井贤栋：互联网金融企业须将安全观上升为企业价值观

　　编者按：互联网极大地延伸了我国金融业的深度和广度，为普惠金融作出了积极贡献。但与此同时，由于市场准入门槛过低、行业监管滞后，互联网金融的某些业态和机构偏离了正确的创新方向，风险事件接连发生，使整个行业的形象和消费者信心受到了较大冲击。强化行业风险治理、引导从业机构规范经营已成为互联网金融健康持续发展的当务之急。本期专题，我们特约请互联网金融相关领域的专家结合各自实践，就加强互联网金融风险防范展开讨论。

　　回望硅谷科技百年史，全球互联网已经从大型机时代，历经PC互联网、移动互联网，逐渐从IT（Information Technology）向DT（Data Technology，数据技术）万物互联时代迈进。互联网金融不改金融本质，安全是互联网金融发展的命脉。今年是互联网金融“监管年”，安全更成为监管和行业关注重点。安全于互联网金融企业来说是一项系统性工程，不能一蹴而就，需要各层面的部署和执行。

　　安全之“道”——将安全观作为价值观，内化为企业基因

　　今年4月，习近平总书记在网络安全和信息化工作座谈会上指出：“网络安全和信息化是相辅相成的，安全是发展的前提，发展是安全的保障，安全和发展要同步推进。”从全球趋势看，消费互联网时代正全面来临。从门户到游戏，从社交到电商，从功能机到智能硬件再到智慧生活，用户已经从被动的接受者变成产业的推进者，互联网企业也从单体竞争进化到生态竞争。展望未来，中国将从“互联网+”迈入“万物互联X”，国家、企业、个人信息将全面网络化。这是一个最好的时代，互联网在惠民惠企惠国中的作用日益扩大；这也是一个变革的时代，如何在日新月异的技术更迭中保证网络信息安全成为一项世界性的课题。

　　互联网金融企业必须将安全观上升为企业价值观。从宏观角度看，中国的互联网金融企业，无论大小，都是整个金融体系的有机组成部分，应以建立民族品牌为己任，维护国家的金融安全；从微观角度看，金融服务以消费者权益保护为核心，安全是金融消费者基本要求，互联网金融应将安全作为首要目标，以充分保护消费者利益。

　　如今，中国的网络金融服务已经渗透进入普通百姓生活的方方面面。Finlife（金融生活）是互联网金融企业的初心，随着用户7×24小时全场景的触网，其个人信息已经变得透明化。当出现用户隐私泄露、移动金融威胁、病毒木马攻击等安全险情时，互联网金融企业必须以强烈的社会感和商业道德意识，及时采取有效措施，确保客户资金和交易的安全性。

　　蚂蚁金服在发展战略上，坚持“稳妥创新”方针，始终将安全置于第一要务，并在企业上下知行合一。比如，为配合监管部门对客户备付金安全的透明监管，蚂蚁金服主动研发并推出“备付金透明监管平台”，7×24小时对监管部门开放，成为资金安全监管互动上的有益尝试。

　　安全之“法”——规范制度让安全真正可评估，可执行

　　规范制度体系可以让互联网金融的安全性实现可评估和可执行。通过制定内部规范制度，企业为各项业务划清红线，明确规定不可触碰的地带，做到有序展业、合规创新。以互联网理财为例，企业应制定详尽的信息披露、资金托管和投资者适当性机制，以保障客户资金安全；网络支付则应建立包括客户备付金存管、客户身份识别、商户准入审核规定等一系列安全机制。

　　多年来，蚂蚁金服严格遵循“依法合规、风险为本、审慎经营”的原则，各经营主体建立了完善的全面风险管理体系和合规体系，有效管理操作风险、流动性风险、信用风险，并接受监管部门的日常监管。同时，各经营主体之间也建立了严格的风险隔离和防火墙机制。

