作者:中國人民銀行科技司司長 李偉
隨著移動互聯網、大數據、人工智能等技術的蓬勃發(fā)展,信息科技逐步從支撐支付業(yè)務向引領方向轉變,有效提升了支付服務效率,滿足了公眾多樣化的支付需求。與此同時,支付風險隱患相伴而生,特別是近期電信網絡欺詐引發(fā)的支付安全問題日益突出,危害了人民群眾生命財產安全。人民銀行認真貫徹落實黨中央、國務院決策部署,積極與相關部門通力協作,多措并舉,全面加強支付安全管理,著力提升電信網絡欺詐風險防范能力。
綜合施策,筑牢支付安全管理制度防線
在技術管理方面,人民銀行印發(fā)《關于進一步加強銀行卡風險管理的通知》(銀發(fā)〔2016〕170號),從遏制信息泄露源頭和防范風險傳導入手,建立線上線下支付交易一體化的安全防范體系。一是加強支付敏感信息全生命周期安全管理,強化交易密碼保護機制,定期開展內部審計和外部安全評估,有效防范敏感信息泄露。二是嚴格手機客戶端軟件安全管理,提升線上支付業(yè)務開通身份認證和交易驗證強度,借助信息化手段加強異常交易分析,全面提高線上交易風險防控水平。三是加快金融IC卡應用推廣進度,加強銀行卡磁條交易風險控制,落實偽卡欺詐風險責任轉移規(guī)則,凈化銀行卡使用環(huán)境,切實防范線下偽卡欺詐交易風險。
在業(yè)務管理方面,人民銀行印發(fā)《關于加強支付結算管理防范電信網絡新型違法犯罪有關事項的通知》(銀發(fā)〔2016〕261號),從強化賬戶管理和阻斷資金轉移通道著手,構筑治理電信網絡欺詐的支付結算防線。一是嚴格落實賬戶實名制,加強單位開戶、異常個人開戶的審慎核實,打壓買賣賬戶和假冒開戶的違規(guī)行為。二是采取延遲到賬、限時撤銷、交易背景調查等措施加強轉賬管理,健全涉案賬戶緊急止付和快速凍結機制,及時攔截可疑資金轉移。三是加大對無證機構的打擊力度,加強商戶黑名單管理,建立非法從事支付結算的懲戒機制,鏟除電信網絡詐騙的滋生土壤。
狠抓落實,切實保障人民群眾的信息和資金安全
以上制度安排既有利于加強支付安全管理,更有助于治理電信網絡詐騙,相關規(guī)定能否發(fā)揮更大作用,關鍵是要狠抓落實。
一是強化受理終端安全管理。針對受理終端非法改裝、磁道信息側錄、二維碼支付風險等問題,應綜合運用大數據分析和密碼識別技術,建立受理終端事前入網身份識別、事中交易數據校驗、事后風險防范多層次的管理機制。在入網環(huán)節(jié),將終端序列號和密鑰預置于安全模塊中,結合受理終端注冊管理機制,從源頭保障終端合法性。在交易環(huán)節(jié),利用大數據分析和交易行為建模,逐筆校驗海量跨機構交易報文與終端注冊記錄的一致性,有效甄別移機、切機、二清、套碼等違規(guī)行為。在風控環(huán)節(jié),健全風險信息共享機制,提高欺詐交易追溯效率,對異常交易及時采取調查核實、風險提示、延遲結算、拒絕服務等措施,配合公安部、工信部等部門做好電信網絡欺詐防范工作。
二是持續(xù)加固業(yè)務系統(tǒng)安全。針對拖庫、撞庫等攻擊方式造成的敏感信息泄露,各商業(yè)銀行、非銀行支付機構及電商企業(yè)應全面摸底影響支付敏感信息保護、業(yè)務連續(xù)性、交易安全強度等方面的薄弱環(huán)節(jié),將排查工作制度化、常態(tài)化,對發(fā)現的風險實施清單管控,及時采取措施排除隱患,控制線上線下交易風險傳導。不斷提升業(yè)務系統(tǒng)網絡安全能力,加強DDos等網絡攻擊的風險防控,綜合利用IP地址、瀏覽器緩存等識別異常交易,形成制度健全、指標量化、反應敏捷的業(yè)務系統(tǒng)動態(tài)監(jiān)控體系,持續(xù)做好風險監(jiān)測預警,主動采取補救、加固措施。
三是打造可信手機支付執(zhí)行環(huán)境。針對手機木馬病毒、虛假短信、偽基站等欺詐手段,鼓勵手機廠商綜合運用SE、TEE等新技術提供硬件級安全保護,提升支付敏感信息防護能力和支付交易安全強度。商業(yè)銀行、非銀行支付機構應從木馬病毒防范、信息加密保護、運行環(huán)境監(jiān)測等方面提升客戶端軟件安全防控能力,定期開展外部安全評估,確保其符合國家及金融行業(yè)標準。設置客戶端軟件可信標識,并通過多種渠道告知客戶正確地識別和訪問方法,有效防范釣魚欺詐。
四是嚴格規(guī)范跨機構支付接口。針對非銀行支付機構與銀行多頭連接、篡改或隱匿交易信息等問題,應嚴格執(zhí)行《網絡支付報文結構及要素技術規(guī)范》(銀發(fā)〔2016〕222號印發(fā)),統(tǒng)一使用金融機構編碼,采用數字簽名、加密傳輸等措施,從收付款方、商戶、渠道、訂單等方面完整刻畫真實交易,確保支付指令的完整性和真實性。準確記錄備付金、網絡路由等信息,采用唯一交易流水號和交易終端編碼,保障資金的可追溯性和支付指令的一致性。采用支付標記替代支付賬戶、銀行卡號等敏感信息,從源頭控制信息泄露和欺詐交易風險。
五是加快推進賬戶分類管理。針對賬戶買賣、冒名開戶和虛構代理關系開戶等突出問題,商業(yè)銀行、非銀行支付機構應認真落實賬戶開立、使用、變更、撤銷等環(huán)節(jié)的制度規(guī)定,科學合理開展客戶風險評級,審慎確定賬戶功能、支付渠道和支付限額,實施動態(tài)分類管理。細化賬戶業(yè)務規(guī)程和身份信息核驗方式,強化內部管理,切實保障賬戶分類管理制度的貫徹落實,引導客戶運用賬戶分類機制合理存放和使用資金,避免財產損失。
