央行定調(diào)移動(dòng)金融 讓創(chuàng)新有跡可循

中國(guó)的移動(dòng)支付具有巨大的潛力。技術(shù)創(chuàng)新也在不斷涌現(xiàn)。近期，央行發(fā)布了《關(guān)于推動(dòng)移動(dòng)金融技術(shù)創(chuàng)新健康發(fā)展的指導(dǎo)意見(jiàn)》（下稱《指導(dǎo)意見(jiàn)》），提升移動(dòng)金融安全可控能力，促進(jìn)移動(dòng)金融技術(shù)創(chuàng)新健康發(fā)展，切實(shí)發(fā)揮移動(dòng)金融普惠民生的作用。

一位監(jiān)管層專(zhuān)家向財(cái)新記者介紹了《指導(dǎo)意見(jiàn)》的出臺(tái)背景：“銀行業(yè)、互聯(lián)網(wǎng)企業(yè)、移動(dòng)商都在開(kāi)展移動(dòng)金融業(yè)務(wù)，但相同的業(yè)務(wù)做法各有特點(diǎn)、各有風(fēng)險(xiǎn)。因此業(yè)內(nèi)有一個(gè)呼聲，希望央行牽頭做一個(gè)指導(dǎo)意見(jiàn)，制定一個(gè)業(yè)務(wù)流程標(biāo)準(zhǔn)，從而有利于業(yè)內(nèi)分享經(jīng)驗(yàn)和風(fēng)險(xiǎn)控制。”

《指導(dǎo)意見(jiàn)》提出了推動(dòng)移動(dòng)金融技術(shù)創(chuàng)新健康發(fā)展的保障措施，指導(dǎo)商業(yè)銀行和銀行卡清算機(jī)構(gòu)積極落實(shí)國(guó)家網(wǎng)絡(luò)安全和信息技術(shù)安全有關(guān)政策，優(yōu)先采用自主可控的產(chǎn)品及密碼算法，加強(qiáng)移動(dòng)金融賬戶介質(zhì)標(biāo)準(zhǔn)符合性管理，增強(qiáng)移動(dòng)金融安全可控能力，有效保障移動(dòng)金融應(yīng)用流程的安全性；指出要加快構(gòu)建安全可信基礎(chǔ)環(huán)境，發(fā)揮檢測(cè)認(rèn)證的質(zhì)量保障作用，推動(dòng)標(biāo)準(zhǔn)落地實(shí)施，切實(shí)保障客戶資金和信息安全。

“這份文件對(duì)銀行的改造成本要求并不高。”上述監(jiān)管層專(zhuān)家表示。

有央行人士表示，《指導(dǎo)意見(jiàn)》目前包含銀行業(yè)金融機(jī)構(gòu)和銀聯(lián)，將來(lái)會(huì)納入支付寶與微信支付等。

一位監(jiān)管層人士對(duì)財(cái)新記者透露，針對(duì)非金融機(jī)構(gòu)的移動(dòng)金融文件目前正在征求意見(jiàn)，不久也會(huì)推出，兩個(gè)文件是配套的。

遵循原則

《指導(dǎo)意見(jiàn)》發(fā)布目的是：進(jìn)一步貫徹落實(shí)《國(guó)務(wù)院關(guān)于促進(jìn)信息消費(fèi)擴(kuò)大內(nèi)需的若干意見(jiàn)》和《國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)密碼局等部門(mén)關(guān)于金融領(lǐng)域密碼應(yīng)用指導(dǎo)意見(jiàn)的通知》有關(guān)精神，明確了移動(dòng)金融技術(shù)創(chuàng)新健康發(fā)展的方向性原則。

第一是遵循安全可控原則。移動(dòng)金融技術(shù)創(chuàng)新應(yīng)以安全可信和風(fēng)險(xiǎn)可控為底線，遵循金融及密碼領(lǐng)域的相關(guān)技術(shù)標(biāo)準(zhǔn)，發(fā)揮檢測(cè)認(rèn)證的質(zhì)量保障作用，切實(shí)維護(hù)客戶資金和信息安全，保護(hù)金融消費(fèi)者合法權(quán)益。

