中國互金協(xié)會會長李東榮：金融科技面臨四方面安全挑戰(zhàn)

每經記者 李玉雯    每經編輯 姚祥云    

7月7日，在上海新金融研究院（SFI）主辦的第五屆金融科技外灘峰會上，中國互聯(lián)網金融協(xié)會會長李東榮指出，在當前全球進入新一輪科技革命和產業(yè)變革的大背景下，中國特色社會主義已經進入了新時代，社會的主要矛盾發(fā)生轉化，經濟發(fā)展階段已經轉變。這對金融服務實體經濟，防控金融風險，深化金融改革，提出了更新、更高的要求。

東榮指出，在這樣一個時代背景下，金融科技作為科技驅動的金融創(chuàng)新，給金融功能實現(xiàn)形式、金融市場組織模式、金融服務的供給方式，帶來了潛移默化的影響，為經濟、金融發(fā)展注入了新活力，為解決金融發(fā)展不平衡、不充分的問題提供了新的手段。 但隨著大數據、云計算、人工智能、區(qū)塊鏈等數字技術在金融領域應用的不斷深入，金融科技在業(yè)務、技術、網絡、數據等方面，正面臨著一些風險和安全挑戰(zhàn)。需要業(yè)界、學界清醒認識，高度重視。

金融科技尚處于逐步成熟的過程

李東榮認為，金融科技的發(fā)展，尚處于一個不斷探索和逐步成熟的過程中。金融科技的現(xiàn)狀仍面臨著許多安全挑戰(zhàn)。而對于這些安全挑戰(zhàn)，他從四個方面進行了關注分析：

首先，在業(yè)務安全方面。隨著經濟社會發(fā)展和科技進步，金融業(yè)的分工日趨專業(yè)化、精細化，金融產業(yè)鏈和價值鏈被拉伸。在數字化、移動化、實時化的背景下，金融機構賬戶、渠道、數據、基礎設施等方面的關聯(lián)性不斷增強，業(yè)務連續(xù)性的管理難度增大。有的機構安全意識薄弱，為單方面追求極致客戶體驗，以犧牲資金和交易安全為代價，過度簡化必要的業(yè)務流程和管控環(huán)節(jié)，從而隱藏了較大的業(yè)務安全隱患。還有的機構假借復雜技術對金融產品進行過度包裝，刻意模糊業(yè)務本質，并沒有真正落實好投資者適當性管理的要求和風險提示責任，把一些不成熟、不可靠的金融產品賣給缺乏相應風險承受能力的消費者。這是需要我們高度重視的。

其次，在技術安全方面，也發(fā)現(xiàn)有的機構在未經過嚴密測試和風險評估的情況下，盲目地追求所謂顛覆式技術，拔苗助長，急于求成，導致技術選型錯位、資源浪費，安全事件頻發(fā)等問題。特別是對部分尚處于發(fā)展初期的新興技術，通過輿論和資本的過度炒作，可能會令它們淪為市場操縱、投機、詐騙的工具。實踐表明，一些號稱技術和數據驅動的所謂金融創(chuàng)新，實質上是利用制度規(guī)則相對滯后，游走在法律和監(jiān)管的灰色地帶。

再次，在網絡安全方面。當前，網絡安全形勢異常復雜嚴峻，常規(guī)攻擊持續(xù)演變，分布式拒絕服務，高級持續(xù)性威脅等攻擊手段不斷翻新，有組織、有大規(guī)模的網絡攻擊，時有發(fā)生。這給金融網絡安全防護能力提出了更高的挑戰(zhàn)和更多的挑戰(zhàn)。特別需要注意的是，金融科技在推動基礎設施和金融服務線上化、開放化的同時，也增加了網絡安全隱患。在傳統(tǒng)的通信環(huán)境下，過去金融風險如果發(fā)生，往往只是局限于某個營業(yè)場所或某個區(qū)域，但現(xiàn)在，通過網絡，特別是在移動網絡的條件下，有可能牽一發(fā)動全身，將風險因素迅速傳染至其他的機構和關聯(lián)行業(yè)，乃至整個地區(qū)，甚至可能引發(fā)系統(tǒng)性風險。

