中国银联董事长葛华勇:推动支付产业规范创新发展
党的十九大提出,要“加快建设创新型国家”,同时必须“守住不发生系统性金融风险底线”。
党的十九大提出,要“加快建设创新型国家”,同时必须“守住不发生系统性金融风险底线”。一方面,要把创新放在国家发展全局的核心位置;另一方面,要高度关注金融领域风险防控,确保我国经济金融体系健康发展。2018年《政府工作报告》对于防控经济金融风险提出了明确要求,“要标本兼治,有效消除风险隐患”。当前,国内金融市场已经迈入了“规范与发展并重、安全与创新并举”的新时代,但金融市场风险呈现出一些新的特征,尤其是在支付市场,犯罪手段科技含量较高、跨行业跨区域传播迅速、风险波及范围广、市场危害性较大。支付产业各方应携手切实肩负起社会责任与产业使命,进一步提升风险防范水平,严守安全生产底线,为社会公众提供更加安全、便捷、多样化的金融服务,为社会经济的平稳运行与金融市场的健康发展积极贡献力量。
支付创新发展面临的风险与挑战
支付系统是我国金融基础设施的有机组成部分,支付产业在服务实体经济、推进普惠金融、保障社会民生等方面发挥了举足轻重的作用。经过多年的努力,我国支付产业已进入高速增长、创新发展的兴盛期,正在步入移动支付新时代。与此同时,支付领域的风险形态也正在发生急剧变化,暴露出了诸多急需解决的风险隐患,产业各方应认清新形势、分析新特征、采取新方法,提升防控能力,严守风险底线,推进支付产业在规范中创新发展。
创新已成为推动支付产业发展的强劲动力,其发展的速度、深度、广度及复杂程度前所未有。一方面,人工智能、大数据、云计算等科技成果与支付产业深度融合,涌现出许多新的支付方式;另一方面,支付创新也催生出了新的风险,给产业发展带来新的挑战。
从支付产业发展的情况看,目前我国支付产业风险总体可控。2017年,银联网络整体欺诈率为1.36个基点(0.0136%),同比下降41.86%,持续处于全球及亚太地区低位;商业银行信用风险水平稳步下降,损失率为1.17%,同比下降0.52%;电信网络欺诈高发态势得到有效遏制,全年欺诈交易金额93亿元,同比下降13%;信用卡套现金额29.07亿元,同比下降46.97%;伪卡欺诈金额2.10亿元,同比下降47.87%。得益于人民银行要求境内银行自2017年5月1日起全面关闭芯片磁条复合卡的降级交易,从2017年下半年开始,境内伪卡欺诈金额和欺诈率下降明显。
尽管如此,支付产业近年来也出现了一些值得警惕的风险类型。比如,2017年,全球发生多起重大账户信息泄露事件,引发了多起集中盗刷欺诈案件;内部管理不足与系统漏洞被犯罪分子利用,导致不断发生系统性风险事件;移动支付风险正逐渐成为主要支付风险类型,移动手机端发生的账户盗用和欺诈呈现高发态势,给用户资金造成严重损失。究其原因,归纳起来主要有以下几个方面。
一是业务模式创新带来新隐患。面对移动支付、账户支付、条码支付、互联网金融等创新层出不穷,部分机构为了在市场竞争中获利,盲目追求业务创新,忽视风险隐患,甚至以创新为名、行违规之实。近年来,e租宝、钱宝网等企业利用互联网平台,以P2P投资理财获取高额收益等为诱饵,利用非银行支付机构通道,违规违法开展非法集资业务,造成重大财产损失。
二是金融科技应用成为“双刃剑”。人工智能、大数据、云计算、生物识别、区块链等科技成果大量应用,在带来支付新价值、新体验的同时,也逐渐暴露出安全盲点,引发了相关安全事件。比如,云计算技术在提高数据集中程度、为用户提供共享便利的同时,也带来因系统被攻击而引起的更多数据泄露风险。目前较为热门的区块链技术,高度依赖密码算法,未来一旦被破解,将产生系统性风险。这些风险尚未被充分识别,无疑加大了预先防范与监管规范的难度。
三是个人信息使用不规范。大数据产业与个人征信业务快速发展过程中,由于过度开放和规范缺失,个人信息在采集、使用、存储、传输各环节被批量窃取,继而被转卖、滥用,成为网络黑色产业链与“羊毛党”们用来攻击正常支付业务的主要信息来源。2017年,某大型国际高端酒店集团发生大规模信息泄露,涉及银行卡片数十万张,造成损失逾2000万元。
