作者:陈向东 李军伟 柏满迎
[摘 要] 与传统的银行业务方式相比,网上银行具有经营成本低、服务领域宽、服务质量高、管理水平先进等优势;但同时,网 上银行也有如操作风险、 法律 风险、信誉风险等不安全因素。因此,增加技术成分和完善在线支付的法律法规等措施,对加强网上银行的监管具有十分重要的现实意义,网上银行风险管理的措施主要包括技术和法律两个层面。
[关键词] 网上银行;操作风险;法律风险
随着互联网技术的 发展 和应用的普及,网上银行近年来发展迅速,并且已经成为银行服务的重要渠道甚至是某些业务的主渠道。由于网上银行业务的创新性、技术的先进性和复杂性,存在的风险也与传统的银行业务有所不同,有其独有的特点,因此,风险防范方面也需要进一步的研究和发展。
按照1998年巴塞尔银行监管委员会(bcbs)发表的《 电子 银行与电子货币活动风险管理》报告,电子银行被定义为“通过电子通道,提供零售与小额产品和服务的银行。这些产品和服务包括:存货、账户管理、 金融 顾问、电子账务支付以及其他一些诸如电子货币等电子支付的产品和服务。Www.11665.cOM”[1]电子银行一般指网上银行、电话银行和手机银行几种离柜的银行服务形式。网上银行作为其中的一种形式,因为其服务的便利性、友好性,得到了业内最密切的关注。[2][3]
自从1995年10月18日世界上第一家网上银行——美国第一 网络 安全银行(sfnb,security first network bank)在美国成立后,短短十几年间,网上银行便在世界范围内得到了迅速的发展。目前,网上银行已经遍布180多个国家,容纳了360万个网络,接入了1亿多台电脑,有100多万信息源,5亿多用户。我国的招商银行、中、工、建等商业银行也相继推出了银行网上业务,而且交易量越来越大。[4]
一、网上银行的特点
网上银行作为 现代 科技创新和金融创新相结合的产物,除了具有快速便捷的特点外,还具有其自身独特的性质,从而使人们的生活方式和行为方式发生了深刻的变化。
1.更加广泛的开放性。互联网是网上银行的基础,它由位于世界各地的 计算 机连接而成,因此,网上银行比电话的开放程度更广泛,提供产品和服务的地域遍及世界的各个角落。
2.服务的超越时空性。网上银行普遍使用专业计算机作为服务器。这些服务器可以24小时连续地工作。这样,网上银行能为客户带来超越时空的“aaa”全新服务方式,即在任何时候(anytime)、任何地方(anywhere)、以任何方式(anyhow)为客户提供全天候金融服务。
3.交易成本的低廉性。由于网上银行依托着高技术含量的网络技术,成就了极低的交易成本(见下表)。因此与其他的服务方式相比,它能提供更多质优价廉的产品与服务。
4.身份认证的便捷性:对于网上银行来说,确认客户身份主要通过密码或密钥。任何人只要拥有了密码或密钥,就被认为是其客户,从而可以对该客户的账户进行交易,如取现转账等。网上银行实质上成为独立存在的“虚拟银行”,这样就大大提高了效率,降低了成本;网上银行在国际、国内都取得了迅猛的发展,业务占比急剧攀升,在
信用风险、流动性风险、利率风险和市场风险也会出现在网上银行和 电子 货币交易中,但对于银行监管来讲,这些风险相对网上银行的特点是次要的,随着网上银行和电子货币的 发展 ,跨国交易的数量将会增加,因此,网上银行还会面临跨国界风险。
三、网上银行的风险管理范式
网上银行是通过信息在互联网上的传输来运行的。成功的网上银行交易具有身份验证、数据加密传输、网上支付等功能。交易的各方都拥有数字证书,才能保证拥有数字证书的合法用户在该系统上实现安全支付;同时要利用证书机制中的密约对所要传输的信息进行加密和签名,从而保证信息传输的机密性、真实性、完整性和交易上的不可抵赖性。
因此,网上银行风险管理的措施也是根据其运行的特点和各个环节要素进行的。主要包括技术(客户端信息的安全、传输信息的安全措施、客户身份或信息的确认、网上银行的内部安全、紧急预警体系)和 法律 两个层面。
(一)技术层面
1.客户端信息安全范式