第二是秉承便民利民理念。移動(dòng)金融技術(shù)創(chuàng)新應(yīng)以服務(wù)民生為出發(fā)點(diǎn)，采用安全可控技術(shù)有效擴(kuò)大金融服務(wù)覆蓋范圍，特別是填補(bǔ)農(nóng)村及偏遠(yuǎn)地區(qū)金融服務(wù)空白，讓社會(huì)公眾享受到移動(dòng)金融的普遍性、安全性和便利性。

第三是堅(jiān)持集成創(chuàng)新發(fā)展。移動(dòng)金融是金融IC卡應(yīng)用的繼承和創(chuàng)新。移動(dòng)金融技術(shù)創(chuàng)新應(yīng)堅(jiān)持集成式發(fā)展，最大限度使用現(xiàn)有金融IC卡技術(shù)基礎(chǔ)設(shè)施，減少重復(fù)建設(shè)，實(shí)現(xiàn)集約化發(fā)展和規(guī)模化應(yīng)用。

關(guān)于如何理解該條中提到的“減少重復(fù)建設(shè)”,監(jiān)管層專(zhuān)家表示，是指線下POS機(jī)、ATM機(jī)等基礎(chǔ)設(shè)施。“重復(fù)建設(shè)”并不是指不同金融機(jī)構(gòu)重復(fù)布設(shè)機(jī)具，而是指同一臺(tái)機(jī)具要盡可能兼容現(xiàn)在所有的銀行卡，并且應(yīng)當(dāng)支持金融IC卡和NFC支付。

“不能一臺(tái)POS機(jī)只能刷卡，另一臺(tái)POS機(jī)只能刷手機(jī)。”監(jiān)管層專(zhuān)家表示，這是從節(jié)約成本的角度出發(fā)。在新設(shè)計(jì)的POS機(jī)中，盡量做到兼容性強(qiáng)，讓金融IC卡能用，手機(jī)也能用，否則改造舊的POS機(jī)要增加很多人力物力成本。

第四是注重服務(wù)融合發(fā)展。移動(dòng)金融是金融服務(wù)在信息化、移動(dòng)化環(huán)境下的渠道拓展和功能延伸。移動(dòng)金融技術(shù)創(chuàng)新應(yīng)加快銀行卡與手機(jī)銀行服務(wù)的協(xié)同發(fā)展，促進(jìn)移動(dòng)金融與電子商務(wù)、公共服務(wù)等領(lǐng)域的融合發(fā)展。

短信驗(yàn)證碼作廢

《指導(dǎo)意見(jiàn)》還對(duì)移動(dòng)金融服務(wù)的交易可靠性提出了要求：采取手機(jī)等移動(dòng)終端直接與后臺(tái)系統(tǒng)遠(yuǎn)程交互的方式提供移動(dòng)金融服務(wù)時(shí)，各商業(yè)銀行和銀行卡清算機(jī)構(gòu)應(yīng)使用可靠的多因素身份認(rèn)證方式，并采用手機(jī)安全單元（SE）、智能密碼鑰匙（Key）等基于安全芯片的電子設(shè)備作為必要的認(rèn)證因素、以確保資金類(lèi)、重要信息變更類(lèi)、重要業(yè)務(wù)變更類(lèi)等高風(fēng)險(xiǎn)交易的安全。

“過(guò)去PC端的網(wǎng)上銀行要求使用U盾，手機(jī)銀行其實(shí)也是網(wǎng)上銀行。這次的要求就是要提升手機(jī)銀行的安全保障能力，”監(jiān)管層專(zhuān)家稱，“過(guò)去病毒、木馬主要針對(duì)PC端，以后移動(dòng)端用戶多了，可能會(huì)存在風(fēng)險(xiǎn)隱患。”

