名等方面的安全风险。网络身份认证和信任体系建设是互联网金融健康快速发展的核心。用户能够被远程识别、确认,是互联网金融得以发展和创新的重要步骤。但在互联网金融模式下,因为搜索引擎、大数据、社交网络和云计算的运用,在缺乏有效的网络身份认证和信任体系下,使得网络攻击者可以通过相关的网络渗透技术,更加隐蔽、低成本地实施金融违法犯罪行为。例如,P2P网贷平台在方便民众的同时,由于借款方的信息不透明,同时缺少第三方的机构对借款人进行测评、评估,容易出现信用卡套现,甚至洗钱交易,而且更加隐蔽,很难发现。谨防骗子
  (三)个人信息安全保护风险
  主要表现为网络保存、流转的用户个人金融信息(交易记录、银行卡信息)可能存在的泄露、滥用等风险,以及进而带来的用户资金安全风险。信息不对称也是金融领域面临的两大固有风险之一。以大数据为核心资源的互联网金融通过对数据的挖掘、加工和处理分析,可掌握客户的偏好、信用情况等信息,为客户提供针对性、多样化的服务与产品,在一定程度上缓解信息不对称问题。但是,大数据因为拥有庞大的数据库,一旦数据遭到窃取、泄露、非法篡改,加上云计算技术的放大,将对个人隐私、客户权益、数据安全构成严重威胁。例如,在现实生活中,很多用户在登录不同网站时为了图方便好记,往往喜欢用统一的用户名和密码,这给犯罪嫌疑人可乘之机,他们惯常采取“拖库”、“撞库”和“扫号”等黑客手段,获取用户注册名和密码数据,并与网络银行、支付宝、淘宝等有价值的网站进行匹配登录,再批量验证有价值的账号密码,窃取用户账户的资金。[6]
  从互联网金融的网络信息安全属性来看,后两方面的网络身份认证和个人信息保护安全风险是与其金融特性相关的特有的信息安全风险,尤其值得重点关注和优先解决。
  二、我国互联网金融网络信息安全风险监管现状及问题
  当前,针对上述互联网金融的关键信息技术所引发的三大类风险,我国已出台了相应的监管法律法规,初步建立起互联网金融网络安全风险监管体系,极大地保障了互联网金融的网络信息安全。
  (一)监管法律法规现状
  1.一般性的网络信息安全管理法律法规。据不完全统计,截至目前,我国颁布、施行的有关网络信息安全管理方面的各种文件与法规共有一百多件。按法律效力层级统计,法律有十多件[7],行政法规有二十多件[8],部门规章有四十多件[9],地方性法规有五十多件,规范性文件有二十多件。[10]按涉及的领域统计,有关网络系统安全保障方面的有十多件,有关信息安全管理方面的有七十多件。
  上述一般性的网络信息安全法律法规及部门规章设定了网络和信息系统分类管理制度、网络信息分类管理制度、网络信息安全保护责任制度及网络信息安全监管体制等一系列重要的规范和制度,初步形成了我国网络信息安全管理的法律法规体系,极大地促进了我国网络信息安全有序发展,对互联网金融一般性的信息安全风险也有极大的规范意义。但是,缺乏针对互联网金融网络信息安全专门性的法律规范,例如,在市场准入方面没有明确的准入管理制度,互联网金融没有任何准入门槛,导致互联网金融企业良莠不齐,市场不够规范。目前《电信业务分类目录》尚未包括移动支付业务,因此,工信部尚未将第三方支付运营商纳入监管。
  2.网络身份认证安全管理法律法规。网络身份认证安全管理的基础性规范主要包括《中华人民共和国电子签名法》、《国务院办公厅转发国家网络与信息安全协调小组〈关于网络信任体系建设的若干意见〉的通知》、《征信业管理条例》,以及工业和信息化部颁布的《电话用户真实身份信息登记规定》等。
  针对非金融机构(第三方支付)、网上银行、互联网证券基金、互联网保险、小额贷款、比特币等众多互联网金融业务,我国金融监管部门已陆续出台了一些业务层面监管的部门规章及规范性文件[11],其中也有涉及网络身份认证方面的内容。
  这些法律法规特别是金融监管机构的监管法规仅是笼统要求“支付机构应当

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买不能给市场做人工呼吸;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1194738      关注法宝动态:  

法宝联想
【共引文献】
【作者其他文献】
【引用法规】

热门视频更多