信息安全管理辦法及細則精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全管理辦法及細則主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:信息安全管理辦法及細則范文
1 引言
隨著醫院的發展和信息化的進步,信息系統滲透到醫院的各個角落。醫院的醫療業務、教學、研究對信息系統的依賴性是不容置疑的。醫院的信息安全不僅是保證醫院有效秩序的前提 ,還是保障醫院的財務管理等方面巨大的支撐,并且安全的醫療信息數據才能夠有效地提高病人的治療效果、維護病人的權益。因此加強管理和監控,加強醫院有關信息安全系統方面的建設 ,是醫院良好有序發展的前提以及客觀要求[1]。因此對信息安全的認識從方方面面都得到了前所未有的重視。作為走在信息安全研究前列的大國,美、俄、日等國家都已制定自己的信息安全發展戰略和計劃,確保信息安全沿著正確的方向發展。2000年初美國出臺了電腦空間安全計劃,旨在加強關鍵基礎設施、計算機系統網絡免受威脅的防御能力。2000年7月日本信息技術戰略本部及信息安全會擬定了信息安全指導方針。2000年9月俄羅斯批準了《國家信息安全構想》,明確了保護信息安全的措施。
我國對信息安全研究起步較晚,目前已初步建成了國家信息安全組織保障體系[2]。我國在1994年頒布了《中華人民共和國計算機信息系統安全保護條例》。在以后的十幾年中,國家又出臺了多個法律、法規,對信息安全等級保護的具體內容、職責和工作方法做了具體的規定。在2007年公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室出臺了《信息安全等級保護管理辦法》。首都醫科大學附屬醫院北京婦產醫院(以下簡稱“北京婦產醫院”)正是借著《信息安全等級保護管理辦法》的實行,促進了院信息安全工作的發展,提高了信息安全的水平。從2007年到今天,院信息安全等級保護工作已經走到了第十個年頭。這十年信息安全建設大約分為兩個階段。
2 第一階段:夯實制度基礎,加強邊界防護
北京婦產醫院于2007年10月根據《信息安全等級保護管理辦法》的要求和醫院的實際情況,把醫院的核心系統HIS和LIS系統定為二級系統。在隨后的幾年中嚴格按照等級保護二級系統的規范進行建設。
2.1 制定和完善制度,促進安全管理
任何技術都只是手段,而人是最重要的因素,能把兩者有效的、高效的結合在一起的是管理。管理又是通過制度實現的。參照等級保護的要求,增加制定了網絡安全管理制度、計算機病毒防治管理制度、業務網絡安全管理規定、信息安全數據使用授權制度和重大信息安全事件報告制度等制度,基本做到了制度完備。通過信息安全管理相關規范的制訂與,確立信息安全方針,對信息安全管理體系文檔的制訂、、修訂、評審進行約定,以保證信息安全管理規范文檔的嚴肅性。通過制訂全院統一的信息安全策略,有效指導信息安全管理與技術工作的開展,為全院建立了統一的信息安全策略標準。
2.2 提高信息安全意識
在領導層面,北京婦產醫院建立了醫院信息系統安全領導小組,明確信息安全工作由院長負責,成員包括信息科、院辦、醫務科等相關科室領導。在基層層面,根據技術專長和日常工作把工作人員安排為信息安全管理員、安全審計員、系統管理員等。這樣不僅使每個人了解信息安全,還要負責信息安全的事,同時也讓工作人員時時刻刻有信息安全的意識,還把信息安全內容納入到每年進修人員和新入職人員培訓日程之中。
2.3 加強中心機房的安全建設和管理
北京婦產醫院參照《信息系統安全等級保護基本要求》進行信息化基礎設施建設。中心機房配置門禁系統,機房出入口安排專人值守,控制、鑒別和記錄進入的人員。外來人員進出機房須獲得機房管理員的授權,對人員及設備進出情況進行記錄。中心機房內服務器、網絡設備均安置在機柜內并固定,對設備與走線進行了標識。中心機房設置防盜報警系統、視頻監控系統、自動消防系統、空調周圍安裝漏水檢測報警系統等物理安全設備。目前中心機房物理環境基本達到了等級保護三級系統所要求的物理環境,物理安全防護措施相對完善。
2.4 部署了基線網絡監控管理系統
此系統能夠通過SNMP協議獲得被監控網絡設備、服務器、通訊線路、網段、應用等有關信息,包括系統信息、網絡連接、TCP連接、程序運行、 ARP表、路由表以及CPU負荷等。網絡管理員可以通過此系統對全網絡可以實時的監控。此系統還可以對IP地址的全局使用情況有一個清晰準確的統計,對于 IP地址使用的管理、分配都可以起到很好的輔助作用。
2.5 部署了桌面管理系統
此系統能夠遠程維護、遠程控制為網絡的管理、維護與故障診斷提供了全方位的平臺。在管理、維護或故障排除需要時,網絡管理員可以通過本功能遠程登錄客戶機,當服務器顯示客戶機桌面后,即可以對其進行相應的操作。通過桌面管理系統可以管理外部設備,我院業務網禁用了U盤、軟驅、光驅、UBS等各種各樣的外部存儲設備,減少病毒通過外部存儲設備進入到業務網中的可能。通過桌面管理系統指定部分關鍵終端進行IP地址綁定,進一步提升了業務網的安全性。桌面管理系統還不斷地進行更新、升級,以提升網絡的防護水平。
北京婦產醫院通過信息系統的等級保護定級工作,對醫院的信息安全狀況進行了一次較為全面的摸底,認識到自身信息安全水平和問題所在。針對信息安全投入了相當的力量,通過以上和其他措施加強了防篡改、防病毒、防泄密等方面的安全,提升了業務網的邊界防護能力,使其處于基本安全的環境中。
3 第二階段:持續性推進,再上臺階
2007年至2012年,北京婦產醫院年門診量從7萬人次增長11萬人次;年出院人次從2.5萬人次增長到約3萬人次;病房手術人次從1.9 萬人次增長到2.5萬人次。HIS系統的主要用戶醫生、護士、醫技人員也從500余個增加到約1200余個。HIS系統的應用大大提高了醫院工作效率,使醫院的資源得到了更合理的優化配置。但是同時對信息系統的依賴性越高,也就對信息系統的安全有了更高的要求。在2012年《北京地區衛生行業信息安全等級保護工作實施細則》中提出:“三級甲等醫院的核心業務信息系統的安全保護等級原則上不低于第三級”。針對過去的問題和三級的要求,積極進行整改和推動信息安全工作,在2014年將核心系統 - HIS系統原定級2級提升為3級系統。
3.1 確定保護對象及其區域邊界,打好建設基礎。
根據北京婦產醫院業務的發展需要,原有的內、外網物理的隔離的網絡拓撲將隨著區域衛生平臺、網上預約掛號等業務的推進而發生結構性的改變。如圖1所示。
因此,醫院原有相對獨立的業務網將會受到來自互聯網以及其他第三方網絡威脅源的攻擊。北京婦產醫院與時俱進,根據《信息系統安全等級保護基本要求》首先確定了保護對象及其區域邊界。根據醫院信息系統的計算環境劃分情況,圍繞信息系統確定出區域邊界:
(1)東院業務域計算環境區域邊界;
(2)西院業務域計算環境區域邊界;
(3)東院終端控制域計算環境區域邊界;
(4)外網業務應用域計算環境區域邊界;
(5)內網數據交換前置域計算環境區域邊界;
(6)外網無線網絡域邊界;
(7)安全管理域計算環境區域邊界;
(8)內網辦公終端域計算環境區域邊界;
(9)外網辦公終端域計算環境區域邊界。
保護對象及其區域邊界的確定,為以后的計算環境、區域邊界、通信網絡等安全保護設計和實施奠定了堅實地基礎。
3.2 完善日常安全管理,切實落實安全制度
北京婦產醫院以前更多地關注技術的提升,有了等級保護要求之后,使得大家能全方位來看待信息安全。從安全管理平臺角度來看,技術安全和管理安全同等重要,而在實際工作中,網絡維護人員常常忽視管理層面的安全防護,如安全制度的建立和長期執行,機房登記制度等[3]。
北京婦產醫院的信息安全制度根據實際情況進行不定期修改,使其具有科學性和可操作性。為保證信息安全制度及各種安全管理手段與技術的落實,信息科制定了完善的巡檢制度。巡檢人員按規定時間、內容及技術路線對設備進行巡回檢查,巡檢的內容涵蓋了全院。硬件包括中心機房的服務器、交換機;門診大廳的自助打印機、排號機;中心機房和各個樓層設備間的環境監控和消防等,軟件包括數據庫監控、病毒監控和移動存儲設備的監控;磁盤空間容量、系統運行情況等。巡檢人員每日巡檢項目11大類504小項,巡檢內容還要及時向上級進行反饋,以保證各種安全隱患的得到及時處理。同時還記錄每天的程序改動、軟件問題等信息,便于事后追溯。
3.3 提高數據備份與恢復能力,降低安全事件帶來影響和損失
北京婦產醫院原有利用東、西兩院區各自獨立的機房,采用了后臺磁盤陣列之間的遠程鏡像技術,實現東、西兩院區數據同步和遠程容災。通過存儲在不同存儲設施上的鏡像數據,可以實現醫院內部關鍵業務數據的備份與快速恢復。醫院對數據保護的方式主要是采用雙機高可用和備份系統。但是,雙機熱備系統也只能避免由于網絡故障、服務器故障、物理硬盤故障造成的系統停機問題,如果應用數據受到病毒感染、人為誤刪除、黑客攻擊、甚至是共享磁盤陣列故障,應用系統也是無法運行的。
隨著等保工作和信息化建設的推進,醫院又配置了CDP保護設備,實現重要數據實時保護;1-3分鐘內找回丟失的數據,同時可以恢復到毫秒級的數據版本狀態,保障核心業務數據的完整性、一致性、可用性,從而保證核心業務系統正常、穩定、連續運行;數據恢復過程簡單方便;后端重建系統,無停機時間;僅復制上次復制后已更改的增量數據,進行有效的系統及數據備份;大大縮短恢復過程,從而減少停機時間并保持生產力;如果出現應用程序故障或硬盤崩潰,可以可靠地捕捉啟動應用程序服務器所需的數據。CDP設備部署如2圖所示。
CDP設備不僅能夠輕而易舉的實現本地的應用系統保護和恢復,而且能夠很輕松的將保護延伸到遠程,建立起更為強大的異地容災系統。
4 結束語
信息安全是動態的,隨著技術的發展而變化。信息安全防護沒有完全單一而又絕對保險的安全措施[4]。如果墨守成規,止步不前,必然會影響信息安全的整體水平。每年按照等級保護的要求進行自查,可以讓醫院查缺補漏,對醫院的信息安全是很好的督促。醫院在等級保護制度的指導下,持續性的推進信息安全工作,必然會明顯地降低信息安全的風險。等級保護制度還促進了衛生行業信息安全建設的標準化和規范化。我們有理由認為信息安全等級保護制度對醫院信息安全的建設、管理等方方面面都有極大的促進作用。
第2篇:信息安全管理辦法及細則范文
尊敬的領導:
2018年,xx嚴格按照集團公司“穩中提質、改革創新”總要求,圍繞安全生產、經營管控、風險防控等工作重點,從信息化管控、系統建設、應用推廣、運行維護等方面開展信息化工作,較好的發揮了信息系統在生產監控、過程管理和輔助決策方面的作用。現將主要工作情況匯報如下:
第一部分 信息化管控
一、信息化管理制度建設情況
公司共制定有《xx信息化管理辦法》、《xx網絡安全管理制度》、《xx計算機管理辦法》、《xx軟件正版化管理辦法》、《xx辦公自動化系統使用管理辦法》、《xx應用系統數據管理辦法》等有關規劃、項目、基礎設施、應用系統和運行維護的信息化管理制度18項,較好的指導和規范了公司信息化建設。
2018年重新修訂完善了硬件資產管理辦法、應用系統運維管理辦法、信息化管理辦法、微信、QQ群組管理辦法、報廢計算機和計算機耗材廢舊污染物品管理辦法、網絡信息安全管理辦法等6項信息化管理制度。
二、信息化資本支出計劃情況
(一)2018年信息化資本支出計劃完成情況。
按《xx關于下達2018年度資本支出計劃(信息化專項)的通知》要求,嚴格監控審核各類信息化資本支出項目的執行情況,督導各單位資本支出計劃按進度完成。2018年各類信息化計劃資本支出費用為537.2萬元,截至10月底,完成了346.43萬元,預計11-12月份完成122.13萬元,全年總計完成468.56萬元,計劃完成率為87.22%。
1、審核類項目
xx審核類項目共計8項,分別為工藝動畫展示軟件、SaaS門戶網站防護軟件、龍軟地測空間信息管理系統、病案管理系統、生化檢驗血庫管理軟件、預防保健數字化門診系統、遠程控制軟件、綜合管理系統(二期)。
(1)綜合管理系統(二期),合同額120萬,2018年計劃完成80萬元,按合同約定,已完成第一階段付款36萬元,按照開發進度及合同約定,12月份將完成第二階段付款36萬元,完成了預算目標。
(2)山不拉煤礦龍軟地測空間信息管理系統,預算金額為30萬元,實際支出30萬元,完成了預算目標。
(3)職工醫院病案管理系統預算金額為15萬元,計劃12底前購置完成。
(4)職工醫院生化檢驗血庫管理軟件預算金額4萬元,實際支出4萬元,完成了軟件的購置。
(5)職工醫院預防保健數字化門診系統軟件預算金額為8萬元,實際支出為7.51萬元,完成了系統軟件的購置。
(6)特鑿公司工藝動畫展示軟件預算金額為15萬元,實際支出15萬元,完成了軟件的購置。
(7)特鑿公司SaaS門戶網站防護軟件預算金額為8萬元,計劃12月底前購置完成。
(8)培訓中心遠程控制軟件預算金額為2萬元,計劃12月底前購置完成。
2、備案類項目
備案類重點項目有3項,分別為筆記本電腦購置38臺,24.58萬元,臺式機購置116臺,74.89萬元,打印機購置71臺,23.43萬元,合計占備案總預算的62.48%。
3、費用類項目
重點費用類項目有1項,為線路租賃費用,公司共有廣域網專線9條,互聯網線路13條,年租賃費用為87.64萬元。
(二)2019年信息化資本支出計劃情況。
1、基本情況。2019年各類信息化資本支出費用預計為1261.9419萬元,其中審核類費用預計773.15萬元,備案類費用預計320.78萬元,費用類預計168.0119萬元。
審核類中,BIM分中心建設項目318.55萬元,BIM分中心配套機房及網絡改造項目139.6萬元,山不拉煤礦安全監控系統升級改造項目186萬元(說明:地方政府要求在2018年底完成,專項請示在2018年增列計劃,由于時間太緊,只能將計劃在2019年列支)。
第二部分 信息系統建設應用
三、綜合管理系統(二期)建設應用
(一) 建設目標:流程固化、數據共享、全程追溯。
(二) 建設原則:圍繞資金、業務主導、橫向到邊、縱向到底。
(三) 保障措施:
1、成立了綜合管理系統應用推進領導小組,公司主要領導親自抓。明晰系統應用推進中的職責、責任到人。
2、定期不定期的召開項目協調例會,及時協調解決系統開發、應用過程中的各類問題。
3、全員培訓。已開展用戶培訓12場次,培訓用戶2200余人次,涵蓋公司領導、部門負責人、關鍵用戶和業務人員。
4、日常指導。通過電話、QQ群、遠程桌面、面對面交流等方式解答系統使用中的各類問題,平均日處理各類解答300余人次。
5、督導考核。從組織機構、用戶培訓、系統操作、數據質量四方面對各單位、各項目部已上線業務開展督導考核。通過督導考核來看,數據質量基本可靠。
(四)開發進度:
自7月份正式開發以來,完成了物資、技術質量、科技、安全、黨建、市場開發、法律事務和監察審計業務的開發上線,完成了財務、人力、經營、機電業務部分功能(資金、稅務、人事、薪酬、結算、分包、租賃等)的開發上線,完成了整體開發計劃的80%。