按照《指導(dǎo)意見(jiàn)》要求，手機(jī)需具備SE或Key等基于安全芯片的電子設(shè)備。目前方案分兩類(lèi)，包括Key（類(lèi)似網(wǎng)銀U盾），或手機(jī)內(nèi)置SE安全芯片。

監(jiān)管層專(zhuān)家表示，目前包括三星、華為等部分支持非接觸支付的智能手機(jī)已內(nèi)嵌了SE元件，電信運(yùn)營(yíng)商也在部分SIM卡里增加了SE元件；如果不具有SE,也可以通過(guò)網(wǎng)銀Key的形式。Key類(lèi)似PC端網(wǎng)上銀行的U盾，但由于手機(jī)沒(méi)有USB接口，因此可以通過(guò)藍(lán)牙等方式。

銀聯(lián)人士認(rèn)為，目前的手機(jī)銀行只要安裝后輸入用戶名密碼就能用，但這樣很容易被黑客用遠(yuǎn)程手段或電話詐騙破解?！吨笇?dǎo)意見(jiàn)》要求移動(dòng)金融業(yè)務(wù)一定要綁定硬件，這無(wú)疑加強(qiáng)了手機(jī)銀行的安全性，但也對(duì)銀行提出了挑戰(zhàn)。

銀聯(lián)人士表示，用令牌（Token,顯示跳變的六位數(shù)）登陸網(wǎng)上銀行的銀行很多，但把令牌加進(jìn)手機(jī)銀行做校驗(yàn)的銀行還不多。銀行也擔(dān)心客戶不理解，再發(fā)放一個(gè)外置設(shè)備，客戶可能會(huì)覺(jué)得麻煩。

但在監(jiān)管層專(zhuān)家看來(lái)，這“不是一個(gè)問(wèn)題”,“只要手機(jī)有藍(lán)牙功能，就可以安裝Key;銀行使用的令牌也可以。”這條規(guī)定其實(shí)未對(duì)設(shè)備提出新的要求，因?yàn)楝F(xiàn)在的手機(jī)“幾乎都符合條件”.

《指導(dǎo)意見(jiàn)》還對(duì)一次性安全驗(yàn)證碼提出了安全警示：使用一次性安全驗(yàn)證碼（如手機(jī)短信驗(yàn)證碼）作為多因素之一時(shí)，應(yīng)切實(shí)防控因一次性安全碼獲取端與交易指令發(fā)起端為同一物理設(shè)備等隱患帶來(lái)的風(fēng)險(xiǎn)。

“2015年12月31日前，各商業(yè)銀行和銀行卡清算機(jī)構(gòu)提供的相關(guān)移動(dòng)金融服務(wù)原則上應(yīng)符合上述要求。”《指導(dǎo)意見(jiàn)》明確表示。

銀行人士表示，一般的認(rèn)證方式主要是用戶名密碼的單因素認(rèn)證方式，雙因素認(rèn)證方式就是除了用戶名密碼認(rèn)證，還采用如Key、PIN碼、數(shù)字證書(shū)等其他認(rèn)證方式，從而達(dá)到強(qiáng)身份認(rèn)證。

監(jiān)管層專(zhuān)家表示，《指導(dǎo)意見(jiàn)》指出在移動(dòng)支付、手機(jī)銀行上慎用短信驗(yàn)證碼，其原因是安全碼獲取端和發(fā)起端為同一物理設(shè)備，手機(jī)不再是第二安全渠道。“以前有的銀行采取密碼+手機(jī)短信安全碼作為雙因素認(rèn)證，今后手機(jī)短信安全碼可以繼續(xù)輔助使用，但它屬于無(wú)效因素，用不用都一樣。”

《指導(dǎo)意見(jiàn)》指出要采用包括基于安全芯片的電子設(shè)備、密碼在內(nèi)的多因素認(rèn)證，這其實(shí)比接收短信更安全、方便。監(jiān)管層專(zhuān)家表示，希望通過(guò)《指導(dǎo)意見(jiàn)》提醒商業(yè)銀行，防止一旦有專(zhuān)門(mén)截獲短信的木馬出現(xiàn)而帶來(lái)的風(fēng)險(xiǎn)。