四是风险联合防范机制不健全。面对快速变化的风险态势,过去以司法机关、商业银行、支付清算组织为主的联合防范机制已难以适应形势发展。目前,支付产业各方在相关风险信息共享方面仍存在不足,各环节的风险信息处于割裂状态。未来需要加快形成有效的信息闭环,引入电信运营商、互联网公司、支付机构、安全厂商等产业链上下游各参与主体,同时还要加强与境外执法机构和支付卡组织的合作,发挥各自优势、分头防控拦阻,共同提高应对新型风险的联防联控能力。
支付产业风险呈现出诸多新特征
移动互联网时代,业务创新、技术创新、商业创新层出不穷,移动化、智能化、场景化的支付日趋普及,导致风险随之发生变化与转移,呈现出隐蔽性、复杂性、突发性、传染性、交叉性等新趋势。随着产业链条不断延伸,支付内涵与外延不断丰富,支付产业风险的产生、发展、扩散和爆发的规律更加复杂多样,呈现出一系列新特征。
一是各类风险形态交织并存。近期破获的案件显示,各类风险渐趋融合,由伪卡盗刷向账户冒用扩展,由传统套现向恶意分期、非法集资蔓延,由境内欺诈向跨境、跨网络迁移。由于各类风险相互影响,局部单一风险如未得到及时遏制,甚至容易演变成重大群体性、系统性风险。2017年在某省发生的支付卡欺诈案件中,欺诈分子通过违规复制敏感支付信息、制作伪卡,骗取制卡开发费,并涉嫌非法集资,涉案卡片69万张,约1亿元资金出现安全隐患,给传统依据风险类型设定的防范机制带来很大挑战。特别值得关注的是,套现、洗钱等触及法律底线的合规风险越发突出,需要引起产业各方高度重视。
二是支付风险传播蔓延加快。随着支付业务互联互通,参与主体不断增加,产品体系日趋多元,原有封闭的风险隔离机制已经不适应,责任边界逐渐模糊。加之新技术与应用结合更加紧密,一旦出现新型风险隐患,极易在网络中快速传播,呈现出指数式爆发增长态势,容易瞬时诱发系统性风险。2017年,发生了多起移动支付APP欺诈案件,部分机构的二维码支付产品刚上线,由于用户身份识别和交易验证手段存在漏洞,发生账户盗用并导致欺诈交易,且相关手法被快速复制传播至其他APP,呈现出跨机构、跨地区、针对不同类型漏洞多次攻击的特征,部分APP的欺诈交易比例一度超过50%。
三是欺诈犯罪手法翻新升级。犯罪分子借助互联网技术手段,利用伪基站、木马病毒等欺诈工具,形成一条包括数据窃取、信息包装、技术开发、欺诈实施、资金转移等在内的全流程黑色产业链条,并由业务攻击、场景攻击、规则攻击向系统攻击、数据攻击、网络攻击升级,犯罪手段日趋专业化、集团化、产业化。近期破获的特大信用卡诈骗案件中,犯罪分子通过专业分工、分段实施,短时间内连续作案,体现出很高的技术水平和专业化能力。尤其值得关注的是,近年来,账户信息泄露引发多起重大风险事件,风险短边效应明显,产业整体协防能力亟待加强。随着支付业务创新发展步伐加快,营销欺诈案件也逐渐高发,“羊毛党”通过非法购买个人信息、利用批量注册工具等方式,以低成本甚至零成本骗取高额奖励,侵害消费者合法权益,影响正常商业秩序,给产业健康发展埋下风险隐患。
四是账户信息安全问题凸显。支付产业电子化交易程度很高,各类信息均在互联网环境中进行传输、存储,时刻面临着各类攻击手段的威胁,既有通过改装POS机、批量侧录银行卡敏感信息,也有通过伪基站、木马病毒、网络钓鱼、黑客攻击等新型互联网犯罪技术截留并盗取各类账户及交易信息。近期在一些银行、酒店集团、航空公司、收单外包处理商发生的信息泄露事件,还呈现出从终端侧向系统侧转移、从核心系统向非核心系统和外部合作方系统转移的新特征,泄露渠道既有境内又有境外,泄露原因也更趋复杂多样。目前信息泄露已成为电信网络欺诈、伪卡盗刷、账户盗用等违法犯罪的重要源头。针对2017年的调查报告显示,在众多泄露事件中,有20%属于银行卡信息泄露,这一比例较2016年有所上升,给银行卡行业带来一定损失。
五是资金转移渠道更加隐蔽。支付网络延伸使得参与主体更加多元化,同时经营主体与真实客户之间通过网络开展业务,存在信息不对称、不真实问题。部分机构违规开放支付通道,对通道内业务真实性、合规性审核不足,容易滋生风险。种种迹象表明,近年来欺诈资金转移渠道正由线下ATM取现向线上转账等渠道快速迁移,由银行向支付机构蔓延,由境内单一网络向跨境、跨网络转移。由于相关参与方的风控能力不足、信息透明度不高等因素制约,风险处置、追缴打击和损失挽回等工作难以顺利展开。
