随着金融科技的快速发展,其规模和交易量的不断上升,对金融科技的信息技术安全提出了更高的要求和标准。当前,金融科技发展面临着网络安全、平台安全和信息与数据安全等多种信息技术安全风险隐患,一旦发生安全风险,不但威胁到用户的利益,也会给金融科技企业本身带来巨大的损失,破坏整个行业的发展,甚至还会带来系统性金融风险。因此,需要高度关注金融科技的信息技术安全风险,在社会各参与主体共同的努力下,建设金融科技的信息技术安全体系。
一、构建金融科技信息技术安全制度体系
(一)建立与完善金融科技监管的法律法规
首先,要完善金融科技法律法规,搭建起金融科技的法律体系。这需要制定金融科技信息安全行业标准,提高金融科技企业的安全准入门槛,同时还要明确金融科技企业的法律地位、金融监管部门以及政府的监管职责、金融科技行业的准入和退出机制。
其次,要构建包含一行三会、司法和税务等多部门的多层次、跨行业、跨区域的金融科技监管体系。
另外最后,还要提升金融科技消费者权益保护力度,逐步完善金融科技消费者权益保护的法律制度框架。这需要加强信用环境建设,完善信息披露制度,畅通金融科技消费的投诉受理渠道,建立消费者保护的协调合作机制。
(二)加强金融科技信息安全技术体系建设
加强金融科技信息安全技术体系建设,在核心软硬件上去除对国外产品的依赖,开发具有高度自主知识产权的核心技术,使在金融科技的关键领域和关键环节使用国产化软硬件设备,提升金融科技行业的信息安全风险防范能力。
另外,还要加大对信息安全技术的投入,以信息安全等级保护为基础,建立基于云计算和大数据的标准体系,从整个信息系统生命周期来实现金融科技长期有效的安全保障。
(三)建设金融科技信息安全风险评估应急体系
针对当前金融科技的发展特点,借鉴考国际先进风险评估规范的经验做法,建设金融科技安全风险评估应急体系。,以风险管理的视角分析金融科技信息安全系统所存在的漏洞、威胁及脆弱性,评估发生信息安全事件时可能造成的危害,并提出整改措施和相应对策,提升金融科技信息安全风险的防范与应对能力。高度重视并持续推进金融科技的系统灾备和应急体系建设,应急演练常态化,建立第三方评估机制,从而保障金融科技的信息安全。
二、
构建金融科技信息技术安全风险防范与内控体系
(一)提升金融科技的信息安全风险防范与应对能力
首先,金融科技企业要重视并提升终端设备的信息安全风险防范能力与应对能力,减少对国外先进技术的依赖,尽可能地使用国产的软硬件产品,要把科技的发展作为风险管理的重要手段,努力建立网络安全防护体系,降低安全隐患。
其次,要提升金融业务交易环节的安全风险防范能力,要在业务交易环节,主要包括交易平台的登录和支付两大重要环节,提供足够的安全保障。
另外最后,还要提升数据传输中的信息安全风险防范能力。数据的传输环节也是黑客的攻击重要目标,因此需要引入电子认证技术等多种措施提升数据在传输过程中的信息安全性。
(二)加强内部控制体系建设
首先,要提高管理人员的风险意识和管理水平。金融科技企业要高度重视内部控制体系对提高风险防范能力的重要性,要建立一套完整的内部控制管理制度体系,提高管理人员的风险意识、内部监督管理水平和风险管理能力。
其次,金融科技企业要对金融交易进行监测。可以采用大数据技术对平台上的金融交易行为进行全方位实时监测与分析,以防止出现金融科技的监管漏洞,并对交易进行整体评估,确定其风险状况和必要的预警。
另外最后,金融科技企业的内部控制体系还要配合监管部门的统计监测和风险评估。由于监管部门应对重视金融科技风险也比较重视,也会根据金融风险防范的需要,制定金融科技风险的监控标准(包括确定数据类别、定义监控指标、划分统计范围、确定监控频率等)并建立相应的风险评估机制,金融科技企业要配合好监管部门的这些相应工作,以有利于金融科技发展的整体安全环境的创造。
(三)通过新技术与新业务来提高金融科技信息安全风险的防范能力
第一首先,加强新兴技术在金融科技信息安全风险防范中的应用。随着新兴技术的不断发展和升级换代,金融科技企业要积极采用先进的信息技术软硬件设施来提升平台的安全性,甚至还可以积极创造条件开发拥有自主知识产权的信息技术设施,开发新型认证设备,提高金融科技系统的安全防御能力,保证终端平台的认证安全。
第二其次,还可以创新保险产品在信息安全风险防范中的新应用,通过引入保险产品来降低安性风险带来的损失。比如,可以购买安全与隐私保护综合保险、网络安全险等。由于这类保险承保标的主要是企业内部存有的机密商业信息、客户信息和雇员个人信息等,针对各种原因引起的数据丢失、网络被加插恶意软件、网络盗窃与网络敲诈、企业或客户信息泄露等风险事件做出理赔,可以激励企业加强信息保护方面的力度,有效协助客户减轻安全和隐私侵犯导致的负面效应和市场不利影响,从而有利于降低企业在发生安全风险事件后所带来的经济损失。
三、
构建金融科技信息技术安全的消费者保护体系
(一)加大对投资者的风险宣传和消费者保护的力度
由于投资者缺乏专业的金融知识和金融科技风险意识,需要加大对投资者的风险宣传力度,建立消费者权益保护机制。
首先,金融科技企业要加大加强信息的披露,要在交易时向投资者进行足够的风险提示,确保交易安全、信息安全和投诉渠道畅通。
其次,金融科技企业不能过度营销高收益产品,甚至还要对投资者的风险偏好和风险承担能力进行足够的了解,实事求是地向投资者说明金融科技产品可能面临的所有风险,让投资者自主决策自己的投资行为。
另外最后,要引导投资者提高风险意识、养成良好的网络使用习惯,比如在使用金融科技服务时,应加强自身风险防范意识,注意保护个人隐私。
(二)加强用户信息安全教育
用户的信息以及由此带来的长尾效应和对用户数据进行有效的挖掘和分析,这是金融科技实现快速发展的重要基础。加强对用户的信息安全教育,这本身不只是对投资者的保护,也是对金融科技发展的市场环境的保护。金融科技企业要高度重视对用户的信息安全教育,以及该项工作的重要性,对于用户的信息安全意识普及和教育除了依靠社会资源外,更重要的是要把信息安全的宣传普及工作融入到产品的设计当中,系统性地考虑对用户的金融风险提示与信息安全教育,使用户在使用金融科技产品的过程中不自觉地培养出重视信息安全的习惯。比如,在用户设置支付密码时,要推荐并引导用户使用复杂度足够的且不容易被盗取的支付密码,并在交易产品各个环节都要提醒用户加强自身的隐私保护等,使用户信息安全教育融入到产品的交易之中,从而有效提升客户的安全意识。
(三)通过法律与自律保护用户的隐私与数据
客户的隐私保护,需要从法律、行业、企业三个方面共同努力。
首先,完善的法律是保护客户隐私的根本,行业与企业的自我约束是必要条件,要充分结合法律和行业自律机制来保护用户的隐私和数据。