由于客户在交易时可能使用不同的 网络 、不同的操作平台和不同的操作方式,所以客户端要支持多种协议,以满足客户的需求。一是安全套接层(ssl,secure sockets layer)协议,该协议由netscape公司研制,向基于tcp/ip的客户或服务器提供客户端和服务器的鉴别、数据的完整性及信息机密性等安全措施。在ssl信息中采用x。509的数字证书实现鉴别,并采用了des、md5等加密技术来实现机密性和数据的完整性。二是s-http协议,它是基于ssl技术,是对http的扩充,增加了报文的安全性,并向/yingyongwengao/" target="_blank" title="">应用提供完整性、鉴别不可抵赖性及机密等安全措施。三是安全电子交易协议(set),指用于信用卡交易中的交易协定、信息保密、资料完整、数据认证和签名等,它能对一些敏感的信息如姓名、地址和信用卡等进行加密,并规定了交易各方进行交易时的具体流程和控制策略,能保证交易各方的真实性及数据的一致性、完整性和不可抵赖性。四是安全交易技术协议(stt),由microsoft公司提出并在ie中应用,它将认证和解密在浏览器中分开使用。五是vpn技术,它是在采用in-ternet等不可靠的公共网络作为传输信息的载体时,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性的技术。
2.安全传送信息范式
为了防止信息被非法窃取或被非法删改,保证被传送信息的安全,对所要传送的信息,一般要进行加密处理。
数据加密技术是在网络中所发送的明文信息用加密钥加密成密文传送,收件人收到密文后再用密钥解密成明文信息过程中所用的技术。经过加密处理的信息,即使在传递的过程中泄漏,在无密钥解密的情况下仍能保密。根据加密算法,密钥分为对称密钥加密和公开密钥加密,des属于对称密钥,其解密速度快,相对简单;rsa是非对称密钥,相对复杂,速度慢。实际数据通信加密应用中多采用des算法和rsa算法。
3.客户身份和信息的确认范式
为确认发送或接收信息的客户的真正身份,防范身份假冒,必须进行身份的识别认证。一是网上银行的身份识别。网上银行通过证书机构ca和证书实现对客户身份的识别鉴定,为身份的真实性提供保证,是交易双方在不见面的情况下能够确认对方的身份有效方法。电子商务认证机构(ceritificate authority)就是具有权威性和公正性的第三方,它的功能是通过对数据证书进行有效识别,从而实现网上交易。ca为每一个使用公开密钥的用户发送一个数据证书,目前最常用的数字证书格式标准是x-509v3[8]。
另外,对于由于不可抗力导致的事故或故障引发的责任,应列入免责的范围。不可抗力一般指 自然 灾害、战争、动乱等现象,同样适用于网上银行,但黑客袭击、系统故障、 网络 中断等能否列入不可抗力的范围,还有待有关 法律 作出明确规定。
3.建立 电子 签名及认证制度
为防范黑客攻击、内外部欺诈等操作风险,应该建立电子签名和认证制度来保证电子交易过程中交易指令的真实性和完整性。传统合同法对于交易指令的真实性和完整性是通过当事人的签字或盖章实现的,但在无纸化的电子交易中,手签和盖章的可行性遇到了挑战,倘若还需经此程序,则电子交易的优势无法体现出来。因此,各国都在电子交易法或电子商务法中肯定了电子签名的合法性,如美国的《数字签名法》、新加坡的《1998年电子交易法》等都作出了电子签名的合法性规定,我国于2004年8月出台的《电子签名法》,第一次赋予了一定条件下的电子签名与手签或盖章具有同等的法律效力,明确了电子签名的规则。[12]但我们也应该意识到,该法律还有不足之处。一部篇幅有限的法律不可能解决所有的网上银行问题,更不可能代表整个法律体系。因此,网上银行和电子商务的法制建设任重而道远。
参考 文献 :
[1]bcbs.risk management for electronic banking and electronic money activities.basel committee on banking su-pervision[r],march 1998 bs/97/122.
[2]basel committee on banking supervision.“essential elements of a statement of cooperation between banking super-visors”[r].2001,5.
[3]basel committee on banking supervision.“electronic banking group initiatives and white papers”[r].2000,10.
[4]andrew s.tanenbaun. 计算 机网络(第三版)[m].北京:清华大学出版社,1999.
[5]陈进.电子商务 金融 与安全[m].北京:清华大学出版社,2000.
[6]芮廷先.电子化监管技术——金融电子化风险管理[m].北京:电子 工业 出版社,2003.
[7]周虹.电子支付与网络银行[m].北京:
