伍旭川++劉學

隨著金融科技的快速發(fā)展，其規(guī)模和交易量的不斷上升，對金融科技的信息技術安全提出了更高的要求和標準。當前，金融科技發(fā)展面臨著網絡安全、平臺安全和信息與數(shù)據(jù)安全等多種信息技術安全風險隱患，一旦發(fā)生安全風險，不但威脅到用戶的利益，也會給金融科技企業(yè)本身帶來巨大的損失，破壞整個行業(yè)的發(fā)展，甚至還會帶來系統(tǒng)性金融風險。因此，需要高度關注金融科技的信息技術安全風險，在社會各參與主體共同的努力下，建設金融科技的信息技術安全體系。

一、構建金融科技信息技術安全制度體系

（一）建立與完善金融科技監(jiān)管的法律法規(guī)

首先，要完善金融科技法律法規(guī)，搭建起金融科技的法律體系。這需要制定金融科技信息安全行業(yè)標準，提高金融科技企業(yè)的安全準入門檻，同時還要明確金融科技企業(yè)的法律地位、金融監(jiān)管部門以及政府的監(jiān)管職責、金融科技行業(yè)的準入和退出機制。

其次，要構建包含一行三會、司法和稅務等多部門的多層次、跨行業(yè)、跨區(qū)域的金融科技監(jiān)管體系。

另外最后，還要提升金融科技消費者權益保護力度，逐步完善金融科技消費者權益保護的法律制度框架。這需要加強信用環(huán)境建設，完善信息披露制度，暢通金融科技消費的投訴受理渠道，建立消費者保護的協(xié)調合作機制。

（二）加強金融科技信息安全技術體系建設

加強金融科技信息安全技術體系建設，在核心軟硬件上去除對國外產品的依賴，開發(fā)具有高度自主知識產權的核心技術，使在金融科技的關鍵領域和關鍵環(huán)節(jié)使用國產化軟硬件設備，提升金融科技行業(yè)的信息安全風險防范能力。

另外，還要加大對信息安全技術的投入，以信息安全等級保護為基礎，建立基于云計算和大數(shù)據(jù)的標準體系，從整個信息系統(tǒng)生命周期來實現(xiàn)金融科技長期有效的安全保障。

（三）建設金融科技信息安全風險評估應急體系

針對當前金融科技的發(fā)展特點，借鑒考國際先進風險評估規(guī)范的經驗做法，建設金融科技安全風險評估應急體系。，以風險管理的視角分析金融科技信息安全系統(tǒng)所存在的漏洞、威脅及脆弱性，評估發(fā)生信息安全事件時可能造成的危害，并提出整改措施和相應對策，提升金融科技信息安全風險的防范與應對能力。高度重視并持續(xù)推進金融科技的系統(tǒng)災備和應急體系建設，應急演練常態(tài)化，建立第三方評估機制，從而保障金融科技的信息安全。

二、

構建金融科技信息技術安全風險防范與內控體系

（一）提升金融科技的信息安全風險防范與應對能力

首先，金融科技企業(yè)要重視并提升終端設備的信息安全風險防范能力與應對能力，減少對國外先進技術的依賴，盡可能地使用國產的軟硬件產品，要把科技的發(fā)展作為風險管理的重要手段，努力建立網絡安全防護體系，降低安全隱患。

其次，要提升金融業(yè)務交易環(huán)節(jié)的安全風險防范能力，要在業(yè)務交易環(huán)節(jié)，主要包括交易平臺的登錄和支付兩大重要環(huán)節(jié)，提供足夠的安全保障。

另外最后，還要提升數(shù)據(jù)傳輸中的信息安全風險防范能力。數(shù)據(jù)的傳輸環(huán)節(jié)也是黑客的攻擊重要目標，因此需要引入電子認證技術等多種措施提升數(shù)據(jù)在傳輸過程中的信息安全性。

（二）加強內部控制體系建設

首先，要提高管理人員的風險意識和管理水平。金融科技企業(yè)要高度重視內部控制體系對提高風險防范能力的重要性，要建立一套完整的內部控制管理制度體系，提高管理人員的風險意識、內部監(jiān)督管理水平和風險管理能力。

其次，金融科技企業(yè)要對金融交易進行監(jiān)測?？梢圆捎么髷?shù)據(jù)技術對平臺上的金融交易行為進行全方位實時監(jiān)測與分析，以防止出現(xiàn)金融科技的監(jiān)管漏洞，并對交易進行整體評估，確定其風險狀況和必要的預警。

另外最后，金融科技企業(yè)的內部控制體系還要配合監(jiān)管部門的統(tǒng)計監(jiān)測和風險評估。由于監(jiān)管部門應對重視金融科技風險也比較重視，也會根據(jù)金融風險防范的需要，制定金融科技風險的監(jiān)控標準（包括確定數(shù)據(jù)類別、定義監(jiān)控指標、劃分統(tǒng)計范圍、確定監(jiān)控頻率等）并建立相應的風險評估機制，金融科技企業(yè)要配合好監(jiān)管部門的這些相應工作，以有利于金融科技發(fā)展的整體安全環(huán)境的創(chuàng)造。