多措并举严防支付风险
当前,我国支付产业已进入了一个新的发展时期,随着系列监管政策出台,绕过各类监管红线、游走于灰色地带的违规创新必将受到抑制,产业发展将逐步从数量的扩张转变为质量的提升,逐步从“先创新再规范”向“规范发展和鼓励创新并重”和“在有效监管框架下规范有序创新”转变。作为支付业的主要监管部门,人民银行高度重视支付安全,十分关注打击治理伪卡、套现、电信网络诈骗等突出风险,推出了一系列监管政策。2017年下半年以来,连续出台了217号、281号、296号等一系列政策文件,从产业资质、业务规范、受理终端等方面加大了对支付市场的监管,着力推动支付市场回归本源、参与主体回归本位,从根本上化解市场长期累积的各类风险。
创新发展与风险防范是对立统一的,两者相辅相成、不可偏废。创新是支付产业发展的内在驱动力,没有创新就没有进步;风险防范是产业发展的坚实后盾,没有风险防范就没有稳健的可持续发展。过度和无序的支付创新可能因诸多风险隐患被叫停,而绝对和封闭的风险防范则可能导致支付机构牺牲用户体验并丧失了发展机遇。为了在支付创新与风险防范之间实现平衡,需要市场各方共同努力,多措并举,严守风险防范的底线,使支付业始终处于以安全为前提、以快捷为手段、以良好的体验为目的的良性发展之中。
一是全面推进支付安全技术应用。提升支付工具的安全性,确保支付机构、商户、设备厂商、应用服务方等环节不留存敏感支付信息,降低敏感支付信息在存储、传输等环节中发生泄露的可能性,从源头确保账户信息安全。同时,借助安全载体、生物识别、地理位置信息等技术手段,形成更加便捷高效的支付安全验证能力,不断提升消费者安全便捷的支付体验。
二是着力营造行业规范自律氛围。打造统一的业务产品安全行业标准,建立创新业务流程,构建创新业务产品的行业检测、认证机制,确保各项创新业务产品的安全要求统一,弥补不同参与方的短板。在此基础上,有效提升行业整体自律意识,在各项业务开展前预先植入风险防范要求,推动非银行支付机构行业自律评价,开展行业自律检查,推动支付产品认证自律工作,形成更加开放、安全、高效的支付服务能力。
三是加快构筑产业智能风控体系。支付创新出现的新型风险特征迫切需要新型智能风控体系加以应对,为此,要强化产业大数据多维度风险识别分析能力,形成交易数据、支付场景、行为特征、用户身份、设备环境等关键风险防控信息交叉验证。同时,推动风险防控手段与产品业务流程的深入嵌合,加大运用机器学习、关联图谱、风险画像等前沿风控技术,增强风险大数据的获取能力,提高风险监控识别的实时性与精准性,构筑更加高效的智能风险防控能力与体系。产业各方需要加强风险防控合作,中国银联愿意积极为产业各方赋能,共同提升产业风险防控的整体水平,实现科学防范,早识别、早预警、早发现、早处置。
四是持续强化产业联防联控机制。紧跟产业创新发展,加快优化产品、业务、风险规则体系,建立产业黑名单、灰名单等风险信息共享机制,研究分析典型案件作案手法,有效发挥产业各主体的主观能动性及资源优势,提升风险的监控、处置效率。同时,积极配合公安机关开展打击金融网络支付犯罪,加强与国际卡组织、支付机构沟通,开展与国际刑警组织合作,增强跨境风险防控能力,完善跨境案件信息协查,共享犯罪信息线索,建立完善损失挽回机制,切实保障金融消费者合法权益。2018年初,银联与公安部共建的“打击预防金融支付犯罪联合实验室”已经正式揭牌,将在化解金融支付风险、夯实警银联动基础、增强打击支付犯罪实战攻防能力方面发挥积极作用。
五是不断加强金融安全宣传教育。充分整合、发挥产业各方资源优势,创新安全宣传手段,加大宣传力度,帮助金融消费者快速掌握识别诈骗技巧,牢筑金融安全意识。促进消费者金融安全宣传教育机制化、常态化、长效化,加大对社会弱势群体的重点关注,深入基层、社区普及金融知识,提升消费者安全意识和风险防范能力,形成消费者安全教育宣传的长效机制。