(五)應用效果
1、用戶可通過手機APP,企業微信處理系統業務。
2、用戶日平均登錄2000余人次,7日上線率為54.7%(系統注冊用戶數2558人)。
3、打通了從業務到財務的各個環節,財務核算與業務過程互相約束、互相校驗,實現了業務過程可控、資金流向可控。
4、提高了工作效率、提升了管理水平。流程平均審批效率29小時,較之前的以周計算或以月計算,工作效率成倍提高。管理模式逐漸從結果導向轉變為過程控制,建筑行業的粗放型管理得到明顯改觀。
四、云視頻會議系統建設應用
云視頻會議系統采用SaaS模式建設,省卻了基礎設施、網絡安全、系統運維等方面的工作。
系統可以通過PC、手機、硬件終端召開會議。系統有三個會議室,一個100賬號和兩個25賬號,一個賬號在一臺設備中使用,一臺設備可以在實體會議室供多人參會。
系統上線以來,平均月召開云視頻會議10余次,平均參會人數200余人/次,年節省差旅費、油費、會議費約120萬元(按每項目部每次節省1000元計算,10x12x1000x10=1200000)。
系統的成功應用,不但提高了會議效率,降低了費用,還減少了路途中的安全風險。
五、BIM技術應用情況
在建設集團、集團公司的領導和統一部署下,xx有條不紊的開展了BIM系統的應用和推廣工作。完成了與建設集團BIM云平臺對接和公司BIM平臺建設;完成了各專業族庫的建立、施工工藝視頻的制作及BIM5D平臺學習與試用。截至目前,公司BIM平臺已經具備了質量、安全和進度管理、匹配成本信息和施工進度模擬等功能,能夠實現數據和信息的有效共享。
六、安全監控監測系統
按照國家煤礦安監局及內蒙古煤礦安監局相關文件要求,配合山不拉煤礦完成了瓦斯監控系統升級改造方案制定、預算編制和前期籌備工作,協調完成了專項費用計劃增列的申報工作。
按照集團公司要求,配合山不拉煤礦完成了工業視頻監控高清改造方案的調研、方案制定、預算編制工作。
完成了小回溝項目部瓦斯監控系統升級改造后的數據聯網上傳工作。
七、推進各應用系統的使用
(一)年度考核系統應用。開展考核系統的配置、值守等工作,協助人力資源部完成年度考核工作。
(二)OA系統應用。繼續優化涉及辦公、財務、經營、人力、機電等各方面各類電子簽章審批工作流,指導各單位梳理建立使用OA簽章審批工作流。截至目前,優化、修改工作流程50個,制作電子簽章100余人次。
(三)視頻會議系統的應用。截至目前,公司召開視頻會議121次,參會人數12000多人次;召開云視頻會議100余次,參會人數20000余人次。保障了會議精神實時、全面、有效的傳達,節約了大量交通、住宿、會議等費用。
(四)安全培訓系統的應用。協助公司職工教育培訓中心開展特種作業人員和項目部安管人員的取證培訓、崗位復訓,使用系統進行培訓、考核10場次,參培人員800余人次。
(五)推進集團公司ERP等系統的應用。定期跟蹤各部門對集團財務、采購、庫存、人力資源、合同管理、安全管理等系統的應用情況。定期收集相關部門對系統的使用意見和建議,督促系統實施進度和培訓。
第三部分 基礎設施建設應用
八、數據中心機房建設情況
公司數據中心機房建于2009年,安裝有門禁、供電、UPS、制冷、新風、消防、監測等機房系統,其中UPS按照供電8小時設計,現由于電池組老化,僅能滿足供電2小時。機房內有服務器14臺,分別承載OA、綜合項目管理、檔案管理、安管培訓模擬、視頻會議、用友財務等使用中的應用系統;有存儲設備1臺,承擔綜合項目管理系統的數據存儲任務;有核心交換機、IDS、防火墻、路由器、網絡行為管理、VPN等網絡設備14臺,分別承載公司局域網和廣域網的數據傳輸和網絡安全任務。
九、廣域網建設情況
公司廣域網連接的單位有10處、31處、49處、特鑿處、南陽坡分公司、內蒙古分公司、山不拉煤礦和兩級集團公司。到南陽坡分公司和內蒙古分公司廣域網帶寬為2Mbps,到集團公司的廣域網帶寬為8Mbps,其余為4Mbps。廣域網主要承載視頻會議系統、ERP系統等需要專線連接的應用系統。
十、局域網建設情況
局域網采用星型拓撲,接入交換機到電腦終端為百兆帶寬,接入交換機匯聚到核心交換機為千兆帶寬。
公司局域網包括公司辦公樓、培訓中心和物業管理公司叢臺基地,共有電腦終端200余臺。電腦按樓層、部門劃分為10個VLAN,起到疏導流量、隔離廣播風暴和防止病毒大范圍擴散的作用。
根據具體實際,對各單位機房和局域網的建設提出了最基本的標準,并指導各單位信息專業人員逐步完善。
十一、互聯網建設
公司機關及各單位均有互聯網接入線路。公司機關接入帶寬為中國電信的50Mbps互聯網專線,31處、49處、特鑿公司和山不拉礦今年均變更為100Mbps,其他各單位互聯網接入帶寬為50Mbps。
十二、BIM分中心基礎設施建設情況
配合建設集團完成了BIM中心建設總體方案的制定工作和xxBIM分中心建設方案的制定工作,圍繞BIM分中心建設方案,結合公司機房及網絡現狀,制定了BIM分中心機房、網絡配套設施改造方案。
第四部分 信息化運維
開展桌面運維,定期對用戶計算機安裝的軟件進行維護,監督正版軟件的使用。定期維護計算機硬件,保障計算機正常工作。
開展網絡運維,定期檢查網絡設備的配置、日志,保障設備運行正常。定期對網絡線路巡檢,及時排除斷網隱患。不定期開展用戶網絡排錯培訓,提高用戶常見網絡故障的自我解決能力。
開展應用系統運維,督促或組織制定應用系統管理辦法,從系統用戶、系統運行、系統安全等方面加強日常檢查,保障各系統安全運行。
開展機房運維,嚴格執行每日巡檢制度,明確了機房溫度、濕度、供電等環境要素標準。加強運維人員操作系統、服務器組成等軟硬件知識學習,每日必須登錄服務器分析運行日志,及時發現問題、解決問題。
第五部分 信息安全
網絡與信息安全方面管控主要從安全制度、安全技術、安全教育和安全評測等方面進行,力保信息的可信性、可用性和完整性。
安全制度方面。公司成立有保密與網絡安全委員會,領導公司的網絡安全工作。下發了《黨委網絡安全責任制實施細則》、《網絡安全管理制度》、《信息安全崗位職責管理辦法》等制度,明確了安全職責、任務、措施等內容,經常性的在用戶中宣傳網絡安全的重用性、必要性,指導用戶使用常用網絡安全技術措施。
安全技術方面。遵照ISO七層網絡模型,針對每層容易暴露的安全問題,采取有針對的防護措施。在網絡邊界部署了防火墻、入侵檢測、上網行為管理等安全設備。在服務器區部署了防火墻,并在服務器中安裝了殺毒軟件和終端防護軟件。在用戶端按樓層劃分了VLAN、IP地址和MAC地址進行了登記并綁定,用戶計算機也安裝了殺毒軟件、軟件防火墻。
安全教育方面。通過專題講座、發放宣傳資料、安全事件案例等多種形式開展信息安全知識普及工作,提高員工的安全防范意識,減少安全事件的發生。要求用戶口令長度不小于8位,且必須由大寫、小寫字母與數字共同組成,并定期提醒用戶更換密碼,必要時強制更改密碼。要求用戶不得將賬號密碼轉借他人。
安全評測方面。定期開展應用系統和基礎網絡自評,加強了計算機終端、局域網絡、服務器主機、服務器操作系統、應用系統等安全制度、安全策略和安全行為管理,進一步提高了公司信息系統的安全水平。定期委托專業公司開展安全評測,按照評測整改報告及時完成整改。對新開發的應用系統,需通過安全測評后才允許驗收。
第六部分 對外網站
制定了《xx門戶網站管理辦法》,明確了網站管理的權利、責任。
要求各單位對外網站需完成備案工作、安裝政府網站防護軟件、在國家重大活動期間強化安全監控,必要時關閉網站。
公司網站采用PaaS模式建設,采用的阿里云平臺的專有云,并采購了安騎士云盾、WAF防火墻和態勢感知安全服務,還安裝了公安部網防G01 V3.0防護軟件。專有云提供安全風險短信預警功能,能動態提醒操作系統、網站系統、惡意攻擊等安全風險事件。
第七部分 存在的問題和不足
一、專業人才短缺。軟件、網絡、安全和數據庫等方面相關專業人才短缺,制約了應用系統自主運維和開發。
二、系統集成難度大。系統種類多、功能重合多,系統間數據集成共享難度大,造成了業務和數據的割裂,形成了實際上的信息孤島,有違信息化建設的初衷。建議能有系統建設和系統集成的頂層設計,形成標準規范。
第八部分 2019年重點工作
第3篇:信息安全管理辦法及細則范文
【關鍵詞】互聯網;信息管理;管理辦法
1.相關法律介紹
互聯網信息服務領域的相關法律法規很多,整體上看《電信條例》和《互聯網信息服務管理辦法》是目前電信行業最高位階的法律規范,從法律名頭就可以看出來,《互聯網信息服務管理辦法》被作為《電信條例》規制范圍的一個分支。而《電信條例》是以傳統電信業為主要規制對象的。與互聯網信息服務市場秩序密切相關的法律還有《消費者權益保護法》、《反不正當競爭法》和《反壟斷法》等等。
2.互聯網信息服務領域法律秩序存在的問題
2.1行業行政法規太宏觀不具體
我國互聯網信息服務領域由于起步較晚,發展又很快,所以管理水平上就很難跟進。例如《電信條例》是以傳統電信業為主要規制對象的,縱觀其全部內容除總則以外,與互聯網信息服務可能有關的條文并不多。其中第十三條至第十六條是關于辦理“增值電信業務許可證”的內容,對于經營性互聯網信息服務具有約束力。至于《互聯網信息服務管理辦法》將“通過互聯網向上網用戶提供信息的服務活動”作為自己的規制對象。第十五條規定了互聯網信息服務提供者的九項禁止,并由第十六條、第二十條對此進行了配套性規定。從第十九條至二十五條的處罰規定來看也缺少對于違反第十三條的處罰措施。綜合來看《互聯網信息服務管理辦法》對于危害國家和社會安全、嚴重侵害個人人身權利的行為規定比較明確,但對于互聯網信息服務提供過程中存在的不正當競爭、侵害消費者權益等影響市場秩序的行為則未予以相應的關注。綜上可以看出,我國的主要法律,大部分是宏觀上的規定,對象不明確,要求也不太嚴格,缺乏清晰的界限和規范力度。
2.2其他相關法律法規不便于直接適用
除了上述兩個主要的法律規范,其他的法律條例則有更嚴重的缺陷,管理者使用起來很不方便。與互聯網信息服務市場秩序密切相關的法律主要有《消費者權益保護法》、《反不正當競爭法》和《反壟斷法》。適用《消費者權益保護法》的前提是互聯網信息服務用戶是消費者。根據《消費者權益保護法》第二條規定,只要是自然人,為了非專用于經營性的用途而使用互聯網信息服務,不論其是否直接為服務付費都應當是消費者。雖然《消費者權益保護法》規定消費者享有安全權、知情權、選擇權等九大權利,但是將這些規定直接應用于互聯網信息服務上還存在很大的障礙。很難將用戶個人信息保護直接歸入人身安全或者是財產安全,并且在保護的范圍等方面也還需要明確界定。至于《反不正當競爭法》是通過明確規定何者為不正當競爭行為,并以行政的、民事的甚至是刑事的責任來規制的,如果互聯網信息服務提供者的不當競爭行為難以界定為《反不正當競爭法》所規定的不正當競爭行為,則必然很難加以規制。同樣《反壟斷法》也存在不能直接適用的情況,這就迫切需要出臺專門的法律規范來對此加以規范。從上面介紹可以看出,這些法律在覆蓋領域上有所重疊,在交叉領域有些規定甚至相違背,另管理者難以下手。
2.3相關規章的規定比較粗糙
國務院有關主管部門根據《電信條例》、《互聯網信息服務管理辦法》等法律法規制定了一系列規章,其中《互聯網電子郵件服務管理辦法》的第九條規定了互聯網電子郵件服務提供者對用戶的個人注冊信息和互聯網電子郵件地址的保密的義務。《互聯網視聽節目服務管理規定》對用戶的個人信息保密、公平交易權、知情選擇權作出了初步規定,并規定了相應的處罰措施,值得肯定。《軟件產品管理辦法》要求“軟件產品的開發、生產、銷售、進出口等活動應當遵守我國有關法律、法規和標準規范。”但我國實行強制認證的軟件主要是涉及計算機、互聯網安全的軟件,沒有對普通軟件開展認證,已經頒布的強制性認證標準中也沒有包括對收集、使用用戶個人信息,對軟件和服務實施不兼容、捆綁等不正當競爭行為的規范。《電信用戶申訴處理暫行辦法》與解決用戶權益爭議密切相關,但直接照搬適用于傳統電信領域的申訴處理辦法,遠遠不能應對互聯網信息服務的特殊性。《互聯網新聞信息服務管理規定》、《非經營性互聯網信息服務備案管理辦法》、《互聯網站管理工作細則》等規定雖然與用戶權益保護關系密切,但卻沒有相關的具體規定。當然,法律秩序的問題源于我國互聯網領域發展太快,以及各地發展不均衡,所以造成法律、法規、規章的嚴重滯后,但是國家有關部門應該加大法律立法力度和管理力度,明確直接的法律指引與約束,做到有法可依,有法必依,執法必嚴。
3.對互聯網信息服務管理的建議
3.1審批部門及收費標準要統一
根據國務院第292號令《互聯網信息服務管理辦法》第七條、第八條規定從事經營性與非經營性互聯網信息服務,應當向省、自治區、直轄市電信管理機構或者國務院信息產業主管部門辦理互聯網信息服務增值電信業務經營許可證和備案手續。目前國家對各省、自治區、直轄市電信管理機構辦理互聯網信息服務審批的具體部門并無具體規定。據了解,有的省的審批機構設置在通信管理局的市場監管處有的省設置在信息安全中心還有的省設置在中介機構。有的收費、有的不收費尚無統一標準。為了強化管理,統一管理互聯網信息服務領域的力量,我們應該將相關審批部門聯合起來,明確規定統一的發放許可證的審批部門以適應國家對電信企業統一監管全國一盤棋的總戰略。這樣做符合公平、公開、公正的原則,有利于提高政務公開的透明度。
3.2審批程序目錄化
從事經營性互聯網信息服務的必備的申請材料按國務院第292號令《互聯網信息服務管理辦法》要求有十一項,規模大的單位提交的材料多則50多頁規模較小的單位提交材料也得40多頁。
為提高工作效率,使審批工作制度化、程序化、目錄化,我認為申請單位應將提交的材料按下列順序目錄化排列:材料一:申辦經營性互聯網信息服務的書面申請;材料二:申辦單位的企業法人營業執照;材料三:會計師事務所或審計會計事務所近期的資信證明或驗資報告;材料四:申辦單位的公司章程;材料五:已購或欲購的主要設備清單;材料六:為用戶提供長期服務的保障能力及服務措施;材料七:申辦單位的概況包括技術力量和經營管理人員情況場所設施等有關情況;材料八:業務發展計劃及相關技術方案;材料九:健全的網絡與信息安全保障措施包括網站安全保障措施、信息安全保密管理制度、用戶信息安全管理制度;材料十:提交經營性互聯網信息服務登記表。有了統一的審批材料目錄,不僅準備起材料來得心應手,審批部門審批時也會提高效率。
4.結語
互聯網作為信息交流的主要平臺,在人們的生活中扮演的角色越來越重要。而法律規范作為管理互聯網信息服務領域最重要的手段,它的完善與否直接關系著管理互聯網信息服務領域的效果。所以我國要想真正的規范好細心服務系統,必須要極力完善相關的法律規范,加大管理力度。
【參考文獻】
[1]蘇秦,李釗,崔艷武,趙婷.網絡消費者行為影響因素分析及實證研究[J].系統工程,2007,(2):1-6.
