作者:互聯網普惠金融研究院常務副院長 張新福、國家互聯網金融安全技術專家委員會秘書長 吳震、易寶支付CTO 陳斌、愛投資高級副總裁CTO韓世琪
來源:2018互聯網金融與風控論壇圓桌對話環節
如何適應監管,做好信息安全防範工作,構建健康的互聯網金融企業安全體系,從監管部門、互聯網金融企業來看有著不同的角度和觀點。在金融科技創新學院主辦的2018互聯網金融安全與風控論壇的圓桌對話環節,來自國家互聯網金融安全技術專家委員會的吳震秘書長、易寶支付CTO陳斌、愛投資高級副總裁CTO 韓世琪就如何做好互聯網金融企業安全體系建設工作分享了自己的見解。
以下為圓桌對話實錄:
張新福(圓桌對話主持人)
今天的論壇非常成功,前面的嘉賓分享了很多精彩的觀點。現在我們請臺上的幾位專家,發表對互聯網金融安全以及風控的建議。互聯網金融的安全其實是一個大話題,我們到底從哪些方面去理解?互聯網金融安全包括有現在比較關注的系統性風險,還有政策性風險、金融風險,以及和今天主題相關的技術風險,圍繞這些主題我們來聽下各位專家的意見和對產業未來發展的建議。
我們有六個問題, 第一個問題問一下吳震秘書長,互聯網金融從2012年開始由火爆到2016年嚴監管的監管年,到2017年開始出現了政策上的“一行二會”進行強監管。在這種強監管的形勢下,互聯網金融的核心主題就是系統性風險。請吳震秘書長介紹一下,在您看來互聯網金融未來發展呈什麼態勢?我們該怎麼去應對?
吳震
從2016年開始,強監管態勢已經比較明確。現在我們觀察到互聯網金融大概有20多種業態,按照官方定義是7種業態,包括虛擬貨幣、互聯網資管等都納入了監管範圍等,在幾個主要活躍的業態,現在都是改造,監管加強。P2P未來發展還尚不清晰,存在很多變數。至於股權眾籌,國家一直沒有放開,涉及到立法,情況特別複雜,還有很長的一條路要走,其他很多業務都是需要持牌的,總體來說強監管是比較明確的態勢。
就P2P而言,從剛開始加強互聯網金融穩定提出一系列要求,到劃了十三道紅線,限制現金貸、校園貸等,還有一些要求比如雙降等,監管態勢還是會持續,會給行業造成比較大的壓力,而且大家要去適應這個壓力。
這個態勢如何應對?首先企業想要持續經營,不要去挑戰監管,不要挑戰法律底線,否則一些行為可能會被記錄下來,成為將來合法化的障礙。第二,在這種環境下,大家要努力把風控做好,把資產做好,這些都是比較核心的任務。把自己做好,堅持下來,市場現在已經培育出來,可能以後的競爭對手也會少很多,合法化後市場會更加廣闊。
張新福
吳秘書長給大家的建議非常中肯。互聯網金融產生的時候有一個很響亮的名字,就是降低交易成本。我從2014年開始做互聯網金融,現在看起來互聯網金融在降低金融成本方面,如第三方支付,包括微信和支付寶,在支付方面做了很多的貢獻。但支付行業也面臨很重要的政策風險,如資金託管,資金一託管很多利潤、以前的渠道都消失掉。就此方面想聽聽陳總怎麼看待互聯網金融降低成本交易?我們是不是做到了?未來面對政策風險該如何去處理和應對?
