电子银行风险防范研究

摘要：电子银行以其方便快捷的特性深受广大客户欢迎，但由于网络的开放性、匿名性和技术复杂性，电子银行业务也面临比传统服务渠道更大的风险。近些年频繁发生的资金被盗事件已经使得许多客户对电子银行安全性产生忧虑。为保障电子银行业务持续健康发展，本文对电子银行业务的风险防范进行了研究，提出了对策。

关键词：电子银行；风险；对策

作者简介：成丹霞(1980－)，女，河南省鹤壁市人，风险监控岗业务运营序列(二级)，研究方向：国际经济与贸易。

中图分类号：F830.49　文献标识码：A　文章编号：1672－3309(2009)03－0046－03

电子银行作为一项新兴业务。在经过几年持续高速发展之后，其风险也随之不断积累并对业务的发展产生了负面影响。由于网络的开放性、匿名性和技术复杂性，电子银行业务面临比传统服务渠道更大的风险。近年来因钓鱼网站、木马病毒、诈骗短信等导致的资金被盗事件频繁发生，客户对电子银行的安全性更加忧虑，从而不敢或不愿尝试使用网上银行。这已经成为阻碍电子银行业务持续健康发展的主要原因。

巴塞尔银行监管委员会《电子银行和电子货币业务的风险管理》认为，“操作风险、声誉风险和法律风险是大多数电子银行和电子货币业务最重要的风险”。因此，本文将电子银行业务面临的主要风险种类归为操作风险、声誉风险和法律风险三类。

操作风险。是指由于不当或失败的内部流程、人员缺陷、系统缺陷或因外部事件导致直接或间接损失的可能性。《电子银行和电子货币业务的风险管理》中列举了电子银行业务操作风险的8种来源，分别是未经授权的访问、雇员欺诈、伪造电子货币、服务提供商风险、系统退化、职员及管理技能落后、客户安全性经验不足、客户对交易抵赖。

声誉风险，是指由于公众对电子银行业务产生严重不利看法而导致银行无形资产遭受损失的可能性。声誉风险通常因操作风险和法律风险控制不当产生。当前的金融全球化、信息化使得银行面临的市场竞争更加激烈，银行要想建立好的信誉需要付出很大的努力。但是信誉的毁损却可能发生在转瞬之间。互联网的开放性和传递信息的高效率使得一旦电子银行出现安全事故、技术不完善或误操作等问题，就会通过互联网等媒介广泛迅速传播。再加上有些人以讹传讹不断夸大问题的严重性，从而可能导致电子银行的信誉瞬间坍塌。

法律风险。是指在电子银行业务经营活动中。因违反法律法规而遭受处罚或因交易各方的法律权利和义务未能有效确立和执行导致发生法律纠纷，而给银行造成直接或间接损失的可能性。同传统银行相比。电子银行有两个十分突出的特性：一是它传递信息采用的是电子化方式，二是它模糊了国与国之间的自然疆界，其业务与客户随着互联网的延伸可达世界的各个角落。电子银行的这两个特性向传统的、基于自然疆界和传统书面制约基础上的法律法规提出了挑战。

针对三类主要的电子银行风险，笔者认为应从下面几个方面采取措施减少风险。

一、增强操作风险的防范力度

首先，通过宣传教育等方式增强客户的风险防范意识。网上银行的交易环节大体上可分为服务器端处理环节、客户端处理环节及数据传输环节。对于服务器端处理环节、数据传输环节都属于银行内部环节，在目前的技术条件下相对安全。而目前已发生的各类网银安全事件绝大部分都是犯罪嫌疑人针对网上银行交易的安全薄弱点，即客户端处理环节进行攻击而产生的。虽然目前国内银行已经采用了多种安全防护措施。例如工商银行的预留验证信息、小E安全检测、动态口令卡、U盾证书、短信认证等。但很多客户并不了解怎样运用这些工具来识别和防范钓鱼网站，从而造成资金被盗。因此，通过多种形式的教育活动，提高客户的安全防范意识是降低电子银行风险的最佳途径。要通过门户网站、电话外拨、培训手册、定期营销活动等多种形式对客户进行电子银行安全知识教育，提高客户风险防范意识及风险辨别能力。

其次，通过完善交易环节的整体流程设计防止黑客远程攻击。在网银交易过程中，对客户进行身份认证是保障客户操作权限、敏感信息和交易行为安全的重要措施。而网银系统在对客户进行身份认证时，客户仅需提交相关个人认证信息，然后由身份认证系统自动进行客户身份比对。返回客户身份认证结果。在整个身份认证过程中，客户往往无法参与和控制其中涉及身份比对、交易数据审查、交易确认等关键环节，而一旦这些关键环节中的全部或部门环节被黑客控制。就会导致在客户完全不知情的情况下，被攻击者假冒客户合法身份实行作案，从而达到非法获利的目的。因此。改进身份认证过程，在整体流程设计中引入人工干预的步骤和环节，使客户在这一过程中能够对部分关键环节进行人工控制和再次确认，从而防范黑客在客户不知情的情况下实施远程攻击。例如。在身份认证过程中增加用户互动环节，通过人工方式对签名、敏感交易数据确认等操作进行控制，使之过程不再处于客户不可见的状态。

