作者: 李群
主持人:首先欢迎两位来到比特网。咱们开门见山,直入主题。现在银行开展网上银行业务已经十分普遍,但网上银行还存在不少问题,很多人因为安全问题不敢放心使用网上银行,两位如何看待这个问题。
李晓峰:很高兴来到比特网。你提的这个问题也是网银客户非常关心的问题。我国网上银行发展已有十年历程,这十年风风雨雨,有很多的坎坷。走到今天,应该说大家付出了很多心血。
去年网银有7400万用户的规模。网银在给公众和企业带来方便的同时,确实也引起了一些不法分子的窥视。从前一段时间报道来看,有些针对网上银行的案件时有发生。现在这些案件有很多不好的趋势确实应该引起我们的注意。过去针对网上银行犯罪的黑客,开始是非获利性质的,但现在正向获利性,团伙性和产业化方向发展,网上银行的犯罪分工日渐细化。如果一个领域犯罪的分工细化到这个程度,这个领域就可能进入一个犯罪的高发期。这几年,一方面网上银行在快速发展,另一方面针对网上银行的犯罪也在迅速攀升。
李晓峰:从我们了解的情况看,网络犯罪很多都是针对QQ群体的,相对于其他的方面,针对网上银行的犯罪由于涉及到公众和企业自身资金的注意,比较引起人注意和关注。一旦爆发,会引发很多关注。实际上其他方面犯罪的案件数量远远要高于网上犯罪。即使是这样,也并不是说网上银行太平无事,也不能简单的说日趋严重,但是这种情况确实应该引起银行、公众方面的注意。至于是不是应该遏制,我们应该看看是什么原因引起的网上银行犯罪。
主持人:那么有几种原因呢?
李晓峰:目前银行方面等等,比较常见的,无论是网上银行还是网上证券,还是第三方支付平台,比较普遍的就是盗密码这种方式,也有通过手机短信进行欺骗的,这些都不同程度存在于网上银行犯罪中,电子商务、第三方支付或者游戏类网站都有。
就技术而言,涉及很多方面。比如银行内部的安全手段,防火墙等各方面都是技术问题。国内网上银行在这方面业界做得还是不错的。国外银行所能提供的国内银行基本都采用了。现在我们看到的案件,大多数都是在身份审核上出了问题,而且一旦用户和银行之间出现交易纠纷,很难找到法律依据。
主持人:您的意思就是说,我们要真正推广网络银行,必须有一个真正可靠的法律上认可的电子签名,这样才是最终解决问题的办法。
阿拉木斯:对,这样才能受到法律的保护。
主持人:我知道现在有些情况,很多把刻意模仿交易银行的界面,然后通过钓鱼,很多消费者不知道这个东西。输入密码之后,就被骗了。反过来他被骗了之后,要挽回自己的损失,有时候也遇到很多的困难。这也是让很多人比较头疼的问题。
李晓峰:就刚才这种作案手段,在网上银行犯罪里面是非常低级的手段,通过假冒网站的手段,或者伪造一个非常类似的域名这种手段,但是恰恰这种手段非常有效。有的手段通过手机短信,电子邮件,有的把发送方式改为权威机构的假号码发送过来,有的是通过正规的网站替换一个链接,这样使客户防不胜防。无论银行还是客户,最后都是以法律办事,无论仲裁还是走司法渠道,用户名和密码不具备不可抵赖性。这就是现在为什么网上银行出了问题追求责任人和索求难的原因。
阿拉木斯:网络钓鱼就是在网络侵害中损害比较大的行为。在法律上,有一个问题,就是说出现网络钓鱼,用户被损害后,被假冒的银行是不是应该承担责任,这是法律上的一个问题。我们知道去年针对工行的一些集体诉讼,就是网络钓鱼引起的。在以前的一些相关法律法规中,我们没有找到相关条规说银行有这个网上打假的义务。如果网上出现你的假冒网站,银行到底有没有这样的义务去打假。如果没有去打假,有没有承担相应的责任和义务。
在英国的法律中有这样的一些要求。后来我们注意到银监会出台的电子银行业务管理办法其实已经提到了。就是银行有在网上银行打假的义务,你要配合有关部门进行打假。
