【導讀】XXX網絡支付業(yè)務可行性研究報告

　　

【正文】 強度可以達到工 業(yè)標準。 （六）電子支付的主要風險 電子支付系統(tǒng)作為電子貨幣與交易信息傳輸?shù)南到y(tǒng)，既涉及到國家金融和個人的經 濟利益，又涉及交易秘密的安全；支付電子化還增加了國際金融風險傳導、擴散的危險。 能否有效防范電子支付過程中的風險是電子支付健康發(fā)展的關鍵。 1. 電子支付的基本風險 支付電子化的同時，既給消費者帶來便利，也為銀行業(yè)帶來新的機遇，同時也對相 關主體提出了挑戰(zhàn)。電子支付面臨多種風險，主要包括經濟波動及電子支付本身的技術 風險，也包括交易 風險、信用風險等。金融系統(tǒng)中傳統(tǒng)意義上的風險在電子支付中表現(xiàn) 得尤為突出。 . 交易風險 電子支付主要是服務于電子商務的需要，而電子商務在網絡上的交易由于交易制度設計的缺陷、技術路線設計的缺陷、技術安全缺陷等因素，可能導致交易中的風險。這種風險是電子商務活動及其相關電子支付獨有的風險，它不僅可能局限于交易各方、支付的各方，而且可能導致整個支付系統(tǒng)的系統(tǒng)性風險。 2. 電子支付的操作風險 銀行的業(yè)務風險由來已久，巴塞爾銀行監(jiān)管委員會就曾經組織各國監(jiān)管機構較系統(tǒng)地歸納出幾種常見風險，如操作風險、聲譽風險、 法律風險等等。在傳統(tǒng)業(yè)務中，這些風險表現(xiàn)形式有所不同。在操作風險中，可能是信貸員沒有對借款人進行認真細致的資信調查，或者是沒有要求借款人提供合格的擔保，沒有認真審查就盲目提供擔保，等等。 這些風險可以通過現(xiàn)有的一系列管理措施加以防范，比如雙人臨柜，比如制定和嚴格執(zhí) 行一整套貸款操作的規(guī)程，等等。傳統(tǒng)業(yè)務中的風險大多跟技術沒有直接的聯(lián)系，某個 環(huán)節(jié)存在的風險雖然對其他環(huán)節(jié)有影響，但影響限定在一定范圍內。 電子支付加大了風險，也使得其影響范圍也擴大了，某個環(huán)節(jié)存在的風險對整個機 構，甚至金融系統(tǒng)都可能存在潛在的 影響?；ヂ?lián)網和其他信息技術領域的進步所帶來的 潛在損失已經遠遠超過了受害的個體所能承受的范圍，已經影響到經濟安全。這種情況 與技術有著直接的關系，其中表現(xiàn)最為突出的是操作風險。電子貨幣的許多風險都可以 歸納為操作風險。一些從事電子貨幣業(yè)務的犯罪分子偽造電子貨幣，給銀行帶來直接的 經濟損失。這些罪犯不僅來自銀行外部，有時還來自銀行內部，對銀行造成的威脅更大。 3. 電子支付的法律風險 電子支付業(yè)務常涉及銀行法、證券法、消費者權益保護法、財務披露制度、隱私保 護法、知識產權法和貨幣銀行制度等。目前，全球對于電子 支付立法相對滯后?，F(xiàn)行許 多法律都是適用于傳統(tǒng)金融業(yè)務形式的。在電子支付業(yè)務中出現(xiàn)了許多新的問題。如發(fā) 行電子貨幣的主體資格、電子貨幣發(fā)行量的控制、電子支付業(yè)務資格的確定、電子支付 活動的監(jiān)管、客戶應負的義務與銀行應承擔的責任，等等，對這些問題各國都還缺乏相 應的法律法規(guī)加以規(guī)范。以網上貸款為例，就連網上貸款業(yè)務發(fā)展較早的臺灣金融監(jiān)管 部門也沒有相關法令規(guī)范這一新興業(yè)務，其監(jiān)管機構目前能做的只是對銀行提交的契約 范本進行核準。