作者:[江卉]
我國自1998年3月首次推出網上銀行服務以來,網絡銀行業務發展迅猛。但網絡銀行作為實體銀行的虛擬工作環境,其風險范疇比實體銀行要大得多。下面僅就我國網絡銀行面臨的風險及需采取的相應對策作一淺析。
一、我國網絡銀行面臨的風險
(一)技術風險
1.網絡自身安全隱患。目前,許多流行的操作系統均存在網絡安全漏洞,網絡安全協議也存在缺陷。此外,不少網絡銀行系統在防火墻的配置上不盡合理,無意識地擴大訪問權限,從而被外部人員利用,獲得作案的有用信息。
2.網絡通訊的安全隱患。具體表現在:①電磁信號輻射容易出現網絡信號泄漏現象,為那些技術高超、擁有先進設備的網絡作案者提供可乘之機;②作案者采用主動或被動攻擊方式,通過聯接上網,盜取客戶網上登錄的信息、數據或密碼,竊取資金;③銀行網絡專線發生故障而啟用備份撥號線路時,由于電話號碼保密不嚴,使不法分子伺機登錄主網作案,給銀行網絡安全構成極大威脅。
3.內部管理混亂。部分網絡管理員、業務員、用戶安全意識淡薄,系統口令使用混亂,或長期使用同一口令,使口令極易被他人掌握,給犯罪分子造成可乘之機。銀行內部網、外部網沒有實行物理隔離或隔離不當,容易導致金融數據信息被“黑客”盜取或篡改,同時也容易感染計算機病毒,危及網上所有計算機信息系統的安全。
(二)操作風險
操作風險是指由于系統的可靠性、穩定性和安全性的重大缺陷而導致潛在損失的可能性。
網絡銀行客戶疏忽、缺乏網絡安全知識可能會給自己和銀行都帶來損失。比如,客戶在沒有安全防護措施的場合使用信用卡號、銀行賬號等私人信息,就很容易被他人竊取而導致賬號泄密。
網絡銀行安全系統設計缺陷也會引起操作風險。隨著計算機處理能力的增強和通訊手段的增多,網絡銀行客戶地理位置更加分散,網絡銀行對客戶進入其賬戶的授權管理相應也變得復雜。如果對客戶進入賬戶沒有明確授權或進入時授權過于繁瑣,都可能導致客戶蒙受經濟損失,加大網絡銀行操作風險。對網上支付而言,網絡銀行安全的缺陷使客戶很難辨認交易是否真實,從而產生對網絡銀行的懷疑,這種不信任往往構成網絡銀行另一種形式的操作風險。
網絡銀行員工工作失職或缺乏職業道德,也會導致網絡銀行嚴重的操作風險,甚至危及網絡銀行的總體安全。比如,某些員工利用職務便利,有目的地獲取客戶私人資料,并使用客戶賬戶進行買賣股票、炒外匯等風險投資,將交易風險直接轉嫁到客戶身上。
(三)法律風險
我國現行法律還遠遠不能適應網絡銀行的發展,利用網絡從事銀行業務,存在著相當大的法律風險。比如:進行網上銀行交易所需的數字化簽名是否具有法律效力?使用信用卡付款后發生退款該如何處理?因此,為適應網絡發展,從《商業銀行法》、《消費者權益保護法》、《知識產權保護法》到《廣告法》,都有需要修改的地方。同時,因特網的國際性和跨國界性,也使網絡銀行所處的法律環境較傳統銀行更為復雜,其中蘊含的法律風險也更大。
險以上風險外,網絡銀行還面臨傳統銀行經營過程中存在的流動性風險、利率風險、結算風險等,本文不再贅述。
二、我國網絡銀行風險防范對策
(一)加強安全技術防范措施
1.宏觀層面上,加強銀行體系網絡化建設,推動網絡銀行的發展。目前,我國的網絡用戶僅占總人口的3%,與美國的40%及香港的15%相比,差距較大。因此,提高銀行體系網絡化水平、大力發展互聯網業務、普及網絡安全知識,是推動我國網上銀行發展的前提。這需要國家產業政策的積極引導,引入競爭機制,整合各行業、各部門、各地方的局域網資源,形成全國性的主干銀行金融網絡體系。同時,國家網絡技術支持部門、銀行監管部門、各商業銀行等要通力合作,確保網上銀行體系的交易安全和無故障運行,為發展網絡銀行創造一個良好的外部環境。
2.微觀層面上,強化技術手段,保證網絡銀行安全運營。網絡銀行的發展需要科技為保障,我國目前的計算機系統以國外產品為主,其操作系統的安全性基本上屬較低層次,因此,我國的網上銀行更需要把目光放到技術安全防范問題上。較完整的網絡安全防護設計包括:①系統的內、外部防護。內部防護包括防火墻和路由器過濾設施,通過數據包過濾和代理服務,作為各不同層次之間以及不同數據庫之間的屏障;外部防護包括通信加密、防火墻、物理隔離等,作為網絡與網絡之間的屏障。②加強本地工作站/平臺安全環境,包括個人訪問控制和配置檢查功能、防護工具及程序。③入侵探測系統。由于我國計算機操作系統的安全性能整體較低,利用這些設施建立的網絡,即使采取加密、防火墻等安全技術措施,其安全水平也不可能有根本性的提高。要從根本上改善網絡的安全現狀,必須發展網絡攻擊檢測技術。④設計可靠牢固的、可修復的基礎設施,能夠抵消攻擊或系統由于自身原因崩潰時所造成的破壞,并在事后可穩步修復。
(二)強化網絡銀行安全管理
1.網絡安全的常規防護管理措施。操作人員設置和職能權限、網絡系統日常操作維護規范、安全掃描/監控工具使用規范、系統應急處理措施、安全審計制度、業務審計制度和機房出入制度等等,都應作為制度做出明確規定。
2.網絡銀行的業務控制管理措施。網絡銀行應在交易日志的基礎上形成業務審計日志,并由專人負責進行分析,及時發現可疑交易行為,采取控制措施;轉賬限制和交易額限制,對賬戶性質、資金流動、不同品種的單筆交易額、當日累計交易額等加以限制。
3.網絡銀行的人事管理措施。招聘員工時,必須進行必要的背景審查,審查的內容包括該員工曾有的與計算機系統相關問題的信息;對員工進行培訓時,應將計算機安全管理規章制度作為培訓的主要內容;解聘員工時,應事先采取必要的網絡安全措施,如改變該員工的訪問權限、修改有關口令等。
(三)建立健全相關法律法規
1.建立網絡銀行法律監管體系。目前,我國網絡銀行許多監管規范仍停留在審批階段,對于事后與事中的監管力度不夠。因而,有關方面應及時修改、修訂有關法律法規,將網絡銀行業務納入其管理體系,做好網絡銀行的外部懲罰措施以及涉及網絡銀行的市場退出機制。
2.建立網絡銀行業務運營法律體系。這需要建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規,同時還應對已有法律法規進行充實、修改。
3.完善網絡銀行配套法律法規建設。主要有稅收征管法、合同法、國際稅收法、電子商務法、刑法、訴訟法、票據法、證券法、商業銀行法、消費者權益保護法、反不正當競爭法等相關法律法規。
4.加強與國際立法、司法實踐的交流與合作。通過合作與交流,加大打擊網上洗錢、網上盜竊等電子犯罪的力度。
