互联网金融政策及行业标准

政府政策支持随着信息产业的发展和互联网用户的增加，用户个人信息及隐私的泄露已经成为一个不容忽视的大问题。针对这一现象，国家和政府出台了一系列法律法规保护互联网用户的信息和隐私不被侵犯。2013年开始实施的《电信和互联网用户个人信息保护规定》（中华人民共和国工业和信息化部令第24号）中对电信业务经营者、互联网信息服务提供者及其工作人员的行为做出规范；对用户信息的收集和使用做出了限制；对违反规定的行为的处罚做出来说明[1]。同时，修订后的《中华人民共和国刑法》、《中华人民共和国侵权责任法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法规和政策都对侵犯互联网用户隐私的行为做出了禁止[2]。同时，针对互联网金融行业，国家和政府同样出台了一系列扶持政策以促进互联网金融行业合理健康发展，更好的服务于社会经济建设。2015年3月5日，李克强总理在第十二届全国人民代表大会第三次会议上作《2015年国务院政府工作报告》，强调2015年要全面推进“三网”融合；促进电子商务、工业互联网和互联网金融健康发展；引导互联网企业拓展国际市场[3]。2015年7月18日，人民银行等十部门联合发布《关于促进互联网金融健康发展的指导意见》（银发〔2015〕221号）。《指导意见》按照“鼓励创新、防范风险、趋利避害、健康发展”的总体要求，提出了一系列鼓励创新、支持互联网金融稳步发展的政策措施，积极鼓励互联网金融平台、产品和服务创新和发展[4]。11月3日，《中共中央关于制定国民经济和社会发展第十三个五年规划的建议》正式发布，《建议》指出：“实施互联网+行动计划”，“促进互联网和经济社会融合发展”；“加快金融体制改革”“规范发展互联网金融”[5]。互联网金融的热潮引来了地方政府的关注，全国各个地方纷纷出台政策，北京、上海、深圳、广州、成都、浙江等地均以出台或者拟出台相应的政策，促进互联网金融发展。地区时间政策/措施北京市2013年10月《海淀区关于促进互联网金创新发展的意见》2013年12月《关于支持中关村互联网金融产业发展的若干措施》天津市2014年2月《天津市开发区推进互联网金融产业发展行动方案》深圳市2014年3月《深圳市人民政府关于支持互联网金融创新发展的指导意见》广州市2014年6月《广州市支持互联网金融创新发展试行办法》2014年7月《关于促进广州民间金融和互联网金融产业发展的若干措施（试行）》南京市2014年8月《关于加快互联网金融产业发展的实施办法》武汉市2014年8月《武汉市政府关于支持互联网金融产业发展的若干意见》上海市2014年8月《关于促进上海市互联网金融产业健康发展的若干意见》2014年9月《长宁区关于促进互联网金融产业发展的实施意见》成都市2014年11月《成都市高新区推进“三次创业”加快金融业发展的若干政策浙江省2014年11月《杭州市关于推进互联网金融创新发展的指导意见》2015年2月《浙江省促进互联网金融持续健康发展暂行办法》表1各地已出台的互联网金融相关政策[6]可见：互联网金融将成为下一个处于风口的行业，在推动经济增长、经济发展方式转变、产业结构优化等方面发挥重大作用。互联网金融的行业标准互联网金融虽然不是互联网和金融的简单结合，但是无论从互联网角度还是金融角度，标准化都是必不可少的一环。目前，在互联网金融行业内活跃着以FIDO联盟、OpenID、IFAA为代表的一系列标准化组织。FIDO联盟[7,8,9,10]FIDO（FastIdentityOnline）联盟，即线上快速身份验证联盟。FIDO联盟于2012年7月成立，其宗旨为满足市场需求和应对网上验证要求。截至2015年7月29日，FIDO联盟总计已有208家公司或机构加入，包括：25家理事会员、61家赞助者会员（含2家政府级别会员）、122家参与者会员。FIDO通过两个子协议实现安全登录（验证）。U2F标准是关于使用PIN和USB棒或者支持NFC的手机；第二个相关协议UAF支持指纹、语音、虹膜扫描等生物测定身份识别技术。2014年2月，FIDO-UAF-V1.0和FIDO-U2F-V1.0草案发布。