1、1P2P 借贷平台的信息安全风险分析摘要:P2P 借贷作为一种典型的互联网金融创新模式,确实解决了小微企业的融资需求,在我国发展普惠金融的大背景下,确实有着较大的市场空间,被许多人所看好。但是,P2P 借贷平台的风险也日益暴露,本文着重分析 P2P 借贷平台的信息安全风险,并提出一系列的信息安全风险控制机制。 关键词:P2P 借贷;信息安全;风险;控制机制 中图分类号:F830.5 文献标识码:A 文章编号:1001-828X(2014)01-0-01 一、引言 P2P 网贷,指个人与个人间的小额借贷交易,一般需要借助电子商务专业网络平台帮助借贷双方确立借贷关系,并完成相关交易手续。借款者可自
2、行发布借款信息,包括金额、利息、还款方式和时间,实现自助式借款;借出者根据借款人发布的信息,自行决定借出金额,实现自助式借贷。P2P 借贷 2005 年 3 月产生于英国,2006 年在美国出现。2007 年来到中国,2011 年,网贷平台进入快速发展期,一批网贷平台踊跃上线。2012 年我国网贷平台进入了爆发期,网贷平台如雨后春笋成立,已达到2000 余家,比较活跃的有几百家。据不完全统计,仅 2012 年,国内含线下放贷的网贷平台全年交易额高达两百亿元,高收益、短周期、低门槛的投资吸引了大批投资者,也带来了极大的风险。本文从信息安全的角2度来研究 P2P 借贷平台的风险及控制机制。 P2P
3、 借贷平台实质上也是一个信息系统,因此其信息安全具有与一般信息系统风险的共性,同时由于其从事有关金融业务,又使得其风险问题变得更为重要和突出。这些平台没有银行系统技术和管理的严密性,却也充当了民间融资的角色,其平台的风险远远超过银行开展相应的互联网金融业务。 二、P2P 借贷平台面临的信息安全风险 目前我国的 P2P 借贷平台,概括起来,有如下的信息安全风险: 1.P2P 借贷平台准入门槛低、无行业标准。要成立、运营一个 P2P 公司的门槛其实并不高,只要是拥有营业执照的正规公司就可以做;技术门槛也不高,市场上有相对成熟的 IT 外包方案,花几万块就能网上注册一个域名,设计一个网站;找不到借款
4、人可以去找小贷、担保等等公司合作。因此,成立公司并开始运营的门槛不高。在公开资料中可以看到,目前国内有 2000 多家 P2P 公司,总融资规模在 60 亿元左右。这些 P2P公司中,大多数都是几个人注册的小公司,这些小平台的资金进出、项目结算、坏账率等数据,均无人监管。且由于网站的注册门槛比较低且简单,假冒的网站就会很猖獗。 2.P2P 平台遭受各种攻击,导致平台倒闭。2013 年有很多家网络借贷平台关门倒闭,不少都是因为信息安全问题,平台网站被黑客攻击,一两周没有修复,投资人出现挤兑,最后被迫关门歇业。 3.信用体系缺失。许多公司名义上是网贷,实际上以线下为主,客户征信资料不存。这些问题不
5、解决,和传统的民间金融比较优势不明显,3失败的可能性就很高。 三、P2P 借贷平台的信息安全风险控制机制 1.提高 P2P 借贷平台的准入门槛,制定行业标准。P2P 借贷平台要规范有不少路径,比如从企业自律开始,梳理业务流程,梳理交易结构,先形成企业标准,再上升到行业标准;要在建立行业规范标准的基础之上,提升技术手段,建立覆盖各个领域的系统,包括信用系统、征信系统、登记注册系统、信息披露系统等。只有建立这样的系统,才能够实现用技术手段提升监管手段,从而更多地让互联网金融市场自主化、自由化发展。主导厂商应该倡议成立协会或联盟,制定相应的行业规范。 国家可以通过修法和增法,如修订商业法、证券法、票
6、据法等;增加相关互联网金融监管的法律,用法律的手段来制约和监管 P2P 借贷平台的发展。并且可以建立该行业的准入机制。如 P2P 借贷公司要达到多少注册资金,网站平台开发需要具备完善的硬件、服务器、软件系统及信息安全风险防范的体系等。 2013 年 8 月,为了贯彻落实国务院关于大力推进信息化发展和切实保障信息安全的若干意见 (国发201223 号)的工作部署,国家发展改革委办公厅关于组织实施的2013 年国家信息安全专项有关事项的通知 ,通知指出,面对金融、云计算与大数据、信息系统保密管理、工业控制等领域面临的信息安全实际需要,国家发展改革委决定继续组织国家信息安全专项。信息安全产品产业化产
