抓紧建立完善适用、管用的金融科技安全保障体系
李东荣
中国金融四十人论坛常务理事
[ 2018-07-08 ]

  大家上午好。很高兴有机会再次出席金融科技外滩峰会,与各位新老朋友共同探讨“新金融、新科技、新趋势”这一重要话题。在全球进入新一轮科技革命和产业变革的大背景下,信息化浪潮蓬勃兴起,正驱动着包括金融业在内的经济社会各领域加速向数字化、网络化、智能化的更高阶段发展。从中国情况看,中国特色社会主义进入了新时代,社会主要矛盾发生转化,经济发展阶段已经转变,这对金融服务实体经济、防控金融风险、深化金融改革提出了更高的任务要求。在这样一个时代背景下,金融科技作为科技驱动的金融创新,给金融功能的实现形式、金融市场的组织模式、金融服务的供给方式带来了潜移默化的影响,为经济金融发展注入了新活力,为解决金融发展不平衡不充分问题提供了新手段。但同时也应该看到,金融科技的发展尚处于一个不断探索和逐步成熟的过程中,随着大数据、云计算、人工智能、区块链等数字技术在金融领域应用的不断深入,金融科技在业务、技术、网络、数据等方面正面临着一些风险和安全挑战,需要业界清醒认识,高度重视。所以,今天,我想就金融科技的安全问题谈几点个人认识,供与会代表参考。

  首先,在业务安全方面,随着经济社会发展和科技进步,金融业分工日趋专业化、精细化,金融产业链和价值链被拉伸,在数字化、移动化、实时化的背景下,机构、账户、渠道、数据和基础设施等方面的关联性不断增强,业务连续性的管理难度增大。已经发现有的机构安全意识薄弱,为单方面追求极致的客户体验,以牺牲资金和交易安全为代价,过度简化必要的业务流程和管控环节,从而潜藏较大业务安全隐患。还有的机构假借复杂技术对金融产品进行过度包装,刻意模糊业务本质,并没有落实好投资者适当性管理要求和风险提示责任,把不成熟可靠的金融产品卖给了缺乏相应风险承受能力的消费者。

  其次,在技术安全方面,也发现了有的机构在未经过严密测试和风险评估的情况下,盲目追求所谓颠覆式技术和新兴技术,拔苗助长,急于求成,导致技术选型错位、资源浪费、安全事件频发等问题。特别是对部分尚处于发展初期的新兴技术通过舆论和资本过度炒作,可能会沦为市场操纵、投机、诈骗的工具。实践表明,一些号称技术和数据驱动的所谓金融创新,实质是利用制度规则的相对滞后,游走在法律和监管的灰色地带。

  再次,在网络安全方面,当前网络安全形势异常复杂严峻,常规攻击持续衍变,分布式拒绝服务、高级持续性威胁等攻击手段不断翻新,有组织、大规模的网络攻击时有发生,这给金融网络安全防护能力提出了更多挑战。特别需要注意的是,金融科技在推动基础设施和金融服务线上化、开放化的同时,也增加了网络安全隐患。在传统的通信环境条件下,过去金融风险往往只是局限于某一个营业场所或某一个区域,但现在通过网络可能“牵一发而动全身”,将风险因素迅速传染至其他机构和关联行业,甚至可能引发系统性风险。

  最后,在数据安全方面,随着电子商务条件下购物、支付、理财等网络活动的不断丰富,一些机构也积累了海量的客户行为数据和交易数据,但因其信息系统管理水平和应对网络攻击的能力还未能同步跟上,其数据安全保卫的能力还存在不足,存在数据集中泄漏的风险。此外,由于网络数据复制的无限性和低成本,以及数据二次利用和传递的隐蔽性,金融科技领域数据过度采集、数据倒卖、“一次授权,重复使用”等违法违规行为屡见不鲜。