第4篇:信息安全管理辦法及細則范文
關鍵詞:企業 信息系統控制 管理
中圖分類號:TP273 文獻標識碼:A 文章編號:1003-9082(2014)04-0021-01
一、信息系統控制概述
企業的內部控制體系建設,通常包括信息層面和業務層面兩個方面,信息層面的內部控制要求統稱為信息系統控制。信息系統控制又分為兩個層面來建立和實施,即:信息系統總體控制和信息系統應用控制。
1.信息系統總體控制是指企業在信息系統的開發、實施、運行、維護及管理等方面的控制。信息系統總體控制通常包括企業控制環境、信息安全、信息項目建設管理、系統變更管理、系統日常運作、最終用戶操作等內容。
2.信息系統應用控制是指應用系統中的電算化步驟以及用以控制不同種類交易處理的系統外人工操作程序。信息系統應用控制通常包括人事管理軟件、財務管理軟件、物資管理軟件、銷售管理軟件等所涵蓋的控制。
通俗的講信息系統總體控制就是信息系統項目建設及其運行維護的過程控制要求的總體,而信息系統應用控制就是應用系統已經實現的功能步驟及使用人員的日常操作過程。
信息系統總體控制和信息系統應用控制密不可分、相輔相成。前者為體,后者為用,兩者共同保證信息控制的有效性。
二、信息系統控制建設的必要內容
1.編制信息系統控制建設實施方案
信息系統控制的建立是一個系統工程,必須由企業信息管理部門負責組織編寫實施方案,方案應明確企業各部門的工作職責,將信息系統控制建設劃分成若干工作階段,并明確各時段工作內容和工作成果。
方案還應明確建立建設領導小組和工作組。領導小組負責協調解決信息系統控制建設過程中的疑難問題,工作小組完成信息系統控制建設各個時段工作的跟進監督,并給領導小組定期匯報工作。
另外,方案應明確信息管理部門負責組織制定信息系統控制的各項管理制度,應用系統隸屬部門負責本專業的應用系統日常運行維護管理,企業的信息管理部門是信息系統控制建設總顧問,應該全程參與建設工作。
企業各部門按照實施方案,嚴格履行建設職責,確保各個時段工作內容準確按時完成,順利推進信息系統控制建設任務。
2.建立三類管理制度
“沒有規矩不成方圓”,中國的上市企業大部分規模巨大,地域廣闊,分公司眾多,信息應用系統分散,種類繁多,涉及部門多,如果沒有統一的管理制度,很難將信息系統控制落到實處,將直接影響信息系統控制運行的有效性。為了達到控制要求,企業應建立統一的信息系統控制管理制度。
首先,企業根據自身特點,建立信息系統總體控制管理辦法。它是信息系統總體控制體系的綱要性文件,制定了企業信息系統總體控制體系建設與完善的相關原則和策略,它必須包括控制環境、信息安全、項目建設管理、系統變更管理、信息系統日常運作、最終用戶操作等內容。
其次,企業還需制定應用系統控制管理辦法。它是在信息系統總體控制管理辦法的指導下,制定的用于指導企業信息系統日常運行、維護和運營管理的具體流程與實施細則。它應該涵蓋數據信息的安全性、完整性、準確性和有效性的控制要求及控制程序。安全性控制包括物理安全、邏輯安全、網絡安全、病毒防護、第三方安全管理等內容;完整性控制包括所有的建議經過處理且只處理一次、不允許數據的重復錄入與處理;準確性控制包括所有的數據是正確和合理的;有效性控制包括交易被適當授權、系統不接受虛假交易、例外情況被發現和處理。
企業還應該建立相應的考核激勵制度。它應該包括應用系統項目建設、上線運行、更新升級、日常運維等過程中的高效能獎勵,應用系統出現問題時的責任追溯懲罰機制,以及對應用系統的管理員、操作員的考核獎懲機制。
三、信息系統控制有效執行的必要保障
1.完善信息系統控制執行的機制建設,保障執行有力
主要是圍繞保障控制活動的實施,建立并運行一整套立足激勵與約束、目標明確的工作制度、程序和辦法,具體解決“如何自覺執行、保障執行、督促執行和提高執行力”的問題。根據信息系統控制的內容,信息系統控制執行機制應當包括:宣傳培訓機制、監督檢查機制、責任機制和獎懲機制。四個機制相互聯系、相輔相成,共同構成信息系統控制執行的保障機制。
宣傳培訓機制是旨在提升信息系統控制宣傳培訓工作質量和效果、營造和活躍氛圍、為控制執行提供群眾基礎和智力支持的一整套制度、辦法和運行程序。
監督檢查機制是為促使信息系統控制活動有效運行而采取的旨在跟蹤檢查評價、發現并整改問題、糾正并規范控制行為、提升企業各級人員執行能力的一整套制度、辦法和運行程序。
責任機制是以信息系統控制組織體系為基礎,旨在明確責任、落實責任、糾正過失,構建清晰、嚴明的工作責任環境,促進控制責任到位和執行能力提升的一整套制度、辦法和運行程序。
獎懲機制是以考核為基礎,以利益驅動為手段,旨在獎優罰劣和調動積極性,促進責任意識轉換為實際執行能力,形成努力實現控制目標內在動力的一整套制度、辦法和運行程序。
2.重點關注信息系統控制制度中三個方面的控制程序
一是針對“信息系統項目建設”管理,前期要認真編制立項申請、可行性研究報告、設計說明書,中期要認真組織項目實施、數據移植前的測試,后期組織好系統上線審批、系統培訓、系統變更管理。而且,項目建設全程必須確保測試環境要與生產環境分離。
二是針對“信息安全”控制,要及時檢查并確保登錄系統驗證機制健全、服務器配置安全、賬號設置符合職責分離要求、口令設置符合規則、用戶操作監控有效、嚴格控制對數據的直接訪問、機房管理有效、網絡監控有效、病毒防護及時,信息安全管理員定期將不符情況報知相關負責人,并及時解決問題。
三是針對“日常維護”控制,必須定期如實填寫機房設備巡檢記錄、備份記錄、批處理作業調度記錄、問題記錄日志、問題分類匯總月報等控制證據表單,針對發現的問題,必須按照管理制度規定時限改正處理完畢。
3.必須處理好幾個關系
首先,必須確立一個正確的觀點,即:執行信息系統控制并不是信息管理部門的一個部門的事,而是企業所有部門及員工必須共同遵守的準則。因為信息收集、整理、傳遞時時刻刻在發生,信息系統控制無處不在,他們必須遵從信息系統控制體系要求。
其次,必須明確自己的角色定位,如實履行職責。在信息系統控制工作中,不同的角色,所擁有的權限和承擔的責任是不同的,每個人必須清楚自己在整個信息系統控制鏈條中負責哪幾環節?實際工作中不能越權,也不能懶于執行應有的控制。例如:應用系統管理員額外掌握數據庫管理員的賬號和密碼,可以從數據庫底層直接修改數據,這是最常犯的權限職責設置錯誤。
再次,必須處理好與其它管理體系的關系。信息系統控制的執行和設定除了符合信息系統的控制要求外,還要緊密聯系實際,靈活處理與其他管理體系(HSE體系等)的關系,針對同一控制事項,不必重復建立控制文本,可以選用多個管理體系的管理要求并集,規避重復執行控制要求。另外,災害情況下可以執行應急預案,并非教條式執行信息系統的某些控制。例如:機房失火,消防員不必填寫機房出入登記表,直接投入搶險工作。
第5篇:信息安全管理辦法及細則范文
一、衛星定位系統的應用
(一)衛星定位系統是提升交通運輸行業管理和服務水平,保障交通運輸安全和提高生產效率的有效手段。在國家有關政策的指導下,鼓勵交通運輸行業推廣應用衛星定位系統。
(二)衛星定位系統應優先應用于交通運輸行業涉及公共安全的重點監管領域,包括水路運輸特別是在重點水域的載客和危險品運輸,道路運輸中的長途客運、旅游客運、高速公路客運和危險品運輸等。同時鼓勵和引導應用衛星定位系統對其它類別的客貨運輸實施安全監管和運營管理。
(三)衛星定位系統主要分為公共管理與服務系統和內部運營管理系統。公共管理與服務系統主要用于交通運輸管理部門行政管理、安全監管,為船舶、車輛提供信息服務等;內部運營管理系統主要用于運輸企業(業戶)內部的運營和安全管理等,同時為公共管理與服務系統提供相關信息,滿通運輸管理部門實施行業管理和安全監管的需要。
二、衛星定位系統的建設
(一)衛星定位系統的建設應堅持需求主導、規范有序、突出重點、資源共享的原則,避免各自為政、重復建設和增加運輸企業(業戶)的負擔。
(二)交通運輸管理部門主導公共管理與服務系統的建設,并提供必要的經費保障。為減少重復建設、促進資源共享,省級以上交通運輸管理部門應積極創造條件,建設統一的衛星定位系統公共平臺和管理與服務系統,并按照公路、水路交通運輸管理工作的要求分步推進。公共管理與服務系統應具備兼容已有的衛星定位系統和多種終端的功能,同時可根據實際需求兼具內部運營管理系統的功能。
(三)在衛星定位系統相關數據庫建設或改造中,對涉及公路、車輛、港口、航道、船舶等基礎信息的代碼和數據格式,應按照交通部編制的《交通信息基礎數據元集》和相關的行業要求予以規范。
(四)運輸企業(業戶)根據生產管理需要,可自行選用或開發內部運營管理系統,并須按照公共服務信息共享的要求,實現與公共管理與服務系統的聯通。鼓勵運輸企業(業戶)利用公共管理與服務系統,積極開發內部運營管理系統,增強管理和服務功能,充分發揮衛星定位系統在運輸生產組織、調度中的作用,提高投入產出效益。
(五)衛星定位系統終端設備的安裝應依法允許運輸企業(業戶)自主選擇終端設備和運營服務商,管理部門不得違規提出強制性要求,干預企業正常經營。應嚴格遵循一艘船、一輛車只安裝一套終端設備的原則,不得以任何名義強制運輸企業(業戶)安裝具有相同或類似功能的其它終端設備。
(六)交通運輸管理部門應依法行政,規范衛星定位系統的建設,切實維護運輸企業(業戶)的正當權益。應通過公開透明的程序,擇優向運輸企業(業戶)推薦符合有關標準規范的終端設備。危險品運輸車輛配備的終端應符合國家有關要求和標準。
三、衛星定位系統的管理
(一)交通運輸管理部門應按照專業化、市場化的要求選擇公共管理與服務系統的運營維護單位,努力降低運營維護成本。收取用戶的服務費用標準應符合相關規定,不得額外或變相收費。
(二)應充分發揮市場對信息資源配置的基礎性作用,鼓勵和引導增值開發衛星定位系統信息資源。交通運輸管理部門及運營維護單位還應加強衛星定位系統信息安全管理工作,切實維護運輸企業(業戶)的商業和個人秘密。
第6篇:信息安全管理辦法及細則范文
關鍵詞:第三方支付;網絡金融創新;金融監管
文章編號:1003-4625(2014)01-0104-04 中圖分類號:F831.2 文獻標志碼:A
近年來,第三方支付掀起了網絡金融創新浪潮,將信息技術、電子商務、金融服務深度融合,不僅標志著我國經濟金融正加速進入信息化時代,更意味著超大規模關聯關系的建立和更多的安全風險敞口。以滿足市場特色金融服務需求為切入點的創新,已不僅僅局限于支付服務,正向著金融產業鏈的縱深發展,與金融穩定、金融發展、國家經濟金融信息安全等內容密切相關,亟須對其實施全方位、多層次的監管和引導。本文通過梳理網絡金融創新的特點,對現有第三方支付監管體系存在的問題進行分析,并進一步探討如何完善我國網絡金融的監管架構。
一、第三方支付網絡金融創新特點
作為新支付渠道,第三方支付在我國走過了十多年的發展歷程,已經形成較完備的產業鏈結構,支付渠道、支付介質、支付應用都呈現多元化的發展趨勢。當前,我國第三方支付正不斷拓展支付服務的內涵和外延。各支付機構以新技術應用、深化金融服務為切入點,向包括金融業在內的各產業鏈縱深滲透,開展了一系列市場化、產業化、多樣化的網絡金融創新活動,主要在以下三個層面上依次遞進展開。
(一)基于銀行服務又高于銀行服務
傳統金融服務發展的不均衡,為網絡金融創新提供了空間。單就支付服務而言,目前第三方支付活動,必須要借助于銀行提供的清算通道才能完成。長期以來銀行業基于資金成本收益和穩定存款源的考量,多采取“二八原則”:即重點服務帶來80%利潤的20%的大型客戶,小微企業、普通客戶群個性化金融服務需求尚未成為業務發展的重點,各家銀行推出的網上銀行服務,往往是線下傳統流程的移植。而第三方支付依托技術、數據、客戶群的優勢,通過不斷創新來滿足小微企業、民眾對網絡金融服務的需求:在移動支付領域,不斷推進二維碼、手機刷卡等新技術應用;在深化金融服務方面,通過統一門戶提供包括消費、投資、理財、轉賬、繳費等各類快捷便宜、價格低廉的支付服務,體現出基于銀行服務而又高于銀行服務,貼近網絡個性化應用需求的特性。
(二)從滿足支付需求到發掘支付需求
