第二屆中國移動金融大會近日成功舉辦。會上，中國金融電子化公司原董事、人民銀行科技司原副司長李曉楓先生，帶來了主題為《移動支付安全技術發展總體趨勢》的演講。

　　李曉楓首先分析，當前金融效力提升和風險并存的矛盾下，中國的移動支付要著眼于觸達普惠和整治二者并垂。盡管移動支付體系取得了不小成就，但其中存在的業務和技術的違規，需要系統合規和風控管制來整治。

　　他指出，中國的移動支付，其實已經是觸達普惠金融了，這就表現了金融的效力提升?！暗诹硪环矫?，互聯網金融從去年開始降支，二者形成一個矛盾——盡管你觸達普惠金融，金融效力提升，但是風險在增加?！?/P>

　　其次他認為對支付機構整治合規的重點就是持牌經驗。針對業務合規，提出：

　　商業實體可信；

　　支付工具可信；

　　結算模式可信。

　　而在技術方面，則指出以下兩點前提，來保證交易的安全性和可追溯性：

　　交易雙方的身份認證；

　　數據的機密性和完整性。

　　基于上述觀點，他進一步闡述安全技術方面五大趨勢：

　　金融機構安全技術標準化；

　　清算組織回歸四方模式；

　　云端、終端的高質量安全產品產出加快；

　　智能手機和金融業實現產業共進共融；

　　深化推廣反欺詐聯控。

　　據雷鋒網AI金融評論了解，最后李曉楓先生給出三點個人意見：

　　建立風險聯合防控、信息共享機制；

　　PAY要突破單一的PAY而形成統一的PAY；

　　手機盾亦應有所統一，以便公眾識別。

　　以下是李曉楓先生演講原文，雷鋒網AI金融評論作了不改變原意的編輯：

　　中國的移動支付，其實已經是觸達普惠金融了，這就表現了金融的效力提升；但在另一方面，互聯網金融從去年開始降支，二者形成一個矛盾：盡管你觸達普惠金融，金融效力提升，但是風險在增加。

　　今天主要分享四點：

　　這種矛盾之中，趨勢問題是什么？業務合規、技術架構安全核心要求是怎么樣？安全技術發展五大趨勢；最后談個人的三點意見。

　　安全趨勢發展問題：整治合規

　　首先趨勢是一個大的方面的問題。曾有撰文指出我們進入了中國的后半場移動支付，我的理解是觸達普惠和整治并垂，這種整治就是合規和安全。合規的核心問題就是參與移動支付的商業主體是否可信，安全參與移動支付的設備是否可信。

　　中國移動支付興起過程中，為什么說是金融提升的效力增加，但是風險并存呢？我們整個支付體系存在業務違規、技術違規創新，合規監管就是消除這些隱患。

　　支付跟其他互聯網金融不一樣，支付是需要持牌的。

　　我們看合規這一塊，首先是體系風險，一個是線上、線下費率不一致，96費改，去年9月6日費率改了之后基本上一致了，差別就縮小了，這非常有利于把二清、套碼切機的風險控制住，這是體系性的風險。第二個就表現在網聯成立，這個稍微晚一點，這個說白了，三方模式回歸四方模式，就是正本清源，網聯成立的核心。

　　我們在移動支付觸達普惠取得很大成績，形成三個比較大的生態體系：支付寶，微信和銀聯。

　　銀聯是以散戶為主的，銀聯在這個品牌上，相比起支付寶和微信，它的技術戰略的選擇有些模糊。對此希望在座各位能努力把產業鏈提升上來，特點變得更加鮮明。

　　這幾年我們通過小額支付、非銀支付機構等可知，支付場景也是一種軟硬因素，支付工具是和場景、和安全有關的。

　　系統合規是一方面，而另一方面，風控管制水平成為近期的重點。你的風控水平跟你的資金流向、你可追溯、可報告構成了下半場整治的重點。

　　業務和技術安全下的合規

　　實體，從商業角度來說是商業實體，像銀行、非支付機構、清算機構；而從技術角度來看，就是POS，ATM，包括PAY、手機銀行、支付寶、微信等這些工具。其中實體的可信是第一位的。其次技術設備也要可信。

　　商業實體一定要持牌，持牌接受監管，達到可信，這才能達到整治到商業實體——比如支付機構、銀行或者收單的目的。

　　當然這里還有一個問題：商業清算、結算的模式非常重要。所以體系糾偏，回歸四方模式是個很重要的方面。底層的就比如密碼算法，密鑰體系，包括現在新發展的生物識別，蘋果的iPhone X引入3D人臉識別，這些都是最新的技術發展。

