中國的移動支付具有巨大的潛力。技術(shù)創(chuàng)新也在不斷涌現(xiàn)。近期,央行發(fā)布了《關(guān)于推動移動金融技術(shù)創(chuàng)新健康發(fā)展的指導(dǎo)意見》(下稱《指導(dǎo)意見》),提升移動金融安全可控能力,促進移動金融技術(shù)創(chuàng)新健康發(fā)展,切實發(fā)揮移動金融普惠民生的作用。
一位監(jiān)管層專家向財新記者介紹了《指導(dǎo)意見》的出臺背景:“銀行業(yè)、互聯(lián)網(wǎng)企業(yè)、移動商都在開展移動金融業(yè)務(wù),但相同的業(yè)務(wù)做法各有特點、各有風(fēng)險。因此業(yè)內(nèi)有一個呼聲,希望央行牽頭做一個指導(dǎo)意見,制定一個業(yè)務(wù)流程標(biāo)準(zhǔn),從而有利于業(yè)內(nèi)分享經(jīng)驗和風(fēng)險控制。”
《指導(dǎo)意見》提出了推動移動金融技術(shù)創(chuàng)新健康發(fā)展的保障措施,指導(dǎo)商業(yè)銀行和銀行卡清算機構(gòu)積極落實國家網(wǎng)絡(luò)安全和信息技術(shù)安全有關(guān)政策,優(yōu)先采用自主可控的產(chǎn)品及密碼算法,加強移動金融賬戶介質(zhì)標(biāo)準(zhǔn)符合性管理,增強移動金融安全可控能力,有效保障移動金融應(yīng)用流程的安全性;指出要加快構(gòu)建安全可信基礎(chǔ)環(huán)境,發(fā)揮檢測認證的質(zhì)量保障作用,推動標(biāo)準(zhǔn)落地實施,切實保障客戶資金和信息安全。
“這份文件對銀行的改造成本要求并不高。”上述監(jiān)管層專家表示。
有央行人士表示,《指導(dǎo)意見》目前包含銀行業(yè)金融機構(gòu)和銀聯(lián),將來會納入支付寶與微信支付等。
一位監(jiān)管層人士對財新記者透露,針對非金融機構(gòu)的移動金融文件目前正在征求意見,不久也會推出,兩個文件是配套的。
遵循原則
《指導(dǎo)意見》發(fā)布目的是:進一步貫徹落實《國務(wù)院關(guān)于促進信息消費擴大內(nèi)需的若干意見》和《國務(wù)院辦公廳轉(zhuǎn)發(fā)密碼局等部門關(guān)于金融領(lǐng)域密碼應(yīng)用指導(dǎo)意見的通知》有關(guān)精神,明確了移動金融技術(shù)創(chuàng)新健康發(fā)展的方向性原則。
第一是遵循安全可控原則。移動金融技術(shù)創(chuàng)新應(yīng)以安全可信和風(fēng)險可控為底線,遵循金融及密碼領(lǐng)域的相關(guān)技術(shù)標(biāo)準(zhǔn),發(fā)揮檢測認證的質(zhì)量保障作用,切實維護客戶資金和信息安全,保護金融消費者合法權(quán)益。
第二是秉承便民利民理念。移動金融技術(shù)創(chuàng)新應(yīng)以服務(wù)民生為出發(fā)點,采用安全可控技術(shù)有效擴大金融服務(wù)覆蓋范圍,特別是填補農(nóng)村及偏遠地區(qū)金融服務(wù)空白,讓社會公眾享受到移動金融的普遍性、安全性和便利性。
第三是堅持集成創(chuàng)新發(fā)展。移動金融是金融IC卡應(yīng)用的繼承和創(chuàng)新。移動金融技術(shù)創(chuàng)新應(yīng)堅持集成式發(fā)展,最大限度使用現(xiàn)有金融IC卡技術(shù)基礎(chǔ)設(shè)施,減少重復(fù)建設(shè),實現(xiàn)集約化發(fā)展和規(guī)?;瘧?yīng)用。
