本文節選自《金融電子化》2018年10月刊

　　作者：中國農業銀行科技與產品管理局李寬王鵬

　　“滴”一聲之后，或是按壓指紋驗證，或是輸入密碼驗證，甚至小額無密支付，一次支付交易就完成了，這樣的支付場景已經深入中國老百姓生活的方方面面，甚至在中國西部的某個小縣城，掃描支付已經遍布大街小巷?，F如今，交通、出游住宿、飲食等絕大多數生活場景，無論是耄耋之年的老人，還是初識文字的小孩，只要一部智能手機就可以滿足這些場景的交易需求，這就是第三方支付（Third Party Payment，TPP）給我們帶來的生活便利。

　　那么，如何確保TPP的安全性，既能保護“錢袋子”，又能適應TPP的發展？在國內，我國2015年就推出了GB/T 31502-2015《信息安全技術電子支付系統安全保護框架》，為構建、運行安全的公共電子支付系統，包括第三方支付的模式，提供了基本框架。

　　同時，第三方支付也引起了ISO的重視，國際標準化組織金融服務技術委員會（ISO/TC68/SC2）組織由挪威專家牽頭制定的ISO/TR 21941《第三方支付服務提供商》，界定了第三方支付的若干基本概念，并對全球第三方支付的總體情況進行初步的概括和分析，且根據挪威的情況，給出了一個第三方支付的參考模型。

　　2016年ISO/TC68/SC2決定成立研究組，研究第三方支付的安全目的，并考慮第三方支付的安全框架。

　　研究的組織

　　第三方供應商研究組（ISO/TC68/SC2/SG1）由法國專家擔任研究組召集人，人民銀行科技司和農業銀行派員參與該研究組。人民銀行科技司對此項工作十分重視，多次派專家參加ISO電話會議，并組織國內螞蟻金服、財付通的專家一并參與工作，在網聯清算有限公司成立后，全國金融標準化技術委員會（以下簡稱金標委）秘書處又積極協調其派出了專家直接參與了研究組的工作。

　　2018年，ISO/NP 23195《第三方支付信息系統的安全目的》國際標準提案通過ISO立項。為推動ISO/NP 23195標準編制工作，ISO/TC68/SC2組建第三方支付服務供應商的相關安全工作組（ISO/TC68/SC2/WG16），法國專家擔任工作組召集人，人民銀行科技司李偉司長為ISO/NP 23195項目負責人。同時,為保持該編制工作的延續性和一致性，金標委秘書處組織推薦農業銀行、網聯清算有限公司、螞蟻金服、財付通的5名專家加入該工作組，其中農業銀行的專家已經由ISO注冊為工作組秘書支持團隊。

　　標準主要研究過程

　　2016年ISO/TC68/SC2/SG1研究組成立之初，由于研究組的召集人事先并未準備方案，中國專家經過研究后，認為GB/T 31502-2015《信息安全技術電子支付系統安全保護框架》是以ISO/IEC 15408-1：2009（采標為GB/T 18336.1-2016）為基礎編制，標準中安全目的（含）之前的內容具有通用性，且符合國內第三方支付的狀況，故經與國際工作組的其他成員溝通，由農業銀行專家執筆，在螞蟻金服、財付通專家的共同努力下，以GB/T 31502-2015為基礎起草了《第三方支付信息系統的安全目的》國際標準草案。在這個研究組中，比較活躍的除法國召集人和中國專家外，還有瑞士和挪威專家，所有的討論均圍繞中國專家起草的文檔草案展開。

　　在2017年5月召開的ISO/TC68/SC2的年會上，由召集人授權農業銀行專家對研究成果進行了匯報。2017年SC2年會決定，在前期研究基礎上起草《第三方支付信息系統的安全目的》新工作項目提案（NWIP），由農業銀行專家擔任提案起草人,通過SC2/SG1提交ISO/TC68/SC2秘書處。隨后，在金標委秘書處的統一組織協調下，中國專家準備了NWIP和標準草案，并根據中國網聯的發展，在標準草案中反映了符合中國實際情況的第三方工作的模式。