　　業務合規，對支付機構河沿的整治合規，就是持牌經驗。所以為什么要打擊支付機構的無證經營？

　　資金的流向要可追溯，帳戶一定要實名，分類開設；開設條件要滿足監管認可的安全技術。

　　之所以整治支付機構，包括民營銀行，互聯網銀行，正是因為技術到現在還不被認可，才沒有得到普及。支付機構的報文規范等等，都是整治的目標。

　　技術方面，在技術設備、軟件可信的基礎上：

　　第一個是交易雙方認證，雙方的真實身份。當然現在認證技術只是認定技術，并不認定人。第二就是數據的機密性、完整性。經過檢測認證的產品，至少是一個可靠的產品。納入到技術管理的體系，我們就可以保證交易的安全性和可追溯性。

　　關于移動支付存在的問題，從兩大主要參與者來談。

　　一是支付機構的問題。它主要體現在實名制、冒名開戶，甚至是虛構代理。這些問題很嚴重，開了戶，做支付業務，洗錢、黃賭毒等參與其中。二是商戶資料的操作、造假，包括正規的收單機構也存在這些問題。有時候想做好的機構也被迫陷入其中。

　　移動支付涉及到安全技術發展的話，我們就要從安全體系，實體可信，安全技術方面來了解它的大趨勢。

　　移動支付安全技術五大趨勢

　　首先，是標準，金融機構的安全技術標準化。正如前文所言，要做到你的設備可信，標準化很重要，包括檢測認證體系和標準的研制?，F在這一領域有中國互聯網金融協會、移動支付產業聯盟出了個金融盾，包括生物認證，有三個機構都涉及到指紋的認證。由于整個支付機構水平提升，如果這個編制送審完成最終落地，能夠符合移動終端的認證，那么手機APP的認證體系就有了基礎。

　　標準是通過技術檢測+安全要求和指標的體現，并對安全技術和產品進行實際的考量和評定，這是整個產業鏈規范化提升整體安全水平的前提和必經之路。為什么我國二維碼發展得比較好？其實跟產業鏈水平提升落后有些關系。如果以后上升了，移動支付的安全將來會提升一個檔次。

　　第二，清算組織回歸四方模式，將會是實體安全在技術層面的第一道防線。也就是把所有的收單、平臺，全部納入，現在銀聯已經做到了。把網上的收單平臺統一注冊，并且實體可信，可以預測下一步就是實體之間的互聯，通過四方模式，保證互聯的安全可控。不過目前商戶還沒有解決。

　　第三，云端、手機終端的高質量安全產品產出加快，極大地改善了金融機構移動支付應用基礎。手機銀行APP植入TEE環境成為值得期許的監管要求。

　　云計算的核心是安全。銀行的包袱很重，就像有些發達國家，它的技術很陳舊，要轉換成像中國這樣的高鐵很難——我們的商業銀行轉后臺可行，帶來的是產業鏈和產業基礎。手機終端方面，像華為的inSE，還有TEEI、豆莢TEE、手機盾都成為移動支付安全的基本要素。金融機構移動支付的創新發展，是需要整個產業鏈機構參與的，其中的合作交流、規則標準要產業界來提供。

　　第四，我們跟產業能夠共進共融。最近大家看到徽商銀行和建行跟華為，在手機廠商華為合作PAY和盾，可以感知整個中國的智能手機產業，還有工業制造的水平都在快速升級。在高端升級以后，明年國內銷售的新款智能手機將成為標準配置，千元以下手機應該都能實現。手機銀行涉及較廣，人民銀行要求手機銀行、APP植入TEE安全環境。

　　合規方面，網絡支付業務和支付機構內部的風險隱患無疑還會存在。排雷整治，消除收單，要支付機構無論是做收單，還是做移動支付的，風控管理水平要達到監管的要求。

　　最后，反欺詐的聯控，會在移動支付和網絡支付的后半場深化推廣。銀行與支付機構之間的反欺詐合作，也成為趨勢之一。黑場、灰場是非常嚴重的問題。要做普惠金融，像多頭借貸怎么防治，就需要大家來合作?，F在又要體現快速放貸，這些都會涉及到欺詐防范的問題。

　　手機盾這個產品說一下，除了做到一機一盾跟數字證書綁定，其次要跟風控相關。

　　三點個人意見

　　確實手機金融盾今年已經開啟了，把風險聯合防控、信息共享的機制建立起來，非常重要。第二個，隨著我們的產業基礎的供應鏈發生改變，PAY要突破單一的PAY，應該有一個統一的。當然手機盾也應該如此，這樣我們的公眾易于識別，講銀行金融機構的支付是什么呢？那就應該有PAY。

　　謝謝！

責任編輯：韓希宇