關(guān)于如何理解該條中提到的“減少重復(fù)建設(shè)”,監(jiān)管層專家表示,是指線下POS機、ATM機等基礎(chǔ)設(shè)施。“重復(fù)建設(shè)”并不是指不同金融機構(gòu)重復(fù)布設(shè)機具,而是指同一臺機具要盡可能兼容現(xiàn)在所有的銀行卡,并且應(yīng)當(dāng)支持金融IC卡和NFC支付。
“不能一臺POS機只能刷卡,另一臺POS機只能刷手機。”監(jiān)管層專家表示,這是從節(jié)約成本的角度出發(fā)。在新設(shè)計的POS機中,盡量做到兼容性強,讓金融IC卡能用,手機也能用,否則改造舊的POS機要增加很多人力物力成本。
第四是注重服務(wù)融合發(fā)展。移動金融是金融服務(wù)在信息化、移動化環(huán)境下的渠道拓展和功能延伸。移動金融技術(shù)創(chuàng)新應(yīng)加快銀行卡與手機銀行服務(wù)的協(xié)同發(fā)展,促進移動金融與電子商務(wù)、公共服務(wù)等領(lǐng)域的融合發(fā)展。
短信驗證碼作廢
《指導(dǎo)意見》還對移動金融服務(wù)的交易可靠性提出了要求:采取手機等移動終端直接與后臺系統(tǒng)遠程交互的方式提供移動金融服務(wù)時,各商業(yè)銀行和銀行卡清算機構(gòu)應(yīng)使用可靠的多因素身份認證方式,并采用手機安全單元(SE)、智能密碼鑰匙(Key)等基于安全芯片的電子設(shè)備作為必要的認證因素、以確保資金類、重要信息變更類、重要業(yè)務(wù)變更類等高風(fēng)險交易的安全。
“過去PC端的網(wǎng)上銀行要求使用U盾,手機銀行其實也是網(wǎng)上銀行。這次的要求就是要提升手機銀行的安全保障能力,”監(jiān)管層專家稱,“過去病毒、木馬主要針對PC端,以后移動端用戶多了,可能會存在風(fēng)險隱患。”
按照《指導(dǎo)意見》要求,手機需具備SE或Key等基于安全芯片的電子設(shè)備。目前方案分兩類,包括Key(類似網(wǎng)銀U盾),或手機內(nèi)置SE安全芯片。
監(jiān)管層專家表示,目前包括三星、華為等部分支持非接觸支付的智能手機已內(nèi)嵌了SE元件,電信運營商也在部分SIM卡里增加了SE元件;如果不具有SE,也可以通過網(wǎng)銀Key的形式。Key類似PC端網(wǎng)上銀行的U盾,但由于手機沒有USB接口,因此可以通過藍牙等方式。
銀聯(lián)人士認為,目前的手機銀行只要安裝后輸入用戶名密碼就能用,但這樣很容易被黑客用遠程手段或電話詐騙破解?!吨笇?dǎo)意見》要求移動金融業(yè)務(wù)一定要綁定硬件,這無疑加強了手機銀行的安全性,但也對銀行提出了挑戰(zhàn)。
銀聯(lián)人士表示,用令牌(Token,顯示跳變的六位數(shù))登陸網(wǎng)上銀行的銀行很多,但把令牌加進手機銀行做校驗的銀行還不多。銀行也擔(dān)心客戶不理解,再發(fā)放一個外置設(shè)備,客戶可能會覺得麻煩。
但在監(jiān)管層專家看來,這“不是一個問題”,“只要手機有藍牙功能,就可以安裝Key;銀行使用的令牌也可以。”這條規(guī)定其實未對設(shè)備提出新的要求,因為現(xiàn)在的手機“幾乎都符合條件”.
