前言:
P2P網(wǎng)絡貸款是近年來新興的一種互聯(lián)網(wǎng)金融模式,是一種個體和個體之間通過互聯(lián)網(wǎng)平臺實現(xiàn)的直接借貸。P2P網(wǎng)貸平臺則為借貸雙方提供信息流通交互、撮合、資信評估、投資咨詢、法律手續(xù)辦理等中介服務。近兩年來,P2P行業(yè)經(jīng)歷了近乎爆炸式的增長。截止2015年12月底,網(wǎng)貸行業(yè)正常運營平臺為2595家,平臺歷史累計成交量則突破一萬億元。種種跡象都表明,P2P有望發(fā)展成為一種重要的大眾理財和社會融資方式,并對國民經(jīng)濟的發(fā)展做出一定貢獻。
作為一個新興行業(yè),P2P在發(fā)展過程中也不可避免的出現(xiàn)一些弊端。除了提現(xiàn)困難、失聯(lián)跑路等嚴重問題,與信息安全相關的風險漏洞則在P2P平臺上大量存在。例如平臺的真實性問題、電子交易數(shù)據(jù)的泄露和被篡改問題等。下面我們就P2P平臺所面臨的信息安全問題和應對策略進行簡單分析,希望可以引起行業(yè)對這一問題的重視,以更好的保障平臺與投資人的利益。
網(wǎng)絡信息安全是P2P平臺的安全基礎
1.信息安全漏洞造成用戶“被欠款”
打開一家P2P網(wǎng)站進行注冊,卻發(fā)現(xiàn)身份證已被陌生手機號碼綁定進行了注冊。更讓人吃驚的是,這個賬號已有消費產生的欠款。近日,媒體報道了在某家分期類P2P平臺上發(fā)生的用戶“被注冊”、“被欠款”的詭異事件。最后查明的原因是用戶個人信息泄露,而平臺又沒有有效的驗證方式。這一安全漏洞導致賬戶被他人注冊和綁定,給用戶和平臺造成了損失。
2.監(jiān)管層重視行業(yè)信息安全
現(xiàn)在一提到P2P是否安全,人們往往想到的是“本息到期能否兌現(xiàn)?平臺會不會卷款跑路?”,卻很少能考慮到上述這種信息安全問題。請不要忘記P2P的載體是互聯(lián)網(wǎng),可以說網(wǎng)絡信息安全是P2P平臺安全的基礎,應該予以充分重視。監(jiān)管層也意識到了這個問題,在2015年央行等十部委發(fā)布的《關于促進互聯(lián)網(wǎng)金融健康發(fā)展的指導意見》中的網(wǎng)絡與信息安全部分就指出:“從業(yè)機構應當切實提升技術安全水平,妥善保管客戶資料和交易信息,不得非法買賣、泄露客戶個人信息。人民銀行、銀監(jiān)會、證監(jiān)會、保監(jiān)會、工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室分別負責對相關從業(yè)機構的網(wǎng)絡與信息安全保障進行監(jiān)管,并制定相關監(jiān)管細則和技術安全標準。”
3.不應忽視的P2P信息安全
遺憾的是,部分P2P平臺對信息安全比較忽視,這比安全威脅本身更可怕。據(jù)媒體報道,現(xiàn)在一些P2P平臺營銷費用年過千萬,而與高額營銷費相比,信息安全的投入則顯得捉襟見肘。在這個競爭激烈的行業(yè),經(jīng)營者們首先考慮的是如何吸引眼球、增加用戶量,卻忽視了信息安全這一安全基礎。網(wǎng)站被仿冒、用戶資金遭竊取等問題一旦出現(xiàn),都將對平臺的聲譽造成打擊,并嚴重動搖投資人信任感,這是很難通過營銷宣傳補救的。那么,P2P平臺目前面臨的信息安全問題主要有哪些呢?
P2P平臺面臨的主要信息安全問題
1.借貸參與方身份真實性的識別
用戶登錄“貸”的“官網(wǎng)”進行轉賬投資,資金劃轉后卻發(fā)現(xiàn)沒能進行投資,錢款也不翼而飛。原來,所謂的“官網(wǎng)”是以假亂真的釣魚網(wǎng)站。我們經(jīng)常能看到網(wǎng)民因在仿冒的銀行、購物網(wǎng)站輸入密碼,導致密碼被盜、資金被竊的報道。而現(xiàn)在,釣魚網(wǎng)站制作者的黑手也已伸向同樣涉及大量資金交易的P2P平臺。
作為P2P平臺,首先需要確保的是平臺自身及擔保方、出資方、借款方身份的真實性。但P2P平臺不像銀行等金融機構那樣擁有線下網(wǎng)點,無法面對面的辦理業(yè)務,所以大大增加了身份識別的難度,以致出現(xiàn)前文那種冒用他人信息進行消費借貸、冒牌P2P官網(wǎng)騙取用戶錢款的問題。
2.信息傳輸過程中的保密性和完整性
不慎登陸假冒P2P網(wǎng)站,丟失密碼,那登陸真實的P2P網(wǎng)站就能保證密碼安全嗎?答案是否定的。當我們在網(wǎng)頁中輸入信息,再點擊“確認”或“提交”鍵后,信息就將通過一種叫HTTP的網(wǎng)絡協(xié)議傳輸?shù)骄W(wǎng)站的服務器。這一過程最大的問題是沒有加密措施,賬戶密碼、隱私數(shù)據(jù)等重要信息很可能在傳輸過程中被截取或篡改。P2P平臺在運營過程中會涉及大量的信息交互,這些信息在傳輸過程中的完整性和保密性需要得到保障。
3.電子合同的真實性與合法性
平臺跑路了,投資者拿著word版的所謂協(xié)議或合同維權,卻被告知:不符合《電子簽名法》,沒有法律效力。而前文所述的冒用他人身份注冊并進行借貸的行為,相當于合同主體是虛假的,所簽合同也是虛假、無效的。一旦出現(xiàn)問題,如果無法找到冒用者,平臺恐怕也只能自擔損失。
如果無法確定借貸人的身份、無法確保P2P平臺的真實性、投資賬戶密碼可能被盜、簽訂的電子合同也可能是無效的,那參與P2P的風險未免過大,投資人只能望而卻步。所以上述問題無法回避,亟待解決。
P2P平臺信息安全問題應對策略
1.P2P平臺信息安全需求分析
如果一家P2P平臺希望解決前文所述的信息安全問題,那么它的安全需求可歸納為以下三點:
可識別用戶身份、平臺身份的真實性
保證電子交易信息的機密性、完整性
借貸合同、借據(jù)等電子協(xié)議需要符合《中華人民共和國電子簽名法》
目前我國已經(jīng)有比較成熟、完整的技術方案可應對P2P平臺的主要信息安全問題。現(xiàn)在已經(jīng)有越來越多的P2P平臺與取得《電子認證服務許可證》資質的第三方電子認證服務機構(以下簡稱CA)合作,通過引入數(shù)字證書和電子簽章技術,滿足了自身的主要信息安全需求。而如果出現(xiàn)投資糾紛以致訴諸法律,CA還可作為第三方進行電子取證、提供法律依據(jù)。
2.使用數(shù)字證書實現(xiàn)身份認證和加密傳輸
數(shù)字證書是互聯(lián)網(wǎng)通訊中標志通訊各方身份信息的一串數(shù)字,它提供了一種在互聯(lián)網(wǎng)上驗證通信各方身份的方式。數(shù)字證書可以簡單理解為網(wǎng)絡身份證,因為具有唯一性,所以可以用來在網(wǎng)絡上證明身份。“在網(wǎng)絡上,沒有人知道你是一條狗。”當年人們這樣說,就是因為在虛擬的網(wǎng)絡上,我們無法分辨誰是誰,但數(shù)字證書為我們提供了一種可以證明、驗證身份的有效方式。當然,數(shù)字證書并非誰發(fā)都有效力,就好像居民身份證必須由公安機關發(fā)放一樣。只有類似于CFCA(中國金融認證中心)這樣的正規(guī)第三方CA機構簽發(fā)的數(shù)字證書才能用于身份認證。
為了滿足P2P平臺識別用戶身份真實性的需求,CA會為投資人、借款人、擔保公司、P2P平臺發(fā)放個人數(shù)字證書或企業(yè)數(shù)字證書,建立各方對應的身份標識,實現(xiàn)身份認證。這些數(shù)字證書可以防止身份的冒用,但那些仿冒的“釣魚網(wǎng)站”呢?對付它們則需要服務器證書(SSL證書)。SSL證書可以理解為代表網(wǎng)站身份的數(shù)字證書,CA在對網(wǎng)站經(jīng)營方、域名等多項信息進行嚴格審核后才會簽發(fā)這張證書。SSL證書還能起到信息加密傳輸?shù)淖饔茫苊怆娮咏灰仔畔⒃趥鬏斶^程中被截取、篡改,確保其機密性和完整性。
EV服務器證書示例
注:圖例中的P2P平臺正受到CFCA EV SSL證書的保護。用戶可通過綠色的瀏覽器地址欄、地址欄中的公司名稱、HTTPS和點擊鎖形圖標后顯示的證書信息來確認網(wǎng)站是真實可信的,同時信息傳輸已經(jīng)過HTTPS協(xié)議加密處理。
3. 符合《電子簽名法》的電子簽章系統(tǒng)
上文提到的《電子簽名法》是電子合同是否具有法律效力的基礎。《電子簽名法》第十四條規(guī)定:可靠的電子簽名與手寫簽名或者蓋章具有同等法律效力。那什么是“可靠的電子簽名”呢?首先,電子簽名是指電子文檔中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據(jù)。通俗點說,電子簽名就是對電子文檔的電子形式的簽名,并非是書面簽名的數(shù)字圖像化。只在所謂的合同文檔上放個紅章或簽名圖片是無效的,因為它只是一張數(shù)字格式圖片,是可以被編輯、修改。《電子簽名法》規(guī)定“可靠的電子簽名”需要同時滿足以下四點:
電子簽名制作數(shù)據(jù)用于電子簽名時,屬于電子簽名人專有
簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制
簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)
簽署后對數(shù)據(jù)電文內容和形式的任何改動能夠被發(fā)現(xiàn)
這雖是一個法律問題,但需要依靠信息安全技術解決。那聽起來有點抽象的法律條款,如何通過技術來實現(xiàn)呢?前面我們說過,CA會為P2P平臺的參與各方都發(fā)放數(shù)字證書。在簽署合同時,各方都要用自己的數(shù)字證書結合提供可視化服務的電子印章軟件進行蓋章。數(shù)字證書+電子印章=電子簽章,一份經(jīng)過各方電子簽名后的電子簽章合同符合《電子簽名法》,具有和手寫簽署合同一樣的法律效力。因為很多P2P合同都需要四方蓋章,而P2P平臺每天都會有大量投標產生,那這一過程會不會很耗時和麻煩?不會,因為電子簽章系統(tǒng)可以自動、批量的進行簽字蓋章,所以可在線、實時的生成電子合同,具有很高的快捷性、易用性。
在提供了電子簽章服務的P2P平臺,用戶只要登錄個人賬戶就能下載到PDF格式的電子合同。以下就是一份通過CFCA電子簽章系統(tǒng)進行簽署的P2P電子合同,乍一看蓋章處,似乎沒什么特別之處。
但如果點擊紅章,就會出現(xiàn)證書信息,以點擊“轉讓人”紅章為例:
可以看到,簽名者的身份是有效的,合同內容也未被修改。如果合同被修改,比如改動一個文字、一個數(shù)值,紅章就會出現(xiàn)“”打叉符號,提示合同已被修改。再次強調的是,和傳統(tǒng)線下蓋章不同,電子合同上的紅章更多的是出于用戶體驗,也就是方便觀看,為這份合同賦予法律效力的是其中的數(shù)字證書。數(shù)字證書為簽名人專有,可以證明合同是簽名人本人簽署的。
結語:
在高速發(fā)展的同時,P2P平臺還將面對更多、更復雜的信息安全風險。所以在應用以上安全策略的同時,還可引入時間戳系統(tǒng)增強合同簽署時間的可信性、實施網(wǎng)站安全監(jiān)測查殺信息漏洞與木馬、對移動客戶端進行APP檢測以及其他安全策略。隨著部分P2P平臺向縱深化發(fā)展,嘗試涉足第三方征信、第三方支付、大數(shù)據(jù)等業(yè)務,則應該考慮實施等級保護測評、非金融機構支付檢測、反欺詐系統(tǒng)等信息安全項目。P2P行業(yè)擁有良好的發(fā)展前景,但作為安全基礎,信息安全問題的解決仍然任重道遠,而解決問題的關鍵在于業(yè)界對安全問題要有足夠的重視和積極預防的態(tài)度。建議P2P平臺以保護用戶為出發(fā)點,通過與CA機構、信息安全服務商合作履行信息安全責任,保障自身及行業(yè)的健康發(fā)展。
京公網(wǎng)安備 11010502049343號