陳斌
我是易寶支付的CTO,易寶為企業提供支付服務。互聯網金融產生後,很多新的交易形式、新的交易形態出現,降低成本是大家的共同要求,隨後存管也出現了。以前有資金在我們的平臺上,還可以拿一點利息,現在資金由央行統一存管。
第一波互聯網金融發展,易寶做移動支付,得到很大的好處。我們在2008-2012年裡,通過移動支付這種新的手段,在市場上有很大的發展,大家看到現在所謂的新四大發明,移動支付特別受老百姓歡迎,也解決很多支付問題。從2012年到現在,互聯網金融起來了,我們更看好移動支付的發展,對我們來講無論成本是不是降低,支付其實都是少不了的。做P2P、做互金,總是要支付的。易寶除了做支付以外,也做存管,很多解決方案就是從我們這裡出來的。
我更看好第二波的跨越,如果第一波移動互聯網在支付上超越了美國和其他發達國家,第二波基於金融科技的大數據、人工智能、互聯網移動技術,是跨越的好機會。美國現在有很多信用卡,人均十幾張,中國則很少信用卡,人均2.09張,我們難道還要照著這個路走下去?接著髮卡,再有20年也追不上他們,我們沒有很好的基礎徵信數據庫。但是現在移動互聯網的發展帶來很多數據,這些數據給我們提供一個機會,能夠認識和畫像每個消費者,以此提供風險的定價和服務。所以我更看好這個機會,能讓包括易寶在內的互聯網金融企業,給廣大的用戶提供千人千面的個性化智能金融服務。只要有金融服務在,支付服務一定存在,我們一定有更大的機會。
張新福
看來第三方支付很有信心,但到了韓總這塊情況就不這麼樂觀。互聯網金融的核心還是P2P、互聯網借貸,真正的發展高潮也是互聯網借貸起來以後,在此過程中我們做了很多技術,強調交易成本的下降。從我本人來看,其實對互聯網金融裡風險的控制達到什麼程度,起到什麼效果還是有疑問。想從這個角度跟韓總學習一下,互聯網金融發展到今天,取得這麼多成就,我們用互聯網技術比傳統金融機構在金融風險控制方面有什麼優勢?
韓世琪
網貸作為互聯網金融其中一個業態,我們是從2013年開始做。其實P2P早期的業態是在一些小範圍個人與個人之間,特別是在熟人和熟人之間,或者在一些親戚鄰里中間有一個所謂的擔保人,這樣的在一定程度上解決信息不對稱的問題。但範圍一旦擴大,尤其從2012年開始,逐漸的把這種本來是一種非常本地化、非常小範圍的行為放到互聯網上做信息發佈,在風險上就會沒法覆蓋,我認為本身有這個矛盾在裡面。
愛投資在2013年時做的是給小微企業放貸,關於還款意願和能力,我們一開始既沒有特別好的抓手瞭解客戶的意願,也沒有特別好的抓手去真正看客戶的能力,當時還款來源主要看財報,基本上大同小異。我們開始只能靠一些有抵押物的,並且還沒有被銀行所覆蓋的那種客戶,從這兒開始起步。這五年我們一直在做一個先到核心企業,再從核心企業下沉的過程。比較幸運的是在2013年我們把自身的規模和品牌做起來之後,就接觸到一些資質比較好的核心企業。但是做核心企業的業務和現在說的普惠金融又有很大的區別,我們2016年又轉型做普惠金融。所以從公司來講是兩條線,一條繼續做核心企業,通過產業基金、私募基金這種方式,另外一條線做普惠金融,我們和合作夥伴已經形成了一些積累下來的業務和信用數據,繼續下沉到他們的上下游,就有機會接觸到很多小企業,特別是隨著B2B電商的成熟,這些小企業在電子化交易平臺留下了很多的痕跡可借鑑。
我覺得關於風控開始是最難的,因為連一個完整的借貸週期都沒有形成的話,其實無法看到有沒有能力去抵抗風險,所以我們這兩年逐漸通過一些技術抓手,去輔助判斷風險所在。例如隨著移動互聯網技術的發展,對一些汽車金融客戶,我們會隨時通過車上的GPS跟蹤他的位置;有些客戶是貨物質押的貸款,我們要監控貨倉進出的情況。所以我們在風控上跟傳統金融企業的主要區別,就是下沉到最後一公里,在做一些比較辛苦的活。
張新福
從韓總講的這些,我們能感覺到互聯網金融行業一直在努力。在這個過程中我們更是希望能聽到一些有別於傳統金融機構的技術應用和技術創新,只有這樣才是互聯網金融企業存在的根本,才能永遠走下去,健康走下去。
下一階段想交流技術安全方面問題,想問吳秘書長,在現在的情況下,從監管和的風險關係上,以及從創新和安全的關係上,從一個管理者的角度上怎麼看?
