文 《法人》记者 李立娟
互联网金融直面安全挑战
文 《法人》记者 李立娟
我国首部《网络安全法》的实施,意味着我国网络安全进入有法可依新阶段
5月12日以来,互联网上出现了针对Windows操作系统的Wannacry勒索软件蠕虫大范围感染事件而人心惶惶。不仅是个人用户,中石油等大型国企以及政府机构的系统也遭受到攻击,网络安全问题再次引发关注。
一方面是网络安全问题频发,另一方面则是监管的不断加强。违法与监管的相互博弈,注定了网络安全领域不会风平浪静。近年来,互联网金融在我国异军突起,金融加互联网的特性,亦给网络安全监管带来新的挑战。
近年来,随着互联网“跨界革命”的风潮席卷各大传统领域,金融业也不可避免的被卷入了变革的大潮之中,各类金融科技创新公司加速诞生,为中国互联网金融业迎来了巨大的发展机遇。截至2017年3月,中国互联网金融市场规模超过18万亿,互联网金融用户人数超过5亿,位列世界第一。
中研普华研究员陈后润在接受《法人》记者采访时表示,不同于传统金融,依托于互联网的新金融模式除了金融原有的风险之外,还引入了新的风险,数据大规模泄露、资金被盗、业务中断等事件频频发生。
2016年10月,美国网络中介服务商包括Twitter、Spotify、visa、华尔街日报等在内的上百家网站,均遭到了大规模的网络攻击,出现了无法访问的情况,大半个美国的网络瘫痪了;2016年,雅虎曾先后两次爆出信息泄露,刷新了人类大规模数据泄露的新纪录;2016年4月,德国Gundremmingen核电站的计算机系统,在常规安全检测中发现了恶意程序,为防不测而关闭了发电厂等等。
在中伦文德律师事务所陈云峰律师看来,网络安全在保障互联网经济和金融体系中有着举足轻重的地位。在几乎“万物互联”的现代社会,网络安全关系到用户个人信息维护和财产安全。个人信息的应用的多样化、高效率,如跨平台使用,导致知悉用户的一个平台账户密码就可以登录其他平台,如果网络平台之间缺乏认证或防护机制,整个互联网体系将会处于不稳定状态。
陈云峰认为,互金行业的网络安全问题主要体现在几方面:
首先是登录非法网站、恶意程序、开源的手机应用程序、使用来源不明的Wi-Fi网络导致用户的信息在“不知不觉”中遭到窃取或毁坏。
利用改进的最优-最差蚁群算法求解。设初始蚂蚁种群数为50,信息素因子为1,期望启发因子为5,信息素挥发系数为0.2,τij(0)=0.5,q0=0.2,以及最大循环代数为80。该算法每次循环执行80代,从多次执行情况可知,其平均在30代至40代之间收敛。算法收敛情况如图5所示。
其次,互金行业所有的业务均通过网络进行,用户的大量个人信息存储在互联网平台,而金融行业又是对客户个人信息依赖性极强的行业,一旦信息泄露,用户的财产安全就会受到巨大威胁。
最后,部分互联网从业者与用户安全意识的匮乏。很多用户缺乏安全意识,不注重保护个人信息、账户密码设置简单、授权来源不明的网站使用个人信息等。
“网络环境下的个人金融信息已经成为以文字、图案等载体客观存在的一种财产,具有财产性。并且一切个人信息均表现为数据,数据是网络环境下个人金融信息的唯一载体。如果信息传递的安全性无法保证,其产生的损失也是不可估量的。”陈云峰告诉《法人》记者。
陈云峰表示,互联网金融作为依托互联网发展起来的新型行业,安全是其根基。如果没有稳固的技术系统支撑,一旦遭遇外部恶意侵入,将会对用户与平台带来不可估量的损失。
“《网络安全法》的施行,意味着我国网络安全工作有了基础性的法律框架,有了网络安全的‘基本法’。”陈后润对《法人》记者说。
陈云峰同时强调:“准确来说,《网络安全法》是一部基础性的、专门的安全保障法律,很多条文仅做出原则性规定,而没有对问题的解决提供具体指导思路,操作性不够强。因此,在实际操作中如何落实、操作各项原则性保护办法和制度,就需要各主管部门另行制定实施细则、指引或相关产品目录等规范性文件。”
对于违法违规的平台,《网络安全法》第六章规定了详尽的法律责任。对网络运营者,根据具体的违法行为,主要的法律责任承担形式包括责令改正、警告、罚款,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员等进行罚款等;并且,有关机关还可以把违法行为记录到信用档案。此外,对于从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、人员,还建立了相应的职业禁入的制度。
陈云峰进一步说,《刑法修正案(九)》规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,具有法律规定的情形之一的,构成拒不履行信息网络安全管理义务罪。
同时,《网络安全法》亦对网络运营者设定了更加严格的要求。从某种程度上表明,监管非法信息的传播不仅是政府的责任,也成为网络运营者和网络服务提供者的义务。
“但是我认为,此原则范围太大,具体应用则应结合我国的民法、刑法或行政法对具体行为性质予以认定,并适用相关法条。”陈云峰说。
在陈后润看来,《网络安全法》的实施,其重大意义在于解决了以下几个问题:一是明确了部门、企业、社会组织和个人的权利、义务和责任;二是规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念;三是将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据,体现了依法行政、依法治国要求;四是建立了国家网络安全的一系列基本制度,这些基本制度具有全局性、基础性特点,是推动工作、夯实能力、防范重大风险所必需的。
关于在网络安全的建设过程中,互金平台如何扮演好自己角色,陈云峰认为,对内来说,可建立和完善安全管理制度、审核监控制度,并采取有效技术措施和网络安全防护设备保障网络安全、稳定运行,能有效应对网络安全事件是互金平台运作的先决条件。
此外,对外配合监管部门的监管要求,对业务系统定期进行安全检查和评估,就创新产品或想法及时和监管部门沟通。
“最后要强化用户的安全认知,通过安全提示等对用户进行安全引导和教育。”陈云峰告诉《法人》记者。
陈后润同时认为,对用户来说,要加强本身的风险防范意识;加强平台提供的安全检测服务应用能力,发现软件问题、删除恶意软件,加强安全保护;不要轻信误信所谓的套取诸如银行卡信息、手机验证码等有关金融账户安全的信息。对于企业,则要强化移动金融的安全环境,可以通过开展多样化的安全监测来实现风险防控,有效保障客户利益。
“还可选择使用第三方加固平台进行安全加固服务,重点是防止恶意窃取代码、二次打包、在运行中被植入恶意代码等。”陈后润表示,只有从政府政策监管,社会企业决策监管,用户自身监管等方面做起,互联网金融才能真正做到防患于未然,以促进互联网金融业务的持续、稳定和健康地发展。
陈云峰最后建议道,首先从技术标准上来说,互联网金融企业应按照《信息安全等级保护管理办法》定级并达到三级以上的技术标准,并配置安全稳定的技术设备管理及灾备防护体系。
此外,建立起完善的制度体系及文本协议。从制度建设、协议文本中完善与网络产品、服务提供者、外包服务商之间的合作协议、保密协议、用户协议。特别是涉及隐私保护及通知政策、个人信息授权许可条款,保密条款等方面须加强用户个人信息保护。
再次,互联网金融企业须及时解读新规内容,对企业的网络安全保护管理制度进行更新,使其符合监管部门的要求。
最后,配备专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查落实网络安全保护责任。
“总之,互联网金融企业既要建立起完善的硬件、软件安全防护体系,也要配备专业人员严格执行,才能真正做到有备无患。”陈云峰说。