有这样规定以后,今后如果有用户因为这样的行为被骗,他再起诉银行的话,银行是不是应该承担相应的法律责任。这点非常值得探讨。
主持人:现在还依然没有。
阿拉木斯:现在还没有。因为这个出台以后,这方面的诉讼、相关案例我们还没有看到。
主持人:这些因素都直接影响到网上银行的一种推广。刚才咱们说了,只要出现一个相关的损失案例,用户对这个银行和这个银行推出的网站业务就不再相信,他们的信心会受到很大的打击。银行再推什么类型的网上业务,他都不会再接受了。能不能从第三方认证的角度说一说,我们如何尽量避免出现这样的问题,怎样尽量避免。
李晓峰:说避免的问题,涉及到几方面的因素。一方面是银行,要采取足够的安全手段,或者可以根据不同用户的特点,交易特点提供不同的安全手段。目前电子签名是唯一的可靠方式,但是我们不能否认用户密码和动态密码,它们也有一定的客户群体。因为每个客户消费的特点不一样,比如他不常做网上交易,或者交易额非常小,这种定向的支付,比如煤气、水电费缴费,可能他用级别低一点的也可以。我的意思就是说银行应该针对不同客户群体提供不同的安全手段,当然银行应该有足够的手段。毕竟目前还没有采用电子签名法。监管部门的引导和媒体的宣传很重要。
阿拉木斯:客户身份识别是网上银行安全的最重要的一环,某种程度讲发生问题主要在这上面发生。一般来说,用户在办理网上银行的时候,他跟网上银行之间有个协议,基本都有这么一个条款,当然条款本身的合理性还有待于进一步商榷。凡是使用用户名和密码操作的行为,银行不承担任何的责任。这个从法律角度讲是有问题的。他强调了用户的义务,反过来没有强调银行的审核义务。比如银行的安全保管义务。如果发生具体的案件,法院有可能推翻这条来深入,因为它是一个格式合同,如果显示公平法院有可能推翻。但是现在,它目前毕竟是一个广泛存在的现象,所以从用户角度来说,你采取什么样的用户名和密码,你的身份认证手段非常关键。
现在使用的身份识别手段主要三大类。一类就是刚才李总说的,密码,包括动态密码,静态密码,第二还有生物识别特征技术,第三大类就是数字签名、数字证书。动态密码、静态密码还有生物特征密码,它的安全程度不大一样。但是数字签名安全程度非常固定。只有这一类电子签名能够完全达到电子签名法规定的可靠电子签名的要求,能够被法律所认可。
第二大差别是什么呢?动态密码、静态密码、生物特征识别也好,只是确定身份,不对传输的文件进行加密。这是数字签名和它们最大的区别,数字签名不光是一个身份,还整个混入传输文件当中去,适合于在开放网络中传输文件,同时不被截获。
主持人:我记得工商银行有一个U盾是用来进行用户身份确认的。
李晓峰:对,这是工商银行自己发的,不是第三方发放的。
主持人:银行自己发放的和第三方发放有什么区别?
阿拉木斯:这是一个历史问题。电子签名颁布实施以后,在法律上明确要求,数字证书的提供是第三方来提供,如果不是第三方提供的话,根据电子签名法的理解,它是不能得到法律保护的。最简单的道理,比如我给我的客户发自己的数字证书,客户在使用数字证书的时候,一旦出现问题,一旦打官司的话,客户要告银行的话,我这个证书算不算证据,显然这很荒唐的。因为不是第三方提供的。这里面会有矛盾。
从这个角度讲,我们电子签名法和电子认证书都有专门的规定,明确要求使用第三方出具的合法电子认证支付,目前在网上支付领域主要是中国金融认证中心,它们也是目前做得最大的,发放超过200多万张了。这个在所有网上,银行用户中仅仅占到了很小,不到3%,这个目前是一个问题,如果把使用合法的用户证书签名,用户大大提高的话,他们在管理、技术上法律上都有保障,相应的法律方面还有保障。无论教育消费者也好,还是提高我国网上安全性的保障都是很重要的环节。
主持人:什么因素阻碍了第三方签证的使用呢?
