作者:[江卉]
我國自1998年3月首次推出網(wǎng)上銀行服務以來,網(wǎng)絡銀行業(yè)務發(fā)展迅猛。但網(wǎng)絡銀行作為實體銀行的虛擬工作環(huán)境,其風險范疇比實體銀行要大得多。下面僅就我國網(wǎng)絡銀行面臨的風險及需采取的相應對策作一淺析。
一、我國網(wǎng)絡銀行面臨的風險
(一)技術風險
1.網(wǎng)絡自身安全隱患。目前,許多流行的操作系統(tǒng)均存在網(wǎng)絡安全漏洞,網(wǎng)絡安全協(xié)議也存在缺陷。此外,不少網(wǎng)絡銀行系統(tǒng)在防火墻的配置上不盡合理,無意識地擴大訪問權限,從而被外部人員利用,獲得作案的有用信息。
2.網(wǎng)絡通訊的安全隱患。具體表現(xiàn)在:①電磁信號輻射容易出現(xiàn)網(wǎng)絡信號泄漏現(xiàn)象,為那些技術高超、擁有先進設備的網(wǎng)絡作案者提供可乘之機;②作案者采用主動或被動攻擊方式,通過聯(lián)接上網(wǎng),盜取客戶網(wǎng)上登錄的信息、數(shù)據(jù)或密碼,竊取資金;③銀行網(wǎng)絡專線發(fā)生故障而啟用備份撥號線路時,由于電話號碼保密不嚴,使不法分子伺機登錄主網(wǎng)作案,給銀行網(wǎng)絡安全構成極大威脅。
3.內部管理混亂。部分網(wǎng)絡管理員、業(yè)務員、用戶安全意識淡薄,系統(tǒng)口令使用混亂,或長期使用同一口令,使口令極易被他人掌握,給犯罪分子造成可乘之機。銀行內部網(wǎng)、外部網(wǎng)沒有實行物理隔離或隔離不當,容易導致金融數(shù)據(jù)信息被“黑客”盜取或篡改,同時也容易感染計算機病毒,危及網(wǎng)上所有計算機信息系統(tǒng)的安全。
(二)操作風險
操作風險是指由于系統(tǒng)的可靠性、穩(wěn)定性和安全性的重大缺陷而導致潛在損失的可能性。
網(wǎng)絡銀行客戶疏忽、缺乏網(wǎng)絡安全知識可能會給自己和銀行都帶來損失。比如,客戶在沒有安全防護措施的場合使用信用卡號、銀行賬號等私人信息,就很容易被他人竊取而導致賬號泄密。
網(wǎng)絡銀行安全系統(tǒng)設計缺陷也會引起操作風險。隨著計算機處理能力的增強和通訊手段的增多,網(wǎng)絡銀行客戶地理位置更加分散,網(wǎng)絡銀行對客戶進入其賬戶的授權管理相應也變得復雜。如果對客戶進入賬戶沒有明確授權或進入時授權過于繁瑣,都可能導致客戶蒙受經(jīng)濟損失,加大網(wǎng)絡銀行操作風險。對網(wǎng)上支付而言,網(wǎng)絡銀行安全的缺陷使客戶很難辨認交易是否真實,從而產(chǎn)生對網(wǎng)絡銀行的懷疑,這種不信任往往構成網(wǎng)絡銀行另一種形式的操作風險。
網(wǎng)絡銀行員工工作失職或缺乏職業(yè)道德,也會導致網(wǎng)絡銀行嚴重的操作風險,甚至危及網(wǎng)絡銀行的總體安全。比如,某些員工利用職務便利,有目的地獲取客戶私人資料,并使用客戶賬戶進行買賣股票、炒外匯等風險投資,將交易風險直接轉嫁到客戶身上。
(三)法律風險
我國現(xiàn)行法律還遠遠不能適應網(wǎng)絡銀行的發(fā)展,利用網(wǎng)絡從事銀行業(yè)務,存在著相當大的法律風險。比如:進行網(wǎng)上銀行交易所需的數(shù)字化簽名是否具有法律效力?使用信用卡付款后發(fā)生退款該如何處理?因此,為適應網(wǎng)絡發(fā)展,從《商業(yè)銀行法》、《消費者權益保護法》、《知識產(chǎn)權保護法》到《廣告法》,都有需要修改的地方。同時,因特網(wǎng)的國際性和跨國界性,也使網(wǎng)絡銀行所處的法律環(huán)境較傳統(tǒng)銀行更為復雜,其中蘊含的法律風險也更大。
險以上風險外,網(wǎng)絡銀行還面臨傳統(tǒng)銀行經(jīng)營過程中存在的流動性風險、利率風險、結算風險等,本文不再贅述。
二、我國網(wǎng)絡銀行風險防范對策
(一)加強安全技術防范措施