吳震
安全和創新發展是需做好平衡。只管發展不管安全一定出事,發展不下去;同樣為了絕對安全,缺乏創新也不行。能夠在掌控風險、保證相對安全的情況下,進行創新,當然這是一個辨證命題,掌握好這個平衡並不容易。前幾年,較多強調創新和發展,忽略了安全,導致諸多問題產生,以至於金融創新已經不再是一個流行詞。
第二風險和監管,商業模式一般都是走在監管前,發展到今天,業界其實認為應該配合監管機構更好地控制風險。監管機構如果覺得風險是能掌控的,反而會讓行業有更大的發展空間。我們在建設監管系統是可以看到,從實踐上看能起到很好的效果,但要百分之百地保障網絡安全或者預警風險,實際上也是有難度的,畢竟我們是在外部觀察。同時,發現違規和問題很容易,但綜合定性也是個問題。
張新福
我也做過幾年監管,說實話沒有查不出來的問題,只是監管的人力成本太高,不會都去查。在現在的強監管形勢下,儘管現在有很多不盡人意的地方,但政府還是給行業有創新的空間。互聯網金融企業核心的問題是真正找到符合互聯網技術創新的道路,否則那些不合規的地方,監管部門其實都看得見,只是有沒有精力去管的問題。
下一個問題,社會上有一類人如黑客從來沒有放鬆過對互聯網金融企業的攻擊,下面我想請教下陳總,作為和金錢緊密相關的行業,互聯網金融怎麼去防範攻擊,怎麼去保護客戶的資金利益和個人隱私?
陳斌
我們從2003年就開始在互聯網上做支付的業務,從開始做的第一天就面臨著非常嚴峻的互聯網安全問題。主要有三方面,一是網絡安全,系統和互聯網相連,會不會有人攻擊進來。第二是數據安全,數據存在系統裡,有沒有人非法訪問,包括內部和外部。第三是資金安全,雖然易寶不做借貸,沒有信貸風險,但也有欺詐的風險,比如有人用假的卡來支付,這類風險難以控制。在還沒有等級保護要求的時候,從2003年開始我們就按照國際上的一些安全標準的最佳實踐來做規範,當等保出臺後,我們又主動去做了認證。但各種認證只是一個過程,更重要的是要建立好信息安全防控體系。除了技術本身,信息安全要想做得好,其實在管理上更加重要。我們通過自願性和強制性的方式來做,舉例來說,公司內部交流有自己的通訊方式,類似微信;如果要上網,假如沒有公司內部的應用是上不去的。點點滴滴,防微杜漸,從公司內部、外部我們都在採取措施。我們還有紅、藍兩支小組做信息安全攻防演練,從外面、裡面發現問題。
總結一下,要想把客戶的信息、資金保護好,除了信息安全技術要做到位,管理和意識更重要,大約能佔到60%、70%的比例。
張新福
看來技術的安全上我們還是下了好多功夫,安全問題還是能做多少做多少,儘自己最大努力去做,否則安全問題一來後面很多問題都出來了。互聯網金融的人都說我們是一個新時代的東西,不同於傳統的金融機構,包括信息安全和傳統的金融機構不一樣,對安全的理解也不一樣。我們想問一下韓總,從您看來互聯網金融的信息安全和傳統金融的信息安全有什麼差異?
