所在位置:365法律网 > 法律法规知识 > 正文

电子支付的风险防范问题

法律领域专业人士:孙笑德精选
主要从事:律师事务所(公司)担任职业律师一职,拥有多年的法律服务经验,可以一对一帮您解答问题(24小时在线),我就是您的法律援助!

[导读]:本文所有内容由法律领域专业人士“孙笑德”负责编辑,主要解答【电子支付】电子支付的风险防范问题 1、电子支付风险管理步骤 电子支付与传统金融风险管理的基本步骤和原理几乎是一样的,但是,不同的国家、不同的监管机构可能会根据不同的情况,制......本文有4402个文字,预计阅读时间12分钟。

【电子支付】电子支付的风险防范问题

1、电子支付风险管理步骤

电子支付与传统金融风险管理的基本步骤和原理几乎是一样的,但是,不同的国家、不同的监管机构可能会根据不同的情况,制定出不同的电子支付风险管理要求。目前,最为常见、最为通俗易懂的是巴塞尔委员会采用的风险管理步骤。以网上银行为例,巴塞尔委员会把电子支付风险管理分为三个步骤:评估风险、管理和控制风险以及监控风险。评估风险实际包含了风险识别过程,不过,识别风险只是最基本的步骤,识别之后,还需要将风险尽可能地量化;经过量化以后,银行的管理层就能够知道银行所面临的风险究竟有多大,对银行会有什么样的影响,这些风险发生的概率有多大。等等。在此基础上,银行的管理层要做出决定,确定本银行究竟能够忍受多大程度的风险。换句话讲,如果出现这些风险。造成了相应的损失。银行的管理层能不能接受。到了这一步风险的评估才算完成了。管理和控制风险的过程比较复杂,简单地说就是各种各样相应的控制措施、制度的采用。最后一个步骤即风险的监控是建立在前两个步骤基础上的,实际上是在系统投入运行、各种措施相继采用之后,通过机器设备的监控,通过人员的内部或者外部稽核,来检测、监控上述措施是否有效,并及时发现潜在的问题,加以解决。

许多国家都接受巴塞尔委员会电子支付风险管理的步骤,并加以本土化,针对本国银行的特点,制定出本国电子支付风险管理的基本程序。比如美国通货监管局负责监管美国的国民银行,随着大量国民银行采用各种各样的电子技术向客户提供电子支付的服务,国民银行将与技术有关的风险管理也分成三个步骤:计划、实施、检测和监控。计划阶段在一定程度上包括风险的识别、量化等,但主要是针对某一个具体项目的采用而言。而实施实际上类似于巴塞尔委员会的管理和控制风险这一步骤,将各种相应风险控制和防范措施加以实际运用,以控制项目运行后造成的风险。检测和监控阶段则同巴塞尔委员会的风险监控大同小异。

因此,简单地说,风险的管理过程是技术措施同管理控制措施相结合而形成的一系列制度、措施的总和。整个过程同传统银行业务的风险管理差别并不是很大,但电子支付采用的新的风险管理措施需要同银行原有的内控制度相配合,同传统业务的风险管理措施相融合。

2、防范电子支付风险的技术措施

电子支付风险的防范还依赖许多技术措施。

建立网络安全防护体系,防范系统风险与操作风险。不断采用新的安全技术来确保电子支付的信息流通和操作安全,如防火墙、滤波和加密技术等,要加快发展更安全的信息安全技术,包括更强的加密技术、网络使用记录检查评定技术、人体特征识别技术等。使正确的信息及时准确地在客户和银行之间传递,同时又防止非授权用户如黑客对电子支付所存储的信息的非法访问和干扰。其主要目的是在充分分析网络脆弱性的基础上,对网络系统进行事前防护。主要通过采取物理安全策略、访问控制策略、构筑防火墙、安全接口、数字签名等高新网络技术的拓展来实现。为了确保电子支付业务的安全,通常设有三种防护设施。第一种是装在使用者上网用的浏览器上的加密处理技术,从而确保资料传输时的隐秘性,保障使用者在输入密码、账号及资料后不会被人劫取及滥用;第二种是被称为“防火墙”的安全过滤路由器,防止外来者的不当侵入;第三种防护措施是“可信赖作业系统”,它可充分保护电子支付的交易中枢服务器不会受到外人尤其是“黑客”的破坏与篡改。