缺乏法律規(guī)范調整的后果表現(xiàn)在兩個方面，要么司法者或仲裁者必須用 傳統(tǒng)的法律規(guī)則和法 律工具來分析網上業(yè)務產生的爭議；要么法官或仲裁者不得不放棄 受理這類糾紛。由于網絡糾紛的特殊性，用傳統(tǒng)法律規(guī)則來解決是一個非常吃力的問題； 但是，消極地拒絕受理有關爭議同樣無助于問題的解決。 4. 電子支付的其它風險 除了基本風險、操作風險和法律風險以外，電子支付還面臨著市場風險、信用風 險、流動性風險、聲譽風險和結算風險等。 （七）電子支付的風險防范與規(guī)避 1. 電子支付風險管理步驟 電子支付與傳統(tǒng)金融風險管理的基本步驟和原理幾乎是一樣的，但是，不同的國家、 不同的監(jiān)管機構可能會根據(jù)不同的情況，制定出不同 的電子支付風險管理要求。目前， 最為常見、最為通俗易懂的是巴塞爾委員會采用的風險管理步驟。以網上銀行為例，巴 塞爾委員會把電子支付風險管理分為三個步驟：評估風險、管理和控制風險以及監(jiān)控風 險。評估風險實際包含了風險識別過程，不過，識別風險只是最基本的步驟，識別之后， 還需要將風險盡可能地量化；經過量化以后，銀行的管理層就能夠知道銀行所面臨的風 險究竟有多大，對銀行會有什么樣的影響，這些風險發(fā)生的概率有多大。等等。在此基 礎上，銀行的管理層要做出決定，確定本銀行究竟能夠忍受多大程度的風險。換句話講， 如果出現(xiàn) 這些風險。造成了相應的損失。銀行的管理層能不能接受。到了這一步風險的 評估才算完成了。管理和控制風險的過程比較復雜，簡單地說就是各種各樣相應的控制 措施、制度的采用。最后一個步驟即風險的監(jiān)控是建立在前兩個步驟基礎上的，實際上 是在系統(tǒng)投入運行、各種措施相繼采用之后，通過機器設備的監(jiān)控，通過人員的內部或 者外部稽核，來檢測、監(jiān)控上述措施是否有效，并及時發(fā)現(xiàn)潛在的問題，加以解決。 許多國家都接受巴塞爾委員會電子支付風險管理的步驟，并加以本土化，針對本國 銀行的特點，制定出本國電子支付風險管理的基本程序。比如美國 通貨監(jiān)管局負責監(jiān)管 美國的國民銀行，隨著大量國民銀行采用各種各樣的電子技術向客戶提供電子支付的服 務，國民銀行將與技術有關的風險管理也分成三個步驟：計劃、實施、檢測和監(jiān)控。計 劃階段在一定程度上包括風險的識別、量化等，但主要是針對某一個具體項目的采用而 言。而實施實際上類似于巴塞爾委員會的管理和控制風險這一步驟，將各種相應風險控 制和防范措施加以實際運用，以控制項目運行后造成的風險。檢測和監(jiān)控階段則同巴塞 爾委員會的風險監(jiān)控大同小異。 因此，簡單地說，風險的管理過程是技術措施同管理控制措施相結合而形成的一系 列制度、措施的總和。整個過程同傳統(tǒng)銀行業(yè)務的風險管理差別并不是很大，但電子支 付采用的新的風險管理措施需要同銀行原有的內控制度相配合，同傳統(tǒng)業(yè)務的風險管理 措施相融合。 2. 防范電子支付風險的技術措施 電子支付風險的防范還依賴許多技術措施。 具體詳見（五） 章節(jié)。 . 建立網絡安全防護體系 建立網絡安全防護體系，防范系統(tǒng)風險與操作風險。不斷采用新的安全技術來確保 電子支付的信息流通和操作安全，如防火墻、濾波和加密技術等，要加快發(fā)展更安全的 信息安全技術，包括更強的加密技術、網絡使用記錄檢查評 定技術、人體特征識別技術 等。使正確的信息及時準確地在客戶和銀行之間傳遞，同時又防止非授權用戶如黑客對 電子支付所存儲的信息的非法訪問和干擾。