（三）通過新技術與新業(yè)務來提高金融科技信息安全風險的防范能力

第一首先，加強新興技術在金融科技信息安全風險防范中的應用。隨著新興技術的不斷發(fā)展和升級換代，金融科技企業(yè)要積極采用先進的信息技術軟硬件設施來提升平臺的安全性，甚至還可以積極創(chuàng)造條件開發(fā)擁有自主知識產權的信息技術設施，開發(fā)新型認證設備，提高金融科技系統(tǒng)的安全防御能力，保證終端平臺的認證安全。

第二其次，還可以創(chuàng)新保險產品在信息安全風險防范中的新應用，通過引入保險產品來降低安性風險帶來的損失。比如，可以購買安全與隱私保護綜合保險、網絡安全險等。由于這類保險承保標的主要是企業(yè)內部存有的機密商業(yè)信息、客戶信息和雇員個人信息等，針對各種原因引起的數(shù)據(jù)丟失、網絡被加插惡意軟件、網絡盜竊與網絡敲詐、企業(yè)或客戶信息泄露等風險事件做出理賠，可以激勵企業(yè)加強信息保護方面的力度，有效協(xié)助客戶減輕安全和隱私侵犯導致的負面效應和市場不利影響，從而有利于降低企業(yè)在發(fā)生安全風險事件后所帶來的經濟損失。

三、

構建金融科技信息技術安全的消費者保護體系

（一）加大對投資者的風險宣傳和消費者保護的力度

由于投資者缺乏專業(yè)的金融知識和金融科技風險意識，需要加大對投資者的風險宣傳力度，建立消費者權益保護機制。

首先，金融科技企業(yè)要加大加強信息的披露，要在交易時向投資者進行足夠的風險提示，確保交易安全、信息安全和投訴渠道暢通。

其次，金融科技企業(yè)不能過度營銷高收益產品，甚至還要對投資者的風險偏好和風險承擔能力進行足夠的了解，實事求是地向投資者說明金融科技產品可能面臨的所有風險，讓投資者自主決策自己的投資行為。

另外最后，要引導投資者提高風險意識、養(yǎng)成良好的網絡使用習慣，比如在使用金融科技服務時，應加強自身風險防范意識，注意保護個人隱私。

（二）加強用戶信息安全教育

用戶的信息以及由此帶來的長尾效應和對用戶數(shù)據(jù)進行有效的挖掘和分析，這是金融科技實現(xiàn)快速發(fā)展的重要基礎。加強對用戶的信息安全教育，這本身不只是對投資者的保護，也是對金融科技發(fā)展的市場環(huán)境的保護。金融科技企業(yè)要高度重視對用戶的信息安全教育，以及該項工作的重要性，對于用戶的信息安全意識普及和教育除了依靠社會資源外，更重要的是要把信息安全的宣傳普及工作融入到產品的設計當中，系統(tǒng)性地考慮對用戶的金融風險提示與信息安全教育，使用戶在使用金融科技產品的過程中不自覺地培養(yǎng)出重視信息安全的習慣。比如，在用戶設置支付密碼時，要推薦并引導用戶使用復雜度足夠的且不容易被盜取的支付密碼，并在交易產品各個環(huán)節(jié)都要提醒用戶加強自身的隱私保護等，使用戶信息安全教育融入到產品的交易之中，從而有效提升客戶的安全意識。

（三）通過法律與自律保護用戶的隱私與數(shù)據(jù)

客戶的隱私保護，需要從法律、行業(yè)、企業(yè)三個方面共同努力。

首先，完善的法律是保護客戶隱私的根本，行業(yè)與企業(yè)的自我約束是必要條件，要充分結合法律和行業(yè)自律機制來保護用戶的隱私和數(shù)據(jù)。

其次，盡管我國當前還沒有出臺特別細致的金融科技客戶隱私保護法律，但消費者權益保護、計算機安全及網絡犯罪相關的法律條文或管理辦法做了原則上的規(guī)范與限制，這就要求金融科技企業(yè)嚴格遵守這些法律法規(guī)的相關條款，保護好用戶的隱私和數(shù)據(jù)。另外

最后，金融科技企業(yè)要做好自律，嚴格遵循信息安全的基本規(guī)則進行數(shù)據(jù)存儲和分析，將客戶的隱私視為企業(yè)信用的核心加以保護。

總之，金融科技的信息技術安全需要政府、企業(yè)和社會等各方的共同參與和共同努力，積極采用法律、法規(guī)、技術和教育等多重手段措施，共同建立一個安全的金融科技生態(tài)環(huán)境，推動我國金融科技的健康持續(xù)發(fā)展。

作者單位： 中國人民銀行金融研究所

責任編輯：鹿寧寧 劉穎 伍旭川

中國人民銀行金融研究所互聯(lián)網金融研究中心 劉 學