隨著業務的發展,第三方支付企業已經不滿足于網銀渠道、傳統支付中介的角色。一方面營運中采集的數據,使第三方支付機構能夠成為了解消費者習慣、需求,熟知經營者狀況,掌握市場行情和行業發展前景的信息情報中心;另一方面,散落民間的小微資本所具有的聚沙成塔的數量優勢以及長期以來投資獲利無門的實際情況,使第三方支付機構能夠運用“長尾理論”,開發并提供新型金融服務產品,引導公眾做出自有資金投資、管理的支付決定。目前,第三方支付機構已經推出了包括保險、基金、存款在內的更加靈活的多種碎片化在線理財業務。1元起的余額寶、50元起的定存寶實現了消費、理財管理的無縫連接。盡管這些服務還未實現產品多樣化,但是服務的種類已基本涵蓋傳統銀行個人金融、中間業務服務的內容,對傳統銀行經營模式形成了強勁的沖擊。
(三)利用大數據優勢向金融產業鏈的縱深發展
互聯網發展進入大數據時代,為網絡金融創新提供了平臺。研究認為,在大數據時代依托互聯網發展的產業具有三大趨勢:
一是應用軟件泛互聯網化,即公司通過門戶網站向用戶提供功能強大的軟件應用服務,在分析用戶數據的基礎上,不斷改進服務質量,增強用戶使用黏性;二是行業會垂直整合,即越靠近終端用戶的公司,在產業鏈上擁有更大的發言權;三是數據成為掌控市場的重要資產,能夠獲得巨大的經濟利潤。
以阿里巴巴、蘇寧、京東商城為代表的電商企業和以支付寶為代表的第三方支付機構,已經清楚地認識到:
一是電商要在競爭中立于不敗之地,必須擁有配套的第三方支付互聯網金融服務,增強客戶黏性;二是不論是自發成立或是聯合,電商和第三方支付機構間的密切合作,能夠集中客戶、技術、數據優勢,打造上下游配套供應鏈金融服務,建立基于平臺的、封閉的網絡金融生態環境;三是借助信息資源的優勢,能夠建立內容豐富的行業、中小企業、個人信用信息數據庫,并據此開辦具有關聯關系的小額貸款公司、融資擔保公司、特色應用數據中心、創業風險投資公司、咨詢機構,乃至銀行、保險、證券、信托、征信和評級機構,獲取豐厚的集團利潤回報。
正是基于清晰的利益鏈條,盡管目前第三方支付機構本身不能直接受理金融服務,所有的互聯網金融創新活動都要與傳統金融機構聯手實施,但大型的電商、第三方支付機構都在為可預見的信息化金融時代積極布局:設立相關全資、控股子公司;或是和大型金融集團建立聯盟;爭取諸如支付業務許可、IDC(因特網數據中心)業務牌照、融資性擔保機構經營許可證等相關行業執業許可牌照。電商聯手第三方支付機構正在向金融產業鏈的縱深快速挺進。這一過程中,我們可以看到外資控股的阿里巴巴集團和騰訊控股有限公司活躍的身影。
二、第三方支付網絡金融創新中存在的問題
第三方支付掀起的創新活動將網絡、信息技術、電子商務、金融服務深度融合,正在建立前所未有的超大規模關聯關系,也因此形成了更多的安全風險敞口。
(一)跨界經營的風險管理問題
一是多行業風險疊加。一方面第三方支付活動中原有的一些問題,諸如客戶備付金權益保障、預付卡發行和受理業務的違規和無序競爭、反洗錢義務難履行、支付信息系統安全隱患、虛擬貨幣管理、非法套現等問題更加凸顯。另一方面電子商務存在的誘導消費、告知不到位、模糊概念、服務協議不規范、霸王條款等問題在創新活動中也體現了出來。
二是第三方支付機構在安全穩健經營、內外風險控制管理等方面,與傳統金融機構相比還存在較大差距。三是目前對跨界業務創新融合尚無有效的跟蹤監管。
(二)混業經營多重角色轉換帶來的問題
第三方支付企業已經在向集團化方向發展,除了支付結算職能,其自身或關聯機構還往往兼有電子商務服務商、金融產品交易經紀人、信用評估、擔保等多重職能。眾多的角色容易產生道德風險、關聯風險和監管套利風險,如第三方支付機構單方改變、終止服務內容,提高服務受理標準;機構內部人員勾結作案;通過掌握的信息操縱市場;掩蓋真實服務內容逃避監管等。
(三)大規模的互聯網應用金融安全風險凸顯
一是網絡信息技術在促進創新的同時,具有非比尋常的風險規模放大效應,一旦出現問題“蝴蝶效應”和“羊群效應”更加迅速和顯著,會對金融穩定產生巨大影響。
二是作為創新活動的主體,第三方支付所采用的軟硬件技術絕大多數來自國外,對外技術依存度高。
三是網絡金融創新服務鏈長、結點多、涉及海量資金與數據的特點使其更容易遭受外來惡意攻擊。2013年彭博泄密事件、斯諾登事件都表明網絡安全形勢十分嚴峻。
(四)創新活動背后的外資背景與金融安全問題
網絡金融多方參與、混業經營、跨界融合、完全市場化的運作方式,使得不同背景的資本能夠有機會通過多方渠道,深入參與我國金融業發展,掌控包括第三方支付信息在內的經濟、金融信息資源。當前,電子商務行業巨頭被外資控股、第三方支付正在形成的行業壟斷,這些均應當引起監管者足夠的關注。
三、我國現有第三方支付的監管現狀及其存在問題
由于第三方支付掀起的網絡金融創新浪潮已不僅局限于支付服務,而是呈現出跨平臺、跨行業、集團化、產業聯動、相互融合的特點,并向著金融產業鏈的縱深發展,因此,僅依靠現有的第三方支付監管體系,顯然難以適應網絡金融創新發展的需要。
(一)我國現有第三方支付的監管架構
2013年6月和7月頒布的《支付機構客戶備付金存管辦法》《銀行卡收單業務辦法》表明,中國人民銀行正在探索構建一個人民銀行主導監管、行業組織自律管理、商業銀行外部監督、支付機構自我管理的第三方支付多方位監管體系。
作為我國支付體系的組織建設者、推動者和監管者,人民銀行立足建立公平、有序、開放的第三方支付市場競爭環境,并對支付業務活動進行監督管理。近年來在市場準入、業務規范、客戶備付金管理、反洗錢、統計指標、信息安全管理、技術標準等方面,先后出臺了《非金融機構支付服務管理辦法》及其《實施細則》《網上支付跨行清算系統業務處理辦法》《支付清算組織反洗錢和反恐怖融資指引》等一系列管理辦法。
中國支付清算協會負責對第三方支付業務活動進行自律管理,制定業務操作層面的具體管理辦法。商業銀行則利用資產規模、技術、網點、內部管理等方面的優勢以及與第三方支付機構間的對手業務關系,對客戶備付金存管業務進行日常監督。
(二)網絡金融創新浪潮下現有監管存在的問題
1.網絡金融創新監管主體單一,尚未建立內外聯合監管體系
一是各部委對自身在網絡金融創新活動中的監管定位并不明確,容易形成監管真空和監管套利。盡管“一行三會”、工信部、國家發改委、商務部、工商管理總局、國家稅務總局等部委對創新多持鼓勵的態度,但多數部委沒有開展與創新相對應的風險管理、研究。相關的管理制度和行業標準的制定與修訂,以及配套的監管基礎設施建設,遠遠落后于市場發展的水平。
二是尚未形成有效的宏觀聯合監管機制。2013年8月15日國務院批準中國人民銀行牽頭“一行三會”、外匯管理局(必要時可擴展至相關部委),建立金融監管協調部際聯席會議制度,負責包括交叉性金融產品、跨市場金融創新協調在內的監管合作。但是,短時間內仍難以在監管決策、實施層面形成合力。
三是人民銀行現行職能管理模式難以識別網絡金融創新中存在的風險敞口。從已經出臺的第三方支付管理辦法內容看,監管的重點依然圍繞著行業準入、支付業務和反洗錢,對消費者權益保護和信息管理僅提出了連帶要求,還沒有圍繞網絡金融創新的特點和發展趨勢,建立支付、反洗錢、金融穩定、科技、征信等部門間的長效聯合監管機制。
2.基層機構監管力量薄弱,行業協會尚未具備自我管理的能力
一是人民銀行現有的機構設置、人員配備、監管的能力和手段還難以滿足市場監管需求,尤其是基層行監管力量薄弱,全面實施市場監管難度較大。
二是我國的支付清算協會成立僅兩年,尚未建立分支機構,很難滿足線下行業自律的監管要求。同時自律的管理辦法還不健全,對行業的實際約束力有待進一步提升。
三是商業銀行、第三方支付機構在對手交易中是競爭合作的關系,以競爭對手的身份履行監督、檢查職能,角色尷尬。作為獨立的法人減少運營成本、爭取最大化的盈利是其共性,不能期望運動員同時是盡職、中立、無私的執法者。
四是網絡活動的虛擬性、開放性等一系列不同于現實環境的特點,使第三方支付機構很難實現客戶身份、交易真實性盡職調查,同時基于經營者趨利避害的天性,第三方支付自我監管不可能到位。
3.第三方支付消費者權益保護滯后
一是維權機制不健全,消費者在維權過程中處于劣勢。第三方支付目前尚未建立支付機構、行業協會、行業監管者、法律仲裁層層遞進的維權機制。目前消費者只能向支付機構內設部門進行投訴。
二是維權法規不健全,消費者維權依據難尋。盡管第三方支付活動和網絡金融創新是金融服務的延伸,但2013年出臺的《中國人民銀行金融消費權益保護工作管理辦法(試行)》并沒有將其納入保護范圍。而支付清算委員會消費者權益保護工作才剛開始起步。
三是現有網絡金融創新外部監管協作不到位,容易出現監管真空。以支付寶推出的余額寶業務為例,盡管證監會對余額寶業務備案合規性進行了提示,但余額寶界面“高收益”“理論上存在虧損可能,但從歷史數據來看收益穩定風險極小”的產品說明,卻沒有任何監管機構予以管理。這與《銀行業產品說明書描述規范》的出臺形成了鮮明的反差。
四是監管者對消費者開展的金融和第三方支付知識普及與宣傳不足。
4.第三方支付信息資源利用監管嚴重缺失
第三方支付活動產生的信息是網絡經濟金融活動的原始記錄,其蘊含的社會資金運動的規律,不僅成為宏觀經濟、金融運行的“晴雨表”,在經營決策、支付監管、研究、宏觀決策等領域更具有重要的作用,因此極具經濟價值。互聯網金融創新浪潮依托、利用的正是這一核心資源。從長期發展來看,這些數據能夠彌補現有征信系統的不足,是金融發展所必需的公共信息資源。
目前監管存在的問題主要是:一是對信息資源的公共屬性、行業重要性認識不足。二是對信息資源的監管思路并不明確。沒有從維護國家金融安全、穩定、促進行業公平競爭的角度,對挖掘、使用這類信息的行為進行規范監管。
5.監管主體和監管對象之間存在嚴重信息不對稱
在網絡金融創新過程中,第三方支付機構較為獨立封閉的集團化、網絡化、數字化運營模式,以及數據管理、技術應用的優勢,使其在監管過程中占據信息優勢。盡管中國人民銀行2013年5月頒布的《支付業務統計指標》有利于緩解這種矛盾,但是各監管部門在監管手段、信息化進程上的差距和聯合監管目標的差異性,決定了第三方支付互聯網金融創新活動難以在短期內獲得全方位的監管。
四、完善我國網絡金融監管體系的建議
(一)建立多層次動態聯合監管體系
一是各部委之間建立有效的動態聯合監管機制。認清網絡金融創新活動對原有監管組織體系架構的挑戰,明確各部委在創新活動中的監管定位,加快對應的監管基礎設施建設。二是中國人民銀行應調整第三方支付行業監管策略,在鼓勵創新和行業自律的同時,盡快整合內部多方力量,對創新活動進行持續、系統、同步的跟蹤研究,加強監管及時識別隱含的關聯風險,對創新活動進行規劃引導,避免因為監管缺位、市場失靈形成無序發展的倒逼機制。三是引入網絡金融服務產品報備和消費者互動監督機制,彌補由于監管力量不足、不到位帶來的監管失察。
(二)加快對第三方支付信息資源使用的監管和研究
一是從征信業發展規劃的角度出發,明確第三方支付信息資源使用和管理的思路。二是從公平競爭防范金融市場利益沖突的角度出發,以業務隔離機制為核心,確保支付信息能夠被平等合理使用。通過鼓勵第三方支付機構和銀行共享數據,實行差異化經營,避免同質化競爭對金融發展帶來的消極影響。三是從國家信息安全的角度,梳理外資機構對我國第三方支付信息資源的掌控情況,評估其通過網絡金融創新參與我國金融業務經營的程度。四是加快國家大數據的產業研究和應用,利用技術變革的優勢后發趕超促進網絡金融服務發展。
(三)成立金融監管信息技術風險實驗室
一是通過跟蹤新技術的發展,確保監管者在技術風險管理中具有前沿性和領先性,從風險管理和防控的角度對創新活動做出及時的判斷,為監管決策提供意見。二是可以模擬監管環境,研發并提供與創新發展相適應的技術監管手段減少信息不對稱。三是可以將新技術和新應用的研究分析成果,轉化為監管手冊對監管人員進行培訓,使其更好地認識科技風險,從而提升監管隊伍整體水平。
(四)加快完善我國金融消費者權益保護體系建設
第三方支付活動是金融服務的延伸,應當將其納入我國金融消費者權益保護體系之中,盡快予以完善。
一是通過立法明確第三方支付消費者權益保護的監管目標,并納入金融機構監管的基本職責。二是加強第三方支付機構消費者保護制度建設。三是規范投訴機制建立切實有效、層層遞進的維權機制。四是強化風險意識和責任意識教育,幫助金融消費者樹立“買者有責、賣者余責”的理念,對金融消費者進行第三方支付、金融知識普及和宣傳,引導其識別相關網絡金融服務的風險點,讓金融消費者清晰理解金融機構、第三方支付機構和自身的風險責任及應對措施。
參考文獻:
[1]趙國棟.大數據時代的三大發展趨勢及投資方向[EB/OL].百度文庫,2012,(04).