其主要目的是在充分分析網絡脆弱性的基礎 上，對網絡系統(tǒng)進行事前防護。主要通過采取物理安全策略、訪問控制策略、構筑防火 墻、安全接口、數(shù)字簽名等高新網絡技術的拓展來實現(xiàn)。為了確保電子支付業(yè)務的安全， 通常設有三種防護設施。第一種是裝在使用者上網用的瀏覽器上的加密處理技術，從而 確保資料傳輸時的隱秘性，保障使用者在輸入密碼、賬號及資料后不會被人劫取及濫用； 第二種是被稱為 “防火墻”的安全過濾路由器，防止外來者的不當侵入；第三種防護措 施是“可信賴作業(yè)系統(tǒng)”，它可充分保護電子支付的交易中樞服務器不會受到外人尤其 是“黑客”的破壞與篡改。 . 發(fā)展數(shù)據(jù)庫及數(shù)據(jù)倉庫技術 發(fā)展數(shù)據(jù)庫及數(shù)據(jù)倉庫技術，建立大型電子支付數(shù)據(jù)倉庫或決策支持系統(tǒng)，防范信 用風險、市場風險等金融風險。通過數(shù)據(jù)庫技術或數(shù)據(jù)倉庫技術存儲和處理信息來支持 銀行決策，以決策的科學化及正確性來防范各類可能的金融風險。要防范電子支付的信 用風險，必須從解決信息對稱、充分、透明和正確性著手，依靠數(shù)據(jù)庫技術儲存、管理 和分析處理數(shù)據(jù)，是現(xiàn)代化管理必須要完成的基礎工作。電子支付數(shù)據(jù)庫的設計可從社 會化思路考慮信息資源的采集、加工和分析，以客戶為中心進行資產、負債和中間業(yè)務 的科學管理。不同銀行可實行借款人信用信息共享制度，建立不良借款人的預警名單和 “黑名單”制度。對有一定比例的資產控制關系、業(yè)務控制關系、人事關聯(lián)關系的企業(yè) 或企業(yè)集團，通過數(shù)據(jù)庫進行歸類整理、分析、統(tǒng)計，統(tǒng)一授信的監(jiān)控。 . 加速金融工程學科的研究、開發(fā)和利用 金融工程是在金融創(chuàng)新和金融高科技基礎上產生的，是指運用各種有關理論和知 識，設計和開發(fā)金 融創(chuàng)新工具或技術，以期在一定風險度內獲得最佳收益。目前，急需 加強電子技術創(chuàng)新對新的電子支付模式、技術的影響，以及由此引起的法制、監(jiān)管的調 整。 . 通過管理、培訓手段來防止金融風險的發(fā)生 電子支付是技術發(fā)展的產物，許多風險管理的措施都離不開技術的應用。不過這些 技術措施實際上也不是單純的技術措施，技術措施仍然需要人來。貫徹實施，因此通過 管理、培訓手段提高從業(yè)人員素質是防范金融風險的重要途徑?！吨腥A人民共和國電腦 系統(tǒng)安全保護條例》、《中華人民共和國電腦信息網絡國際聯(lián)網管理暫行規(guī)定》對電腦信 息系統(tǒng) 的安全和電腦信息網絡的管理使用做出了規(guī)定，嚴格要求電子支付等金融業(yè)從業(yè) 人員依照國家法律規(guī)定操作和完善管理，提高安全防范意識和責任感，確保電子支付業(yè) 務的安全操作和良好運行。 為此，要完善各類人員管理和技術培訓工作。要通過各種方法加強對各級工作人員 的培訓教育，使其從根本上認識到金融網絡系統(tǒng)安全的重要性，并要加強各有關人員的 法紀和安全保密教育，提高電子支付安全防護意識。是要培訓銀行內部員工。由于電子 支付是技術的產物，使內部員工具有相應的技術水平也是風險管理的重要方面。這些培 訓包括各種各樣的方式，如專門 的技術課程要求員工參加業(yè)內的研討會、工作小組。