讓創(chuàng)新有跡可循

在卡標(biāo)準(zhǔn)方面，《指導(dǎo)意見(jiàn)》指出，采取移動(dòng)終端在交易現(xiàn)場(chǎng)與受理終端交互的方式提供移動(dòng)金融服務(wù)時(shí)，原則上應(yīng)使用基于安全芯片的賬戶介質(zhì)（包括SIM卡、SD卡、全終端手機(jī)等各種形態(tài)的SE,統(tǒng)稱為移動(dòng)金融IC卡），并符合中國(guó)金融IC卡、銀行卡受理等金融領(lǐng)域的相關(guān)標(biāo)準(zhǔn)。

監(jiān)管層專(zhuān)家表示，應(yīng)當(dāng)注意的是，如果銀行是和電信運(yùn)營(yíng)商、手機(jī)廠商合作開(kāi)展移動(dòng)金融服務(wù)時(shí)，《指導(dǎo)意見(jiàn)》指出銀行有責(zé)任要求運(yùn)營(yíng)商、手機(jī)廠商的產(chǎn)品符合金融標(biāo)準(zhǔn)。“原先的SIM卡是通信標(biāo)準(zhǔn)，安全級(jí)別較低，但如果加載了金融賬戶，就是一個(gè)金融IC卡了，就要符合金融的安全標(biāo)準(zhǔn)。”

《指導(dǎo)意見(jiàn)》還提出，自2016年1月1日起，各商業(yè)銀行和銀行卡清算機(jī)構(gòu)開(kāi)展移動(dòng)金融服務(wù)所采用的TSM、SE、嵌入式應(yīng)用軟件等軟硬件產(chǎn)品，原則上應(yīng)符合相關(guān)標(biāo)準(zhǔn)，并通過(guò)“移動(dòng)金融技術(shù)服務(wù)”認(rèn)證。相關(guān)認(rèn)證機(jī)構(gòu)名錄可以通過(guò)國(guó)家認(rèn)證認(rèn)可管理部門(mén)網(wǎng)站查詢。

監(jiān)管層專(zhuān)家認(rèn)為，《指導(dǎo)意見(jiàn)》主要是把之前總結(jié)的一些內(nèi)容明確提出來(lái)了，給銀行指出一個(gè)健康的大方向，按照這個(gè)方向去做，是符合國(guó)家的發(fā)展方向的。在滿足必要條件前提下，鼓勵(lì)銀行大膽創(chuàng)新。

“現(xiàn)在銀行普遍困惑在于，希望創(chuàng)新但不知道怎么創(chuàng)新是安全、符合標(biāo)準(zhǔn)的，《指導(dǎo)意見(jiàn)》也是讓銀行未來(lái)的發(fā)展有跡可循；同時(shí)《指導(dǎo)意見(jiàn)》有利于加快移動(dòng)金融在公共服務(wù)、電子商務(wù)等領(lǐng)域的廣泛應(yīng)用，有效滿足社會(huì)大眾對(duì)安全便捷金融服務(wù)的需求。”監(jiān)管層專(zhuān)家表示。

一位銀聯(lián)人士認(rèn)為，央行先對(duì)銀行下發(fā)了《指導(dǎo)意見(jiàn)》，隨后應(yīng)該會(huì)有針對(duì)非金融機(jī)構(gòu)的類(lèi)似文件出來(lái)，否則會(huì)造成不公平監(jiān)管。“銀行監(jiān)管本身已經(jīng)很?chē)?yán)格了，如果和非金融機(jī)構(gòu)（比如支付寶、微信）監(jiān)管不一致，會(huì)導(dǎo)致逆向激勵(lì)。”

“一定要盡快出臺(tái)針對(duì)非金融機(jī)構(gòu)的文件，否則這種移動(dòng)金融方案反而使得銀行在支付寶等面前更弱勢(shì)。”一位大行電子銀行部人士表示。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。