发展数据库及数据仓库技术,建立大型电子支付数据仓库或决策支持系统,防范信用风险、市场风险等金融风险。通过数据库技术或数据仓库技术存储和处理信息来支持银行决策,以决策的科学化及正确性来防范各类可能的金融风险。要防范电子支付的信用风险,必须从解决信息对称、充分、透明和正确性着手,依靠数据库技术储存、管理和分析处理数据,是现代化管理必须要完成的基础工作。电子支付数据库的设计可从社会化思路考虑信息资源的采集、加工和分析,以客户为中心进行资产、负债和中间业务的科学管理。不同银行可实行借款人信用信息共享制度,建立不良借款人的预警名单和“黑名单”制度。对有一定比例的资产控制关系、业务控制关系、人事关联关系的企业或企业集团,通过数据库进行归类整理、分析、统计,统一授信的监控。

加速金融工程学科的研究、开发和利用。金融工程是在金融创新和金融高科技基础上产生的,是指运用各种有关理论和知识,设计和开发金融创新工具或技术,以期在一定风险度内获得最佳收益。目前,急需加强电子技术创新对新的电子支付模式、技术的影响,以及由此引起的法制、监管的调整。

通过管理、培训手段来防止金融风险的发生。电子支付是技术发展的产物,许多风险管理的措施都离不开技术的应用。不过这些技术措施实际上也不是单纯的技术措施,技术措施仍然需要人来。贯彻实施,因此通过管理、培训手段提高从业人员素质是防范金融风险的重要途径。《中华人民共和国电脑系统安全保护条例》、《中华人民共和国电脑信息网络国际联网管理暂行规定》对电脑信息系统的安全和电脑信息网络的管理使用做出了规定,严格要求电子支付等金融业从业人员依照国家法律规定操作和完善管理,提高安全防范意识和责任感,确保电子支付业务的安全操作和良好运行。

为此,要完善各类人员管理和技术培训工作。要通过各种方法加强对各级工作人员的培训教育,使其从根本上认识到金融网络系统安全的重要性,并要加强各有关人员的法纪和安全保密教育,提高电子支付安全防护意识。是要培训银行内部员工。由于电子支付是技术的产物,使内部员工具有相应的技术水平也是风险管理的重要方面。这些培训包括各种各样的方式,如专门的技术课程要求员工参加业内的研讨会、工作小组。同时,保证相应的技术人员能够有时间进行研究、学习,跟踪市场和技术的发展状况。二是对客户进行教育和培训,教会他们如何使用银行的设备,出现问题怎么办,并通过培训向客户披露有关的信息,如银行主页上建立的链接点的性质、消费者保护的措施、资料保密的要求,等等,以此减少相应的法律风险。

具体的技术防范细节还有很多,如为了防止黑客的入侵,防止内部人员随意泄露有关的资料和信息,密码技术被广泛地应用。但是,并不是所有的信息都一样重要。一些监管机构要求银行首先要对资料进行分类,分成“高度机密”、“机密”和“公开”信息三类,不同种类的信息采取的保密措施不同。对于高度机密信息,在储存和通过内部网络传送时必须加密。在技术和资金允许的情况下,可以尽量采用更强一些的密钥。同时,要强化密钥的管理,建立有效的密钥管理方式,如保护密钥不受篡改和违法使用,根据资料的秘密程度,定期更换密锯。至于通过公开网络如互联网传递的信息,都必须进行加密。口令有时也称为密码,但为了与密码技术相区别而把它称为口令。口令实际上是控制机器设备,防止无关人员随意进入和使用设备的技术措施。使用口令容易造成口令韵遗失,更为重要的是容易被犯罪贫子盗取。有的时候,对于一些关键设备,可以采用一次性司令.也就是只使用一次的口令,每次进入电脑系统时,口令都不同,通过对口令的管理来保护设备的安全。除了一次性口令这样简单的管理措施之外,还有其他一些比较系统化的措施来管理口令。口令的管理需要遵循一些基本的原则,比如,银行的电脑系统自动促使使用者定期修改口令,使用者之间不要相互合用口令,不要使用一些很容易被猜到的口令,等等。具体的措施很多:如果口令被多次使用或通过网络传递,必须对口令进行加密才能存储或传送;使用安全子系统和应用程序建立口令的历史档案,防止重复使用不久前才使用过的口令;为了防止犯罪分子使用一些自动的程序软件猜测口令,必须规定一个界限,如多少次端现错误则停止其进入,并通知系统的管理员;为了防止犯罪分子盗用他人的合法口令进入内部网络,应该随时将上次使用口令的时间等情况通知合法的使用者,便于发现自己的口令是否已经被人盗用。