再次。不断完善内控制度，防患于未然。要通过全面、科学的评估，找出每个工作环节、每个工作岗位的风险点。在此基础上有针对性地制定出监督、防范措施，进而形成一套科学的、系统规范的、便于操作和考核的内控制度。要完善各级人员的管理和技术培训工作。通过各种方法加强对各级工作人员的培训教育，使其从根本上认识到网络系统安全的重要性，并进一步加强各有关人员的法纪和安全保密教育。对网上银行安全运作而言，外部入侵尚可抵挡，若后院失火，则是防不胜防。因此，只有加强内控，才能为电子银行业务的长足发展奠定坚实的基础。

最后，提高科技水平，确保客户电子银行交易安全。从我国技术发展水平和网络安全的角度来看，我国科学技术特别是信息网络技术较落后，处于整个信息产业链的低端水平，电子银行所使用的计算机路由器等硬件设备和操作系统数据库等系统软件极大部分由国外引进，在数据加密和身份判别上。也缺乏有自主知识产权的一整套加密和解密算法。因此，在选择技术方面，中国电子银行总是处于被动的局面。同时，我国的电脑硬件关键部分和系统软件大部分均由国外引进，基础设施建设以及应用平台开发也非常依赖国外力量，这就给出售产品时保留获取信息的秘密路径留下了可乘之机。因此，电子银行风险问题的解决需要靠科技的进步做坚强的后盾。

二、从宏观、中观、微观多方面入手防范声誉风险事件

1、宏观上。通过建立和完善社会信用制度减少风险事件的出现。完善的社会信用制度是减少电子银行风险的制度保障之一。没有完善的社会信用体系。人们就会减少经济行为的确定性预期，电子银行业务的虚拟性会使这种不确定的预期得到强化，不利于电子银行业务的长远发展。完善的社会信用制度也会减少客户有意利用电子银行业务的虚拟性冒充资金被盗欺诈银行。

2、中观上，加强与第三方机构的合作。加强与公安机关等第三方机构合作，提高电子银行案件侦破

率。由于网上金融犯罪的成本低廉、实施容易。犯罪分子只需支付较少的上网费、网页制作费、租赁服务器的费用就可以实施。因此。利用网络进行金融犯罪的不法分子越来越多，甚至形成了团伙作案。而我国大多数地区的公安机关对于网络犯罪还都是按照传统的属地原则划分管辖。不利于破案。因为同一个犯罪团伙或嫌疑收款账户盗窃的资金总额巨大，但被盗客户往往分散在全国各地，单个客户的被盗金额很小。有的甚至不到公安机关规定的最小立案条件。如果在电子银行犯罪的侦破上也按照属地管辖，则电子银行犯罪的发案地分散造成的犯罪团伙系列作案的信息不能在同一公安机关内迅速汇总、分享。会严重影响案件的侦破。而公安机关的警力和财力有限，如果分散到各地去取证，成本难以承受，办案的积极性不高。因此，建议各级公安机关针对电子银行犯罪进行集中管辖，集中办案，以便保障案件的侦破率，有效遏制电子银行犯罪。

3、微观上。加强电子银行业务人员与技术人员的信息沟通。业务人员由于长期与客户打交道，比较容易了解客户在使用电子银行渠道时出现的安全问题。但由于不懂技术而无法直接通过开发产品消除安全隐患；而技术人员虽然精于研发。但却苦于不了解客户需求，这就使得新产品系统的开发质量不高。匆匆将产品推向客户后。一边在市场上交“学费”，一边用更大的成本来弥补产品的安全漏洞。因此，发展网上银行必然涉及到加强内部科技人员与业务人员的联系，充分实现两类人员的信息共享，这样，才能减少由于技术人员不懂业务，不了解产品的安全需求而引发的电子银行安全隐患。

三、通过健全法律降低电子银行业务的法律风险

电子银行运营模式，改变了传统的交易过程与方式、规范原则和法律责任归责基础。且某些操作也与现行的法律规定不一致。这就要求由新的立法来规范新的业务行为，以便于司法实践的操作。以下几方面应在立法时优先考虑。网上银行被盗案主要涉及两个法律关系，即银行与储户之间的存款合同关系和犯罪分子与储户或银行之间的侵权关系。因此。很难使用单一的法律关系及其规则解决纠纷，应在个案中视被盗原因确定使用何种法律关系及其规则解决纠纷。在网上银行被盗案中，可能银行与储户均有过错。也可能为一方有过错，还可能各方当事人均无过错。而是由犯罪分子窃取所致。因此。如果使用侵权关系及其规则的。则不宜单独使用过错责任原则、无过错责任原则或过错推定原则中的任何一种：如果使用合同关系及其规则的，则不宜单独使用过错责任原则或严格责任原则中的任何一种。所以在个案中应按确定使用的法律关系，选择适当的、公平的归责原则。在举证责任分配上。要根据确定的法律关系和归责原则。确定由谁承担举证责任。对黑客入侵所窃取的存款，确立合理的损失承担规则。由于银行和储户对黑客入侵均无过错，所以，由任何一方承担损失，均有失公平。银行可以借鉴国外立法实践，或考虑一个额度。或设定一个比例，由银行和储户分别承担部分损失。