中国移动金融大会近日成功举办。会上,中国金融电子化公司原董事、人民银行科技司原副司长李晓枫先生,带来了主题为《移动支付安全技术发展总体趋势》的演讲。
李晓枫首先分析,当前金融效力提升和风险并存的矛盾下,中国的移动支付要着眼于触达普惠和整治二者并垂。尽管移动支付体系取得了不小成就,但其中存在的业务和技术的违规,需要系统合规和风控管制来整治。
他指出,中国的移动支付,其实已经是触达普惠金融了,这就表现了金融的效力提升。“但在另一方面,互联网金融从去年开始降支,二者形成一个矛盾——尽管你触达普惠金融,金融效力提升,但是风险在增加。”
其次他认为对支付机构整治合规的重点就是持牌经验。针对业务合规,提出:
商业实体可信;
支付工具可信;
结算模式可信。
而在技术方面,则指出以下两点前提,来保证交易的安全性和可追溯性:
交易双方的身份认证;
数据的机密性和完整性。
基于上述观点,他进一步阐述安全技术方面五大趋势:
金融机构安全技术标准化;
清算组织回归四方模式;
云端、终端的高质量安全产品产出加快;
智能手机和金融业实现产业共进共融;
深化推广反欺诈联控。
据雷锋网AI金融评论了解,最后李晓枫先生给出三点个人意见:
建立风险联合防控、信息共享机制;
PAY要突破单一的PAY而形成统一的PAY;
手机盾亦应有所统一,以便公众识别。
以下是李晓枫先生演讲原文,雷锋网AI金融评论作了不改变原意的编辑:
中国的移动支付,其实已经是触达普惠金融了,这就表现了金融的效力提升;但在另一方面,互联网金融从去年开始降支,二者形成一个矛盾:尽管你触达普惠金融,金融效力提升,但是风险在增加。
今天主要分享四点:
这种矛盾之中,趋势问题是什么?业务合规、技术架构安全核心要求是怎么样?安全技术发展五大趋势;最后谈个人的三点意见。
安全趋势发展问题:整治合规
首先趋势是一个大的方面的问题。曾有撰文指出我们进入了中国的后半场移动支付,我的理解是触达普惠和整治并垂,这种整治就是合规和安全。合规的核心问题就是参与移动支付的商业主体是否可信,安全参与移动支付的设备是否可信。
中国移动支付兴起过程中,为什么说是金融提升的效力增加,但是风险并存呢?我们整个支付体系存在业务违规、技术违规创新,合规监管就是消除这些隐患。
支付跟其他互联网金融不一样,支付是需要持牌的。
我们看合规这一块,首先是体系风险,一个是线上、线下费率不一致,96费改,去年9月6日费率改了之后基本上一致了,差别就缩小了,这非常有利于把二清、套码切机的风险控制住,这是体系性的风险。第二个就表现在网联成立,这个稍微晚一点,这个说白了,三方模式回归四方模式,就是正本清源,网联成立的核心。
我们在移动支付触达普惠取得很大成绩,形成三个比较大的生态体系:支付宝,微信和银联。
银联是以散户为主的,银联在这个品牌上,相比起支付宝和微信,它的技术战略的选择有些模糊。对此希望在座各位能努力把产业链提升上来,特点变得更加鲜明。
这几年我们通过小额支付、非银支付机构等可知,支付场景也是一种软硬因素,支付工具是和场景、和安全有关的。
系统合规是一方面,而另一方面,风控管制水平成为近期的重点。你的风控水平跟你的资金流向、你可追溯、可报告构成了下半场整治的重点。
业务和技术安全下的合规
实体,从商业角度来说是商业实体,像银行、非支付机构、清算机构;而从技术角度来看,就是POS,ATM,包括PAY、手机银行、支付宝、微信等这些工具。其中实体的可信是第一位的。其次技术设备也要可信。
商业实体一定要持牌,持牌接受监管,达到可信,这才能达到整治到商业实体——比如支付机构、银行或者收单的目的。
当然这里还有一个问题:商业清算、结算的模式非常重要。所以体系纠偏,回归四方模式是个很重要的方面。底层的就比如密码算法,密钥体系,包括现在新发展的生物识别,苹果的iPhone X引入3D人脸识别,这些都是最新的技术发展。
业务合规,对支付机构河沿的整治合规,就是持牌经验。所以为什么要打击支付机构的无证经营?
资金的流向要可追溯,帐户一定要实名,分类开设;开设条件要满足监管认可的安全技术。
之所以整治支付机构,包括民营银行,互联网银行,正是因为技术到现在还不被认可,才没有得到普及。支付机构的报文规范等等,都是整治的目标。
技术方面,在技术设备、软件可信的基础上:
第一个是交易双方认证,双方的真实身份。当然现在认证技术只是认定技术,并不认定人。第二就是数据的机密性、完整性。经过检测认证的产品,至少是一个可靠的产品。纳入到技术管理的体系,我们就可以保证交易的安全性和可追溯性。
关于移动支付存在的问题,从两大主要参与者来谈。
一是支付机构的问题。它主要体现在实名制、冒名开户,甚至是虚构代理