作者：中國(guó)人民銀行科技司司長(zhǎng) 李偉

隨著移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)的蓬勃發(fā)展，信息科技逐步從支撐支付業(yè)務(wù)向引領(lǐng)方向轉(zhuǎn)變，有效提升了支付服務(wù)效率，滿足了公眾多樣化的支付需求。與此同時(shí)，支付風(fēng)險(xiǎn)隱患相伴而生，特別是近期電信網(wǎng)絡(luò)欺詐引發(fā)的支付安全問(wèn)題日益突出，危害了人民群眾生命財(cái)產(chǎn)安全。人民銀行認(rèn)真貫徹落實(shí)黨中央、國(guó)務(wù)院決策部署，積極與相關(guān)部門通力協(xié)作，多措并舉，全面加強(qiáng)支付安全管理，著力提升電信網(wǎng)絡(luò)欺詐風(fēng)險(xiǎn)防范能力。

綜合施策，筑牢支付安全管理制度防線

在技術(shù)管理方面，人民銀行印發(fā)《關(guān)于進(jìn)一步加強(qiáng)銀行卡風(fēng)險(xiǎn)管理的通知》（銀發(fā)〔2016〕170號(hào)），從遏制信息泄露源頭和防范風(fēng)險(xiǎn)傳導(dǎo)入手，建立線上線下支付交易一體化的安全防范體系。一是加強(qiáng)支付敏感信息全生命周期安全管理，強(qiáng)化交易密碼保護(hù)機(jī)制，定期開(kāi)展內(nèi)部審計(jì)和外部安全評(píng)估，有效防范敏感信息泄露。二是嚴(yán)格手機(jī)客戶端軟件安全管理，提升線上支付業(yè)務(wù)開(kāi)通身份認(rèn)證和交易驗(yàn)證強(qiáng)度，借助信息化手段加強(qiáng)異常交易分析，全面提高線上交易風(fēng)險(xiǎn)防控水平。三是加快金融IC卡應(yīng)用推廣進(jìn)度，加強(qiáng)銀行卡磁條交易風(fēng)險(xiǎn)控制，落實(shí)偽卡欺詐風(fēng)險(xiǎn)責(zé)任轉(zhuǎn)移規(guī)則，凈化銀行卡使用環(huán)境，切實(shí)防范線下偽卡欺詐交易風(fēng)險(xiǎn)。

在業(yè)務(wù)管理方面，人民銀行印發(fā)《關(guān)于加強(qiáng)支付結(jié)算管理防范電信網(wǎng)絡(luò)新型違法犯罪有關(guān)事項(xiàng)的通知》（銀發(fā)〔2016〕261號(hào)），從強(qiáng)化賬戶管理和阻斷資金轉(zhuǎn)移通道著手，構(gòu)筑治理電信網(wǎng)絡(luò)欺詐的支付結(jié)算防線。一是嚴(yán)格落實(shí)賬戶實(shí)名制，加強(qiáng)單位開(kāi)戶、異常個(gè)人開(kāi)戶的審慎核實(shí)，打壓買賣賬戶和假冒開(kāi)戶的違規(guī)行為。二是采取延遲到賬、限時(shí)撤銷、交易背景調(diào)查等措施加強(qiáng)轉(zhuǎn)賬管理，健全涉案賬戶緊急止付和快速凍結(jié)機(jī)制，及時(shí)攔截可疑資金轉(zhuǎn)移。三是加大對(duì)無(wú)證機(jī)構(gòu)的打擊力度，加強(qiáng)商戶黑名單管理，建立非法從事支付結(jié)算的懲戒機(jī)制，鏟除電信網(wǎng)絡(luò)詐騙的滋生土壤。

狠抓落實(shí)，切實(shí)保障人民群眾的信息和資金安全

以上制度安排既有利于加強(qiáng)支付安全管理，更有助于治理電信網(wǎng)絡(luò)詐騙，相關(guān)規(guī)定能否發(fā)揮更大作用，關(guān)鍵是要狠抓落實(shí)。

一是強(qiáng)化受理終端安全管理。針對(duì)受理終端非法改裝、磁道信息側(cè)錄、二維碼支付風(fēng)險(xiǎn)等問(wèn)題，應(yīng)綜合運(yùn)用大數(shù)據(jù)分析和密碼識(shí)別技術(shù)，建立受理終端事前入網(wǎng)身份識(shí)別、事中交易數(shù)據(jù)校驗(yàn)、事后風(fēng)險(xiǎn)防范多層次的管理機(jī)制。在入網(wǎng)環(huán)節(jié)，將終端序列號(hào)和密鑰預(yù)置于安全模塊中，結(jié)合受理終端注冊(cè)管理機(jī)制，從源頭保障終端合法性。在交易環(huán)節(jié)，利用大數(shù)據(jù)分析和交易行為建模，逐筆校驗(yàn)海量跨機(jī)構(gòu)交易報(bào)文與終端注冊(cè)記錄的一致性，有效甄別移機(jī)、切機(jī)、二清、套碼等違規(guī)行為。在風(fēng)控環(huán)節(jié)，健全風(fēng)險(xiǎn)信息共享機(jī)制，提高欺詐交易追溯效率，對(duì)異常交易及時(shí)采取調(diào)查核實(shí)、風(fēng)險(xiǎn)提示、延遲結(jié)算、拒絕服務(wù)等措施，配合公安部、工信部等部門做好電信網(wǎng)絡(luò)欺詐防范工作。

