文 本版文章均由本报记者张漫游采写
后疫情时代,数字化体验诉求攀升。用户的需求就是改变的动力,金融机构跳出窠臼的愿望日渐迫切。
作为拥有庞大交易数据的国际卡组织,近年来,万事达卡在数字化、科技化领域的布局可谓频繁。强化人工智能、5G技术;提出“数据责任准则”倡议;推出数字货币测试平台,协助各国央行测试数字货币;斥资8.5亿美元收购数字身份验证公司……
一系列动作背后,是万事达卡“以技术为用,以安全为基,以信任为本”的拥抱数字化的核心思考。
面对数字经济红利,银行卡支付领域将出现哪些新的风险和机遇?如何识别这些风险?如何防控和化解风险?怎样合理利用数据资源?针对这些问题,近日,《中国经营报》记者专访了万事达卡中国区总裁常青。
支付风险防控挑战加剧
《中国经营报》:5月25日,最高法发布了《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》(以下简称“《规定》”),其中对银行卡盗刷等涉及银行卡的金融欺诈风险的处置问题进行了详细规定。随后,6月10日,我国第一部关于数据安全的法律《中华人民共和国数据安全法》(以下简称“《数字安全法》”)公布,并将于9月1日正式施行。为何近期防范风险的法律法规密集出台?
常青:在后疫情时代,消费者习惯发生了明显改变,支付行为也随之改变,支付安全也因此要迎接新的挑战。
从全球角度看,我们观察到,网络购物以及非接触式支付(亦称非接支付)的规模正在快速增长。今年一季度数据显示,全球非接支付比去年同期增加10亿笔,有超过100个市场非接支付的占比增加了50%;在网购方面,去年全年网购金额增加9000亿美元,网购渗透率上升6%,相当于在一年实现了两年的增幅。
并且我们在调研中发现,消费者这样的行为变化是永久性的。换言之,全球数字支付是不可逆的。
万事达卡新兴支付指数调研显示,93%的受访者表示,会考虑使用新兴支付手段。我们通过全球调研发现,在数字支付领先的中国,有55%的消费者计划将更多使用网络渠道购物,这个数字超过了全球其他国家;有58%的消费者计划会更多使用非接触的方式来购物,43%的消费者计划要减少现金的使用。
数字化支付转型带来诸多便利的同时,也为支付安全领域带来了新的挑战。新的场景、特征的出现,意味着要有新的安全解决方案与之配套。
《中国经营报》:目前《规定》已经落地一个月有余,能否谈谈类似法律法规落地后对卡组织和银行合作会带来哪些影响和变化?
常青:《规定》并不是孤立的。早在2017年,中国就颁布了《网络安全法》;2018年欧盟颁布了《通用数据保护条例》,这是在全球范围内非常重要、非常有影响力涉及到信息安全的保护条例;去年,中国人民银行也颁布了一系列规定,其中包括了基于大数据支付风险的规范等。
目前,国内外对于网络安全、支付安全以及涉及到信息安全、数据安全等领域的相关配套法律法规都在日渐完善。
以《规定》为例,其中明确了“盗刷交易”的定义,详细地厘清了银行卡盗刷纠纷责任的认定问题,对持卡人在哪些情况下可以不用为未经授权的交易承担责任有非常清晰的界定……这些都是非常关键的条目。且在《规定》中,还特别考虑到在中国应用非常普遍的网络支付环境,十分适应数字化转型的需要。
所以,《规定》等一系列法律法规的推出,会推动整个产业积极的发展。在保障消费者财产权益的同时,有利于鼓励金融机构、银行卡组织提供安全性更高的产品和服务,从源头上减少风险发生的概率,也有利于鼓励行业建立更好的协作机制。
“高科技”金融风险需行业协同防范
《中国经营报》:虽然近年来监管层和金融机构对于防范金融风险都有积极的作为,但目前仍有诸如银行卡盗刷的金融欺诈风险出现。在防范风险方面,金融机构还存在哪些难点?
常青:中国有句古话是“道高一尺魔高一丈”,全球数字化转型已经是不可逆转的浪潮,在此背景下,犯罪团伙的作案行为更具有专业化、产业化、隐秘化、场景化等特征,金融犯罪变得更复杂。
举个例子,在传统刷卡消费时代,同一张银行卡相近的时间内很难实现在北京和纽约先后购买咖啡。但在网络购物盛行的时代,即使是在几分钟内,借助网络同一卡号先后在北京和纽约购买咖啡也是合情合理的,在这样的情况下,怎样判断一笔交易的真实性,这是金融机构要面临的新挑战。
并且,我们现在所说的“盗刷案件”,大部分是已经实现了的犯罪活动,通过卡组织、金融机构、商家、大型互联网平台,我们了解到,还有许多被系统层层拦截掉的欺诈尝试,这个数目更是庞大。基于我们自己的数据,全球范围内欺诈行为的发生已经达到了近20年来的最高水平。
在这样的挑战下,防范金融风险就需要全球性的支付网络不断去监控风险,单一金融机构是很难实现的,需要跟整个产业一起合作,才能杜绝产业化的犯罪方式。
《中国经营报》:能否再详细介绍一下,如何通过行业协作来防范金融欺诈风险?