李晓峰:这个还是历史的问题。我们国家使用电子签名的时候,在98、99年左右,而我们的签名法在2005年4月1日才颁布实施。在05年4月1日之前,尽管应用的数字证书,无论是第三方还不是第三方也好,都没有法律认可。这几年,随着签名法颁布以后,配套的法规有电子认证配套的办法,局面正在改变,到今天有这样的规定,目前国内开设网上银行的53家,已经有44家纳入了我们认定的统一的金融安全认证体系。希望各家银行能够在统一的认证体系里面,统一业务规范和技术标准来规范数字方面的网银一证通。现在很多企业,需要办理不同银行的网上银行,这样就有很多尴尬局面,不得不拿这个行的证书,拿了一大串证书,财务一套,出纳一套,会计主管一套,这个我们想象一下,跟银行卡联网前后的局面太相似。
补充一点,第三方跟银行自己的最大区别,就是从根本的技术原理上是一致的,区别就是在合法性。除此之外,它的运作、管理所取得的效益完全不一样。
主持人:是不是可以这么理解,我们应该用第三方的这种认证,银行自己发的认证一旦出了问题,法律上是没有保障的。
阿拉木斯:今年三月份上还有一个十六万的网银证书不是第三方发的,是银行发的。它是被云南的两个黑客用牧马程序,分十一次,这十六万马上转走了。但是还算幸运,这个案子挽回了一定的损失。这方面如果一旦发生被盗,用户来说有四个方面非常不利。
第一,管辖的问题。比如你这被盗了,你去公安局报案,公安局说这个不归我管,因为原告还是被告,或者作案的犯罪嫌疑人并不在本地。包括你支付的银行、平台也不在我的管辖地。
第二,你去法院起诉以后,现在法院处理的程序就是先行后民。这种情况,中央颁布过决定,就是希望改变这种模式。如果不立案的话,先去告银行的话,法院会要求你先去立案。
第三,到民事诉讼阶段,你告银行了,立案了。一般来说我们国家的诉讼制度最简单的说法叫谁主张、谁举证。我认为你侵害我的权利了,我举证,我主张的事实我不必举证,我举证不出来我不能够胜诉。大家可以想,如果我告银行的话,我说你系统有问题,导致我被盗了。法院会说你拿出银行系统存在安全缺陷的证据,这个对用户来说,是非常困难的,基本上不可能完成的任务。所以这方面用户又面临这样的问题。
第四,我们刚才李总提到,团伙作案叫木马地下经济。不像原来黑客是一个个人的行为。现在是团伙作案,这样在查获、破案的时候都存在很大的困难。还有最大的困难是什么呢?现在的木马程序,法律基本上可以说没法认定,因为木马不属于病毒,木马程序本身,盗取钱或者盗取帐户了,可以算作犯罪的行为。但是木马的程序,还不能进入病毒的概念里面去。法律上没法给木马找一个很好的位置摆,它没有传染的特性。
主持人:怎样让公众能树立对网上银行的信心呢?