《指導(dǎo)意見》還對一次性安全驗證碼提出了安全警示:使用一次性安全驗證碼(如手機短信驗證碼)作為多因素之一時,應(yīng)切實防控因一次性安全碼獲取端與交易指令發(fā)起端為同一物理設(shè)備等隱患帶來的風(fēng)險。
“2015年12月31日前,各商業(yè)銀行和銀行卡清算機構(gòu)提供的相關(guān)移動金融服務(wù)原則上應(yīng)符合上述要求。”《指導(dǎo)意見》明確表示。
銀行人士表示,一般的認證方式主要是用戶名密碼的單因素認證方式,雙因素認證方式就是除了用戶名密碼認證,還采用如Key、PIN碼、數(shù)字證書等其他認證方式,從而達到強身份認證。
監(jiān)管層專家表示,《指導(dǎo)意見》指出在移動支付、手機銀行上慎用短信驗證碼,其原因是安全碼獲取端和發(fā)起端為同一物理設(shè)備,手機不再是第二安全渠道。“以前有的銀行采取密碼+手機短信安全碼作為雙因素認證,今后手機短信安全碼可以繼續(xù)輔助使用,但它屬于無效因素,用不用都一樣。”
《指導(dǎo)意見》指出要采用包括基于安全芯片的電子設(shè)備、密碼在內(nèi)的多因素認證,這其實比接收短信更安全、方便。監(jiān)管層專家表示,希望通過《指導(dǎo)意見》提醒商業(yè)銀行,防止一旦有專門截獲短信的木馬出現(xiàn)而帶來的風(fēng)險。
讓創(chuàng)新有跡可循
在卡標(biāo)準(zhǔn)方面,《指導(dǎo)意見》指出,采取移動終端在交易現(xiàn)場與受理終端交互的方式提供移動金融服務(wù)時,原則上應(yīng)使用基于安全芯片的賬戶介質(zhì)(包括SIM卡、SD卡、全終端手機等各種形態(tài)的SE,統(tǒng)稱為移動金融IC卡),并符合中國金融IC卡、銀行卡受理等金融領(lǐng)域的相關(guān)標(biāo)準(zhǔn)。
監(jiān)管層專家表示,應(yīng)當(dāng)注意的是,如果銀行是和電信運營商、手機廠商合作開展移動金融服務(wù)時,《指導(dǎo)意見》指出銀行有責(zé)任要求運營商、手機廠商的產(chǎn)品符合金融標(biāo)準(zhǔn)。“原先的SIM卡是通信標(biāo)準(zhǔn),安全級別較低,但如果加載了金融賬戶,就是一個金融IC卡了,就要符合金融的安全標(biāo)準(zhǔn)。”
《指導(dǎo)意見》還提出,自2016年1月1日起,各商業(yè)銀行和銀行卡清算機構(gòu)開展移動金融服務(wù)所采用的TSM、SE、嵌入式應(yīng)用軟件等軟硬件產(chǎn)品,原則上應(yīng)符合相關(guān)標(biāo)準(zhǔn),并通過“移動金融技術(shù)服務(wù)”認證。相關(guān)認證機構(gòu)名錄可以通過國家認證認可管理部門網(wǎng)站查詢。
監(jiān)管層專家認為,《指導(dǎo)意見》主要是把之前總結(jié)的一些內(nèi)容明確提出來了,給銀行指出一個健康的大方向,按照這個方向去做,是符合國家的發(fā)展方向的。在滿足必要條件前提下,鼓勵銀行大膽創(chuàng)新。
“現(xiàn)在銀行普遍困惑在于,希望創(chuàng)新但不知道怎么創(chuàng)新是安全、符合標(biāo)準(zhǔn)的,《指導(dǎo)意見》也是讓銀行未來的發(fā)展有跡可循;同時《指導(dǎo)意見》有利于加快移動金融在公共服務(wù)、電子商務(wù)等領(lǐng)域的廣泛應(yīng)用,有效滿足社會大眾對安全便捷金融服務(wù)的需求。”監(jiān)管層專家表示。
一位銀聯(lián)人士認為,央行先對銀行下發(fā)了《指導(dǎo)意見》,隨后應(yīng)該會有針對非金融機構(gòu)的類似文件出來,否則會造成不公平監(jiān)管。“銀行監(jiān)管本身已經(jīng)很嚴格了,如果和非金融機構(gòu)(比如支付寶、微信)監(jiān)管不一致,會導(dǎo)致逆向激勵。”
“一定要盡快出臺針對非金融機構(gòu)的文件,否則這種移動金融方案反而使得銀行在支付寶等面前更弱勢。”一位大行電子銀行部人士表示。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 馬云現(xiàn)身支付寶20周年紀(jì)念日:AI將改變一切,但不意味著決定一切
- 萬事達卡推出反欺詐AI模型 金融科技擁抱生成式AI
- OpenAI創(chuàng)始人的世界幣懸了?高調(diào)收集虹膜數(shù)據(jù)引來歐洲監(jiān)管調(diào)查
- 華為孟晚舟最新演講:長風(fēng)萬里鵬正舉,勇立潮頭智為先
- 華為全球智慧金融峰會2023在上海開幕 攜手共建數(shù)智金融未來
- 移動支付發(fā)展超預(yù)期:2022年交易額1.3萬億美元 注冊賬戶16億
- 定位“敏捷的財務(wù)收支管理平臺”,合思品牌升級發(fā)布會上釋放了哪些信號?
- 分貝通商旅+費控+支付一體化戰(zhàn)略發(fā)布,一個平臺管理企業(yè)所有費用支出
- IMF經(jīng)濟學(xué)家:加密資產(chǎn)背后的技術(shù)可以改善支付,增進公益
- 2022年加密貨幣“殺豬盤”涉案金額超20億美元 英國銀行業(yè)祭出限額措施
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。