第7篇:信息安全管理辦法及細則范文
一、縣級廣播電視行政執法依據、范圍
1、廣播電視方面現行的主要法規、規章:
(1)國務院制定頒布的行政性法規:《廣播電視管理條例》、《廣播電視設施保護條例》、《衛星電視廣播地面接收設施管理規定》等。
(2)國家廣電總局制定的主要規章:《有線電視管理規定》、《〈衛星電視廣播地面接收設施管理規定〉實施細則》、《有線廣播電視傳輸覆蓋網安全管理辦法》、《廣播電視廣告播放管理暫行辦法》、《廣播電視視頻點播業務管理辦法》、《境外電視節目引進、播出管理規定》、《廣播電影電視行政處罰程序暫行規定》、《互聯網等信息網絡傳播視聽節目管理辦法》、《互聯網視聽節目服務管理規定》等。
(3)省、自治區、直轄市出臺的主要地方性法規,如《湖北省衛星電視廣播地面接收設施管理辦法》。
2、目前,縣級廣播電視行政執法的范圍主要有:
(1)對違法設立廣播電視臺、站和有線廣播電視網絡及相關設施的行為進行查處;
(2)對廣播電視臺、站、有線電視網絡及其他視聽媒體違法播放、傳送廣播電視類節目的行為進行查處;
(3)對違法銷售、設置、使用衛星廣播電視地面接收設施的行為進行查處;
(4)對損壞、破壞廣播電視設施、妨礙廣播電視設施安全,阻礙廣播電視設施設立的違法行為進行查處;
(5)對違法設立廣播電視節目制作經營單位或違法從事廣播電視節目制作經營業務的行為進行查處;
(6)對違法設立有線電視共用天線工程設計、安裝單位和衛星廣播電視地面接收設施安裝單位或違法從事有線電視共用天線工程設計、安裝及衛星廣播電視地面接收設施安裝業務的行為進行查處;
(7)對違法從事視頻點播系統安裝、開展視頻點播業務、為視頻點播活動供片的行為進行查處;
(8)對擅自從事信息網絡傳播視聽節目的行為進行查處。
二、縣級廣播電視行政執法遭遇的四大難題
1、遭遇廣播電視法律法規真空的難題。部分廣播電視法律法規條文籠統,實際執法過程中操作性不強,處罰找不到相應的條款,使管理工作出現盲目性和隨意性。行政許可法實施前,各行各業對本系統的行政許可項目進行了全面清理,廣播電視僅僅保留了一些涉及國家政治安全、信息安全、傳播安全的大項目,而基層廣播電視企事業單位實際最需要的行政執法項目卻被清理了。
2、遭遇廣播電視法律法規需要執法,但實際工作中不能執法的難題。《衛星電視廣播地面接收設施管理規定》第九條規定“個人不得安裝和使用衛星地面接收設施。如有特殊情況,個人確實需要安裝和使用衛星地面接收設施并符合國務院廣播電影電視行政部門規定的許可條件的,必須向所在單位提出申請,經當地縣、市人民政府廣播電視行政部門同意后報省、自治區、直轄市人民政府廣播電視行政部門審批”。但目前很多農村群眾未經許可,擅自安裝了衛星地面接收設施。據初步統計,我縣私自非法安裝地面衛星電視接收裝置約2萬戶。年,“鑫諾3號”和“中星6B”衛星發射成功,原有接收亞洲3S、亞洲4號,亞太6號、亞太2R、中衛1號和鑫諾1號(中央40路廣播)其6顆衛星廣播電視節目全部調整到接收兩顆專用衛星。國家、省、市廣電部門為讓農村群眾更好地收看電視節目,要求縣廣播電視局工程技術人員為群眾(包括私自安裝使用衛星地面接收設施的用戶)提供轉星咨詢服務和技術保障。轉星調整后,農村群眾認為私自安裝使用衛星地面接受設施已得到了國家認可,不再是違法行為。按照依法行政的要求,廣播電視部門應該開展行政執法,規范衛星地面接收設施的安裝和使用。但為了保障群眾的收視權益,廣播電視部門不僅不能執法,而且還要提供技術服務,讓處在基層的縣級廣播電視部門陷入需要執法又不能執法的尷尬境地。
3、遭遇廣播電視法律法規無人理會的難題。一是部分廣播電視法規的規格和層次較低,缺乏權威性和法律約束力。據不完全統計,截止目前,我國共有23件法律有涉及廣播電視的條款、7件廣播電視行政法規、39件廣播電視部門規章。由于大多數受眾和用戶不懂廣電法規,不了解條文,廣播電視法規意識十分淡薄。許多群眾對于擅自截傳有線電視信號,無證銷售、安裝、使用衛星地面接收設施等行為不以為然。今年,部分省的電信部門擅自開展了IP電視業務,國家廣電總局對此發文作出了“屬于違規行為,情節嚴重,依照相關法律法規應予嚴處和停辦”的處理,但有的地方IP電視業務仍在違規發展。
二是縣級廣播電視行政執法在實際執行中受到其他部門過多牽制,單一個廣播電視行政管理部門顯得孤立無援,嚴重影響了行政監管和行政執法。根據《衛星電視廣播地面接收設施管理規定》,“地衛”設施生產環節歸信息產業部門管理,銷售環節歸工商部門管理,進口環節歸海關和商務部門管理,而廣播電視部門只管理安裝使用環節。要管住“衛星鍋”需要信息產業、工商、公安等多個部門的配合。行政執法過程中,涉及的部門過多,牽制的因素過繁,勢必影響廣播電視行政執法的效能發揮和執法水平的提高。
4、遭遇執法人員少、經費不足的難題。加強廣播電視執法工作,可以為廣播電視事業的健康有序發展營造一個良好、安全、高效的運行環境。長期以來,縣級廣播電視行政執法力量相當薄弱。執法人員少,沒有給執法人員配備必需的裝備,經費又不足,大多數行政執法人員未接受過基本法律知識培訓便上崗執法,幾乎不能完整地履行執法職能。我縣僅有5人具備廣播電視行政執法資格,沒有一個專職人員編制,遇到執法任務,往往是臨時抽調力量完成。由于沒有專職的行政執法隊伍,造成廣播電視系統的行政執法行為不規范,執法水平不高。
三、加強縣級廣播電視行政執法的對策建議
依法進行廣播電視管理,是國家賦予廣播電視部門的行政職能。要適應新形勢、新要求,認真履行依法行政的職責,樹立廣播電視執法的權威和形象,切實保障廣播電視事業健康有序發展,筆者認為要重點抓好以下幾方面工作:
1、及時修改完善法律法規條文。廣播電視是一個高速發展、更新速度很快的行業。隨著廣播電視事業的快速發展以及高新技術在廣播電視領域中的廣泛應用,部分出臺時間較早的廣播電視法律法規,在施行過程中出現了許多新情況、新問題。對于不適應當前形勢、不能發揮作用的廣播電視法律法規,建議上級要及時修改完善。
2、廣泛深入學習、宣傳廣播電視法規、規章,增強法制觀念。一是加強對系統內部的普法宣傳,提高廣大職工的法律意識。在系統內部不但要宣傳國家基本法律,而且要深入宣傳廣電部門自己的法規、規章,使廣大職工明確廣電部門的權利與職責、自身的權利和義務,規范自身行為,從而提高依法管理水平。進一步加強對執法人員的法制培訓及廣電基本業務知識培訓,提高執法隊伍的整體戰斗力。做為一名廣電執法人員,不但要學習掌握本系統的法律法規,而且要學習國家的基本法律以及與執法有關的行政法律法規。只有這樣,執法人員在案件處理中才能做到有條不紊,正確運用法律,正確處理事業發展中出現的新情況、新問題。二是充分發揮廣播電視媒體的優勢,在社會上廣泛深入宣傳廣電法規、規章,使廣大人民深入了解廣電法規、規章,規范自己的行為。三是及時把新的法規、規章和中央、省市關于廣播電視事業的批示精神及時向上級主管領導匯報,爭取主管領導的支持。
3、嚴格按行政執法程序執法,真正做到依法行政,內外一致。依法行政不僅要求實體合法,而且要求程序合法。是否遵循法定程序,有無規范的法律文書,是衡量具體行政行為是否合法有效的重要標準。執法人員只有嚴格按法定程序處理案件,亮證執法,制作行政案件法律文書,才能確保執法行為合法有效,才能真正達到依法管理、依法行政的目的。
第8篇:信息安全管理辦法及細則范文
關鍵詞:第三方支付;市場準入;信息不對稱
中圖分類號:DF41 文獻標識碼:A
收稿日期:2013-09-02
作者簡介:馬永保(1980-),男,安徽肥西人,安徽大學法學院博士研究生,研究方向:經濟法。
一、第三方支付行業市場準入的現實依據
第三方支付行業的市場準入是特殊市場準入制度的組成部分,從本質上是行政許可審批制度。但第三方支付行業推行行業準入的依據和基礎何在?即第三方支付行業與一般的市場有何不同而必須要推行特殊市場準入制度?本文認為,推行第三方支付行業特殊市場準入制度,主要是基于以下的考慮:
(一)支付系統風險大
第三方支付系統中隱藏著各種風險,主要有網絡安全風險、法律風險、金融風險(包括資金濫用風險、詐騙犯罪風險、盜卡惡意支付風險、資金沉淀風險)以及網購者隱私泄露風險[1-2]。要應付這些風險,需要第三方支付企業具備雄厚的經濟實力,雇傭專業技術人才和經驗豐富的管理者,建設可以經受得住網絡攻擊的軟件系統,建立起完善的內控措施、反洗錢及反套現措施。要保證只有滿足了這些條件的才能進入第三方支付市場,就必須事先設置進入條件,并由監管機構審查申請者條件,只給符合條件者頒發經營許可。也就是說,要建立起一整套市場準入法律制度,預防并化解可能的各種風險。
(二)使用者多,影響廣,出現問題會造成災難性社會影響
第三方支付以其便利、快捷的特性,自產生就很快吸引無數使用者的青睞。據中國互聯網絡信息中心(CNNIC)報告數據顯示:截至2011年12月底,國內網上支付的用戶已經超過167億,使用率提升至325%,同比增長2957萬,年增長率為216%。早在2012年6月,支付寶就宣稱其注冊用戶數已經達到7億,而工商銀行至2012年年底卻只有438萬公司客戶和393億個人客戶。須知工商銀行自1984年1月1日成立,距今已經發展了30年,而第三方支付行業的發展歷程卻只有十幾年。眾多市場參與者導致交易頻率加速、交易關系復雜、市場影響增大,也使市場風險擴散[3],一旦出現風險將會危及民眾共同利益,可能引發社會震蕩。政府為了避免發生因第三方支付企業出現問題而對社會秩序造成的影響,降低可能的社會風險,必然要提高進入門檻,設立嚴格的準入標準,將不符合資質的企業驅逐出去,讓真正有實力的企業進入市場經營,在服務使用者的同時獲取利潤。
(三)信息不對稱
信息是包括物品(包括勞務)和生產要素的價格、質量、數量以及不同經濟主體(如買方和賣方)討價還價的能力、信譽度等知識。信息不對稱是指在相互對應的個體之間的信息呈現不均勻、不對稱的狀態。“掌握信息比較充分的人員,往往處于比較有利的地位,而信息貧乏的人員,則處于比較不利的地位”[4]。信息不對稱或信息偏在被認為是政府干預市場行為的基礎之一。
在第三方支付市場中存在著明顯的信息不對稱。第三方支付企業掌握著整個平臺的運作,對支付過程擁有充分的信息。使用者雖然可以發出指令,但對交易過程中的信息掌握并不充分(如賬戶資金如何流動,轉入轉出的確切時間),交易過程中可能面臨風險。此外,第三方支付平臺采取了哪些技術措施保障使用者資金安全?支付企業內部的各項制度是否符合法律規定?能否取得預期效果?對于這些問題,使用者也都很難獲取準確信息。信息的不對稱,可能會導致效率損失,主要體現在逆向選擇和道德風險兩種情況上。其中,逆向選擇指的是低質量品排擠掉高質量品。沒有市場準入,任何資質和條件的企業都可以從事第三方支付業務,結果將導致第三方支付行業企業眾多,企業規模和服務水平參差不齊。如果使用者對各個支付企業信息不了解,無法鑒定各方服務水平的高低,不能做出正確選擇,有可能選擇技術水平不高、服務質量差的企業,從而導致優秀的企業不能繼續生存下去。道德風險主要是指來自個人道德方面的危害,通常是市場主體一種故意違背道德規范的行為,這種行為可能導致其他市場主體的利益受到損壞。
沒有市場準入,沒有入口監管,第三方支付企業缺乏內部控制措施,沒有防止洗錢、套現等技術措施,可能會導致第三方支付企業貪污、挪用沉淀資金,從事洗錢等違法犯罪行為,最終受到損害的是每一個使用者。反之,通過市場準入,要求每一個第三方支付企業達到法律規定的要求和資質,可以確保獲得牌照的企業能夠提供滿意的服務。要求企業在申請時提供各項資料和文件,還可以消除監管者與第三方支付企業之間的信息不對稱,讓今后的監管行為建立在充分信息的基礎上,監管更加科學。此外,在準入審核程序及此后的經營中,要求第三方支付企業進行信息披露,也是消除信息偏在、避免逆向選擇和道德風險的有效手段。
二、第三方支付行業市場準入問題透視
(一)外資股權規定模糊