  面对上述问题和安全挑战,我认为,从金融监管部门到从业机构都不能掉以轻心。特别是在一些因自身理念和管理原因导致的安全问题上,更不能兜圈子、绕弯子。有些机构倒下,不是倒在管理规定过严上,而是倒在其自身思想认识不足、采取手段不坚决等方面,这非常可惜。所以,我们应该竭力统筹好安全与发展两个方面,在积极推动数字技术应用和发展的同时,抓紧建立起完善适用、管用的安全保障体系。只有这样,金融科技才能真正实现趋利避害,扬长避短,行稳致远。

  一是牢固树立安全发展理念。习近平总书记在前段时间特别强调指出,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。金融科技没有改变金融的功能属性和风险属性,金融的内在脆弱性、风险的负外部性和网络的强涉众性,决定了保障安全永远是金融科技发展的生命线。从业机构应把金融科技安全放在更加重要和优先的位置上,在做好全面风险管理和安全保障的前提下,稳妥审慎推进金融科技创新,坚定不移走安全发展之路。同时也要避免走极端,应认识到安全是相对的,不是绝对的,不能因为追求所谓的绝对安全,在促进发展、提升效率方面缩手缩脚、停滞不前,而应通过建立试错容错机制、开展测试验证等手段,促进安全和发展在更高水平上实现动态平衡。

  二是切实加强安全制度建设。加强金融科技的安全保障,不单是一个技术问题,更多是一个制度安排问题。从业机构应深入贯彻国家网络安全与信息化发展战略,严格遵守《网络安全法》等相关法律规定,切实落实国家信息安全等级保护、技术合作外包、数据治理等制度要求,研制实施数字技术在金融业应用的安全指南和标准规范,建立健全覆盖业务、网络、技术、数据等各领域、各环节的安全管理制度体系,通过绩效考核、测评认证、审计等手段,提升制度执行力和约束力,推动实现业务风险可控、网络高效可用、技术稳定可信、数据安全可靠。

  三是扎实做好安全技术防护。所谓患生于所忽,祸起于细微。从业机构在安全问题上必须保持耳聪目明,应通过建立完善全方位的安全态势感知和预警平台,加强态势信息的及时共享,提升网络安全保护能力和水平。应建立完善覆盖信息系统全生命周期的安全管理机制,有效提升防攻击、防篡改、防泄漏能力。研究推进数据资源分类分级工作,明确安全策略、权限要求和管理责任,综合运用多因素认证、边界防护、数据脱敏等手段,切实防范重要数据泄露、篡改、丢失和非授权访问等风险。

  四是紧密结合金融业务需求。金融科技是金融与科技的深度融合,不能离开金融场景和业务需求空谈技术的先进性和安全性。从业机构应围绕实体经济金融需求和传统金融服务短板,审慎选择相对稳定成熟、与业务发展契合度较高的数字技术,明确与相关合作方的责任划分和管理要求,科学制定和实施技术应用的时间表、路线图、任务书,有计划、有步骤、有重点地推进金融科技创新,避免“拿着锤子找钉子”的应用误区。

  建立完善金融科技安全保障体系是打好防范化解金融重大风险攻坚战的必然要求,是促进金融科技规范健康可持续发展的客观需要,也是加强金融消费者保护的重要抓手,具有重要而紧迫的现实意义。我认为,除了前面提到的从业机构应落实好安全保障责任之外,还应从行业和宏观层面,进一步完善金融科技监管制度和自律规则,加强金融基础设施建设,提升金融消费者数字能力和金融素养,为金融科技安全发展提供良好的生态环境。我相信通过政府、市场和社会各界多方面、多层面的共同努力,随着安全保障体系的同步建立和完善,金融科技一定能够在促进普惠金融、建立现代金融体系、推动经济高质量发展方面发挥更大作用。

  最后,预祝峰会取得圆满成功。谢谢大家。


作者李东荣系CF40常务理事、中国互联网金融协会会长。本文系作者在第五届金融科技外滩峰会上的演讲,未经作者审核。

版权所有:北京四十人论坛顾问有限公司 秘书处电话(010-88088160)

联系我们:北京市西城区金融大街33号通泰大厦 010 88088160   邮箱:cf40@188.com