　　2018年初，TC68/SC2啟動ISO/NP 23195《第三方支付信息系統的安全目的》NWIP階段投票。投票結果為：9票贊成，9票棄權，其中來自澳大利亞、中國、南非和英國贊成提案并推薦專家參與后續標準編寫工作。為達到5個P成員國推薦專家才能成立在ISO立項并成立新工作組的條件，在2018年ISO/TC68年會期間，金標委秘書處積極與ISO/TC68各成員國代表溝通，最終ISO/TC68/SC2會議決定再次發起投票，向SC2的P成員國征集專家。在金標委秘書處的不斷努力下，韓國、日本均同意派出專家參與此標準編制工作，滿足了新成立工作組的要求。

　　2018年7月，ISO/NP 23195《第三方支付信息系統的安全目的》形成國際標準委員會草案（CD），通過SC2秘書處發起CD階段的投票工作。

　　一次借船出海的體會

　　1、技術儲備是參與國際標準化工作的基礎?！兜谌街Ц缎畔⑾到y的安全目的》由于機緣巧合，在TC68/SC2提出研究第三方支付的安全目的時，正好GB/T 31502-2015《信息安全技術電子支付系統安全保護框架》剛剛發布，且該標準基于ISO/IEC 15408-1：2009（采標為GB/T 18336.1-2016）編制，因此，該標準具有比較好的基礎，不易被駁倒。

　　2、在國際標準中體現我國標準的核心技術觀點而不是原封不動地照搬原來的框架和文字。在與國外專家的討論過程中，有大量的時間和精力用在了標準的范圍和術語方面。因此，這一部分內容往往難與原來國家標準中的內容在形式上保持一致，此時，需要參與研究的技術人員找到異同點，在核心問題上反映我國立場。

　　3、抓住機會向國際標準化界展示積極參與的意愿。由于SC2/SG1的召集人未能參加2017年的年會，在得悉中國農業銀行專家將參加2017年的年會后，要求農業銀行專家代表研究組在會議上匯報研究基本情況，在匯報并回答了與會專家的問題后，SC2年會決議由農業銀行專家擔任標準新項目的起草人，也正是這樣的機會，使得中國專家能夠有機會在標準草案中反映中國在實施了網聯之后的系統框架。

　　4、所有的技術性和參考性內容均應在標準中反映。由于國際標準并沒有編制說明的概念，而ISO新工作項目提案的申請表（Form4）均是要求針對幾個特定的方面進行簡短的說明，因此，如果要對某些事宜進行分析、比對、闡述，則應充分利用標準的引言、注釋和資料性附錄機制進行說明，目前也可以看到，一些已經發布的國際標準中，也有在正文中插入一段內容對某些觀點進行闡述的。本次在起草NWIP的過程中，中國專家對標準與法規在TPP業務方面的影響、本標準應定位于IT范疇的理由等進行了分析，但是由于在標準之外單獨提供了附件，因此并未達到應有的效果。

　　5、通過參與國際標準的制定進一步熟悉和掌握國際標準制定的規則。在第三方支付的信息系統的安全目的基本確定后，召集人曾提出要求中國專家起草一個第三方支付的安全框架，為此，螞蟻金服和財付通的專家分別提供了其安全邏輯框架，由農業銀行專家整合為一個通用的邏輯框架。在提交給召集人后，召集人便不再討論這一問題，轉而討論第三方支付安全框架涵蓋的范疇。中國專家建議的TPP安全標準族的概念，即第一層為安全目的，第二層為安全需求，第三層為設計約束，第四層為開發應用指南，也僅僅是口頭得到了認可，并未啟動后繼的實質性研究。因此，通過在國際標準的實踐中學習召集人和秘書的工作方式，也是促進我們能夠積極有效地參與國際標準化活動的重要方面。

責任編輯：韓希宇