李晓峰:对网上资产的犯罪这块确实有很确切的数字,银行方面的案件是最低的。这说明什么呢?银行方面对安全机制的采用还是比较完善的。换个角度讲,犯罪分子对网上银行的侵入犯罪成本是高的,要高于其他。所以他才可以挑选犯罪成本更低的领域去。
刚才讲了,银行方面不断理顺自己法律上的认识,应该采用第三方的形式。实际上第三方的采用,数字证书的采用,或者第三方认证机构的采用不仅仅有利于客户,当然对客户是一种保护。银行一方一旦出现纠纷,不能说话语权全在银行。同时它的采用对银行来说也是一种保护,不管是银行还是客户方面的问题,客户就是不认可,客户认为是你的问题,可是银行方面反倒有口说不清了,因为你是交易的一方,你又做非法的动作,所以银行反倒说不清了。
再有就是不断加大宣传。我们尽管做了几年持续的大量宣传,我们觉得不仅仅是普通客户,有的甚至是一些白领、媒体记者对第三方的问题了解非常少。曾经有个记者问我,第三方数字证书是不是一张纸或者一个证啊?我在这里说明一下,第三方数字证书是第三方认证机构颁发的网上的数字文件。数字文件就需要有个保存的地方,也就是这个证书要保存一个地方,就是保存在类似U盘的USBK,再有一种保存方式就是保存计算机中,我们称作软证书。我们强烈建议客户和网友不要采用这种方式。证书这种机制算法是不可破解的,由于要保存一个地方,所以就有问题了。
我们形象说一个非常安全的保险柜,可是你把钥匙和密码放在不安全的地方,保险柜的安全性就无从谈起了。所以数字证书本来是审核安全的,但是要有一个保管的地方,保管在USBK中是不可盗取的,如果保存在计算机中,现在确实有黑客的技术可以盗用你的安全证书。USB在启用的时候还有一个密码,如果USB丢了,它也无可奈何。
阿拉木斯:使用第三方数字证书还有一个非常关键的环节。一般来说谁主张,谁举证。而且用户往往会失败在这个地方。但是第三方数字证书它们存在很大的责任。在电子签名法当中很大的规定,第三方认证机构不能证明自己的行为没有过错承担责任。如果用户使用了第三方数字证书了,一旦出现问题之后,先主张责任的是它们,它们得把自己先证明清白,否则它们就要承担责任。这样对它们来说责任很重,对银行和用户是很有利的。
主持人:能不能说说国外的情况。因为咱们现在只是谈的国内的情况,国外应用第三方证书的情况怎么样呢?
李晓峰:在亚洲国家用得比较好一点。在北美也有人用,但是我们了解情况是还不如国内这么普及。这个跟国外银行信用体系关系很密切,社会各方面信用体系是完整的概念,很健全,应用也很完善。另外,公众的法律意识很强,这也是非常重要的因素。我们从05年开始,组织十几家商业银行在放心安全用网的宣传年活动,在网上可以看到很多这方面的报道。其中非常重要的目标群体就是青少年,青少年法律意识淡漠,觉得很好玩的东西,我还可以攻破一下帐户,弄点游戏资产,QQ帐户这是一种炫耀,但是现在已经从炫耀变成获利为目的的,这非常危险。
阿拉木斯:从法律上说,我们网上支付的法律体系很不完善。跟国外相比。虽然我们现在有银行电子支付文件第一号和银行业电子银行管理办法,但和国外相比我们这里面缺电子支付、信息安全,还有个人数据保护这三方面的法。这个在法律上是很关键的,包括刚才说的木马问题,木马法律定位的问题,包括网上钓鱼的法律问题,这方面由于你这个法律不是很健全,导致这些行为一旦出现以后,不能够用法律解决。这时明显感觉法律武器不足了。和网上银行比较发达国家相比,目前存在很大的差距。信息安全条例和个人数据保护法目前我国已经在酝酿之中,电子支付这个还没有,但是主管部门也在做类似的工作。
主持人:正在稳步推进中。
阿拉木斯:这里面还涉及第三方支付平台的合理性的问题。它本身的合法性目前还不确定,包括法律地位和法律责任还不确定。这也是法律上的困难。我们的主管部门正在出台这样的规定。
主持人:能不能呼吁一下,大家都使用第三方数字证书,让公众和银行有一个认识。
李晓峰:刚才说到需要银行方面理清这方面的误区。包括对电子签名法内容的理解,现在起码有些银行或者有些人还理解不透彻。所以,在引发第三方的数字证书是可有可无的误区。
主持人:怎么消除这种误区呢?