最后，在數據安全方面。隨著電子商務條件下購物、支付、理財等網絡金融系統(tǒng)的不斷豐富，一些機構也積累了海量的客戶行為數據和交易數據，但因其信息系統(tǒng)管理水平和應對網絡攻擊能力未能同步跟上，其數據安全保衛(wèi)能力存在不足，存在數據被集中泄露的風險。此外，由于網絡數據復制的無限性和低成本以及數字二次利用和傳遞的隱蔽性，金融科技領域數據過度采集、數據倒賣、一次授權、重復使用的違法違規(guī)行為屢見不鮮。”

四個方面解決金融科技安全問題

在金融科技安全方面，應該如何解決上述的這些問題呢？對此，李東榮提出應從四個方面解決金融科技安全問題：

“一是要牢固樹立安全發(fā)展理念。我們要清醒地看到，金融科技沒有改變金融的功能屬性和風險屬性，金融的內在脆弱性，風險的負外部性和網絡的強涉眾性，決定了保障安全永遠是金融科技發(fā)展的生命線。從業(yè)機構更應該把金融科技安全放在更重要、更優(yōu)先的位置上，在做好全面風險管理和安全保障的前提下，穩(wěn)妥、審慎地推進金融科技創(chuàng)新，堅定不移地走安全發(fā)展之路。同時，也要避免走極端。我們應該認識到，安全是相對的，不是絕對的。我們也不能因為追求所謂絕對安全，在促進發(fā)展、提升效率方面縮手縮腳、停滯不前，而是應該通過建立試錯、容錯機制，開展測試、驗證等手段，來豐富我們的安全管理，促進安全和發(fā)展在更高水平上實現(xiàn)動態(tài)平衡。

二是切實加強安全制度建設。加強金融科技的安全保障，不單是個技術問題，更多是個制度安排問題。從業(yè)機構應該深入地學習貫徹國家網絡安全與信息化發(fā)展戰(zhàn)略，嚴格遵守《網絡安全法》等相關法律規(guī)定，真正落實好國家信息安全等級保護、技術安全外包、數據治理等具體制度要求。我們應該嚴格實施數字技術在金融業(yè)應用的安全指南和標準規(guī)范，建立健全覆蓋業(yè)務、網絡、技術、數據等各個領域、各個環(huán)節(jié)的安全管理制度體系。我們應該通過績效考核、測評認證、審計等手段，全面提升制度的執(zhí)行力和約束力，推動實現(xiàn)業(yè)務風險可控、網絡高效可用、技術穩(wěn)定可信、數據安全可靠。

三是扎實做好安全技術防護。所謂“患生于所忽，禍起于細微”。從業(yè)機構在安全問題上，必須保持耳聰目明，應通過建立完善全方位的安全態(tài)勢感知和預警平臺，加強探視信息及時共享，提升網絡安全保護能力和水平，應該建立完善覆蓋信息系統(tǒng)全生命周期的安全管理機制，有效提升防攻擊、防篡改、防泄露能力，研究推進數據資源分類分級工作，明確安全策略，權限要求和管理責任。綜合應用多因素認證、邊界防護、數據脫敏等手段，切實地放緩重要數據被泄露、被篡改、被丟失和非授權訪問等風險。

四是要緊密結合金融業(yè)務需求。金融科技是金融與科技的深度融合，它不能離開金融的場景和業(yè)務需求去空談技術先進性和安全性，從業(yè)機構應該圍繞實體經濟金融需求和傳統(tǒng)金融服務所暴露出來的短板，審慎地選擇相對穩(wěn)定成熟、與業(yè)務發(fā)展契合度較高的數字技術，明確與相關合作方的責任劃分管理要求，科學制定實施技術應用時間表、路線圖、任務書，有計劃、有步驟、有重點地推進金融科技創(chuàng)新，避免“拿著錘子找釘子”的應用誤區(qū)。”

(實習生謝婧對本文亦有貢獻)