常青:从万事达卡自身的实践看,我们非常注重三个维度:第一是怎样通过协作防止风险进入到支付体系;第二是一旦风险突破了支付体系的防线,整个产业怎样来识别风险;第三是怎样在识别过程中更好地实时侦测。
三个维度加在一起,可以形成闭环。而在整个闭环的设计里,底层基础就是依靠全行业的合作。
具体而言,防止风险进来是把控风险的第一关,相当于水桶理论中最低的那块板。防止风险进入就涉及到许多行业标准化的建设。以盗刷为例,为减少盗刷风险,如今已经从磁条卡时代进入了芯片卡时代,其中,芯片的使用就涉及到行业标准,我们称之为EMV芯片标准。正因为有了EMV芯片标准,才可以保证所有卡片上能有一个难以被复制的标准芯片,同时保证其在行业内使用时没有任何障碍。再比如,在线上交易时,有一个类似的标准,叫EMV 3DS,也是基于全行业支付标记化的技术,由业内共同制定的标准。其核心在于交易过程中会隐藏真实的账号信息,即使在线上交易时信息被截取,也不会将账号的真实情况泄露。
风险进入支付系统后,涉及的应对手段也有很多。其中,物理生物识别手段为大家所熟知,如刷脸、验指纹等。不过,这种识别方式需要在消费者每次付钱时干扰消费者,要求其刷脸或者验指纹。另外不需要干扰客户的识别方式,被称为行为生物的识别。万事达卡有一整套围绕行为生物识别的服务,叫Nudata,在后台可以帮助支付机构对用户状态、是不是他自己进行判断。比如,客户平时习惯用右手在手机上输入文字,但有一天突然使用了双手打字,这时候就会触发一个行为生物的识别,分析现在打字的人是不是机主本人。在这个情况下,如果发生交易行为,行为生物识别后认为客户存在异常,则不会让其进行免密、免干扰交易,可能会触发一个干扰,需要客户通过额外的因素来验证自己的身份,比如要求客户刷脸等。
最后,在侦测方面,我们在网络级别有一套综合评分机制,可以对每笔交易、各类数据进行打分。由于我们是基于庞大的信息量、数据量不断优化打分学习模型,这个打分的准确性也将越来越高。这个打分就可以帮助在支付环节中的金融机构来判断一笔交易的情况,银行再根据自己的风险偏好及其他的风险防范举措对交易做综合评判。
数字身份认证价值凸显
《中国经营报》:《数字安全法》的公布,引发了对数字安全的讨论。万事达卡认为,应如何保护数字安全?
常青:我想重点再讲一下数字身份的问题。在线交易的加速将全球数字身份验证推到了前沿,这是建立数字信任和打击全球欺诈的重要机会。我们认为,在未来的支付领域,标准化数字身份系统的出现,无论是对风险管控还是对产业发展,都是非常重要有价值的。
以银行卡盗刷为例,从国内市场的情况看,在数字化快捷支付场景、网络支付场景或是未来的物联网支付场景中,新形态的盗刷可能更多是基于获取和伪造个人身份信息来产生的。身份验证在数字化支付场景中就成了交易授权非常关键的一步。
虽然国内正在不断完善个人信息安全的法律法规、在执法方面的要求,但往往实际市场形势的变化要先于法律法规的制定。
我们看到,个人信息买卖的黑色产业链条仍在发展当中,原有的验证机制在抵御新的犯罪行为时往往力不从心。在这种情况下,怎样辨明你是不是你自己,将变得更具挑战。
《中国经营报》:面对数字身份认证风险,金融机构要如何识别和验证?
