正   文

CFCA总经理李晓峰出席第一届中国B2C发展大会

  

CFCA总经理李晓峰出席第一届中国B2C发展大会

  2006年12月8日,李晓峰总经理出席由《电子商务世界》杂志社主办的的“第一届中国B2C发展大会”,并在大会上发表了主题为“第三方安全认证为互联网支付安全保驾护航”。这是国内第一次针对消费购物网站进行的高层聚会。有来自商务部、信产业部、国信办等部委领导,以及财付通、卓越、当当等企业代表与专家共计300余人参加了大会。以下为演讲全文:

   李晓峰:谢谢大会,谢谢主办方、谢谢主持人。尊敬的各位来宾、女士们、先生们,大家早上好!发言中有不妥的解决,请大家多多见谅。常常有人问网上支付安全吗?我们说互联网是开放的网络,是不安全的网络,所以基于互联网的电子支付是不安全的。以前有一句话,不知道互联网上的人是人还是狗。我们知道在实体当中有相对完善的法律法规,有公安机构、司法机构,人与人能够见面,也有公正机构,彼此有道德约束,所以说环境是相对要好。在虚拟网络世界中,上述这些因素要么不存在,要么就是不完善。所以数字化生存中有一句话,大多数法律是为原子世界准备的,而不是为比特世界准备的。我们说网络上,攻守双方一直在道高一尺魔高一丈,安全是相对的,不安全是绝对的。

   关于电子商务发展的一些数据,相信各位都有看到,所以我就不做赘述了。总结来讲,是良好的网络基础设施和迅猛发展的互联网为电子商务的发展奠定了良好的基础。04年网上购物中选择电子支付的超过18%,05年这个比例已经超过了60%。今年上半年也有统计说,已经超过了70%,这个发展势头蛮快的。

   作为电子商务的核心支付环节,正在加速电子化,网上支付、移动支付、电话支付等支付手段不断出现,使电子商务的步伐越来越轻快。电子支付使用比例越来越高,在某些企业已经超过了60%。通过这一方式进行的交易额占企业总交易额的比例也迅速在增加,起步较早的网上支付还是一个主要的支付手段。尽管如此,我们也都知道,我们国内的电子支付市场、电子商务与国外还有很大的差距,发展潜力还很大。我们认为,其中提出安全和信用水平是推进电子商务和在线支付的一个重中之重。

   我们看一下中国网上银行的发展现状,可以概括一下,“起步不晚,发展很快,问题突出,空间很大。”这个定义是通过电子渠道向客户提供零售小额的银行产品,实际上发展到今天这种定义已经不重要的。相对于传统业务,中国网上银行业务起步很快。01年的时候中国网上银行用户大约是两百多万,05年底是七千多万,交易额由五万多亿,增长到七十多万亿。今年上半年,在141家商业银行中和获准开办网上银行业务的外资银行中,已经开设网上银行的是45家,企业网银注册用户已经超过90万,个人也超过3500多万,网上交易额是40多万亿。这是今年上半年不完全的统计。

   同时空间很大,一个比较的数字,就是今年年中已经超过了一亿多的网民,宽带上网已经超过7700多万,网银客户还不到四百万,这是一个很大的差距,况且互联网用户还在不断发展。

   问题突出。安全问题亟待解决,各位都看得到,不断出现互联网上一些支付案件,对网上银行业务造成很大影响。网上支付环节非常多,包括客户端,电子商务网站、电子支付平台,一直到银行,支付手段也是五花八门,不断出现。我们看出现问题比较多的还是客户端,当然也有网站,包括电子商务平台和支付平台、银行方面的原因,上个月CFCA发布了一个报告,是针对近期网上案件的调查和建议,在里面都有阐述。

   关键问题还是用户的身份问题,身份确认是信息安全的一个薄弱环节,银行的一些统计数据表明,交易支付否认是发生争议的主要原因,在国内国外都是这样。CFCA去年公布了一个网上调查报告,调查了十个经济发达城市,对企业客户、个人企业都做了调查分析,对现有客户、潜在客户都有一个分析,差不多有超过一半或者是2/3的人之所以不使用网上银行或者是不使用电子支付,就是担心安全。本月15号,我们会在民族饭店召开新闻发布会,公布2006年网上银行的调查报告和网上银行成长指数。

   统计表明安全问题是制约网上银行或者网上支付发展的一个最关键的问题。也有统计表明,网民对互联网最反感的方面集中在安全问题上。在比例最高的10大问题中,有五条与安全相关,网络病毒、网络入侵、收费陷阱、网络诈骗以及隐私泄密。为什么会不安全,或者如何让网上支付安全?我们共同探讨一下。我们知道网上银行或者电子支付环节是一个庞大的系统工程,绝不是提供一个安全手段就可以完成的,包括健全的法律法规环境、安全的技术手段、参与各方的法律意识、诚信体系、道德约束等。同时健全的法律法规环境是一个基础。传统的环境,为了表明当事人的身份和为了表明当事人认可文件内容,要进行签字和盖章,当这种交易活动搬到互联网上的当然需要一种电子形式的签名,它不是手工签名的图象化。04年8月份全国人大通过了中华人民共和国电子签名法,在此之前国内银行已经开始使用了电子签名,严格来讲没有法律依据。这个法律的核心内容就是明确了电子签名是合法有效的,明确了第三方认证机构的地位和作用,这个法律在去年同步颁布实施了。目前为止全时候有60多个国家和地区颁布了类似的法律。去年4月1日同步实施的还有信息产业部的电子认证管理办法,它是对签名法的一个细化,签名法是五章36条,不具备可操作性,这个法规使它更具有可操作性,而且向公众服务,应该是依法认证的第三方认证机构,而且对第三方认证机构的资金、场地、人员都做了明确的要求。