2014年12月，FIDO-UAF-V1.0和FIDO-U2F-V1.0正式发布。通用“第二因子”协议（U2F）是在现有的用户名和密码的基础上，当用户注册或登录时，通过增加一个“第二因子”的强认证手段，通常需插入一个类似于USB的装置，在用户输入完用户名和密码之后，再在该装置上简单地按一个按钮，即可完成整个身份认证过程。通过这种方式，用户完全可以在确保安全的前提下，简化密码的设置，如只需设置4位密码即可。通用认证框架（UAF）旨在实现“去密码化”的用户体验，有多种身份认证机制供用户选择，包括指纹、虹膜、声纹识别等，用户可选择其中一种方式完成其终端设备对于在线服务的注册。OpenIDOpenID基金于2014年2月推出了OpenIDConnect，这是OpenID最新的用户身份认证及分布式身份系统标准。这一标准获得了谷歌、微软、Salesforce、德国电信以及多家其他公司和电信运营商的支持。凭借OpenIDConnect，开发者可以直接为用户提供登录服务，而实际的登录和身份认证工作将由谷歌和微软等大公司来完成。通过OpenID，开发者将没有必要在自己的服务器中存储及管理用户密码。OpenID基金会指出，凭借这一新协议，开发者不必再担心用户帐户安全。一些“持续投资建设身份认证基础设施，并有着相关管理及防欺诈经验的运营者”将负责管理数据。与OpenID基金会此前版本的登录标准不同，OpenIDConnect在SSL安全连接的基础上还使用了OAuth技术。在新版本中，所有功能，包括安全连接和数据交换都基于OAuth2.0。大部分开发者都已非常熟悉OAuth，因而开发者将可以很方便地部署OpenIDConnect，这将成为OpenIDConnect的最大优势。谷歌集团产品经理EricSachs表示谷歌将全力支持这一标准。例如，Google+的登录数据库将支持OpenIDConnect[11]。IFAA2015年6月19日，由蚂蚁金服发起的网络可信身份认证产业联盟互联网金融分会（IFAA,InternetFinanceAuthenticationAlliance）在北京宣布成立。IFAA隶属于由公安部第一研究所及各相关企业筹办的网络可信身份认证产业联盟，未来着力在生物识别、智能设备等方面制定网络身份认证的行业标准[12]。随着互联网与移动互联网的不断发展，越来越的金融支付场景开始应用诸如指纹解锁、指纹识别甚至人脸识别等生物识别的技术，人们对于这种便捷的身份识别方式的需求越来越大。然而一直以来，要给用户提供生物识别服务涉及到的厂商很多，包括芯片厂商、设备厂商、应用厂商、安全厂商、算法厂商、检测机构等。行业内需要一套效率更高的生物识别的行业标准，来满足不同机型与业务的差异化需求，大幅降低技术开发与适配的难度。IFAA的组建，就是希望能够联合产业链各个厂商与机构共同制订行业标准，解决这一问题。值得一提的是，近期蚂蚁金服旗下的浙江网商银行已于6月25日正式开业，其远程开户所采用的正是马云在德国汉诺威消费电子、信息及通信博览会（CeBIT）上展示的SmiletoPay扫脸技术。该技术可以让网商银行将客户用智能手机所拍摄的面部照片与公安部身份证数据库的照片进行比对，从而验证用户身份[13]。参考1://shzxinxi.gotoip4.com/content.php?id=21733://://finance.ifeng.com/a/20151103/14054325_0.shtml6://fidoalliance.org/8://baike.baidu.com/link?url=3eLceETIviqryt-F8ykdBSod9BgGYwQNb7H4ieOVIyI-teStjsi3XCJafNQK-QCc1eHuseLsVsy9GkHHfSRKDK10://techcrunch.cn/2014/02/27/openid-foundation-launches-openid-connect-identity-protocol-with-support-from-google-microsoft-others/12=tuicool13