赵宇：金融服务应回归本源 遵循共同标准

中国金融认证中心（CFCA）助理总经理赵宇

　　新浪财经讯 “2017北京金博会”于2018年1月25-28日在北京展览馆举办，在26日举行的“2017中国金融年度论坛”上，中国金融认证中心（CFCA）助理总经理赵宇出席并演讲。

　　谈到金融服务的标准，其表示现在标准非常多，有的是企业标准，有的做行业标准，有的现在比较流行的叫团体标准。这些标准很多，到底我们应该如何去遵循一个标准才是最回归本源的路径呢？赵宇认为至少应该满足以下这几点：要满足低成本的需求，满足易用性的需求，满足合规要求，满足风控的需求。

　　以下为发言摘编：

　　赵宇：我今天分享的主题是新趋势下的移动金融安全技术的实践。为什么说是新的趋势呢？我想这个大趋势，我们在金融领域从PC端向移动端的发展，已经成为一个不可逆转的大趋势，刚才在王秘书长PPT当中也提到了这一点，其实我们早在2012年、2013年的时候又开始着眼于这方面的科技安全方面的研究。

　　首先，先跟各位分享一些数字，这些数字有一部分是我们通过互联网上看到的，一部分是我们自产的数据，通过这个数字我们不难看到，最近这些年来，以手机银行为例，移动端的金融服务的发展趋势呈现出非常快速的发展趋势。

　　我们看一下右边这张图，右边这张图是我们在2017年12月7日发布的年度中国电子银行业的一个调查报告当中提到的一张图。我们这个报告是每年都要做，到现在为止已经做了第13个年头，我们第一手的数据从数字+银行获得第一手数据，把这些数据进行分析、筛选，形成这份报告，通过这份报告可以看得出在个人电子渠道当中，手机银行的发展趋势非常地快，而且明显超过了网上银行发展的趋势。

　　平时沟通过程中因为我们工作的原因，跟很多商业银行的网络金融部、电子银行部的同仁沟通会比较多，他们在2017年很深切的一个感受就是，我们的网银客户很多都跑到了移动端。

　　为什么呢？其实这里边有几个原因，第一就是我们现在移动端的普及率非常地高，它应用起来非常方便。这里边包括我们的手机银行、移动支付，大家用起来非常地方便，再有一个原因就是我们移动端设备的科技含量越来越高，在运算处理能力、安全水平各方面跟几年前的移动设备可以说不可同日而语，给我们移动端打下了一个非常好的基础。

　　还有一个非常重要，在银行从业者当中也非常重视这个问题，我们的客户在不断地年轻化，虽然说我们现在已经进入了移动端的时代，但是可能我们每个人的金融服务的使用习惯是不一样的。有人喜欢用网上银行，有人喜欢用移动端，有人喜欢刷卡、有人喜欢二维码扫码支付，还有一些老的客户愿意去银行对面办理一些业务。

　　从总体来看，我们的年轻一代，90后，95后现在都已经开始工作了，这个趋势还要放眼未来，未来几年之后有更年轻的血液投入到我们的使用群体当中来，他们的消费习惯就是我们关注的，他们特别关注移动端的金融服务。

　　我们来看一下，目前来说移动端的金融服务主要是在哪些方面呢？第一是手机金融，包括我们的手机银行，包括直销银行，大多都是通过移动端呈现服务，包括网上的理财、购物、支付，包括近场支付、远程支付，都基于移动端做一些使用场景。另外是社交工具，这个普及率比移动支付还要高，就不用多说了。

　　移动端使用场景如此迫切，我们应该如何应对它出现的问题，到底是什么问题呢？这个问题在PC端的年代已经呈现过，可以说魔高一尺道高一丈，不断地有一些不法分子通过步伐手段去为非作歹、作案。在我刚刚从事这个行业的时候，网上银行处于一个快速发展期，那个时候很多基于钓鱼网站，或者恶意盗取你的口令，或者针对一代智能密码钥匙中间的劫持等等非常多。来到手机端的金融服务的时代，我们看到这个问题并没有少，而且越来越多，因为毕竟我们来到了一个多元化的支付习惯的时代。