7、品自身应具有较高的安全性,不低于目前 GB/T20281-2006、GB/T20275-2006、GB/T18336-2008 等国家标准中 3 级的相关要求。且对金融信息安全领域提出了要求,具体包括:4金融领域智能入侵检测产品;高级可持续威胁(APT)安全监测产品;面向电子银行的 Web 漏洞扫描产品;金融领域应用软件源代码安全检查产品。P2P 借贷平台充当了民间融资的平台,应该符合国家对金融信息安全的控制标准,从各角度提升网站平台的安全性。 2.建立安全可信的网站认证体系。要建立可信的网站识别体系,可以通过第三方的电子认证机构,对网站的真实性和网站内容的真实性进行验证,这样就会逐步形成一个
8、信息的可信链和资金的可信链。形成两个可信链的同时,对目前金融信息安全经常出现的安全事件的钓鱼网站就会起到很好的作用,对于营造安全可信的网络空间也是很有好处的。 具体实施步骤如下:第一,可由工信部牵头,建立技术标准,建设完善可信的战略标识保障网站的真实性,第二引入认证技术,保障身份的合法性,保障交易的机密性,交易信息完整性,不可抵赖性,通过网站服务器电子认证技术。采取多种手段保障金融交易的安全。第三开发新型认证设备,保证 PC 机和移动终端平台的认证安全。 如:2013 年 10 月,中国金融认证中心(CFCA)宣布推出一系列互联网金融安全解决方案,推出的产品包括:蓝牙 USBKEY、可信服务器
9、证书和 EV 证书、金融支付机构联合反欺诈共享平台三款产品,指出这些产品将会有力推动互联网金融健康发展。由于目前传统的 USBKEY 产品只能在电脑上使用,无法解决在手机、IPAD 等移动终端的电子认证问题,而CFCA 的蓝牙 USBKEY 产品通过 USB 接口和蓝牙技术,可同时满足电脑、手机、IPAD 等移动终端的电子认证需求,实现身份认证、电子签名、交易信息加密传输、交易抗抵赖,有效保障资金交易的安全性。CFCA 提供的5可信服务器证书、EV 证书同时支持国际通用算法和国产算法,并通过了全球 Webtrust 安全审计,填补了国产可信服务器证书产品空白,可有效降低中国站点安全对国外服务器
10、证书产品的过度依赖,降低重要金融信息被窃取的风险。 3.建立征信机制。如上所述,P2P 借贷有多种形式,不同形式之间面临着不太相同的风险,但不管是哪种形式的借贷平台,都需要有完善的征信机制,才能有效地杜绝借贷过程中有可能带来的坏账。由国家权威部门牵头建立征信机制,促进 P2P 借贷平台的良性发展。 2013 年 7 月,中国人民银行征信中心旗下上海资信近日推出全国首个基于互联网的专业化信息系统网络金融征信体系(NFCS)正式上线,用于收集 P2P 网贷业务中产生的贷款和偿还等信用交易信息,并向P2P 机构提供查询服务。该系统优化服务于国家金融信用信息数据库尚未涉及的网络金融领域,为网络金融机构
11、业务活动提供信用信息支持。NFCS 是网络金融开展业务的必要基础设施,是央行征信系统的有效补充。该系统收集并整理了 P2P 平台借贷两端客户的个人基本信息、贷款申请信息、贷款开立信息、贷款还款信息和特殊交易信息,通过有效的信息共享,帮助相关机构全面了解授信对象,防范借款人恶意欺诈、过度负债等信用风险。NFCS 的最终目标是打通线上线下、新型金融与传统金融的信息壁垒,实现网贷企业之间的信息共享,让网贷违约也无处遁形,为人行个人征信系统的提供补充,记录个人线上线下融资的完整债务历史,探索网贷业务与传统信贷业务的不同之处,为网贷企业定制与传统征信服务不同的服务产品,从而保障出借人资金的安全。 6P2P 网络借贷平台的出现,为一些小微企业或者个人等难以从银行获得融资的单位提供了一条民间的融资渠道,同时也为投资者提供了一个投资门槛低,收益较高的投资渠道。虽然其发展还很不完善,面临很多风险,但其发展前景是光明的,只要政府及其相关部门制定相应的风险防范规则及正确引导,企业能够遵守 P2P 借贷平台行业规范,P2P 借贷将为中国经济带来发展机遇。 参考文献: 1邹志鹏.P2P 借贷网络平台分析J.中国市场,2012.8. 2百度百科.P2P 网络借贷平台EB/OL.http:/ 3缪斌.对 P2P 借贷平台的风险调查及政策建议以镇江市为例J.金融纵横,2013.9.