　　安全之“术”——技术创新保障金融服务安全稳定

　　与传统金融相比，互联网金融不具备线下实体网络，唯有通过技术创新来完成对客户的触达、识别和交易等流程，因此安全可靠的技术保障是互联网金融企业生存和发展的基石。

　　在实践中，蚂蚁金服通过自主技术研发建立了一套比较完整的金融级安全体系。为保障交易安全，风险管理中心对所有的交易进行7*24小时实时监控，从多个维度分析交易风险，并对风险交易进行有效处置。风险管理中心开发并部署了80多套风控模型、8000多条风控规则，用于可疑交易的识别和处置。企业通过技术手段将欺诈资损率控制在0.1BP（十万分之一）以下，远远低于国际领先支付机构的资损率水平（大于20BP）。

　　安全之“器”——数据运用和数据安全保护

　　时至今日，大数据对金融业的基础性作用日益凸显，国务院在《推进普惠金融发展规划（2016~2020年）》中明确“鼓励运用大数据、云计算等新兴信息技术”。金融领域越来越多的市场主体开始运用大数据技术甄别风险隐患：各个商业银行已将大数据用于反信用卡欺诈等风险监控领域；而互联网金融公司在这方面更具实践意识，尤其是在大数据征信领域取得了重大进展，与传统征信体系形成了有效互补。

　　然而，数据运用也是一柄双刃剑，运用得当可以有效支撑业务创新，运用不当有可能带来数据泄露问题。近年来国内外信息泄漏事件屡见不鲜，如何有效保障数据安全已成为社会各方关注的焦点。蚂蚁金服严格遵守各项行政法规和行业规范，进行信息安全管理体系建设，不断提升信息安全管理能力。目前蚂蚁金服已经通过国际信息安全管理体系认证，获颁“ISO 27001∶2013信息安全管理认证证书”。该标准被公认为全球最权威、最严格，也是全球最为广泛接受和应用的信息安全体系认证标准，通过该认证标志着其信息安全管理已进入国际化标准水平。另外，从2009年起，支付宝每年通过国际支付卡行业的PCI-DSS最高级别（Service Provider Level 1）的认证。2011年，支付宝完成了相关信息系统的定级，并通过了公安部等保3级认证。

　　安全之“势”——与产业各方共建安全生态体系

　　围绕互联网金融进行犯罪的“黑色产业”已逐步成型，安全威胁成为互联网金融产业各方共同面临的问题。面对挑战，产业各方必须加强协作，基于行业自律组织等平台加强信息共享和技术互补，并配合司法机关采取有效措施。唯有如此，才能长期有效地打击“黑色产业”的嚣张气焰，进而保护消费者信息和资金安全。

　　蚂蚁金服作为新金融产业的一员，除不断提升自身的金融安全及风险防控能力外，还将持续与金融安全生态伙伴互动，与其分享金融风险甄别及反欺诈经验，并通过行业自律组织加强信息共享，从而提高整个行业的风险防控水平，提升社会公众的长期利益。

　　过去的一年，蚂蚁金服在安全技术生态领域发起建立了“互联网金融身份认证联盟”（IFAA），为联盟成员生物识别系统的应用提供了领先且可参照的标准。目前联盟成员已包括手机厂商，芯片厂商、安全厂商、算法厂商、检测机构等互联网金融产业链上的50余家机构。在IFAA制定的行业标准下，各方开发难度大幅降低，且整体的生物识别安全性也有着显著的提升。

　　同时，蚂蚁金服还与安全公司、漏洞平台、高校科研团队等社会化力量协同作战，探讨各类互联网金融技术安全问题，共同应对“黑色产业”挑战，为众多互联网金融企业服务，帮助其有效提升系统安全水平和信息共享能力。此外，为了促进安全产业生态建设，蚂蚁金服还积极参与“第三方支付安全联盟”和“互联网安全工作组”，与多家互联网同业、金融机构，在反欺诈领域、反钓鱼木马、漏洞应急响应层面进行联防联控，营造更全面的互联网金融安全生态。■

　　作者系蚂蚁金服总裁

　　（责任编辑 张 林）