辛幸
摘要:互联网金融之所以备受关注,不仅在于其令人眼睛一亮的表现,还在于对其安全性的担忧。互联网金融是一把“双刃剑”,在带来便利和效率的同时,既有金融业固有的风险,也有与新技术伴生的安全隐患。
关键词:互联网金融,数据挖掘,风险,监管
(一)互联网与金融都属于高风险行业,两者联姻形成风险叠加
互联网本身就是一个开放、虚拟、跨界的平台,一点接入全网皆通,风险扩散快、波及面广。我国作为一个发展中国家,无论是核心器件、应用软件,还是域名、互联网协议地址(IP)、根域名解析服务器等关键资源和基础设施,都先天不足,网络安全形势严峻。一是网络攻击猖獗。各种病毒、木马不断翻新演化,篡改网站、攻击服务器等案件持续激增。二是网络诈骗高发。百度安全中心数据显示,2014年该中心扫描到1.45亿个虚假金融网址。三是网络防护脆弱。互联网金融企业大多规模小,安全防护投入严重不足,技术人才匮乏,秘钥管理不到位,相当多的互联网金融企业没有灾备。上述风险隐患直接移植到互联網金融,很容易造成系统瘫痪、信息泄露和财产损失。
我国互联网金融还处于起步阶段和摸索期,又“网来网去”,难免鱼龙混杂,出现非法集资、流动性不足、违规经营等风险隐患。比如,目前办一个P2P网站成本很低,在淘宝网几十元就可以买到P2P模板,这为一些不法分子披着“高科技的外衣”从事非法集资提供了便利。基于互联网的货币市场基金变现期限短,甚至可以实时消费和变现,一旦形势逆转就可能出现大规模变现或挤提。一些P2P平台脱离居间服务的定位和宗旨,搞了“类证券”、“类期货”杠杆业务。大部分P2P平台采取第三方担保模式,且担保的倍数远超过10倍的法定警戒线。
随着云计算、大数据等技术的进步和普及,互联网金融的风险隐患还会有增无减。在云计算方面:一是金融数据由内部存储、隔离防护和加密,转由云计算服务商托管,通过共享虚拟机进行逻辑隔离,很容易被“内贼”窃密。二是云计算平台界面开放、资源共享,单体风险很容易演化为系统性风险,“火烧连营”。三是存储资源反复使用和再分配,数据擦除可能不彻底,新用户可以通过还原窃取原用户数据。在大数据方面,由于数据开放程度不断提高,数据比对、关联性分析能力越来越强大,使原本加密、匿名化处理的用户信息可能被提炼和萃取,保密难度更大。
(二)互联网金融高度依赖数据挖掘和利用,加大了个人信息泄露风险
数据是互联网金融的核心资源。如何解决海量数据处理与个人信息保护的天然冲突,是一个两难选择。我国对个人信息保护的主要依据是:2012年12月全国人大常委会通过的《关于加强网络信息保护的决定》,2013年7月工业和信息化部发布的《电信和互联网用户个人信息保护规定》。这些规定或者过于原则,或者惩罚措施不够严厉,还没有形成尊重隐私、保护个人信息的制度和氛围。而美欧等发达国家在这方面相当严格。如美国通过《宪法》第四修正案、《隐私权法》、《电子通信隐私法》和判例,将隐私权上升为宪法权利,并制定了完善的保护规则。欧盟1995年就通过了《个人数据保护指令》。
从目前互联网金融使用的数据看,涉及的个人信息十分广泛,包括个人身份、信用、财产、上网行为、消费记录等信息,在信息收集、交易、存储等各个环节都存在不少泄露和滥用风险。一是过度收集用户个人信息。如2014年3月携程网未经用户同意,收集用户银行卡卡号、信用卡3位数安全码(CVV码)及6位数银行标识代码(Bin码),导致大量用户解绑银行卡。二是非法交易海量用户信息。如2010年支付宝前员工将20吉字节(Giga Byte)用户资料有偿出售给其他电商公司和数据公司,涉及上千万用户的姓名、手机、邮箱、住址、消费记录等个人信息。三是信息保护不到位。以P2P平台为例,建立信息保护制度的企业占比不到1%,大量中小P2P平台成为黑客攻击的重灾区。四是个人信息识别难度大幅降低。利用云计算、大数据技术可以大规模“扫号”,暴力破解用户账号和密码,进而通过数据库关联性分析和交叉验证“撞库”,掌握用户在不同网站的账号和密码。
从未来发展趋势看,互联网金融企业为了提高竞争优势,会充分运用更加先进的技术手段,精确识别用户身份和偏好,精准营销,个人信息保护面临的挑战越来越大。
(三)互联网金融普遍跨界经营,监管难度较大
与传统金融不同的是,互联网金融基于开放的平台,产品和业务创新层出不穷,没有经营范围、地域等制约。一是混业经营。目前,互联网金融企业涉足多种金融业务已是常态。比如,蚂蚁金服的业务种类包括第三方支付、信贷、理财、保险、信托投资等,并准备开展征信、清算业务。二是跨地区经营。互联网金融企业注册地集中在北京、上海、杭州、深圳等地,服务范围却覆盖全国各地。比如,蚂蚁金服注册地在杭州,余额宝的浙江用户仅占6.7%。三是跨境经营。目前已有一些互联网金融企业开展跨境支付服务,如国际版支付宝(Es-crow)、快钱、财付通等。美国 Ripple Labs 在大中华区的总代理——北京锐波公司,通过开发基于互联网的去中心化清算结算协议,撮合不同国别付款人和收款人之间的支付信息,实现了任意币种包括比特币之间的便利就近低成本清算。
我国实行的是分业监管体制,如果按照现有的框架监管互联网金融,可能面临一系列挑战。比如,如何在各种不断创新的业务和产品之间建立风险防火墙,如何解决异地监管面临的职责划分、信息获取、调查取证、整改落实等难题,如何防范跨国洗钱、热钱大进大出等问题,如何提高身份认证、主体溯源的可靠性和网站接入备案的准确性,等等。
参考文献
[1]吴晓求:《互联网金融的逻辑》,《中国金融》2014年第3期。
[2]杨才然、王宁:《互联网金融风险的银行视角》,《中国金融》2015年第7期。
[3]Laeven,L.,&Levine R.,Bank governance,regulation and risk taking,Journal of Financial Economics,Vol 93,No.2,2009,259-275.