阿拉木斯:其实,我觉得这种误区,可以说日益严峻的网上支付安全环境就是消除这种误区的最好一个条件。因为现在木马太多了,木马盛行以后,用户安全就是一个问题。用户安全出了问题以后,就会有法律问题,法律问题就包括责任分担的问题。为什么不用合法的,能够帮你分担责任的第三方呢?随着这种形式的发展,他们会意识到这一点。
如果一旦出现问题以后,会有非常强烈的不信任的心理,必须引起全行业的高度重视。一方面不断强化自己的系统安全,强化客户身份识别的机制,使用合法的第三方提供数字签名。还要注重我刚才说的网上打假。我们在网上提到的电子商务方面,提到很多的词就是消费者教育,这个在信息化环境当中也起了很重要的作用。
它不像传统环境那么简单,它技术性很强,安全性很强,服务提供者必须拿出相当的精力教育消费者,让它提高风险防范的意识,这个非常重要。从这几方面,银行都应该做很多的工作。包括一旦出了问题以后,怎么样尽量减少损失,把损失限制在最小的范围之内。
从个人角度,应该说还是可以采取很多的措施,比如使用合法的第三方机构识别,电子签名,如果小的支付,尽量使用安全程度高的密码,还要妥善保管好自己的密码,定期使用杀毒软件升级,操作系统打补丁等等,这方面从国家、从行业、从个人角度还是有很多办法的。其实这些谈起来,就是涉及到对网上银行的理解。
总体来讲这些问题都是发展中的问题,虽然问题可能比较尖锐,法律上也存在一些空白,而且有些问题负面影响非常广,但是总体我们把它定位称发展中的问题。我们说网上银行是金融服务现代化的必然趋势,或者说电子支付是必然趋势,另外我们说它也是我们国家目前金融服务的资源相对短缺的非常有效的方式,不受时间的限制。由于这个系统正在建立,它的安全、第三方服务、它的法律、标准、行业规则,需要整体的完善,它一旦完善,我觉得这个系统绝对比传统方式安全得多。只是说在完善过程中,我们会看到它有非常明显的优势。
李晓峰:这个发展方向是勿庸置疑的。因为它跟IT技术绑定非常紧密。十年前我们谈互联网的发展空间,可能会有猜测的余地。但是现在谈如何发展,绝对是非常现实的问题了。我们看到有的银行,最初网上银行仅仅是一个门面,从一些网站开始,后来到提供服务,消费也好、理财也好,从最初到现在,网上银行占到它业务的百分之二十几到三十几,有些银行已经超过了50%,这个不仅仅是个渠道,它已经变成了一个主要的渠道,超过传统柜台的业务,已经达到50%了。当然从电子银行的角度,从网上银行有的高达30%,这个数字非常可观。我们看的数字是美国的一类统计数字,从去年美国的零售银行的业务,包括对个人、中小企业的业务,它的渠道当中网上银行发展最快,这个空间非常大。
主持人:作为一般用户来说,获取第三方认证是不是困难呢?有没有这方面的渠道方便用户拿到这个认证呢?
李晓峰:中国金融认证中心的这个证书目前已经拿到的有44家,客户到商业银行柜台办理网上银行的时候,或者你已经是网上银行客户,你想申请第三方证书的时候,到绝大多数商业银行都可以直接办理。几乎四十多家银行网点都可以直接办理第三方数字证书。
主持人:有了数字证书之后,大家使用这个网上银行就非常的放心,至少有了法律的保护。能不能说CFCA近两年的工作情况?