1.宏觀層面上,加強銀行體系網(wǎng)絡化建設,推動網(wǎng)絡銀行的發(fā)展。目前,我國的網(wǎng)絡用戶僅占總人口的3%,與美國的40%及香港的15%相比,差距較大。因此,提高銀行體系網(wǎng)絡化水平、大力發(fā)展互聯(lián)網(wǎng)業(yè)務、普及網(wǎng)絡安全知識,是推動我國網(wǎng)上銀行發(fā)展的前提。這需要國家產(chǎn)業(yè)政策的積極引導,引入競爭機制,整合各行業(yè)、各部門、各地方的局域網(wǎng)資源,形成全國性的主干銀行金融網(wǎng)絡體系。同時,國家網(wǎng)絡技術支持部門、銀行監(jiān)管部門、各商業(yè)銀行等要通力合作,確保網(wǎng)上銀行體系的交易安全和無故障運行,為發(fā)展網(wǎng)絡銀行創(chuàng)造一個良好的外部環(huán)境。
2.微觀層面上,強化技術手段,保證網(wǎng)絡銀行安全運營。網(wǎng)絡銀行的發(fā)展需要科技為保障,我國目前的計算機系統(tǒng)以國外產(chǎn)品為主,其操作系統(tǒng)的安全性基本上屬較低層次,因此,我國的網(wǎng)上銀行更需要把目光放到技術安全防范問題上。較完整的網(wǎng)絡安全防護設計包括:①系統(tǒng)的內、外部防護。內部防護包括防火墻和路由器過濾設施,通過數(shù)據(jù)包過濾和代理服務,作為各不同層次之間以及不同數(shù)據(jù)庫之間的屏障;外部防護包括通信加密、防火墻、物理隔離等,作為網(wǎng)絡與網(wǎng)絡之間的屏障。②加強本地工作站/平臺安全環(huán)境,包括個人訪問控制和配置檢查功能、防護工具及程序。③入侵探測系統(tǒng)。由于我國計算機操作系統(tǒng)的安全性能整體較低,利用這些設施建立的網(wǎng)絡,即使采取加密、防火墻等安全技術措施,其安全水平也不可能有根本性的提高。要從根本上改善網(wǎng)絡的安全現(xiàn)狀,必須發(fā)展網(wǎng)絡攻擊檢測技術。④設計可靠牢固的、可修復的基礎設施,能夠抵消攻擊或系統(tǒng)由于自身原因崩潰時所造成的破壞,并在事后可穩(wěn)步修復。
(二)強化網(wǎng)絡銀行安全管理
1.網(wǎng)絡安全的常規(guī)防護管理措施。操作人員設置和職能權限、網(wǎng)絡系統(tǒng)日常操作維護規(guī)范、安全掃描/監(jiān)控工具使用規(guī)范、系統(tǒng)應急處理措施、安全審計制度、業(yè)務審計制度和機房出入制度等等,都應作為制度做出明確規(guī)定。
2.網(wǎng)絡銀行的業(yè)務控制管理措施。網(wǎng)絡銀行應在交易日志的基礎上形成業(yè)務審計日志,并由專人負責進行分析,及時發(fā)現(xiàn)可疑交易行為,采取控制措施;轉賬限制和交易額限制,對賬戶性質、資金流動、不同品種的單筆交易額、當日累計交易額等加以限制。
3.網(wǎng)絡銀行的人事管理措施。招聘員工時,必須進行必要的背景審查,審查的內容包括該員工曾有的與計算機系統(tǒng)相關問題的信息;對員工進行培訓時,應將計算機安全管理規(guī)章制度作為培訓的主要內容;解聘員工時,應事先采取必要的網(wǎng)絡安全措施,如改變該員工的訪問權限、修改有關口令等。
(三)建立健全相關法律法規(guī)
1.建立網(wǎng)絡銀行法律監(jiān)管體系。目前,我國網(wǎng)絡銀行許多監(jiān)管規(guī)范仍停留在審批階段,對于事后與事中的監(jiān)管力度不夠。因而,有關方面應及時修改、修訂有關法律法規(guī),將網(wǎng)絡銀行業(yè)務納入其管理體系,做好網(wǎng)絡銀行的外部懲罰措施以及涉及網(wǎng)絡銀行的市場退出機制。
2.建立網(wǎng)絡銀行業(yè)務運營法律體系。這需要建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規(guī),同時還應對已有法律法規(guī)進行充實、修改。
3.完善網(wǎng)絡銀行配套法律法規(guī)建設。主要有稅收征管法、合同法、國際稅收法、電子商務法、刑法、訴訟法、票據(jù)法、證券法、商業(yè)銀行法、消費者權益保護法、反不正當競爭法等相關法律法規(guī)。
4.加強與國際立法、司法實踐的交流與合作。通過合作與交流,加大打擊網(wǎng)上洗錢、網(wǎng)上盜竊等電子犯罪的力度。
