中国人民银行科技司司长李伟今日在“腾讯守护者反电信网络诈骗暨黑产打击联合大会”上表示,中国人民银行将加快推进账户分类管理。针对账户买卖、冒名开户和虚构代理关系开户等突出问题,商业银行、非银行支付机构要认真落实账户开立、使用、变更、撤销等环节的制度规定,科学合理开展客户风险评级,慎审确定账户功能、支付渠道和支付限额。
中国人民银行9月30日印发了《关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》,从强化账户管理和阻断资金转移通道着手,构筑治理电信网络欺诈的支付结算防线。在技术管理方面,今年6月底, 中国人民银行印发了《关于进一步加强银行卡风险管理的通知》,从遏制信息泄漏源头和防范风险传导入手,建立线上、线下支付交易一体化的安全防范体系。
李伟表示,以上制度安排,既有利于治理电信网络欺诈,也有利于加强支付安全管理。相关的规则能否发挥更大的作用,关键要狠抓落实。下一步,中国人民银行将重点推进以下工作:
一是,加快推进账户分类管理。针对账户买卖、冒名开户和虚构代理关系开户等突出问题,商业银行、非银行支付机构要认真落实账户开立、使用、变更、撤销等环节的制度规定,科学合理开展客户风险评级,慎审确定账户功能、支付渠道和支付限额。实施动态分类管理,细化账户规程和身份信息核验方式,强化内部管理,切实保障账户管理制度的贯彻落实,引导客户运用账户分类机制合理存放和使用资金,避免财产损失。
二是,强化受理终端的安全管理。针对受理终端非法改装、磁道信息测录、二维码,包括静态二维码支付风险等问题,要综合运用大数据分析和密码识别技术,建立受理终端事前入网身份识别、事中交易数据检验、事后风险防范多层次的管理机制。在入网环节,将中断序列号和密钥内置于安全模块中,纠合终端注册管理机制,从源头保障终端的合法性。在交易环节,利用大数据分析和交易行为建模,逐笔校验海量跨机构交易报文和终端注册记录,有效地甄别移机、切机、二清、套码等违规行为。在风控环节,利用风险信息共享机制,提高欺诈交易追溯效率,对异常交易及时采取调查核实、风险提示、延迟结算、拒绝服务等措施,配合公安部、工信部等部门做好电信网络欺诈防范的工作。
三是,持续加固业务系统安全。针对脱库、撞库等攻击方式造成的敏感信息泄漏,各商业银行、非银行支付机构以及电商企业要全面摸底影响支付敏感信息保护业务连续性、交易安全强度等方面的薄弱环节,将排查工作制度化、常态化,对发现的风险实施清单管控,及时采取措施排除隐患,控制线上、线下风险的传导。不断提升业务系统网络安全能力,加强DDOS等网络攻击的风险防控,综合利用IT地址、浏览器缓存等识别异常交易,形成制度健全、指标量化、反应敏捷的业务系统动态监控体系,持续做好风险监测,主动采取补救和加固的措施。
四是,打造可信手机支付执行环境。针对手机木马病毒、虚假短信、伪基站等欺诈手段,鼓励手机厂商综合运用SE-TEE等新技术,提供硬件级的安全保护。提升支付敏感信息防护能力和支付交易的安全强度。商业银行、非银行支付机构要从木马病毒防范、信息加密保护、运行环境监测等方面提升客户端软件的安全防控能力,定期开展外部安全评估,确保其符合国家及金融行业标准。设置客户端软件可信标识,并通过多种渠道告知客户正确的识别和访问方法,有效防范钓鱼欺诈。
五是严格规范跨机构的支付接口。针对非银行支付机构与银行多头连接、篡改或隐秘交易信息等问题,要严格执行网络支付报名结构及要素技术规范。统一使用金融机构编码,采用数字签名、加密传输等措施,从收付款方、商户、渠道、定单等方面完整刻画真实交易,确保支付指令的完整性和真实性,准确记录备付金、网络路由等信息,采用唯一交易流水号和交易终端编码,保证资金的可追溯性和支付指令的一致性。采用支付标记替代支付账户、银行卡号等敏感信息,从源头控制信息泄漏和欺诈交易风险。
关键词: 央行重拳出击开户