同 時，保證相應的技術人員能夠有時間進行研究、學習，跟蹤市場和技術的發(fā)展狀況。二 是對客戶進行教育和培訓，教會他們如何使用銀行的設備，出現(xiàn)問題怎么辦，并通過培 訓向客戶披露有關的信息，如銀行主頁上建立的鏈接點的性質、消費者保護的措施、資 料保密的要求，等等，以此減少相應的法律風險。 . 其他相關防范措施 具體的技術防范細節(jié)還有很多，如為了防止黑客的入侵，防止內部人員隨意泄露有 關的資料和信息，密碼技術被廣泛地應用。但是，并不是所有的信息都一樣重要。一些 監(jiān) 管機構要求銀行首先要對資料進行分類，分成“高度機密”、“機密”和“公開”信息 三類，不同種類的信息采取的保密措施不同。對于高度機密信息，在儲存和通過內部網 絡傳送時必須加密。在技術和資金允許的情況下，可以盡量采用更強一些的密鑰。同時， 要強化密鑰的管理，建立有效的密鑰管理方式，如保護密鑰不受篡改和違法使用，根據(jù) 資料的秘密程度，定期更換密鋸。至于通過公開網絡如互聯(lián)網傳遞的信息，都必須進行 加密?？诹睿?Password）有時也稱為密碼，但為了與密碼技術相區(qū)別而把它稱為口令。 口令實際上是控制機器設備，防止無關 人員隨意進入和使用設備的技術措施。使用口令 容易造成口令韻遺失（使用者忘記自己的口令），更為重要的是容易被犯罪貧子盜取。 有的時候，對于一些關鍵設備，可以采用一次性司令．也就是只使用一次的口令，每次 進入電腦系統(tǒng)時，口令都不同，通過對口令的管理來保護設備的安全。除了一次性口令 這樣簡單的管理措施之外，還有其他一些比較系統(tǒng)化的措施來管理口令?？诹畹墓芾硇? 要遵循一些基本的原則，比如，銀行的電腦系統(tǒng)自動促使使用者定期修改口令，使用者 之間不要相互合用口令，不要使用一些很容易被猜到的口令，等等。具體的措施很多： 如果口令被多次使用或通過網絡傳遞，必須對口令進行加密才能存儲或傳送；使用安全 子系統(tǒng)和應用程序建立口令的歷史檔案，防止重復使用不久前才使用過的口令；為了防 止犯罪分子使用一些自動的程序軟件猜測口令，必須規(guī)定一個界限，如多少次端現(xiàn)錯誤 則停止其進入，并通知系統(tǒng)的管理員；為了防止犯罪分子盜用他人的合法口令進入內部 網絡，應該隨時將上次使用口令的時間等情況通知合法的使用者，便于發(fā)現(xiàn)自己的口令 是否已經被人盜用。 同口令的功能相似的還有其他一些常用的手段，比如使用智能卡作為進入系統(tǒng) 的．“身份證”，采用生物技術措施 來識別有關當事人，主要是用指紋、聲音、面部特征 和眼部特征等人的生物特征來識別人的身份。這些措施采用之后，仍然需要有配套的措 施，如智能卡雖然安全，但仍然需要定期更換內部程序或密碼，以便保證其安全性能。 此外，還有許多其他的技術防范措施。比如，防病毒的技術措施，對于主服務器的 管理，等等。這些措施技術成分比較大，需要銀行管理部門加以格外的注意。同時，光 有技術措施也是不夠的，同樣需要輔以相應的管理和內控措施。比如，對銀行內部職員 進行嚴格審查，特別是系統(tǒng)管理員、程序設計人員、后勤人員以及其他可以獲得機密信 息的人員，都要進行嚴格的審查，審查的內容包括聘請專家審查其專業(yè)技能，家庭背景、 有無犯罪前科、有無債務歷史，等等。而一些重要人物，比如，系統(tǒng)的管理員，由于他 們可以毫無障礙地進入任何電腦和數(shù)據(jù)庫，也可能產生潛在的風險，對于這樣的人則必 須采用類似于雙人臨柜式的責任分離、相互監(jiān)督等，手段來進行控制。