常青:我们认为,需要从行业角度共同打造三个层次的验证方法。
第一层是机构掌握哪些信息。金融机构在验证时,要先确定已经掌握的客户信息是否准确,比如动态密码、客户办理银行卡时预留的签名等,都是传统的、基本的认证方法。第二层是机构要验证客户拥有哪些信息,该有的东西客户是否具备,比如U盾、芯片卡等。第三层是机构怎样判断客户是谁。从指纹到刷脸,再到虹膜、心率等,生物识别的方式已经被广泛认为是支付行业里面最安全的方式,但它对硬件的要求、对标准化受理环境的要求也非常高。
这三个层次的验证方式,最好是将其组合起来使用。之前欧盟颁布的法规,就有非常典型的应用,它要求数字身份强效验证,必须要从上述三个层次里面选择至少两类来进行验证。
在万事达卡方面,我们正在推动很多实践和创新。比如万事达卡的Mastercard Identity Check身份验证技术服务,我们会优先使用生物识别的解决方案,以及双重身份验证的方式来确保数字支付的安全性。我们对于任何能够确保支付安全、提升支付体验的创新,都想做、都能做、也都在做。
目前我们也在和行业各界伙伴一起,围绕着数字身份验证技术等,共建更安全、更强大的支付生态系统。
深度 “数据分享”消息者和企业想的不一样
在数字信息技术日新月异的趋势下,数据已成为数字经济发展的核心生产要素。
“十四五”规划和2035年远景目标纲要中明确提出,迎接数字时代,激活数据要素潜能,推进网络强国建设。在此背景下,金融行业各业务条线数据量不断增加,业务侧对数据需求也非常迫切,传统的“孤岛式”数据平台建设已无法满足日益迫切的数据应用需求。换言之,消费者的交易、支付数据价值日益凸显,金融机构迫切需要对更多消费者数据进行深挖。
“数据分享”是激活数据要素潜能的前提,“数据分享”的前提是安全先行一步。近日公布的《数据安全法》明确了数据收集、存储、使用、加工、传输、提供、公开、销毁等各个阶段的安全要求。数据安全监管趋严,“数据分享”话题的争议性也逐渐凸显。
针对消费者是否愿意通过分享个人信息来获得更好的优惠和回报一事,万事达卡在调研中发现,消费者和商家的期望是有出入的。有60%参加受访企业的高管相信,消费者是愿意通过分享更多的数据来获得更高回报的,然而,实际上只有44%的受访消费者同意这一观点。在调研中,有1/3的消费者根本不愿意向第三方分享数据。
常青认为,人们创造的数据越多,数据安全和数据隐私的优先级就应该更高。“消费者每天都产生数据,就应该拥有这些数据、有权管理他们的数据、有权从对他们数据的使用当中受益并得到保护。”
深挖数据、助力数字经济发展,数据安全必须先行一步。
分享不是简单共享、更不是复制,保障金融隐私是首要目的,深层次的“融合应用”则必须是在“保护数据主体隐私权不受侵害”的基础上才能有序开展。基于此,万事达卡主张,整个社会都对数据分享负有责任。2019年底,万事达卡还提出了“数据责任准则”的倡议,主要是给出怎样保障数据安全和隐私、怎样在数据管理上做到透明管理等方面的建议,倡导把消费者利益放到核心,体现责任、诚信原则。
常青介绍到,“数据责任准则”倡议是希望围绕数据采集、管理和使用能在行业内建立更好的、合理合法的共识,主张企业在数据管理方式上,对个人、对企业和企业之间及对整个社会都负有责任。
常青直言,让消费者能够有能力管理他的数据是具有一定争议的,但却带来了全新的可能。
老板秘籍
1.为何近期防范风险的法律法规密集出台?
在后疫情时代,消费者习惯发生了明显改变,支付行为也随之改变,支付安全也因此要迎接新的挑战。
从全球角度看,我们观察到,网络购物以及非接触式支付(亦称非接支付)的规模正在快速增长。今年一季度数据显示,全球非接支付比去年同期增加10亿笔,有超过100个市场非接支付的占比增加了50%;在网购方面,去年全年网购金额增加9000亿美元,网购渗透率上升6%,相当于在一年实现了两年的增幅。
并且我们在调研中发现,消费者这样的行为变化是永久性的。换言之,全球数字支付是不可逆的。
万事达卡新兴支付指数调研显示,93%的受访者表示,会考虑使用新兴支付手段。我们通过全球调研发现,在数字支付领先的中国,有55%的消费者计划将更多使用网络渠道购物,这个数字超过全球其他国家;有58%的消费者计划会更多使用非接触的方式来购物,43%的消费者计划要减少现金的使用。
数字化支付转型带来诸多便利的同时,也为支付安全领域带来了新的挑战。新的场景、特征的出现,意味着要有新的安全解决方案与之配套。
2.万事达卡如何保护数字安全?
我想重点再讲一下数字身份的问题。在线交易的加速将全球数字身份验证推到了前沿,这是建立数字信任和打击全球欺诈的重要机会。我们认为,在未来的支付领域,标准化数字身份系统的出现,无论是对风险管控还是对产业发展,都是非常重要有价值的。
以银行卡盗刷为例,从国内市场的情况看,在数字化快捷支付场景、网络支付场景或是未来的物联网支付场景中,新形态的盗刷可能更多是基于获取和伪造个人身份信息来产生的。身份验证在数字化支付场景中就成了交易授权非常关键的一步。
虽然国内正在不断完善个人信息安全的法律法规、在执法方面的要求,但往往实际市场形势的变化要先于法律法规的制定。
我们看到,个人信息买卖的黑色产业链条仍在发展当中,原有的验证机制在抵御新的犯罪行为时往往力不从心。在这种情况下,怎样辨明你是不是你自己,将变得更具挑战。
简历
常青,目前担任万事达卡中国区总裁,负责万事达卡在中国内地市场的发展运营,帮助提升万事达卡的品牌战略。2012年3月加入万事达卡,历任万事达卡大中华区执行副总裁及中国区总经理,协助银行拓展其境内外万事达卡业务,提供符合市场需求的万事达卡产品和服务,以及开创业务利润增长点。在加入万事达卡之前,曾经在汇丰银行、澳新银行等银行工作超过15年的时间。
本文来源:中国经营报