二是持續(xù)加固業(yè)務(wù)系統(tǒng)安全。針對(duì)拖庫(kù)、撞庫(kù)等攻擊方式造成的敏感信息泄露，各商業(yè)銀行、非銀行支付機(jī)構(gòu)及電商企業(yè)應(yīng)全面摸底影響支付敏感信息保護(hù)、業(yè)務(wù)連續(xù)性、交易安全強(qiáng)度等方面的薄弱環(huán)節(jié)，將排查工作制度化、常態(tài)化，對(duì)發(fā)現(xiàn)的風(fēng)險(xiǎn)實(shí)施清單管控，及時(shí)采取措施排除隱患，控制線上線下交易風(fēng)險(xiǎn)傳導(dǎo)。不斷提升業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)安全能力，加強(qiáng)DDos等網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)防控，綜合利用IP地址、瀏覽器緩存等識(shí)別異常交易，形成制度健全、指標(biāo)量化、反應(yīng)敏捷的業(yè)務(wù)系統(tǒng)動(dòng)態(tài)監(jiān)控體系，持續(xù)做好風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警，主動(dòng)采取補(bǔ)救、加固措施。

三是打造可信手機(jī)支付執(zhí)行環(huán)境。針對(duì)手機(jī)木馬病毒、虛假短信、偽基站等欺詐手段，鼓勵(lì)手機(jī)廠商綜合運(yùn)用SE、TEE等新技術(shù)提供硬件級(jí)安全保護(hù)，提升支付敏感信息防護(hù)能力和支付交易安全強(qiáng)度。商業(yè)銀行、非銀行支付機(jī)構(gòu)應(yīng)從木馬病毒防范、信息加密保護(hù)、運(yùn)行環(huán)境監(jiān)測(cè)等方面提升客戶端軟件安全防控能力，定期開(kāi)展外部安全評(píng)估，確保其符合國(guó)家及金融行業(yè)標(biāo)準(zhǔn)。設(shè)置客戶端軟件可信標(biāo)識(shí)，并通過(guò)多種渠道告知客戶正確地識(shí)別和訪問(wèn)方法，有效防范釣魚(yú)欺詐。

四是嚴(yán)格規(guī)范跨機(jī)構(gòu)支付接口。針對(duì)非銀行支付機(jī)構(gòu)與銀行多頭連接、篡改或隱匿交易信息等問(wèn)題，應(yīng)嚴(yán)格執(zhí)行《網(wǎng)絡(luò)支付報(bào)文結(jié)構(gòu)及要素技術(shù)規(guī)范》（銀發(fā)〔2016〕222號(hào)印發(fā)），統(tǒng)一使用金融機(jī)構(gòu)編碼，采用數(shù)字簽名、加密傳輸?shù)却胧?，從收付款方、商戶、渠道、訂單等方面完整刻?huà)真實(shí)交易，確保支付指令的完整性和真實(shí)性。準(zhǔn)確記錄備付金、網(wǎng)絡(luò)路由等信息，采用唯一交易流水號(hào)和交易終端編碼，保障資金的可追溯性和支付指令的一致性。采用支付標(biāo)記替代支付賬戶、銀行卡號(hào)等敏感信息，從源頭控制信息泄露和欺詐交易風(fēng)險(xiǎn)。

五是加快推進(jìn)賬戶分類管理。針對(duì)賬戶買賣、冒名開(kāi)戶和虛構(gòu)代理關(guān)系開(kāi)戶等突出問(wèn)題，商業(yè)銀行、非銀行支付機(jī)構(gòu)應(yīng)認(rèn)真落實(shí)賬戶開(kāi)立、使用、變更、撤銷等環(huán)節(jié)的制度規(guī)定，科學(xué)合理開(kāi)展客戶風(fēng)險(xiǎn)評(píng)級(jí)，審慎確定賬戶功能、支付渠道和支付限額，實(shí)施動(dòng)態(tài)分類管理。細(xì)化賬戶業(yè)務(wù)規(guī)程和身份信息核驗(yàn)方式，強(qiáng)化內(nèi)部管理，切實(shí)保障賬戶分類管理制度的貫徹落實(shí)，引導(dǎo)客戶運(yùn)用賬戶分類機(jī)制合理存放和使用資金，避免財(cái)產(chǎn)損失。