文 《法人》記者 李立娟

互聯(lián)網(wǎng)金融直面安全挑戰(zhàn)

文 《法人》記者 李立娟

我國首部《網(wǎng)絡(luò)安全法》的實(shí)施，意味著我國網(wǎng)絡(luò)安全進(jìn)入有法可依新階段

5月12日以來，互聯(lián)網(wǎng)上出現(xiàn)了針對(duì)Windows操作系統(tǒng)的Wannacry勒索軟件蠕蟲大范圍感染事件而人心惶惶。不僅是個(gè)人用戶，中石油等大型國企以及政府機(jī)構(gòu)的系統(tǒng)也遭受到攻擊，網(wǎng)絡(luò)安全問題再次引發(fā)關(guān)注。

一方面是網(wǎng)絡(luò)安全問題頻發(fā)，另一方面則是監(jiān)管的不斷加強(qiáng)。違法與監(jiān)管的相互博弈，注定了網(wǎng)絡(luò)安全領(lǐng)域不會(huì)風(fēng)平浪靜。近年來，互聯(lián)網(wǎng)金融在我國異軍突起，金融加互聯(lián)網(wǎng)的特性，亦給網(wǎng)絡(luò)安全監(jiān)管帶來新的挑戰(zhàn)。

新行業(yè)的安全挑戰(zhàn)

近年來，隨著互聯(lián)網(wǎng)“跨界革命”的風(fēng)潮席卷各大傳統(tǒng)領(lǐng)域，金融業(yè)也不可避免的被卷入了變革的大潮之中，各類金融科技創(chuàng)新公司加速誕生，為中國互聯(lián)網(wǎng)金融業(yè)迎來了巨大的發(fā)展機(jī)遇。截至2017年3月，中國互聯(lián)網(wǎng)金融市場規(guī)模超過18萬億，互聯(lián)網(wǎng)金融用戶人數(shù)超過5億，位列世界第一。

中研普華研究員陳后潤在接受《法人》記者采訪時(shí)表示，不同于傳統(tǒng)金融，依托于互聯(lián)網(wǎng)的新金融模式除了金融原有的風(fēng)險(xiǎn)之外，還引入了新的風(fēng)險(xiǎn)，數(shù)據(jù)大規(guī)模泄露、資金被盜、業(yè)務(wù)中斷等事件頻頻發(fā)生。

2016年10月，美國網(wǎng)絡(luò)中介服務(wù)商包括Twitter、Spotify、visa、華爾街日報(bào)等在內(nèi)的上百家網(wǎng)站，均遭到了大規(guī)模的網(wǎng)絡(luò)攻擊，出現(xiàn)了無法訪問的情況，大半個(gè)美國的網(wǎng)絡(luò)癱瘓了；2016年，雅虎曾先后兩次爆出信息泄露，刷新了人類大規(guī)模數(shù)據(jù)泄露的新紀(jì)錄；2016年4月，德國Gundremmingen核電站的計(jì)算機(jī)系統(tǒng)，在常規(guī)安全檢測中發(fā)現(xiàn)了惡意程序，為防不測而關(guān)閉了發(fā)電廠等等。

在中倫文德律師事務(wù)所陳云峰律師看來，網(wǎng)絡(luò)安全在保障互聯(lián)網(wǎng)經(jīng)濟(jì)和金融體系中有著舉足輕重的地位。在幾乎“萬物互聯(lián)”的現(xiàn)代社會(huì)，網(wǎng)絡(luò)安全關(guān)系到用戶個(gè)人信息維護(hù)和財(cái)產(chǎn)安全。個(gè)人信息的應(yīng)用的多樣化、高效率，如跨平臺(tái)使用，導(dǎo)致知悉用戶的一個(gè)平臺(tái)賬戶密碼就可以登錄其他平臺(tái)，如果網(wǎng)絡(luò)平臺(tái)之間缺乏認(rèn)證或防護(hù)機(jī)制，整個(gè)互聯(lián)網(wǎng)體系將會(huì)處于不穩(wěn)定狀態(tài)。

陳云峰認(rèn)為，互金行業(yè)的網(wǎng)絡(luò)安全問題主要體現(xiàn)在幾方面：

首先是登錄非法網(wǎng)站、惡意程序、開源的手機(jī)應(yīng)用程序、使用來源不明的Wi-Fi網(wǎng)絡(luò)導(dǎo)致用戶的信息在“不知不覺”中遭到竊取或毀壞。

