中国互金协会会长李东荣：金融科技面临四方面安全挑战

本篇文章2329字，读完约6分钟

7月7日，在上海新金融研究所主办的第五届金融技术外滩峰会上，中国互联网金融协会会长李东荣指出，中国特色社会主义进入了一个新时代，主要社会矛盾发生了变化，经济发展阶段发生了变化。这就对金融服务实体经济、防范和控制金融风险、深化金融改革提出了更新更高的要求。

董融指出，在这样的时代背景下，金融技术作为一种技术驱动的金融创新，对金融功能的实现形式、金融市场的组织模式和金融服务的供给模式带来了潜移默化的影响，为经济和金融发展注入了新的活力，为解决金融发展不平衡和不足的问题提供了新的手段。然而，随着大数据、云计算、人工智能和区块链等数字技术在金融领域的应用不断深入，金融技术在业务、技术、网络和数据方面面临着一些风险和安全挑战。这需要业界和学术界的清醒认识和高度重视。

李东荣认为，金融科技的发展仍处于不断探索和逐步成熟的过程中。金融技术的现状仍然面临许多安全挑战。对于这些安全挑战，他从四个方面进行了关注和分析:

首先，在商业安全方面。随着经济社会的发展和科学技术的进步，金融业的分工日益专业化和精细化，金融产业链和价值链被拉长。在数字化、移动化和实时化的背景下，金融机构的账户、渠道、数据、基础设施等的相关性。这使得管理业务连续性变得更加困难。一些机构安全意识薄弱，为了单方面追求最终的客户体验，以牺牲资金和交易安全为代价，过分简化了必要的业务流程和控制环节，从而隐藏了更大的业务安全风险。其他机构以复杂技术为幌子，过度包装金融产品，故意掩盖业务本质，未能真正落实投资者适宜性管理和风险预警责任的要求，向缺乏相应风险承受能力的消费者出售一些不成熟、不可靠的金融产品。这需要我们高度重视。

其次，在技术安全方面，也发现一些机构盲目追求所谓的颠覆性技术，没有经过严格的测试和风险评估，导致技术选择错位、资源浪费和安全事件频发。特别是对于一些仍处于早期发展阶段的新兴技术而言，它们可能成为通过对公众舆论和资本的过度投机进行市场操纵、投机和欺诈的工具。实践表明，一些所谓的金融创新，即所谓的技术和数据驱动的金融创新，在本质上落后于制度规则，徘徊在法律和监管的灰色地带。

第三，在网络安全方面。当前，网络安全形势极其复杂严峻，常规攻击不断演化，分布式拒绝服务、高级持续威胁等攻击手段不断翻新，有组织大规模网络攻击时有发生。这对金融网络的安全防护能力提出了更高的挑战。特别值得注意的是，金融技术不仅促进了基础设施和金融服务的在线和开放，还增加了网络安全风险。在传统的通信环境中，如果金融风险发生在过去，它们往往局限于某个业务场所或某个地区。但是现在，通过网络，特别是移动网络条件下，有可能将风险因素扩散到其他机构和相关行业，甚至整个地区，甚至导致系统性风险。

最后，在数据安全方面。随着电子商务条件下购物、支付、财务管理等在线金融系统的不断丰富，一些机构积累了大量的客户行为数据和交易数据。然而，由于他们的信息系统管理水平和应对网络攻击的能力，他们的数据安全能力不足，并且存在数据被集中泄露的风险。此外，由于网络数据复制的无限性和低成本，以及数字二次利用和传输的隐蔽性，在金融技术领域，过度数据采集、数据倒卖、一次性授权和重复使用等违法行为屡见不鲜。

解决金融技术安全问题的四个方面在金融技术安全方面，我们应该如何解决这些问题？对此，李东荣提出从四个方面解决金融技术安全问题:

首先，我们必须牢固树立安全发展的理念。我们应该清醒地认识到，金融技术并没有改变金融的功能属性和风险属性。金融固有的脆弱性、风险的负外部性和网络的强介入性决定了确保安全始终是金融技术发展的生命线。从业人员要把金融科技安全放在更加重要和优先的位置，在全面风险管理和安全保障的前提下，稳妥稳妥稳妥地推进金融科技创新，坚定不移地走安全发展之路。同时，我们应该避免走极端。我们应该认识到安全是相对的，而不是绝对的。我们不能因为追求所谓的绝对安全而在促进发展和提高效率方面胆怯和停滞不前。相反，我们应该丰富我们的安全管理，通过建立试错和容错机制以及进行测试和验证，在更高的层次上促进安全和发展之间的动态平衡。

二是切实加强安全体系建设。加强金融技术安全不仅是一个技术问题，也是一项制度安排。从业人员要深入学习贯彻国家网络安全和信息化发展战略，严格遵守《网络安全法》等相关法律法规，真正落实国家信息安全等级保护、技术安全外包、数据治理等具体制度要求。严格执行金融行业应用数字技术的安全指南和标准，建立健全涵盖业务、网络、技术、数据等各个领域和环节的安全管理体系。运用绩效考核、评估认证、审计等手段，通过全面提升体系的执行力和约束力，促进业务风险可控、网络高效可用、技术稳定可靠、数据安全可靠。

第三，扎实做好安全技术保障工作。所谓的痛苦是在突如其来中诞生的，而灾难来自于微妙。在安全问题上，员工必须保持耳聪目明，通过建立和完善全面的安全态势感知和预警平台，加强访问信息的及时共享，提高网络安全防护能力和水平，建立和完善覆盖信息系统全生命周期的安全管理机制，有效提高防攻击、防篡改和防泄漏能力，研究和推进数据资源分类分级，明确安全政策、权限要求和管理责任。多因素认证、边界保护、数据脱敏等手段的综合应用，可以有效降低重要数据被泄露、篡改、丢失和未经授权访问的风险。

第四，要紧密结合金融业务需求。金融技术是金融和技术的深度融合。它不能离开金融领域，企业需要谈论技术的进步和安全性。从业者应关注实体经济和传统金融服务的金融需求暴露出的缺陷。认真选择相对稳定、成熟、与业务发展高度兼容的数字技术，明确与相关合作伙伴分工的管理要求，科学制定和实施技术应用计划、路线图和实施计划。

(实习生谢伟也参与了这篇文章)