网上银行有哪些法律风险?
一,中国网上银行面临的风险
1.系统风险
(1)操作系统风险。操作系统作为计算机资源的直接管理者,直接与硬件打交道,为用户提供接口,是计算机系统正常安全运行的基础。Windows操作系统存在很多安全漏洞,而UNIX操作系统是一个开放系统,其源代码已经公开。根据美国、荷兰、法国、德国、英国和加拿大共同制定的安全评估标准《IT安全评估通用准则》(简称CC标准),微软的Windows操作系统和大部分UNIX操作系统的安全仅达到C2级别,而网银操作系统的安全级别至少应达到B级。
(2)应用系统风险。网络业务系统设计存在漏洞。目前网络应用软件存在以下安全漏洞:参数无效、访问控制无效、账号无效、跨站脚本漏洞、缓冲区溢出、命令注入漏洞、错误处理问题、密码系统使用不安全、远程管理漏洞、网络和应用软件服务器配置错误。
在设计过程中,只注重“计算机如何完成任务”的设计,没有充分考虑运行过程中的程序控制或检查。系统没有给审计留接口,很难进行实时审计。
(3)数据存储风险。数据访问、保密性和硬盘损坏带来的风险。
(4)数据传输风险。数据传输过程中被窃取或修改等风险。
2.操作风险
网上银行操作风险是指网上银行内部程序、人员和系统的不完善或失误以及外部事件导致直接或间接损失的风险。操作风险的原因如下:
(1)网银操作风险意识薄弱。
(2)组织的职责不明确。
(3)内部控制制度不完善或执行不力。
(4)没有合适的网银审计部门。
3.信用风险
网上银行的信用风险主要表现在客户在网上使用信用卡支付时恶意透支,或者使用伪造的信用卡欺骗银行。
4.信息不对称风险
信息不对称表现在两个方面,一方面是因为网上银行无法获得足够的客户信息,另一方面是因为客户无法获得足够的网上银行信息。信息不对称使得网上客户更容易隐藏自己的信息和行动,做出对自己有利而对网上银行不利的行为,也使得客户无法正确评价网上银行的优劣。
5.法律风险
中国在网上银行和网上交易方面缺乏相应的法律法规。如:网上税收如何征管、数字签名是否具有法律效力、交易的跨境问题、知识产权问题、电子合同、电子货币问题、电子转账问题等。
二,我国网上银行风险防范措施
1.防范系统风险
(1)物理安全。主要指对计算机设备场所、计算机系统、网络设备、密钥等关键设备的安全防御措施。为了防止电磁泄漏,电源线和信号线要安装滤波器,降低传输阻抗和导线间的交叉耦合,同时起到防辐射的作用。
(2)安全操作系统技术的应用。安全的操作系统不仅可以防止黑客利用操作系统平台的漏洞攻击网上银行交易系统,还可以在一定程度上屏蔽应用软件系统的一些安全漏洞。美国开发了各种级别的安全操作系统,包括数据通用公司的DG UX B1/B2安全操作系统和惠普公司的HPUX CMW B1安全操作系统。国内各大科研机构和公司也开发了高安全性的操作系统,如中科院信息安全工程研究中心开发的SECLINUX安全操作系统和中软公司开发的COSIX LINUX系统。目前中国建设银行网上银行系统基于安全操作系统平台,基于HP9000的硬件平台,采用惠普的B1级安全操作系统。
(3)数据通信加密技术的应用。根据加密的通信级别,加密传输中的数据流可分为链路加密、节点加密和端到端加密。在链路数量较多,对流量分析要求不高的情况下,适合采用“端到端加密”的方式。在对流量分析要求较高的情况下,可以采用“链路加密”和“端到端加密”相结合的方式:用“链路加密”对报文头进行加密,防止流量分析,然后对传输的报文进行“端到端加密”。
数据加密主要有两种算法:DES和RSA。DES属于私钥加密系统(也称对称加密系统)。其优点是加解密速度快,算法实现容易,安全性好,缺点是密钥管理不方便。RSA属于公钥加密系统(也称非对称加密系统)。其优点是安全性好,易于网络中的密钥管理。因此,可以采用DES和RSA相结合的综合加密体制:数据用DES算法加密,密钥用RSA算法加密。