同口令的功能相似的还有其他一些常用的手段,比如使用智能卡作为进入系统的.“身份证”,采用生物技术措施来识别有关当事人,主要是用指纹、声音、面部特征和眼部特征等人的生物特征来识别人的身份。这些措施采用之后,仍然需要有配套的措施,如智能卡虽然安全,但仍然需要定期更换内部程序或密码,以便保证其安全性能。

防火墙是一系列硬件和软件的总称。采用防火墙可以将银行的内部网络和外部网络分割,使外部人员无法随意地进入内部网络。有的时候,还可以采用同样的技术将内部网络加以分割。这样,不同级别、不同岗位的人就无法随意进入其他部门,不同保密程度的信息可以放置在不同的位置。有的时候,不仅需要将网络分割,而且需要将实际的设备分开放置,集中保护。比如,将所有支持内部网络的关键设备、辅助设备、防火墙等集中放在玻璃室里,限制外来人员进入这些地方,同时设置24小时警卫。如果由于地域和经营的需要,必须将一些设备分开放置,则可以设立几个玻璃室,采取同样的安全措施。

此外,还有许多其他的技术防范措施。比如,防病毒的技术措施,对于主服务器的管理,等等。这些措施技术成分比较大,需要银行管理部门加以格外的注意。同时,光有技术措施也是不够的,同样需要辅以相应的管理和内控措施。比如,对银行内部职员进行严格审查,特别是系统管理员、程序设计人员、后勤人员以及其他可以获得机密信息的人员,都要进行严格的审查,审查的内容包括聘请专家审查其专业技能,家庭背景、有无犯罪前科、有无债务历史,等等。而一些重要人物,比如,系统的管理员,由于他们可以毫无障碍地进入任何电脑和数据库,也可能产生潜在的风险,对于这样的人则必须采用类似于双人临柜式的责任分离、相互监督等,手段来进行控制。

3、加强电子支付立法建设

电子支付业务的迅速发展,导致了许多新的问题与矛盾,也使得立法相对滞后,另一方面,电子支付涉及的范围相当广泛,也给立法工作带来了一定的难度。在电子支付的发展过程中,为了防范各种可能的风险,不但要提高技术措施,健全管理制度,还要加强立法建设。

针对目前电子支付活动中出现的问题,应建立相关的法律,以规范电子支付参与者的行为。对电子支付业务操作、电子资金划拨的风险责任进行规范,制定电子支付的犯罪案件管辖、仲裁等规则。对屯子商务的安全保密也必须有法律保障,对电脑犯罪、电脑泄密、窃取商业和金融机密等也都要有相应的法律制裁,以逐步形成有法律许可、法律保障和法律约束的电子支付环境。

4、电子支付风险管理的其它方面

技术安全措施在电子支付的风险管理中占有很重要的位置,这也是电子支付风险管理的一个比较明显的特点。但电子支付的风险管理并不仅仅限于技术安全措施的采用,而是一系列风险管理控制措施的总和。

管理外部资源。目前电子支付的一个趋势是,越来越多的外部技术厂商参与到银行的电子化业务中来,可能是一次性的提供机器设备,也可能是长期的提供技术支持。外部厂商的参与使银行能够减少成本、提高技术水平,但这加重了银行所承担的风险。为此,银行应该采用有关措施,对外部资源进行有效的管理。比如,要求有权对外部厂商的运作和财务状况进行检查和监控,通过合同明确双方的权利和义务,包括出现技术故障或消费者不满意的时候,技术厂商应该承担的责任。同时,还要考虑并准备一旦某一技术厂商出现问题时的其他可替代资源。作为监管机构,也需要保持对与银行有联系的技术厂商的监管。

建立健全金融网络内部管理体系。要确保网络系统的安全与保密,除了对工作环境建立一系列的安全保密措施外,还要建立健全金融网络的各项内部管理制度。

建立健全电脑机房的各项管理制度,并加以严格执行。是目前保障金融网络系统安全的有效手段。机房管理制度不仅包括机房工作人员的管理,而且还包括对机房内数据信息的管理、电脑系统运行的管理等,要求操作人员按照规定的流程进行操作,保证信息资料的保密性和安全性达到要求。

建立应急计划。电子支付给客户带来了便利,但可能会在瞬间内出现故障,让银行和客户无所适从。因此,建立相应的应急计划和容错系统显得非常重要。应急计划包括一系列措施和安排。比如,资料的恢复措施、替代的业务处理设备、负责应急措施的人员安排、支援客户的措施,等等。这些应急的设施必须定期加以检测,保证一旦出事之后,确实能够运作。