《支付清算組織管理辦法》(以下簡稱《管理辦法》)就外資投資支付企業問題并未做出明確規定,只是規定央行就外商投資支付機構的業務范圍、境外出資人的資格條件和出資比例等問題另行制定規定,經國務院批準后實行。目前,央行并未頒行明文規定,但實踐中,有著外資背景的第三方支付公司如盛大盛付通、騰訊財付通等,卻都已獲得牌照[5]。2013年7月10日,獲得支付牌照的27家第三方支付企業中,包含有兩家外資支付企業:上海索迪斯萬通服務有限公司和艾登瑞德(中國)有限公司。前者由法國索迪斯萬通國際有限公司100%持股,后者由艾登瑞德股份有限公司100%控股[6]。不過,這兩家獲得牌照的企業都是從事預付卡發行與受理業務,業務區域狹窄,業務系統也相對封閉,更多地被認為是央行在支付業進行的一個有步驟的開放。與此相對的是,全球最大的網上支付公司PayPal早在2011 年年底就向央行提交了申請報告,信心滿滿會成為第一家獲得牌照的外資公司,但由于其體量大,業務豐富,還涉及跨境結算業務,并未獲得審批。
關于外資投資第三方支付企業的比例,2005年6月10日央行對外公開征求意見的《支付清算組織管理辦法(征求意見稿)》曾經規定:境外投資者可以與境內的投資者共同投資設立支付清算組織,境外投資者投資股權比例不能超過50%。該征求意見稿在2007年和2009年分別作出修改。其中,2007年的修改稿中取消了2005年征求意見稿中對于境外投資者投資比例不得超過50%的規定;2009年,央行在《支付清算組織管理辦法》的意見稿里指出,第三方支付企業的外資比例不得超過25%,但后來的修改稿又將這一比例調整為20%,而最終頒行的《管理辦法》卻回避了這一敏感問題。在外資比例限制上的爭議主要反映出商務部和人民銀行之間的分歧[7]。
外資投資比例問題之所以重要,是因為外資身影活躍于中國互聯網支付企業中,是這一行業的背景之一。而監管新規對外資規定的模棱兩可,引發了中國金融開放程度的爭議和行政監管與市場準入的矛盾[7],這一點在支付寶股權事件中可見一斑。支付寶(中國)網絡技術公司原本是一家外資公司100%控股的外資企業,其股東為Alipay E-commerce Corp(下稱Alipay),Alipay公司又是阿里巴巴集團旗下的全資子公司。2009年6月和2010年10月,Alipay公司分兩次,分別作價176億元和165億元將支付寶公司70%和30%的股權轉到浙江阿里巴巴電子商務公司(下稱浙江阿里巴巴)名下[8]。在這一股權轉讓過程中,阿里巴巴集團的兩大股東雅虎公司和軟銀公司并不知情,也沒有獲得董事局的同意,轉讓的價格也大大低于支付寶作為國內第一大第三方支付企業的應有價值。阿里巴巴集團董事局主席馬云對此的解釋是遵守央行規定,維護國家金融信息安全。盡管這一事件涉及到很多法律問題,如VIE結構①的合法性,但最為核心的問題(也是本文重點關注的焦點)是央行規定的模糊性對第三方支付企業發展所造成的影響。
《管理辦法》規定所有的第三方支付企業必須在該法施行后一年內申請取得《支付業務許可證》,否則不得從事支付業務。《管理辦法》施行時間是2010年9月1日,這就意味著在2011年9月1日前必須取得《支付業務許可證》,否則就不能經營支付業務。而在申請牌照時,監管機構又要求不能為外資控制,這就讓馬云等人為了取得牌照而不得不將支付寶公司轉為內資公司。盡管我們不能排除以馬云為首的中方高管團隊可能是因為其他個人利益而選擇違背誠信的偷偷轉讓股權,但法律政策的不確定使得第三方支付企業不得不小心面對,采取謹慎的應對措施。為此,“財付通、易寶支付、快錢、拉卡拉等支付企業均在申請支付牌照前完成上述轉制”[9]。
直至今天,獲得第三方支付牌照的第三方支付企業已經達到250家,僅僅只有兩家外資企業取得牌照,但尚無一家網絡支付企業獲得牌照。這些都充分說明了監管機構至今在這一問題仍然非常保守。監管機構的行為不僅給企業的經營行為造成了困難,也違背了中國政府加入WTO簽訂的《金融服務協議》中關于放寬或取消外資機構在金融信息提供等方面的限制。
(二)準入條件規定模糊,監管機構裁量權過大
盡管《管理辦法》專章規定了第三方支付企業市場準入條件,《實施細則》也對其中的一些條款和概念進行了解釋和說明,但仍然不能改變其規定較為模糊的現狀。由于第三方支付行業發展時間短,發展變化也異常迅猛,實行市場準入制度也只是最近三年才開始,很多事項都還處在摸索階段,許多標準不得不規定得很抽象,以適應形勢的發展。如《管理辦法》規定:欲取得《支付業務許可證》,申請人必須具備內部控制制度和風險管理措施。按照一般理解,內部控制制度是單位內部各職能部門、各有關工作人員之間,在處理經濟業務過程中相互聯系、相互制約的一種管理制度。它是對經濟業務的處理過程實施控制的方法、程序和手續的總稱,包括內部會計控制制度和內部管理控制制度。由于每個單位的性質、業務、規模等方面的不同,內部控制制度的具體內容也不盡相同。對于一般企業,財政部等部委曾于2006年下發《企業內部控制基本規范》,從風險評估、內部環境、控制活動、信息與溝通、內部監督等方面進行了規范。不過這一規定主要是從財務、會計角度要求企業建立內控制度,且主要適用于實體企業。金融機構如商業銀行內部控制制度有嚴格的規范,按照《商業銀行內部控制指引》的規定,包括授信的內部控制、資金業務的內部控制、存款和柜臺業務的內部控制、中間業務的內部控制、會計的內部控制、計算機信息系統的內部控制等內容。第三方支付企業作為非金融機構,從事的卻是支付業務,是按照一般企業建立內控制度,還是參照金融企業建立更為嚴格的內控制度,現行立法并未明確。
目前,第三方支付行業正處于高速發展時期,很多企業都在以低價、犧牲利潤的方式跑馬圈地,搶占市場份額。業內企業很多都被風險投資基金所掌控,并且基本上還沒有確定成熟的經營模式和盈利模式,在企業治理、機構設置及權責分配方面與一般企業相比尚有待完善;涉及的行業立法及政策滯后、不完整,法制觀念更需要培養。由于條件的不成熟,就賦予了監管機構在審查市場準入制度時極大的裁量權,標準模糊,尺度不統一。什么企業符合要求,什么企業不符合要求,僅憑監管機構的一紙公文,整個程序相關信息并不公開,這讓準入制度的公信力大打折扣,未能實現制度設計的初衷。
(三)缺少特有的救濟途徑
《支付業務許可證》的頒發作為一種行政許可行為,直接關乎申請人的重大利益,也與相關利害關系人的利益息息相關。如果行政監管機構的許可行為及其后續行為損害申請人及利害關系人的合法權益,必須為受害人提供適當的救濟途徑實現維權。救濟包括申請人不能獲得牌照的救濟,利害關系人因申請人獲得牌照或者不獲得牌照的救濟,后者體現為第三方支付企業的競爭對手、合作伙伴利益會因牌照的取得或不能取得而受損時的正當權益保障途徑或措施。此外,如果第三方支付平臺的使用者基于對市場準入制度和市場監管機構的信任而選擇獲得牌照企業提供的支付服務,因此造成了損失,除了支付企業應該承擔責任,監管機構是否也應該承擔責任?《管理辦法》對這些問題只字未提,各種緣由很簡單,該規章系央行頒行,而央行是《支付業務許可證》的核發機關,不可能指望央行自己立法來賦予第三方支付企業權利向自己維權。所以,《管理辦法》第四章《罰則》盡管規定了監管工作人員違規可能要受到的行政處分和刑事責任,但對民事賠償問題卻進行了回避。
2004年實行的《中華人民共和國行政許可法》第7條規定:公民、法人或者其他組織對行政許可可以提起行政復議和訴訟,受損時有權要求賠償。這似乎為《支付業務許可證》申請人及利害關系人維權指明了道路,但由于規定針對所有行政許可行為,缺少對《支付業務許可證》行政許可特殊性的關注,實際上并不具有可操作性,有很多障礙難以突破。
第三方支付市場準入不僅是依照《管理辦法》及其實施細則的執法問題,更是復雜的技術問題。反洗錢措施、支付業務設備、內部控制制度、風險管理措施以及安全保障措施是否達到法律規定的標準,實現保護消費者的目的,需要專業人士依據詳細的技術標準進行審核,而絕非幾條條文規定的那么簡單。監管機構對信息安全管理與技術風險防范技術問題都沒有把握進行全面審查和控制,為此于2011年6月16日公布實施了《非金融機構支付服務業務系統檢測認證》,引入非金融機構支付服務業務系統檢測認證制度,要求支付企業在申請《支付業務許可證》前6個月內對支付業務處理系統、網絡通信系統以及容納上述系統的專用機房進行認真檢測,并在后續經營中每3年至少檢測一次。按照央行崗位職責,行政復議的具體負責部門是內設的法制部門條法司下屬的行政復議處,復議主要審查許可程序的正當性,許可是否與相關條文相符,復議審查人員并不具備條件和能力審查技術問題。行政訴訟更是如此,負責審理行政案件的行政庭法官都是法律專業人士,對第三方支付技術問題知之甚少,根本無力進行技術審查。正因如此,復議和訴訟會淪為形式,并不能實質上為申請人及利害關系人維權提供救濟。
(四)規定流于形式,不能取得預期效果
法律規定與法律落實的差異是一對永恒的對立方。立法規定要得到全面、完整的落實,實現預期的立法目的,除了要求法治環境,更需要規定自身具有科學性與合理性,并與現實相切合,否則或無法落實,或流于形式,執行后沒有實際價值。現行立法中對第三方支付市場準入的一些規定就屬于后一種情況。如《管理辦法》對注冊資本的要求是:全國范圍經營的最低實繳貨幣注冊資本1億元人民幣;在省一級行政區域內經營的,為3千萬元人民幣。規定門檻似乎很高,實繳資本似乎更加有利于保護消費者利益,其實不然。這樣的規定是對注冊資本作用的過度神話,“資本不過是公司資產演變的一個起點,是一段歷史,是一種觀念和象征,是一個靜止的符號或數字”[10]。資本不等于資產,資產才能真正體現公司的實力。在目前的市場經濟環境下,過度要求最低注冊資本,不但不能實現保護包括債權人在內的利害關系人利益,反而將成為新企業設立的障礙,同時會使在位企業成為壟斷者,造成資源的浪費;甚至會出現違法犯罪行為,誘發“一些發起人虛假出資,虛報資本,或是通過對外借貸進行驗資,待公司成立后再抽回出資”[11]。第三方支付企業是高新技術行業,涉及網絡技術,軟件技術和硬性設備條件要求都很高,需要大量的資金投入,但并不必然要求注冊資本就必須高。即使是實繳的注冊資金,也不會全部投入公司的運營中。反之,有時候實繳注冊資本雖然很低,股東實際投入公司運營的資金數量遠遠高于注冊資本。“各個公司成立時究竟需要投入多少資本,以及在營業過程中,究竟要維持多大的資本規模,是因各個公司所在的行業、經營規模以及股東對經營形式的預測等綜合因素而定,是每一個公司的具體個案判斷范圍,無法由國家作出統一的規定”[12]。《管理辦法》頒行前,300多家支付公司中有一半的注冊資本達不到規定的門檻,但都能夠正常經營,占有一定的市場份額,既沒有出現重大經營風險,也沒有危害消費者合法權益。《管理辦法》實施后至今有超過了250家獲得了牌照,表明很多企業迫于法規的要求都進行了增資。既然增資前與增資后經營并沒有實質性變化,增資只有形式上的意義,并造成了資源的浪費。盲目要求過高的實繳資本,會大大增加市場準入的隱形成本,將具有地方特色或者行業特色的中小支付企業拒絕在市場之外,讓那些資金雄厚的大企業借助市場準入制度強化市場主導地位。
《管理辦法》還要求牌照申請人及其高級管理人員不能在3年內因利用支付業務實施違法犯罪活動或為違法犯罪活動辦理支付業務等受過處罰,但這一規定的合理性值得研究。違法與犯罪是兩個差別巨大的概念,處罰也有行政與刑事之分,兩種類型嚴重程度也有天壤之別。《實施細則》進一步界定高級管理人員為總經理、副總經理、財務負責人、技術負責人或實際履行上述職責的人員,盡管這樣的限制性解釋與《公司法》的規定相一致,并根據第三方支付企業技術性強的特性將技術負責人納入其中,但既然是違法犯罪行為,公司的合規部門和風險部門的負責人似乎更應納入其中。更為重要的是,因為過去的違法行為,就否定獲得經營牌照的資格,代價太過嚴格。以后頒行之法再度懲罰先前之行為,有違基本之法理。從之后的實踐看,央行也并未嚴格遵守這條規定。如快錢支付清算信息有限公司的高級管理人員梅某與境外賭博集團勾結,協助境外賭博集團流轉資金30余億元,“快錢”公司從中獲利 1 700余萬元,但2011年5月26日快錢公司仍順利獲得首批支付牌照。