利用改進(jìn)的最優(yōu)-最差蟻群算法求解。設(shè)初始螞蟻種群數(shù)為50，信息素因子為1，期望啟發(fā)因子為5，信息素?fù)]發(fā)系數(shù)為0.2，τij(0)=0.5，q0=0.2，以及最大循環(huán)代數(shù)為80。該算法每次循環(huán)執(zhí)行80代，從多次執(zhí)行情況可知，其平均在30代至40代之間收斂。算法收斂情況如圖5所示。

其次，互金行業(yè)所有的業(yè)務(wù)均通過網(wǎng)絡(luò)進(jìn)行，用戶的大量個(gè)人信息存儲(chǔ)在互聯(lián)網(wǎng)平臺(tái)，而金融行業(yè)又是對(duì)客戶個(gè)人信息依賴性極強(qiáng)的行業(yè)，一旦信息泄露，用戶的財(cái)產(chǎn)安全就會(huì)受到巨大威脅。

最后，部分互聯(lián)網(wǎng)從業(yè)者與用戶安全意識(shí)的匱乏。很多用戶缺乏安全意識(shí)，不注重保護(hù)個(gè)人信息、賬戶密碼設(shè)置簡單、授權(quán)來源不明的網(wǎng)站使用個(gè)人信息等。

“網(wǎng)絡(luò)環(huán)境下的個(gè)人金融信息已經(jīng)成為以文字、圖案等載體客觀存在的一種財(cái)產(chǎn)，具有財(cái)產(chǎn)性。并且一切個(gè)人信息均表現(xiàn)為數(shù)據(jù)，數(shù)據(jù)是網(wǎng)絡(luò)環(huán)境下個(gè)人金融信息的唯一載體。如果信息傳遞的安全性無法保證，其產(chǎn)生的損失也是不可估量的。”陳云峰告訴《法人》記者。

陳云峰表示，互聯(lián)網(wǎng)金融作為依托互聯(lián)網(wǎng)發(fā)展起來的新型行業(yè)，安全是其根基。如果沒有穩(wěn)固的技術(shù)系統(tǒng)支撐，一旦遭遇外部惡意侵入，將會(huì)對(duì)用戶與平臺(tái)帶來不可估量的損失。

網(wǎng)絡(luò)安全基本法

“《網(wǎng)絡(luò)安全法》的施行，意味著我國網(wǎng)絡(luò)安全工作有了基礎(chǔ)性的法律框架，有了網(wǎng)絡(luò)安全的‘基本法’?！标惡鬂檶?duì)《法人》記者說。

陳云峰同時(shí)強(qiáng)調(diào)：“準(zhǔn)確來說，《網(wǎng)絡(luò)安全法》是一部基礎(chǔ)性的、專門的安全保障法律，很多條文僅做出原則性規(guī)定，而沒有對(duì)問題的解決提供具體指導(dǎo)思路，操作性不夠強(qiáng)。因此，在實(shí)際操作中如何落實(shí)、操作各項(xiàng)原則性保護(hù)辦法和制度，就需要各主管部門另行制定實(shí)施細(xì)則、指引或相關(guān)產(chǎn)品目錄等規(guī)范性文件?！?/p>

對(duì)于違法違規(guī)的平臺(tái)，《網(wǎng)絡(luò)安全法》第六章規(guī)定了詳盡的法律責(zé)任。對(duì)網(wǎng)絡(luò)運(yùn)營者，根據(jù)具體的違法行為，主要的法律責(zé)任承擔(dān)形式包括責(zé)令改正、警告、罰款，責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員等進(jìn)行罰款等；并且，有關(guān)機(jī)關(guān)還可以把違法行為記錄到信用檔案。此外，對(duì)于從事危害網(wǎng)絡(luò)安全的活動(dòng)，或者提供專門用于從事危害網(wǎng)絡(luò)安全活動(dòng)的程序、工具，或者為他人從事危害網(wǎng)絡(luò)安全的活動(dòng)提供技術(shù)支持、人員，還建立了相應(yīng)的職業(yè)禁入的制度。

陳云峰進(jìn)一步說，《刑法修正案（九）》規(guī)定，網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，具有法律規(guī)定的情形之一的，構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。

同時(shí)，《網(wǎng)絡(luò)安全法》亦對(duì)網(wǎng)絡(luò)運(yùn)營者設(shè)定了更加嚴(yán)格的要求。從某種程度上表明，監(jiān)管非法信息的傳播不僅是政府的責(zé)任，也成為網(wǎng)絡(luò)運(yùn)營者和網(wǎng)絡(luò)服務(wù)提供者的義務(wù)。

“但是我認(rèn)為，此原則范圍太大，具體應(yīng)用則應(yīng)結(jié)合我國的民法、刑法或行政法對(duì)具體行為性質(zhì)予以認(rèn)定，并適用相關(guān)法條。”陳云峰說。