韓世琪
首先我們是易寶支付的客戶,易寶支付的所有安全服務我們都享受到了。我們也第一時間響應國家的一些政策,是最早一批接入吳秘書長所做的監測系統的單位之一,從一開始我就特別認可這件事情。互金行業雖然路還很長,但未來還是非常光明的。
愛投資作為網貸的創業公司,是一個從零到一的過程,我們在2013年零的階段是沒有資格和實力談信息安全的,是非常不對等的一個狀態。就拿投在信息安全上的經費來說,開始階段可能上百萬的經費對我們都是非常奢侈,只能盡最大的努力去保住最寶貴的數據。到了2015年,我們的業務交易已經過百億,這時也有一定的收入,可以把預算可以提到一個合理的每年千萬以上級別,才開始很專業地去完善我們的安全措施。
但這時我們發現同樣還是非常不對等,黑客攻擊的時候非常專業,他可以專心攻擊而不用去想別的事情,而我們在對抗時還得考慮保證業務的連續性。我們成立了專門的團隊來做安全,在一定程度上降低了被攻擊盜取數據的概率,但是這個概率相對於投入的金額,還是不划算,所以我們的一個策略就是和安全公司合作。我們本身是混合雲的架構,交易服務器都在阿里雲上,數據的核心服務器是在自己機房裡。安全上首先有阿里雲的安全體系,還有半年做一次第三方的滲透測試,包括和第三方支付的合作伙伴一起來防護。我們把不擅長做的事情,和行業的安全專家來一起推進。
再往後發展,和傳統金融機構相比在制度上又出現了一個不對等。在一些安全的制度、標準上,沒有針對性的給互金行業提供相應的標準。我們在2016年過了等保三級,但我仔細研究過裡面的條款,即使都做到了,可能還會有一些漏洞。還有我們從去年年底也在過ISO20007認證,但仍然覺得不放心。我們願意和大家一起去研究互金行業的安全標準,這是一個機會。我們要和合作夥伴,還有一些安全公司一起做一個聯盟,所有的安全,只有正義利益方聯合起來,才能和那些做壞事的勢力相抗衡,所以要聯合行業一起來做。
張新福
剛才韓總給我們推薦了一個好的方法,不要自己費力去造門,還是根據自己的能力買一個合適的防盜門。互聯網金融發展到今天應該是深秋,遠不是寒冬。互聯網金融是不是可以依靠降低交易成本的道路,是不是依靠金融和技術的結合來走這條路,大家可以去深思。監管部門沒有痛下殺手把大家轟出互聯網金融這個圈子,否則就不用考慮這件事情了。未來互聯網金融的發展還是很有希望的,請三位專家每人都來一句寄語,期望互聯網金融未來有一個怎樣的好前景。
吳震
互聯網從技術發展的潮流是不可阻擋的,因此互聯網金融或者互聯網金融科技必然是未來的發展方向,但是笑到最後的到底是傳統的金融機構,還是BAT這些互聯網巨頭,還難以定論。我希望大家走得快,並且走得穩,不忘初心,砥礪前行。
陳斌
互聯網金融其實是中國硬造的一個詞,別的國家不存在互聯網金融這個詞。互聯網技術和金融是兩碼事,金融是確保價值可以交換,互聯網技術是把各個東西都給連接起來,讓大家交流更方便。互聯網和金融相結合,有很多新的業態出來,並不改變金融的本質,金融本質還是價值交換。互聯網技術其實比金融的技術水平高很多,兩者結合在很多方面都有發展,可以拓展金融服務的空間、時間、廣度,讓交易更容易。中國的問題主要是金融服務不到位,有很多的老百姓、中小企業都需要金融服務,但這是很多銀行不太關心,或者關心不過來的群體。這種情況下,互聯網技術結合金融提供金融服務,其實是來補這個缺口,是時代或發展到一定階段必然出現的現象。怎麼樣讓互聯網金融健康發展?金融有它的規律,我們合理應用互聯網技術去發展金融服務,未來是光明的。我不僅看好互聯網金融降低交易成本,還有交易更加方便,場景、手段、服務的範圍上更加廣闊。
韓世琪
愛投資在創業的時候一直有一個理念,評價商業模式是否成功,唯一標準就是看我們的客戶生活是不是變得比以前更好。我們一直以這樣的初心去做,我們認為互聯網金融可能是臨時的一種業態,以後可能不太會有非常顯性的互聯網金融存在,它可能會滲透到非常具體的領域離,普惠金融也會細分到很多領域,互聯網金融業態會下沉,我們會做下沉到最後一公里的開拓者,水庫裡引水入渠最後一公里的搭建者,以後可能是無互聯網金融,也無處不金融的一個時代。
張新福
我最後說一下交易成本,交易成本是經濟學的一個概念,是科斯定理裡很重要的組成部分。一個金融創新一定能解決社會中的成本下降問題,才有存在的理由。希望我們每個人都能找到一條道,降低金融交易成本,給科技一個創業的機會,給我們一個未來。
閱讀更多 金科創新社 的文章