(4)应用系统安全。应用系统安全主要包括交易双方的身份识别和交易的确认。在网上银行系统中,用户的身份认证依赖于数字签名机制和登录密码的双重核对,未来还可以通过自动指纹认证系统进行认证。数字签名还确保客户提交的交易指令不可否认。公钥基础设施——PKI(public key infra structure)是解决大规模网络环境中信任和加密问题的良好解决方案。同时,采用了安全的电子交易协议。目前主要的协议标准有:安全超文本传输协议(S-HTTP)、安全套接字层协议(SSL)、安全交易技术协议(STT)和安全电子交易协议(SET),其中SET涵盖了信用卡交易协议、信息机密性、数据完整性和数据认证、数字签名等。,并已成为事实上的工业标准。
加强应用系统开发过程审计和应用系统运行过程实时审计。
(5)应用数据库安全技术。应用访问控制技术、数据加密技术、硬盘分区保护技术、数据库安全审计技术、故障恢复技术等。
(6)应用防火墙安全技术。第四代防火墙集计算机病毒检测技术、代理服务技术和包过滤技术于一体,建立提供DES加密、支持链路加密或虚拟专用网、病毒扫描等安全服务,并具有实时报告、实时监控、记录非法登录、统计分析等功能。设置防火墙时,切断135到142的所有TCP和UDP连接,更改默认配置端口,拒绝PING报文,通过设置访问列表过滤规则实现包过滤功能。采用防火墙双机冷备份策略。进行入侵检测和定期漏洞扫描。
2.操作风险的预防
操作风险主要来自银行。应完善网上银行内控制度,建立科学的操作规范,严格内控机制,将管理员与经理、程序员与操作员、制作人与执行人等不相容岗位分开,用ic卡认证主管和操作员,同时增设密码。任何进入系统的操作都必须记录在日志中。
建立操作风险管理中心,为员工提供防范操作风险的技术培训,监督各项操作风险管理制度的执行情况,评估网上银行的操作风险,并采取相应措施。建立操作风险应急中心,研究业务的影响因素,识别可能导致业务暂停的情况,对系统进行备份并定期测试公司的灾难应急预案,对出现的安全问题提供技术支持和解决方案。用保险来抵消那些“低频率、高危害”的运营风险。建立操作风险审计中心,对所有网上银行服务进行实时监控和扫描,利用审计记录对业务操作人员和计算机系统管理人员进行审计。
外部操作风险,特别是网上银行的金融欺诈,不仅要监控个人服务的零售业务,还要加强对企业登录网上银行的监控,通过数据挖掘软件分析可疑资金交易,防止利用网络进行非法资金交易。
3.信用风险的防范
建立全国范围的用户信用管理信息系统,将用户分为不同的信用等级,对不同等级的用户采取不同的管理措施。享有客户信息数据库,与世界其他商业银行、保险公司等非银行金融机构、银行等金融机构合作,及时记录客户守信和违约情况。
4.信息不对称风险的防范
建立信息披露制度,提高信息披露质量。应当定期发布经注册会计师审计的网上银行业务活动和财务状况的公允信息,披露网上银行的风险、网上银行规避风险的措施以及消费者权益保护等信息。建立社会监督体系,进行网上银行间的相互监督。
5.法律风险的防范
要充分利用和落实《网络银行管理暂行办法》,充分利用《合同法》、《会计法》、《票据法》、《支付结算办法》等法律起草网络银行相关协议,制定相关业务流程和业务办理规定,充分利用《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》等目前正在实施的网络安全行政法规。网上银行要注意交易数据的保管,为可能出现的纠纷或诉讼准备证据。
建立网上银行法律监管体系,制定网上银行外部处罚措施和网上银行市场退出机制。建立网上银行业务的法律体系,如建立电子银行法、电子签名法、电子资金划拨法等法律法规,同时充实和修改现有法律法规。完善网上银行的配套法律法规,主要包括税收征管法、国际税法、电子商务法、刑法、诉讼法、票据法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等相关法律法规。加强与国际立法和司法实践的交流与合作,加大对网络洗钱、网络盗窃等电子犯罪的打击力度。