平臺(tái)應(yīng)盡其職

在陳后潤看來，《網(wǎng)絡(luò)安全法》的實(shí)施，其重大意義在于解決了以下幾個(gè)問題：一是明確了部門、企業(yè)、社會(huì)組織和個(gè)人的權(quán)利、義務(wù)和責(zé)任；二是規(guī)定了國家網(wǎng)絡(luò)安全工作的基本原則、主要任務(wù)和重大指導(dǎo)思想、理念；三是將成熟的政策規(guī)定和措施上升為法律，為政府部門的工作提供了法律依據(jù)，體現(xiàn)了依法行政、依法治國要求；四是建立了國家網(wǎng)絡(luò)安全的一系列基本制度，這些基本制度具有全局性、基礎(chǔ)性特點(diǎn)，是推動(dòng)工作、夯實(shí)能力、防范重大風(fēng)險(xiǎn)所必需的。

關(guān)于在網(wǎng)絡(luò)安全的建設(shè)過程中，互金平臺(tái)如何扮演好自己角色，陳云峰認(rèn)為，對(duì)內(nèi)來說，可建立和完善安全管理制度、審核監(jiān)控制度，并采取有效技術(shù)措施和網(wǎng)絡(luò)安全防護(hù)設(shè)備保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行，能有效應(yīng)對(duì)網(wǎng)絡(luò)安全事件是互金平臺(tái)運(yùn)作的先決條件。

此外，對(duì)外配合監(jiān)管部門的監(jiān)管要求，對(duì)業(yè)務(wù)系統(tǒng)定期進(jìn)行安全檢查和評(píng)估，就創(chuàng)新產(chǎn)品或想法及時(shí)和監(jiān)管部門溝通。

“最后要強(qiáng)化用戶的安全認(rèn)知，通過安全提示等對(duì)用戶進(jìn)行安全引導(dǎo)和教育。”陳云峰告訴《法人》記者。

陳后潤同時(shí)認(rèn)為，對(duì)用戶來說，要加強(qiáng)本身的風(fēng)險(xiǎn)防范意識(shí)；加強(qiáng)平臺(tái)提供的安全檢測服務(wù)應(yīng)用能力，發(fā)現(xiàn)軟件問題、刪除惡意軟件，加強(qiáng)安全保護(hù)；不要輕信誤信所謂的套取諸如銀行卡信息、手機(jī)驗(yàn)證碼等有關(guān)金融賬戶安全的信息。對(duì)于企業(yè)，則要強(qiáng)化移動(dòng)金融的安全環(huán)境，可以通過開展多樣化的安全監(jiān)測來實(shí)現(xiàn)風(fēng)險(xiǎn)防控，有效保障客戶利益。

“還可選擇使用第三方加固平臺(tái)進(jìn)行安全加固服務(wù)，重點(diǎn)是防止惡意竊取代碼、二次打包、在運(yùn)行中被植入惡意代碼等?！标惡鬂櫛硎?，只有從政府政策監(jiān)管，社會(huì)企業(yè)決策監(jiān)管，用戶自身監(jiān)管等方面做起，互聯(lián)網(wǎng)金融才能真正做到防患于未然，以促進(jìn)互聯(lián)網(wǎng)金融業(yè)務(wù)的持續(xù)、穩(wěn)定和健康地發(fā)展。

陳云峰最后建議道，首先從技術(shù)標(biāo)準(zhǔn)上來說，互聯(lián)網(wǎng)金融企業(yè)應(yīng)按照《信息安全等級(jí)保護(hù)管理辦法》定級(jí)并達(dá)到三級(jí)以上的技術(shù)標(biāo)準(zhǔn)，并配置安全穩(wěn)定的技術(shù)設(shè)備管理及災(zāi)備防護(hù)體系。

此外，建立起完善的制度體系及文本協(xié)議。從制度建設(shè)、協(xié)議文本中完善與網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者、外包服務(wù)商之間的合作協(xié)議、保密協(xié)議、用戶協(xié)議。特別是涉及隱私保護(hù)及通知政策、個(gè)人信息授權(quán)許可條款，保密條款等方面須加強(qiáng)用戶個(gè)人信息保護(hù)。

再次，互聯(lián)網(wǎng)金融企業(yè)須及時(shí)解讀新規(guī)內(nèi)容，對(duì)企業(yè)的網(wǎng)絡(luò)安全保護(hù)管理制度進(jìn)行更新，使其符合監(jiān)管部門的要求。

最后，配備專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任。

“總之，互聯(lián)網(wǎng)金融企業(yè)既要建立起完善的硬件、軟件安全防護(hù)體系，也要配備專業(yè)人員嚴(yán)格執(zhí)行，才能真正做到有備無患?！标愒品逭f。