5、加强电子支付的监管

为确保金融秩序安全,维护银行业公平有效竞争,保护存款人和社会公众利益以及保证中央银行货币政策的顺利实施,必须加强金融的监管。为了实现金融监管的多重目标,中央银行在金融监管中应坚持分类管理、公平对待、公开监管三条基本原则。分类管理原则就是将金融机构分门别类,突出重点,分别管理;公平对待原则是指在进行金融监管的过程中,不分监管对象,一视同仁,适用统一监管标准,这一原则与分类管理原则并不矛盾,分类管理是为了突出重点,加强监测,但并不降低监管标准;公开监管原则就是指加强金融监管的透明度,中央银行在实施金融监管时需明确适用的金融机构法规、政策和监管要求,这也便于社会公众的监督。目前,网络条件下的监管规避现象较为严重,从而改变了金融监管部门与金融机构的力量对比,增加了金融监管的难度。国际差别给电子支付监管带来不便,适用于电子商务条件下的国际金融监管法规体系尚待建立和完善。金融监管的滞后性增强,电子商务发展加快了金融创新的步伐,金融监管的法律法规和监管手段有可能越来越落后于电子支付业务的创新与发展。金融业的不稳定性对电子支付监管提出了新的要求,国际金融环境的变化,从汇率风险防范到金融动荡,从全球性金融系统的风险防范到金融证券市场的规范化制度化等,都反映了国际金融监管协调是网络性、国际性金融深化发展的必然要求。

电子支付监管的具体措施包括国内监管的措施和国际金融监管的协调。

国内监管措施。包括金融监管手段要具有前瞻性、预见性,以解决现有的滞后性问题;建立以风险性监管为主导的监管体系;将行业自律与金融监管有效结合;建立健全电子支付监管法律、法规、制度;建立健全金融信息披露制度,增强金融监管的透明度;加强对金融中介机构的监管,形成中央银行——中介机构——金融自律组织的有效监管体系;采用现场检查与非现场检查等主要监管手段,现场检查主要是指监管机关亲临现场所开展的监管,非现场检查主要是指监管机关不在现场,而是通过报表和收集的各方面信息等对监管对象开展的监管。

电子支付的监管属于金融监管的重要内容,现场检查在银行监管中占有重要的地位。通过现场检查,监管机构可以获得第二手的资料和情况,以此贯彻现有的法律和监管规章。电子支付虽然很大程度实现了虚拟化,但都离不开入的操作,总需要一定的设施,需要人员的维护和管理。因此,对电子支付进行现场检查不仅是必要的,而且是可行的。现场检查的第一层次主要检查银行是否采取了相关的措施来遵守有关的广告法律和法规,同时确保在为非存款性投资金融工具做广告时,进行了必要的披露。第二层次主要检查三个方面:第一,检查银行同客户、技术厂商等当事人的协议是否充分规定了各方的权利和义务,确保这些法律文件中规定银行有权监测、存储和追踪电子交易;第二,检查银行是否考虑了关于数字签名、认证机构的法律,包括地方法和中央法;第三,检查银行同第三方签订的协议是否也包含在银行保护客户和遵守纪律的文件中。第三层次主要检查的内容有:第一,检查银行是否采取了有关的措施确保网上业务遵守资料保存和客户保密的法律;第二,对于银行卡之类的电子货币产品,确保有关的协议明确了银行、客户和第三方之间关于银行卡遗失和被盗的责任分担。进行上述检查时,虽然是针对电子支付业务进行的,但与对传统业务的其他检查可能也会发生重合,有时候也需要将对传统业务的检查同电子支付业务的检查进行协调。如果必要,监管机构官员在检查的时候,应该咨询其他相关的官员。检查完之后,进行检查的官员必须制作一份完整的报告,这个报告应该包括对电子支付业务的描述、检查的结果,并含有相关的评论。为了支持检查所得出的结论,检查官员还必须附上相关的文件。对电子支付进行现场检查的结果提交监管机构之后,这一结果将直接影响被检查银行的评级。

国际监管的协调。包括建立电子支付条件下的汇率协调机制和国际统一的信息披露与市场约束制度;协调控制网络国际短期资本的流动;防止国际性金融犯罪的监管协调;加强市场准入与金融风险监管的协调;协调对对冲基金之类高杠杆、高风险金融机构的监管机制;进行国际统一的金融监管立法。



友情提示:以上就是关于“电子支付的风险防范问题”的所有内容,如有差错,请读者自行判断本文内容的正确性。如若转载或引用,请您注明出处:https://www.weigepro.net/about_service/69722.html,感谢广大网友们的分享。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!

欢迎进入365法律网,我们每天24小时更新最新的法律相关信息,帮助您快速了解更多法律法规知识。