此外,以經營地域范圍劃分第三方支付企業,并在注冊資本等方面提出不同的要求,對網絡第三方支付行業并不適用。網絡第三方支付企業的最大優勢就是借助網絡突破空間限制。任何一家網絡第三方支付企業想要立足市場,必然會選擇全國作為其地區經營。近年來,不少行業內的巨頭都在謀劃超越國境的跨境支付結算問題,業內人士呼吁監管部門應盡快出臺跨境支付管理辦法,以保障我國第三方支付企業在開展跨境支付業務時能夠做到有法可依。在這樣的背景下,局限于經營地域范圍的分類就顯得非常不合時宜。
(五)退出機制不科學,難以承擔作為配套措施的功能
市場準入制度需要與配套措施相互作用,才能發揮功效,這其中最核心的是退出機制。《管理辦法》對市場準入不做數量限制,并且可以不受次數限制進行續展,意味著進入市場的主體數量可能很龐大,實際情況也表明如此。有進就有出,才能給已經進入市場的主體以壓力,確保市場的活力和競爭力。吊銷牌照、強令退出市場,這是對從業者最嚴厲的處罰,也是最有威懾力的處罰,意味著失去了繼續存在的依據,一切的投入和經營都將付諸東流,這是經營者最不愿意看到的。
《管理辦法》規定的退出方式包括自行申請、因違法犯罪行為注銷《支付業務許可證》。取得牌照的主體可以自行申請退出,申請需要提交書面申請報告,并提出善后事項的處理方案,經銀行批準后方能退出市場。被注銷牌照的情形主要包括經營中有違法犯罪行為、不履行反洗錢等法定義務情節嚴重的以及申請過程中有欺騙等不當行為。規定主要是從監管機構角度出發,對不配合、不服從監管機構行政管理行為進行處罰,而對諸多危害消費者權利的行為卻并未給予注銷牌照的嚴重處罰。如支付企業侵犯消費者個人信息權、財產安全權,造成嚴重后果的,其社會危害性絕對不亞于《管理辦法》規定的拒絕或阻礙相關檢查監督等不服從行政管理的行為,因為前者直接侵害消費者利益,而后者只是可能存在違法行為,也可能并沒有違法行為或者不會造成實際影響。
判斷是否應該退出的核心標準是能否繼續經營,抵抗可能的風險,確保消費者正當權益。監管機構不能為了管理的方便,就對一些不當行為課以重罰,剝奪企業牌照,嚴重影響企業權益,這對第三方支付平臺的消費者也十分不公,影響其正常使用,并可能危及財產安全。
三、第三方支付行業市場準入制度之改進路徑
(一)明確指導原則
1.利益平衡原則
“在錯綜復雜的社會關系中,不同的利益之間會發生沖突,法律的目標就是協調并保護各種合法的利益。法律實際上就是調整利益分配的手段”[13]。第三方市場準入涉及第三方支付企業利益、使用者利益以及監管機構利益,諸多利益之間的和諧共存與平衡一致是市場準入制度應該遵循的基本原則。也就是說,在市場準入制度中,“通過法律的權威來協調各方面的沖突因素,使相關各方的利益在共存和相容的基礎上達到合理的優化狀態”[14]。
使用者利益應當受到特別保護,因為使用者在信息獲取、財產、維權能力等各方面都處于弱勢地位,使用者的選擇對整個行業發展具有決定性意義,是行業存在的基礎,也是市場準入制度存在的依據。可以考慮在準入程序中允許使用者發表意見,將使用者的使用感受和評價意見作為衡量第三方支付平臺是否達到準入要求的核心參考指標之一,因為使用者直接面對支付平臺,對平臺的功能最為關切,感受也最為深切。
監管機構利益與公共利益并非全部一致,監管機構及其工作人員有其利益追求,這種現象具有客觀性,也為理論所廣泛認可,在進行制度設計時需要正視它的存在,根據監管機構的公共性,維護其中正當部分,控制監管機構私利不當擴張。《管理辦法》雖規定了監管機構工作人員嚴重違法犯罪應該承擔的行政責任和刑事責任,但由于缺乏對利益正當界限的準確界定,會縱容監管機構及工作人員為追求利益而濫用權力。應當考慮細化現有規定,或者另行制定細則,約束監管機構及其工作人員的自由裁量權,限制獲取不當利益的空間。
作為商事組織,第三方支付企業存在的目的就是為了獲利,如果不能最終賺取利潤并分配給股東,就失去存在價值。在第三方支付市場發展初期,很多企業在風險投資基金的支持下不計成本,希望在市場競爭格局中處于有利位置。暫時的虧本經營是為了在市場發展成熟時利用競爭優勢獲取更大的回報。市場準入制度運行時應當考慮支付企業巨大的前期投入,不能人為設置障礙,損害支付企業合理預期利益。
2.控權原則
“權力,無論從什么角度、哪個方面觀察分析,對社會、政治、經濟的發展都具有正反兩方面的作用”[15]。對權力的控制成為伴隨權力左右的課題,第三方支付行業的市場準入許可權同樣面臨這一問題。監管機構會強化、專享許可權,權力的行使者會希望借助權力攫取個人不當利益。因此在整個市場準入制度運行全過程都應該遵循權力控制原則,防止權力內部存在的自我擴張的欲望。
“程序中出現的問題容易被發現并及時予以糾正,可以實現將權力運行可能造成的危害限制或消滅在萌芽狀態的作用”[16]。程序是控制許可權的有效工具。程序公開、透明要求監管機構應該將程序運行中所有相關信息對利害關系人及時披露,讓他們擁有監督的機會和條件。程序參與允許支付企業參與許可程序,表達意見和訴求,并納入準入審核材料中。第三方支付行業技術性強,企業工作人員對支付平臺的信息掌握更加全面,允許其參與審核程序,對有關問題特別是技術問題做出說明,能夠更加直觀、具體、生動,便于監管機構工作人員的審核工作建立在充分信息基礎之上。
3.促進原則
“我國改革開放30年來,無論是經濟發展還是法制建設,都一直不斷有大量的促進型手段在經濟領域和立法領域產生和發展”[17]。第三方支付行業作為互聯網經濟的組成部分,還處于發展的積累階段,既需要各項政策支持,更需要經濟法的促進。經濟法學界有學者提出所謂“促進型經濟法”,認為經濟法中有一些規范采取指導、鼓勵、促進等方式,能夠克服傳統“限禁型”經濟法存在的執法困境、信息悖論等問題。在市場準入問題上,監管機構應該從長遠出發,對申請者多進行引導,編制市場準入申請指南或者說明,細化相關規范,增強規范的可操作性,進行技術指導,鼓勵每一個現有的市場參與者自我完善、自我進步,對申請準入進程中的行為多優惠和獎勵,少懲罰和制裁,讓申請者有更大的動力進入法律規范的市場秩序中有序經營,正當競爭。
(二)合理修訂外資市場準入制度
第三方支付行業發展初期,由于技術要求較高,需要巨額資金的投入,大量外資得以以各種形式進入。“2003年至2011年有18家電子支付企業獲得風險投資,總披露金額為1595億美元,其中超過60%的企業為外資機構參股”[18]。在市場準入制度中必須要正視這一問題的嚴重性和急迫性,破除錯誤認識,從制度上保證外資與內資平等的國民待遇。為此,需修改《管理辦法》中關于外資投資第三方支付企業的經營范圍、比例等問題由央行另行制定規定并經國務院批準的規定,因為無論是在《管理辦法》直接規定,還是再另行規定,立法中直接規定境外出資人的資格條件和出資比例,都是不妥當的,有違世貿組織《服務貿易總協定》不得“以限制外國股權最高百分比或限制單個或總體外國投資總額的方式限制外國資本的參與”之規定。外資持股的國內第三方支付企業既屬于《服務貿易總協定》第 1 條所規定的“商業存在”,也是《服務貿易具體承諾減讓表》 第7條B款規定的 “其他金融服務”。我國在加入世貿組織時,承諾給予其他成員方服務提供者以國民待遇和市場準入,不過可以對申請者資質進行限制[19]。所以,應當在資質方面對外資入股或者控制第三方支付企業進行要求,但不能直接以其外資股權原因作為獲得牌照的條件。當然。資質要求也不能針對外資入股的支付企業有歧視性要求。
當然,也需清醒地認識到以PayPal為代表的域外第三方支付企業發展時間長,內部管理科學,軟件技術系統與硬件條件優越,經濟實力雄厚,已探索出成熟的經營盈利模式,而我國絕大部分第三方支付企業還處在持續虧損、苦苦煎熬等待發展機會的階段。二者競爭力差距明顯,毫無限制的引入外資,是否會對行業安全和金融體系安全造成沖擊,確實不容忽視。因此,監管機構應在保持謹慎態度的基礎上,持續監控整個行業發展,動態評估外資可能的影響,根據可能的影響及時調整法律和政策,避免違反國際義務。
(三)優化規定,創新相關制度,強化可操作性
1.引入第三方支付企業自有資金的持續要求
我國現行制度只是規定了很高的注冊資本,其結果是規定形式化,即使規定得以落實,也不能取得預期效果。可以考慮參考域外的規定,強化在企業自有資金方面的持續要求。如美國對第三方支付企業在資金方面的要求是保持不低于25 000美元的資本凈值②;歐盟《關于電子貨幣機構業務開辦、經營和審慎監管的2009/110/EC 指令》對作為第三方支付企業在資金方面的要求是,初始資金不低于 35 萬歐元,后續經營中持續性的持有自有資金比例必須要嚴格遵守相應的規定比例。它山之石,可以攻玉,我國可以降低注冊資本要求,同時要求第三方支付企業應該隨著經營規模的增大,動態化調整企業自有資規模金,與客戶結算資金保持適當比例,以是否能夠有效保護客戶資金賬戶的資金安全為最高標準。
2.設立準入保證金
現行規定對使用者資金最直接的保證是《支付機構客戶備付金存管辦法》中規定的風險準備金,即第三方支付機構應該每個季度計提不少于10%的利息收入作為風險準備金,用于解決使用者的備付金特定損失和央行規定的其他用途。風險準備金制度可以解決經營過程中消費者備付金損失,但不能保證初始階段消費者資金安全,而且風險準備金資金來源是消費者備付金利息,意味著第三方支付企業在消費者資金安全保障方面可以不需要有直接的支出,顯失公平。為此,需要在市場準入階段就要求第三方支付企業設立保證金,作為對消費者資金安全的保障,在出現風險時直接劃撥保證金作為對消費者資金損失的賠償。這樣,“既能提高第三方支付機構作為信用中介的可信度,還能淡化第三方支付機構實力不同的差別,促進第三方支付市場的公平競爭,并約束第三方支付機構的經營行為,在一定程度上降低了第三方支付機構本身的道德風險”[20]。美國《統一貨幣服務法》就規定第三方支付企業必須在申請準入時提供50 000美元保證金,而且每增加一個服務地點就需要另行增加10 000美元。主管部門在企業出現財務危機時還可以要求提高保證金數額,以防備危機的發生,為消費者提供更多的保障。英國的《金融服務與市場法》(Financial Services and Markets Act 2000,簡稱為“FSMA”)要求作為電子貨幣機構的水電費支付企業需要為消費者的預付價值提供擔保,同時要求客戶預付價值總額不得高于其自有資金的8倍。我國可以根據第三方支付企業經營的區域范圍設置不同的保證金,并隨著經濟的發展和幣值的變化等因素而進行調整。當出現經營不善、財務風險、有可能資不抵債之虞時,提高保證金數額作為保障,以提振消費者的信心。
3.完善退出機制,為市場準入創造條件
改變目前立法規定中退出機制的目標追求,將注銷《支付業務許可證》作為對支付企業違反監管機構管理的處罰措施變為淘汰經營不善、無力保護消費者權利的不合格支付企業,實現整個市場的良性循環。具體來說,就是要修改注銷《支付業務許可證》具體情形,增加如下規定,即在以下情況下,監管機構可以有權責令停止經營,注銷《支付業務許可證》:(1)繼續經營會危及整個支付系統安全的;(2)嚴重損害消費者正當權益的;(3)無力履行償還責任的;(4)經營中有從事虛假、誤導或欺騙性廣告行為的;(5)不再滿足獲得核準的條件;(6)其他無法正常經營的情形。
完善程序性規定,賦予第三方支付企業申請聽證的權利。牌照關乎企業的生死,是否違反規定,應該保障企業陳述、申辯的權利,讓其提供證據,訴說理由。同時明確規定對注銷《支付業務許可證》行政行為可以提起行政復議和行政訴訟等救濟措施。
注釋:
① VIE結構,也稱協議控股結構。當事人以其控制的境外公司名義,返程設立外商獨資企業(WFOE),并以WFOE名義,通過排他性管理咨詢或技術服務協議等合同,控制境內企業的全部經營活動。通過這番操作,境內企業從表面上看為獨立的內資企業,但實際上該企業的一切經營及其相應的資產、收入和利潤等權益均歸屬境外公司(傅若巖.“支付寶事件”使馬云慘遭誠信危機[J].IT時代周刊,2011(14):49.)。
② 《統一貨幣服務法》第 2 條 206 的規定要求:被許可者應當按照本條的規定依照公認的會計準則維持不低于25 000美元的資本凈值。
參考文獻:
[1] 沈紅兵.網絡零售支付與結算[M].重慶:重慶大學出版社,2011:252-254.
