聚焦金融信息和刷脸支付安全,2019第四届中国移动金融安全大会顺利闭幕
11月5日,北京金融科技产业联盟(以下简称“联盟”)、移动支付网联合主办的2019中国移动金融安全大会在深圳顺利召开,会议齐聚超500专业人士,围绕金融科技发展规划、数据安全、监管科技、反电信诈骗、反洗钱、金融信息安全、人脸支付安全等话题展开讨论。
反欺诈、反洗钱,金融科技以安全为基
2019年是移动金融产业异常重视风险控制的一年。围绕金融科技发展、信息安全保护、反欺诈、反洗钱等问题,多方专家在大会进行了深度解析。上午的会议,由第三方支付安全联盟秘书长李昂扬主持。
中国金融电子化公司副总经理、北京金融科技产业联盟秘书长潘润红作大会致辞,作为中国人民银行在北京筹备成立的组织,北京金融科技产业联盟集合我国金融科技产学研用的代表机构,共同推动金融科技产业的健康发展。对于《金融科技(FinTech)发展规划(2019-2021年)》(以下简称“《规划》”)的落实和个人金融信息保护,联盟也将发挥其应有作用。
潘润红表示,《规划》是未来三年金融科技产业发展的指引;一方面要实现对金融服务的支撑,另一方面要实现对监管科技的支撑。
个人信息保护则是金融科技发展的基本要求;而要建立健全的个人信息保护机制,首先是法律配套,需要加快构建多元协同共治格局。其次是规范引领,应持续健全信息保护标准化体系。再者是科技赋能,要不断强化信息安全技防能力。
在《规划》推出和个人信息保护备受关注的大背景下,潘润红表示,产业联合是构建安全可控金融科技产业链的必由之路。
而联盟也将在三个方面推动产业发展,一是联合攻关。整合产业各方优势力量,对基础软硬件产品和关键技术进行攻关研发。
二是产用对接。围绕产用双方的发展难点和痛点,依托联盟平台,协助中小金融机构解决技术转型和服务能力提升等问题。
三是标准制定。联盟将开展金融科技相关标准研究、编制、宣传、实施工作,支撑质量检测、产品认证体系建设,助力产业规范化发展。
中国人民银行科技司专家对《金融科技(FinTech)发展规划(2019-2021年)》的整体思路、主要内容和重点任务进行了解读。
中国人民银行金融信息中心信息数据服务部副主任任妍,围绕个人信息保护展开话题。
任妍从近期个人信息保护相关安全事件入手,横向对比了以欧洲和美国为代表的两类国家级个人信息保护立法要求,回顾了近十年我国个人信息保护相关办法出台情况,盘点了金融监管机构在个人信息保护方面的多项举措。在规则落地方面,遵循数据生命周期管理理念,介绍了数据安全管理框架,以及个人数据保护框架,并就具体技术实现进行了两个案例分析,为各机构开展数据安全和个人数据保护工作提供参考。
中国支付清算协会技术与标准部主任于沛就前不久央行发布的金融科技产品认证进行解析。
于沛认为,“金融科技产品认证”是推行金融行业技术标准落实的重要手段,以确保金融科技产品的安全性。于沛对认证规则中的适用范围、认证依据、认证模式、认证单元划分、认证委托、认证实施、认证证书、认证标志等主要内容进行了介绍。
在认证措施的落实方面,支付清算协会将会员机构实施、采信金融科技产品认证情况纳入协会自律监督检查,就问题情况突出的机构依据协会相关自律管理办法进行自律,并将工作情况报送监管部门。
App专项治理工作组专家何延哲则进一步的细化了信息安全保护的话题。以《网络安全法》为背景,当下,App对用户信息的收集尺度成为了互联网焦点话题。
App治理的难点有覆盖面广、多个问题交织、业态成型、产业成见深,而App转型治理目前的主要动作包含设立举报渠道、制定标准规范、开展检测评估、督促整改提升。
App治理在基础的用户信息保护上设置底线,而目前互联网金融模式多样,仍然需要有具体的场景风控来保驾护航。腾讯安全大数据金融安全负责人章书则从普惠金融的角度,介绍了腾讯灵鲲大数据安全平台,并分析了当下的互联网金融风险。
据介绍,目前互联网金融乱象触目惊心,非法集资案件数量持续高位攀升涉案金额超千亿,涉案金额环比越打越多。非法集资公司注册地集中在沿海发达地区,为了提高自身可信度,非法金融平台通过正规公司注册、网站注册、网站备案展开互联网业务,带来荐股诈骗、网络赌博、微盘二元期权、“虚假国家项目”等金融风险。
利用好大数据能够解决中小企业“贷款难,贷款贵”的难题,同时防范非法集资出现;而个人级信贷则更加注重如何通过大数据进行反欺诈。
平安银行信用卡中心反欺诈专家冀鑫则围绕信用卡的风控策略进行讨论。
据介绍,目前移动互联网欺诈黑产逐渐呈现集团化、场景化、互联网化等特征,涉及的数据基本都在百万级别以上,整体涉案资金规模甚至高达千亿。
而目前信用卡欺诈典型案例有电信诈骗、拖库撞库、养卡套现。在电信诈骗方面,用户信息泄漏事件层出不穷,客户网银账户被攻击事件大面积发生,银行面临极大声誉风险的考验;拖库撞库,多由于知名网站用户数据被大量攻击获取,对网银进行拖库和撞库,给银行资产安全带来严峻考验;而养卡套现,则是互联网存在大量涉及传销及诈骗的APP,以支付、信用卡提额、代还款等名义,进行养卡套现。
所有的安全事件,都离不开犯罪分子对资金的转移,国家加强对电信诈骗整治力度的同时,反洗钱也正被诸多支付从业者所关注。
普华永道反洗钱合规资深专家王菀青就对支付机构反洗钱监管和趋势进行深度分析。