　　面对这样一些问题，我们可以看到过去的这几年，随着手机端应用的不断发展，我们有很多很多的方案，呈现出一些特点，什么特点呢？第一方案很多，我们可以看到特别是站在我们银行的从业者这个角度来看，林林总总的一些解决方案都会呈现在我们面前，而且这些方案当中到底如何去取舍？我们自己会感觉非常地困惑。

　　另一方面，就是标准多，所谓标准多，有的是企业标准，有的做行业标准，有的现在比较流行的叫团体标准。这些标准很多，到底我们应该如何去遵循一个标准才是最回归本源的路径呢？

　　另外就是组织多，各种基于信息安全方面的组织对我们提供很多方案。另外就是挑战多，左边可以看到目前主流的移动端安全解决方案主要包括基于硬件单元的，也就是我们俗称的SE，在手机智能终端当中有一个可信的智能安全芯片，把最敏感的信息写入这个芯片，不会被盗取。包括一些云实现的方式，包括加强一些安全的解决方案。

　　另外就是近场支付这方面，近场原来是基于HCE这种解决方案，包括华为Key、三星Key，还有一些蓝牙Key。在手机端陆续也在推这方面的解决方案，包括智能密码钥匙有一个蓝牙的匹配，匹配到手机上，也有一些银行金融机构会选择一些音频插口的智能密码钥匙，去做安全交易的智能认证的工具。

　　另外最近两三年比较流行的就是基于生物识别的这样一些解决方案，包括刷脸、刷指纹、刷静脉、刷瞳孔等等的林林总总的方案，摆在我们面前的选择实在是太多了，空前地丰富。

　　现在客户对安全的需求非常地迫切，这个问题我从业十几年过程中不断地有人问我安全跟便捷是不是一个相悖的矛盾的两面。过去以往确实是，我作为一个个人用户我也感受到我们在使用网上银行，使用IC卡支付过程中确实安全和便捷可能会有一些小小的矛盾。有的时候我想方便、想快捷，安全方面就牺牲。在座的都是专业人士，我们要考虑到中国十几亿人口，他们可能都是我们的客户，我们不可能要求他们像一个IT宅一样去处理自己的事务。

　　在这个过程中我们可以看得到，什么样的创新产品才会在金融的发展过程中脱颖而出呢？刚才说到了组织多、标准多、方案也多，什么样才是我们需要的呢？首先要满足低成本的需求。另外，满足易用性的需求，另外就是合规，特别是我们的金融机构，我们的支付机构，他们对合规还是非常地重视。最后就是满足风控的需求，我们需要的就是低价金融安全、又满足监管要求的方案才是我们所需要的东西。

　　在这样一个需求摆在我们面前，我们无非就面临着几个问题，第一证明我们的客户你是谁？最开始他来了之后我要认证你是谁。第二是证明你是你，在交易过程中证明你是你，你还是你，频繁交易过程中你还是你。第三就是授权的问题，你在做，能做些什么事情。最后，是一个行为追溯，你到底做过什么，如果把这四点解决了，那就是移动端一个安全的解决方案。

　　多元化的认证框架，第一证明你是你的过程中不仅仅是原来线下这样一个认证的过程，因为这种方式已经可能未来会被历史所淘汰，这个过程中我们通常是通过大数据，以及权威的认证方式来证明你是你这样一个过程。

　　在证明你是你、你还是你的过程中，我们通常是把我们的安全认证方案，各种安全认证手段嵌入到我们的安全处理流程中，结合我们的电子签名，这里面一定强调电子签名，因为电子签名在中国是有法律保障的，所有的东西有电子签名有一个抗抵赖、抗风险的作用。这里面授权你能做什么，通过一些我们后台应用系统去解决一些这方面的问题。

　　最后，是一个事后的追溯，因为现在我们发现在交易过程中，其实不是案件多了，不是我们的交易纠纷多了，而是我们的分母变大了，在以往信息不对称的年代很少有信息产生纠纷，产生纠纷是这样一个过程，但是通过我们的时间过程中，我们2017年会发现特别是我们的银行、我们的金融机构、我们的互金公司因为业务频繁开展了线上的业务，导致纠纷越来越多，这个过程中证据如何取证、如何证明各方的责任和过错，这个非常地重要，这方面我们也有所实践。

　　新浪声明：所有会议实录均为现场速记整理，未经演讲者审阅，新浪网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

责任编辑：谢长杉