   原来法律颁布之前,中国境内大概有超过一百多家的认证和服务机构,用我们的话来说是一种混乱状态,法规颁布以后这种状态逐步规范。还有一部分,有的行业、地区和单位,还在向社会提供服务,这显然是有背电子签名法。同时要求银行应该确保电子支付业务处理系统的安全性,保证数据交易的不可抵赖性和完整性和身份确认性。今年1月份,国务院信息办颁布了关于加快电子商务认证的一个通知,近年初国务院信息办颁布了网络信息建设的若干意见,这都是一些相关法规和指导意见。银监会颁布了电子银行业务管理办法。38条指出金融机构应该采取适当的措施,包括机密措施,以保证完整性和不可否认性等。44条说,需要对客户信息和交易信息实行电子签名法和认证时应该尊重国家法律法规。今年5月份,中办、国办发布了发展战略,这里面对信息安全的现状做了精确的分析,指出了存在问题,其中指出信息安全比较突出,如果应对不当,会对我们国家信息安全造成影响,并且要求加大物流、支付认证建设。同时还颁布了电子认证密码管理办法和服务管理办法。商务部颁布了网上交易管理意见,这里面也对如何使用电子签名做了要求。据我们所知还有一些与网上支付和电子支付相关的法律法规正在制定中。

   核心基础是法律问题,我们看一看如何让网上支付更安全,在法律法规已经健全的情况下。我们知道在保证网上支付环节中,人们最关心的问题就是身份问题,我们了解中国的金融机构,电子商务平台、电子支付平台,绝大多数在物理层面都采用了安全手段,程度不一样,但是除了这些物理层的手段以外,我们知道完成一个安全的交易,有四个核心问题。第一身份的确认问题。第二信息的完整性,就是如何保证信息不被篡改。第三,信息的保密性,就是如何保证不被别人看到。第四,交易的不可否认性,就是一旦出现纠纷,如何能有强烈的证明。目前所看到的案件,几乎都是仅仅采用了用户名和密码造成的,目前国内所提供的认证手段,最常见的是用户名和密码方式,这是最方便、最容易、使用、最不安全。同时也有动态密码,像银行卡卡片一样,每次使用一个,还有一种是拿一个小电子的器件,一按就可以申请密码,然后发给电子平台。同时还有几种认证手段的复合,以及身份识别,包括指纹。美国有一个公司推出了基于键盘的使用,通过敲击键盘的速度来识别这个人。再有一个就是数字认证手段。美国、新加坡、香港等很多国家、地区的监管部门,都要求本国的金融机构在进行网上支付活动中必须使用电子认证。美国今年提出在06年底前,美国银行提供高速互联网的业务,必须实行双银子认证。我们看一下动态认证安全不安全,已经有调查机构支出,目前有几十家的网站在针对动态认证进行攻击,并且是可行的,在美国已经发生对花旗银行进行攻击,是通过中间人诈骗手段,诱使客户发出,然后转发给银行,就是中间截流了,这种问题已经出现了,当然比静态要安全一点。 关于生物识别技术,这是在不同环节需要使用的。这种识别是否安全呢?也有调查机构表明并非高枕无忧,因为人可以在很多地方留下指纹,已经证明通过复制的指纹可以诱骗生物识别上当,并且有机构通过照片、视频、面具等手段攻击面容识别系统,尽管这个案件没有,但是已经有研究者在做复制和攻击实验。我们也看到国内有些银行、电子支付平台采用了一些认证手段,包括口令、动态等等,其中我们认为有些是值得商榷的,认证手段采取不当,我们认为对电子支付企业本身,包括银行本身的品牌、形象也是一个损害,当然对客户的利益也是一个损害。我们看到目前国内学术界和业界认可的应用最广泛的,在互联网上的认证技术还是基于PKI这种技术。

   目前在互联网上能够得到应用的,解决身份确认问题、安全性、完整性和不可否认性的,只有基于PKI机制。这种技术手段在理论上是可以破解的,在实际上是不可行的。在PKI这个技术里面,需要发放数字证书,就出现了第三方认证机构的概念。我们知道PKI这个体系里面有三个主体,一个是签名人,一个是签名依赖方,或者交易方,还有就是第三方认证机构。签名法中说,电子签名需要第三方认证的,由第三方认证机构认证。立法专家是这样解释的,法律的立法从技术中立原则是没有指定特定手段,当数字签名需要第三方的。关于数字签名手段我们目前也不是很乐观,但发展势头很好,已经发放了120万。同时还有一些内部制度方面的建议,时间关系我就不再多说了。

   关于中国金融认证中心的情况,相信各位也有了解,我也不再多了,现在45家银行,有43家采用中国金融认证中心提供第三方认证机构。由于历史原因,国内有些银行自荐向客户提供认证服务,没有法律法规的情况下,这种没有合法性而言,现在这种情况还存在,我们认为既做运动员,又做裁判员,这种现象应该得到解决,否则客户权益就没法得到保障。

   相信在各界的努力下,网上支付也会越来越安全,网上支付领域实现证书通用的情况,可能不再是一个梦想了。当然这个支付安全不是一家之力就能做得到,需要全社会共同努力。CFCA真诚希望跟银行、电子支付企业,共同营造安全的环境,共同促进广大企业、公众使用网上支付。我们将一如既往的会保护广大公众的电子支付,以及电子支付企业和电子商务平台的合法利益、安全。我们衷心和社会各位一道,通过我们不懈的努力,构建网上安全。谢谢各位!

客服电话:400-880-9888 销售热线:010-59798680

PC版 微博 微信公众号:CFCA-4008809888