[2] 任曙明,張靜,趙立強.第三方支付產業的內涵、特征與分類[J].商業研究,2013(3):96-101.
[3] 張守文.經濟法研究(第7卷)[M].北京:北京大學出版社,2010:352.
[4] 孫恩棣.怪誕博弈論[M].北京:當代中國出版社,2012:126.
[5] 薛松.第三方支付或向外資開閘[N].廣州日報,2013-07-02(AII2).
[6] 王雪姣.外資機構首次獲批通過 移動互聯支付迎新巨頭[N].金融投資報,2013-07-12.
[7] 邢少文.第三方支付監管爭議外資開放[J].南風窗,2011(15):74-75.
[8] 馮英.VIE模式評述――基于對支付寶事件的分析[J].企業家天地(理論版),2011(7).
[9] 張颯.數家申牌第三方支付企業已告別外資身份[N].東方早報,2011-05-13.
[10]趙旭東.從資本信用到資產信用[J].法學研究,2003(5).
[11]王林清,顧東偉.新公司法實施以來熱點問題適用研究[M].北京:人民法院出版社,2009:158.
[12]左傳衛.股東出資法律問題研究[M].北京:中國法制出版社,2004:48.
[13]費安玲.防止知識產權濫用法律機制研究[M].北京:中國政法大學出版社,2009:199.
[14]陶鑫良,袁真富.知識產權法總論[M].北京:知識產權出版社,2005:17-18.
[15]侯書森,朱杰軍.權力史鑒(上)[M].長春:時代文藝出版社,1998:210.
[16]趙寶華.程序控權與社會和諧[M].北京:人民出版社,2011:177
[17]喬剛.生態文明視野下的循環經濟立法研究[M].杭州:浙江大學出版社,2011:114.
[18]謝睿.第三方支付去外資路徑懸疑協議控制是否可行?[N].南方都市報,2011-05-18。
[19]李毅,李衛剛.試析我國第三方支付領域的外資準入問題[J].國際經貿探索,2013(6):78.
[20]李洪心.網上支付與結算[M].北京:北京師范大學出版社,2010:212.
Abstract:The market access of the third-party payment industry is a special part of the market access system, and is the administrative licensing examination and approval system in essence. Because information asymmetry, big system risk, multiple users and wide influence, a problem will cause disastrous social influence, so, we must carry out market access.
第9篇:信息安全管理辦法及細則范文
關鍵詞:財稅;金融;國庫
近年來,隨著財稅和金融改革的不斷推進和深入,國庫業務電子化步伐進一步加快,尤其是國庫接入現代化支付系統和國庫集中支付系統上線后,國庫資金風險呈現出了新的形式和特點,風險點增多,風險面加大,如何正確認識國庫資金風險,有效防范和化解國庫資金風險,成為當前國庫生存和發展的核心和關鍵。
一、當前國庫資金風險存在的主要類型
1.人員數量和素質與業務量不匹配的風險
一是雖然國庫電子化、網絡化大大提高了業務處理的質量和效率,但隨著經濟不斷增長,財稅收入迅猛增加,國庫業務量也在迅速增長。以調查市為例,全轄業務量由2006年的28萬筆增加到2011年的69萬筆,預算收入總額由77.12億元增加到276.93億元,增長3.6倍,支出總額由57.01億元增加到188.95億元,增長3.3倍,增幅之大顯而易見。然而在國庫業務量迅猛增長的同時,基層國庫人員配備明顯跟不上形勢發展的需要,主要表現為專職國庫人員的配置達不到基本的要求。有的縣支行,國庫、會計人員總共才5人,其中專職國庫人員僅1 人或2 人。這些人員除了辦理日常國庫會計核算業務外,還要負責國庫綜合業務、統計分析、國庫監管、財務管理、支付清算、反洗錢等業務,這樣勢必造成不合理兼崗和“一手清”現象的存在,更不必說要害崗位人員定期進行輪換,這樣的人員配備根本滿足不了國庫業務發展的需要。業務量增長和人員不足之間的矛盾勢必引發一些國庫資金風險。二是因人民銀行機構改革,很多支行人員只出不進長達十多年,現有人員正逐步老齡化,四十二三歲在縣支行就算是年輕人了,因而國庫人員斷層現象比較明顯。有的國庫人員幾十年在一個崗位工作,而且從事的是比較重要的崗位,這樣長期從事比較枯燥繁忙重復的國庫會計核算業務,易造成國庫人員思想麻痹和慣性思維,出現用習慣代替制度和規范的行為,易在資金控制環節中產生風險隱患。
2.支付方式轉變引發的風險
實行國庫集中支付后,由于支付方式發生了變化,國庫在支付環節承擔了更大的風險。一是國庫對財政撥款監督困難,傳統支付模式下,國庫部門直接辦理財政支出,對財政撥款的監督是事前的監督,比較容易發現和解決問題。國庫集中支付改革后,監督時間滯后,監督對象增加,國庫處于被動清算的地位,對預算執行的監督職能弱化。二是支付額度和支付清算控制方面的風險。集中支付后國庫資金的撥付是通過與銀行進行資金清算來實現的,而國庫部門進行資金清算的唯一前提就是清算資金不超過財政部門確定的支付額度。支付額度可以說是控制國庫支付清算的“閘門”,但這個“閘門”并非萬無一失。由于支付額度和支付清算文件通常采取磁盤導入方式來錄入,而國庫會計核算系統接收的支付額度和支付清算文件都是文本文件,都未進行加密處理,可以隨時被打開和修改,資金、信息安全缺乏可靠的技術和制度保障,對國庫資金安全形成巨大隱患。三是單一賬戶體系存在的風險。集中支付改革后單一賬戶體系建設有待進一步完善,國庫集中收付改革設計理念的核心是取消單位原有賬戶,建立國庫單一賬戶體系。在實際運作中預算單位零余額賬戶存在一些功能性缺陷:(1)零余額賬戶不能進錢,收入類的資金不能通過該賬戶核算;(2)零余額賬戶只能核算財政性資金,難以解決往來資金核算問題;(3)目前有關規章制度中沒有明確預算單位零余額賬戶是屬于基本賬戶還是專用賬戶。這些問題的存在,不僅影響了國庫單一賬戶體系的運作效率,而且客觀上導致了一些預算單位想方設法保留老賬戶。我們在對銀行現場檢查監督中發現有財政直接支付零余額賬戶款項直接轉到預算單位實有資金賬戶的現象,而且預算單位零余額賬戶存在提取大額現金的違規行為。實有資金賬戶到目前為止仍然每天有資金進出,不能遵循“只出不進,逐步消化”的原則。以上單一賬戶體系的功能性缺陷隱含著一定的國庫資金風險。
3.銀行違規操作帶來的風險
(1)銀行存在先清算后支付的違規行為。根據集中支付改革對銀行的要求,銀行應先向預算單位支付后,再以實際墊付的金額與人民銀行國庫清算。經現場檢查發現個別行出于自身利益考慮和上級行的要求,沒有按照“先支付,后清算”的原則辦理款項支付,而是先向國庫清算,取得國庫資金后再辦理預算單位的支付業務,使國庫資金成為銀行的資金來源,容易誘發國庫資金風險。
(2)銀行延壓、坐支財政集中支付資金和退款。個別銀行收到財政集中支付核算中心送達的支付憑證后,先向人民銀行辦理清算,待資金到賬后不急于給預算單位撥款,延壓占用財政資金有的達十多天之久,引起很多預算單位不滿。另外銀行辦理集中支付業務的墊付資金經常因收款單位戶名或賬號不符被退回,退回資金到達銀行賬戶時往往銀行已與人民銀行清算,收到了財政清算資金。根據清算制度規定,退回資金應于當天退回國庫單一賬戶,但多數是銀行不按制度的規定當天退回,而是將退回資金 待核算支付中心修正后再次支付,有的資金延壓好多天后才再次支付,很少退回國庫單一賬戶,形成坐支、延壓財政資金,隱藏著極大的資金風險。
(3)賬戶管理不規范。一是部分行為財政部門、預算單位開設零余額賬戶,未經人民銀行審批、備案,有的雖報經人民銀行審查批準,但未按規定將賬戶的開立、變更、撤銷等情況報人民銀行國庫部門備案。二是銀行雖然使用零余額賬戶辦理集中支付業務,卻為預算單位從零余額賬戶向單位其他賬戶劃轉資金。這主要是由于集中支付改革設立零余額賬戶后,預算單位多頭開戶情況仍然存在,使得預算單位將零余額賬戶的資金過渡到其他賬戶成為可能。資金一旦從預算單位零余額賬戶劃轉到其它賬戶,就游離于財政、人民銀行的監督范圍之外。
4.監督理念狹窄,監督手段落后的風險
隨著國庫電算化業務的發展,國庫風險點前移,但相應的監督理念、手段、卻存在落后的現狀。表現為:一是監督理念落后。目前國庫監督人員的思想仍定位在簡單的憑證要素和賬務勾對上,而對國庫制度的執行情況、崗位交接、重大事項授權審批、重要空白憑證的管理、資金支出的往來變化等資金風險方面的監督不足,沒有形成全方位的監督理念;二是監督手段和時效落后。事后監督部門每日接到國庫部門的憑證、賬簿、報表后仍限于手工核對憑證的要素及印章是否齊全,收入報表和收入憑證是否相符等,在報表、賬簿之間單一的核對,沒有完善的監督操作系統,缺乏對國庫資金風險點的重點監控,導致監督工作流于表面,抓不住重點,特別是參加支付清算系統后,資金將實行實時清算,而事后監督工作僅是對上一個工作日發生的業務進行審核,如遇到星期五發生的業務要等下星期一審核,中間間隔兩天,時間滯后,操作滯后,如果某一筆資金處理的有問題或者出現案件,則會不可挽回;三是監督人員素質不高,國庫知識掌握滯后。近年來,國庫業務發展變化很快,需要專職懂業務的事后監督人員,但目前事后監督人員大都沒有經過系統的學習和培訓,對國庫新業務不熟悉或知識陳舊,嚴重影響了監督工作的質量和效果。
二、新形勢下防范和化解資金風險的對策及建議
1.加強隊伍建設,優化隊伍結構
一是總行應從依法履行中央銀行職責考慮,進一步明確國庫部門的各項職能定位,并采取有效措施從根本上解決基層行人員年齡、知識結構老化和數量短缺的矛盾,拓寬人員進出通道,改善人員隊伍結構,增強縣支行履職能力和可持續發展能力;二是要把提高國庫人員業務素質作為一項長期重要的工作來抓,通過分批次、分崗位舉辦培訓班,提高國庫干部的業務技能,確保具備“一人多崗”的履職能力;三是進一步加大推廣國庫業務整體移位和整體接管的實地業務檢查和審計方案,加強基礎業務人員橫向和縱向交流力度,相互學習、相互借鑒,促進人員素質提高。
2.完善法規制度建設,推廣應用支付密碼技術
(1)完善配套措施,理順零余額賬戶的管理。總行應會同相關部門盡快修訂,《國家金庫條例》及其實施細則、《商業銀行、信用社國庫業務管理辦法》及其他相關國庫管理規定,針對改革后的變化情況,共同出臺新的《銀行賬戶管理辦法》,對零余額賬戶的性質給出明確的定義,規范預算單位零余額賬戶以及其他銀行賬戶的使用。對目前零余額賬戶的功能可進行擴展,兼容改革前各單位基本賬戶的功能。同時對國庫經收處、集中支付銀行國庫業務的責權利進行明確,完善其違規的處罰措施,使國庫部門正確履行監管職責,國庫監管真正做到有法可依、有規可查,有理可管。
(2)建議最好是至上而下推廣運行全國統一開發的應用程序,可降低自行開發系統帶來的功能不科學、操作不嚴密、難以管理引發的資金風險。另外對資金進出口環節推廣應用支付密碼,通過網絡技術封閉型設計資金進出口安全管理將目前通過網絡傳輸的集中支付相關文件進行加密處理,以防有人惡意的竄改核算單位支付額度和支付金額造成不可挽回的損失。
3.加快橫向聯網步伐,建立完善的風險防范體系
一是加快財、稅、庫、行橫向聯網的步伐,實現信息、資源共享,通過網絡查詢將財政、稅務、銀行的相關業務都納入人民銀行監督管理的范圍之內。尤其迫切需要完成銀行清算系統與財政國庫集中支付系統的鏈接,增加自動對賬功能以及對不合規業務的監測預警功能等。二是加大對銀行和經收處的監督檢查力度,特別要加強對財政部門零余額賬戶和預算單位零余額賬戶的管理,發現違規問題嚴肅處理,決不姑息遷舊;三是由國庫、事后監督、紀檢監察、人事等部門協調配合成立國庫資金風險預警評價小組,定期測評,定期反饋風險存在狀況,以確保國庫資金風險的全面控制。
4.建立完善的國庫事后監督系統,加強人員培訓及崗位輪換
(1)建議盡快研發國庫會計核算事后監督系統和國庫會計影像監督系統,這兩個系統上線后,縣級支庫的事后監督工作可以上收市一級事后監督部門辦理,通過這兩個系統與核算系統的對接,準確、快捷地采集有關核算信息,合理有效的對整個國庫會計核算過程進行全方位的監督和管理,改變目前事后監督手段落后及監督范圍狹窄的弊端,以提高事后監督的準確性、有效性,對當天業務實行實時監督,確保國庫當天業務準確無誤,次日只對前一日的票據進行整理裝訂。
