观察者言:央行制定一个移动金融业务流程标准和遵循原则,针对相同的业务做法各有特点、各有风险,将来会纳入支付宝与微信支付等。
中国的移动支付具有巨大的潜力。技术创新也在不断涌现。近期,央行发布了《关于推动移动金融技术创新健康发展的指导意见》(下称《指导意见》),提升移动金融安全可控能力,促进移动金融技术创新健康发展,切实发挥移动金融普惠民生的作用。
一位监管层专家向财新记者介绍了《指导意见》的出台背景:“银行业、互联网企业、移动商都在开展移动金融业务,但相同的业务做法各有特点、各有风险。因此业内有一个呼声,希望央行牵头做一个指导意见,制定一个业务流程标准,从而有利于业内分享经验和风险控制。”
《指导意见》提出了推动移动金融技术创新健康发展的保障措施,指导商业银行和银行卡清算机构积极落实国家网络安全和信息技术安全有关政策,优先采用自主可控的产品及密码算法,加强移动金融账户介质标准符合性管理,增强移动金融安全可控能力,有效保障移动金融应用流程的安全性;指出要加快构建安全可信基础环境,发挥检测认证的质量保障作用,推动标准落地实施,切实保障客户资金和信息安全。
“这份文件对银行的改造成本要求并不高。”上述监管层专家表示。
有央行人士表示,《指导意见》目前包含银行业金融机构和银联,将来会纳入支付宝与微信支付等。
一位监管层人士对财新记者透露,针对非金融机构的移动金融文件目前正在征求意见,不久也会推出,两个文件是配套的。
遵循原则
《指导意见》发布目的是:进一步贯彻落实《国务院关于促进信息消费扩大内需的若干意见》和《国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知》有关精神,明确了移动金融技术创新健康发展的方向性原则。
第一是遵循安全可控原则。移动金融技术创新应以安全可信和风险可控为底线,遵循金融及密码领域的相关技术标准,发挥检测认证的质量保障作用,切实维护客户资金和信息安全,保护金融消费者合法权益。
第二是秉承便民利民理念。移动金融技术创新应以服务民生为出发点,采用安全可控技术有效扩大金融服务覆盖范围,特别是填补农村及偏远地区金融服务空白,让社会公众享受到移动金融的普遍性、安全性和便利性。
第三是坚持集成创新发展。移动金融是金融IC卡应用的继承和创新。移动金融技术创新应坚持集成式发展,最大限度使用现有金融IC卡技术基础设施,减少重复建设,实现集约化发展和规模化应用。
关于如何理解该条中提到的“减少重复建设”,监管层专家表示,是指线下POS机、ATM机等基础设施。“重复建设”并不是指不同金融机构重复布设机具,而是指同一台机具要尽可能兼容现在所有的银行卡,并且应当支持金融IC卡和NFC支付。
“不能一台POS机只能刷卡,另一台POS机只能刷手机。”监管层专家表示,这是从节约成本的角度出发。在新设计的POS机中,尽量做到兼容性强,让金融IC卡能用,手机也能用,否则改造旧的POS机要增加很多人力物力成本。
第四是注重服务融合发展。移动金融是金融服务在信息化、移动化环境下的渠道拓展和功能延伸。移动金融技术创新应加快银行卡与手机银行服务的协同发展,促进移动金融与电子商务、公共服务等领域的融合发展。
短信验证码作废
《指导意见》还对移动金融服务的交易可靠性提出了要求:采取手机等移动终端直接与后台系统远程交互的方式提供移动金融服务时,各商业银行和银行卡清算机构应使用可靠的多因素身份认证方式,并采用手机安全单元(SE)、智能密码钥匙(Key)等基于安全芯片的电子设备作为必要的认证因素、以确保资金类、重要信息变更类、重要业务变更类等高风险交易的安全。
“过去PC端的网上银行要求使用U盾,手机银行其实也是网上银行。这次的要求就是要提升手机银行的安全保障能力,”监管层专家称,“过去病毒、木马主要针对PC端,以后移动端用户多了,可能会存在风险隐患。”
按照《指导意见》要求,手机需具备SE或Key等基于安全芯片的电子设备。目前方案分两类,包括Key(类似网银U盾),或手机内置SE安全芯片。