目前,在监管逐渐升温的形势下,中国人民银行处罚力度不断增强,2019年上半年,反洗钱行政处罚共计209笔,罚款金额合计8839万元。除“量价齐飞”以外,处罚手段也越来越多地用到了“双罚制”。
王菀青建议相关机构应该完善洗钱风险管理框架、制定风险为本的机构风险评估机制、做好客户身份识别与尽职调查、对客户名单进行筛查、搭建可疑交易检测生态系统,从多个维度做好反洗钱。
聚焦金融信息安全,展望人脸支付发展
在国家信息系统安全认证联盟广州分会主席袁晓峰的主持下。下午的会议一方面进一步的细化了大数据及金融信息安全相关话题,另一方面,对于2019年如火如荼的人脸支付进行了全方位的解析。
北京市京师律师事务所王岩飞律师对大数据合规风险进行了解析。
据介绍,目前大数据应用主要风险来源于数据收集、数据分析、实践应用。他认为,大数据行业数据合规的规制路径包括健全法律制度并明确大数据权力应用边界、培育大数据应用主体数据素养、推进大数据权力应用主体的多元化、完善大数据应用监管的顶层设计、增强大数据信息主体的权利意识。
近期的“爬虫”风波,让大数据合规成为了业界焦点,而等保2.0的到来将对移动互联网有更加深远影响。
深圳市能信安科技股份有限公司技术总监马小龙,则解析了等保2.0的合规问题。
今年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布。与等保1.0相比,等保2.0的保护对象得到了扩展,内涵更加丰富,体系得到了升级。
在细节方面,等保2.0对移动互联环境新增一些内容,其中包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
马小龙认为,新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。
中国移动位置服务中心市场总监张亚超则介绍了位置服务对于金融风控的主要性。他认为,金融行业传统的安全防护手段,如:身份证信息、预留手机号、密码、交易记录等,已无法满足日益增长的风险防控需求。
而多维度的风控手段成为必须。目前各大银行、第三方支付机构,迫切希望引入运营商的位置服务能力作为创新手段,丰富数据维度,完善风控能力,双方共同打击金融欺诈,保障用户的财产安全。
在金融信息安全、风控等话题结束之后,会议聚焦到具体的安全场景中,分析2019年火热的人脸支付安全该如何保障,此外市场又将向怎样的未来发展。
成都智元汇信息技术股份有限公司移动支付中心总经理严军以城轨为场景,引入人脸支付话题。
他认为,目前人脸支付在轨道交通当中,已经技术可行而且拥有政策支持。
技术方面,近距离无恶意遮挡、躲避的人脸,接近100%人脸获取;注册用户总量以50万计,乘客首次抓拍比对命中率期望达90%以上,支撑构建车站级动态人脸库;车站级动态人脸库以1万计,一次比对命中率期望达99%以上,未命中乘客进行多轮比对;对于已注册乘客,证件照和现场照共同作为底图,闭集人脸识别召回率可达99.9%以上,误识率控制在0.01%。
在政策上,央行印发的《金融科技(Fintech)发展规划(2019-2021年)》中鼓励应用人脸识别,此外《交通强国建设纲要》也鼓励应用人工智能技术。
来自加减信息科技(深圳)有限公司前沿技术主管杨波则聚焦人脸安全话题。
据杨波介绍,目前人脸识别的安全风险主要来自六个方面,针对人脸识别算法后台的攻击、针对身份认证方案的攻击、针对活体检测的呈现攻击、针对个人的人脸数据窃取、针对人脸识别的呈现攻击、针对前段设备的综合攻击。
针对目前人脸支付市场较为严峻的安全保护形势,杨波认为,TEE+SE的防护方案适合保障人脸支付安全。
重庆中科云从科技有限公司技术总监汤丽斌从不同的技术角度分析了安全问题。
目前人脸支付均对活体检测有相关要求,活体检测的技术,包括动作活体、静默活体、唇语活体、双目红外活体、结构光活体,各种活体检测方式由不同的优劣。
汤丽斌则更加推崇双目摄像头在人脸支付当中的应用,其优势是,经过刷脸取款场景磨练,防御效果和体验好;受光线干扰极小;产业链成熟,成本低。
银行卡检测中心金融科技研究室主任李博文则介绍了当下人脸支付的合规以及检测要点,目前检测主要包括四个方面:
1、活体检测:用于判断人脸采集设备捕捉到的人脸图像是否来源于活体;用户无配合式活体检测。
2、终端安全检测:终端从物理层面到软件层面对人脸识别安全的支持,终端对PIN的安全保护。
3、辨识算法检测:检测人脸识别的精度控制。
4、信息保护:人脸信息保护的机制。
在谈及诸多安全话题之后,移动支付网主编、行业分析师慕楚则展望人脸支付的产业未来,并向业界发布首份《2019中国人脸支付产业发展报告》。
据报告介绍,2019年,在支付宝与微信支付双巨头推动之下,可谓是中国人脸支付元年,但在这一年,巨头的政策与市场正处于磨合期,受限于终端设计周期与产能问题,预计2019年人脸支付终端市场规模将达到15亿元。
而到2022年,央行金融科技三年规划已经完成,政策、市场将趋于稳定。从终端情况、商户情况、市场接受度、政策等方面综合评估,2022年中国人脸支付终端市场规模预计将达到185亿元,并由增量市场转向存量市场。
后续嘉宾观点分享,请关注移动支付网。