李晓峰:这几年的发展历经风雨、坎坎坷坷,到目前为止进入了比较好的发展态势,网上银行现在也越来越得到公众和企业的认可,走入了这么一个快速发展的时期。我们发放数字证书的量,04年以前我们发了不到22万张,到今年已经超过230万张。尽管我们看起来,数字发展很好,但是从中国金融认证中心作为国家金融安全基础设施,从这个社会职责来看,我们觉得远远不够。因为比较74000万这个客户群体,还是太远了。所以这个是任重道远。
主持人:接下来在推广方面有没有什么举措?
李晓峰:这个举措几年来也在一直做,包括我们不断提高认证系统的认证效率,改善它的编译性,不断给商业银行围绕网上银行提供更多的服务。比如我们按照银监会的电子银行业推出了55家网上银行的安全评估业务,因为商业银行和网上银行每两年应该进行一次安全评估,是否有什么漏洞,有什么薄弱点。我们不久前还推出一个叫服务器的EV证书,这是几大浏览器厂商,包括微软在内的若干个大厂商联合制定的一个行业标准。这个证书按照全球统一的严格身份验证标准来推出的一种证书。这次针对服务器,比如网站,它的特点就是如果登录这个网站按照这个标准认证的,它的地址栏是绿色的,后面还标识出谁来认证的,如果你登录的是假冒的,非经过认证的,就会是红色的,防止客户登录一个未经认证的平台。
主持人:主要是防网络钓鱼。
李晓峰:对。
主持人:我相信有了这些措施之后,人们对网上银行的信心会大大增加。无论从法律还是技术角度都能够保证人们的放心。
李晓峰:因为网上银行黑客的技术手段也在不断的翻新,防护方也在不断加强防护。这是动态的过程。
阿拉木斯:其实互联网本身就是一个不断发展和多方参加的,本质就是这样。立法部门、银行、第三方、用户自身,技术手段等等多方参与和共同发展的过程,但是这个方向很明确,只是道路曲折一点。
主持人:道路曲折,但是前景是美好的。还有一个问题,现在有没有一个所谓联盟性质的组织?针对网上银行做的,包括第三方机构,各家银行组成一个网上银行安全委员会的组织,来共同来关注解决网上银行的安全问题。
李晓峰:我们05年针对网上银行犯罪的新的态势,发起了安全网和安全年,这是一个平台。每一年每个阶段侧重点不同,05年比较侧重普及性的宣传,告诉大众怎么使用网上银行,从06年又进一步深入,比较有针对性的措施、宣传对象,今年年初四月份,我们针对网上银行犯罪这种变化的趋势,从过去个体性的,炫耀技巧性的,非获利性的,变成团伙性的,获利性的这种态势,我们成立了叫网上银行反欺诈联动机制。这是由各银行方面,包括公安部,包括国家病毒处理中心几方面成立这样的机制。网上银行犯罪的特点,跨地区,跨银行,隐蔽性比较强,常常是案发是一地,赚方在另一地,资金又转移到若干个地方,然后又提出。银行也无从下手,公安部门也感到很困惑。因为银行或者客户都是向当地的派出所报告,可是派出所一方面负责当地的治安,这种网上的案件都是在市厅或者省厅,变成了报告机制不顺畅。治安部门受理以后,网侦的部门就不受理了。侦破的手段又有限。即使在网监部门,银行不配合也是很困难。究竟它的IP地址在哪,持续的物理地址在哪?这都存在困难,所以我们发布的这种机制。今年无论从银行部门还是公安部门都有初步的机制,一些案件已经在沟通、侦破中。
主持人:是不是以后一旦出现这种情况,可以找CFCA先说一说,由你们统一。
李晓峰:从法律层面讲,还是应该向公安部门、网监部门报案,从银行方面,我们的机制内容、银行或者公安机构,有案件的时候要及时协调沟通,平时也应该定期交流案件的情况,一些作案手段、特点,一些防范措施也应该保持渠道的畅通。
主持人:我相信在各方面的共同努力下,公众对网上银行的信心会越来越高。感谢二位接受比特网的采访,非常感谢。