监管层专家表示,目前包括三星、华为等部分支持非接触支付的智能手机已内嵌了SE元件,电信运营商也在部分SIM卡里增加了SE元件;如果不具有SE,也可以通过网银Key的形式。Key类似PC端网上银行的U盾,但由于手机没有USB接口,因此可以通过蓝牙等方式。
银联人士认为,目前的手机银行只要安装后输入用户名密码就能用,但这样很容易被黑客用远程手段或电话诈骗破解。《指导意见》要求移动金融业务一定要绑定硬件,这无疑加强了手机银行的安全性,但也对银行提出了挑战。
银联人士表示, 用令牌(Token,显示跳变的六位数)登陆网上银行的银行很多,但把令牌加进手机银行做校验的银行还不多。银行也担心客户不理解,再发放一个外置设备,客户可能会觉得麻烦。
但在监管层专家看来,这“不是一个问题”,“只要手机有蓝牙功能,就可以安装Key;银行使用的令牌也可以。”这条规定其实未对设备提出新的要求,因为现在的手机“几乎都符合条件”。
《指导意见》还对一次性安全验证码提出了安全警示:使用一次性安全验证码(如手机短信验证码)作为多因素之一时,应切实防控因一次性安全码获取端与交易指令发起端为同一物理设备等隐患带来的风险。
“2015年12月31日前,各商业银行和银行卡清算机构提供的相关移动金融服务原则上应符合上述要求。”《指导意见》明确表示。
银行人士表示,一般的认证方式主要是用户名密码的单因素认证方式,双因素认证方式就是除了用户名密码认证,还采用如Key、PIN码、数字证书等其他认证方式,从而达到强身份认证。
监管层专家表示,《指导意见》指出在移动支付、手机银行上慎用短信验证码,其原因是安全码获取端和发起端为同一物理设备,手机不再是第二安全渠道。“以前有的银行采取密码+手机短信安全码作为双因素认证,今后手机短信安全码可以继续辅助使用,但它属于无效因素,用不用都一样。”
《指导意见》指出要采用包括基于安全芯片的电子设备、密码在内的多因素认证,这其实比接收短信更安全、方便。监管层专家表示,希望通过《指导意见》提醒商业银行,防止一旦有专门截获短信的木马出现而带来的风险。
让创新有迹可循
在卡标准方面,《指导意见》指出,采取移动终端在交易现场与受理终端交互的方式提供移动金融服务时,原则上应使用基于安全芯片的账户介质(包括 SIM卡、SD卡、全终端手机等各种形态的SE,统称为移动金融IC卡),并符合中国金融IC卡、银行卡受理等金融领域的相关标准。
监管层专家表示,应当注意的是,如果银行是和电信运营商、手机厂商合作开展移动金融服务时,《指导意见》指出银行有责任要求运营商、手机厂商的产品符合金融标准。“原先的SIM卡是通信标准,安全级别较低,但如果加载了金融账户,就是一个金融IC卡了,就要符合金融的安全标准。”
《指导意见》还提出,自2016年1月1日起,各商业银行和银行卡清算机构开展移动金融服务所采用的TSM、SE、嵌入式应用软件等软硬件产品,原则上应符合相关标准,并通过“移动金融技术服务”认证。相关认证机构名录可以通过国家认证认可管理部门网站查询。
监管层专家认为,《指导意见》主要是把之前总结的一些内容明确提出来了,给银行指出一个健康的大方向,按照这个方向去做,是符合国家的发展方向的。在满足必要条件前提下,鼓励银行大胆创新。
“现在银行普遍困惑在于,希望创新但不知道怎么创新是安全、符合标准的,《指导意见》也是让银行未来的发展有迹可循;同时《指导意见》有利于加快移动金融在公共服务、电子商务等领域的广泛应用,有效满足社会大众对安全便捷金融服务的需求。”监管层专家表示。
一位银联人士认为,央行先对银行下发了《指导意见》,随后应该会有针对非金融机构的类似文件出来,否则会造成不公平监管。“银行监管本身已经很严格了,如果和非金融机构(比如支付宝、微信)监管不一致,会导致逆向激励。”
“一定要尽快出台针对非金融机构的文件,否则这种移动金融方案反而使得银行在支付宝等面前更弱势。”一位大行电子银行部人士表示。