作者：[江卉]

我国自１９９８年３月首次推出网上银行服务以来，网络银行业务发展迅猛。但网络银行作为实体银行的虚拟工作环境，其风险范畴比实体银行要大得多。下面仅就我国网络银行面临的风险及需采取的相应对策作一浅析。


一、我国网络银行面临的风险


（一）技术风险


１．网络自身安全隐患。目前，许多流行的操作系统均存在网络安全漏洞，网络安全协议也存在缺陷。此外，不少网络银行系统在防火墙的配置上不尽合理，无意识地扩大访问权限，从而被外部人员利用，获得作案的有用信息。


２．网络通讯的安全隐患。具体表现在：①电磁信号辐射容易出现网络信号泄漏现象，为那些技术高超、拥有先进设备的网络作案者提供可乘之机；②作案者采用主动或被动攻击方式，通过联接上网，盗取客户网上登录的信息、数据或密码，窃取资金；③银行网络专线发生故障而启用备份拨号线路时，由于电话号码保密不严，使不法分子伺机登录主网作案，给银行网络安全构成极大威胁。


３．内部管理混乱。部分网络管理员、业务员、用户安全意识淡薄，系统口令使用混乱，或长期使用同一口令，使口令极易被他人掌握，给犯罪分子造成可乘之机。银行内部网、外部网没有实行物理隔离或隔离不当，容易导致金融数据信息被“黑客”盗取或篡改，同时也容易感染计算机病毒，危及网上所有计算机信息系统的安全。


（二）操作风险


操作风险是指由于系统的可靠性、稳定性和安全性的重大缺陷而导致潜在损失的可能性。


网络银行客户疏忽、缺乏网络安全知识可能会给自己和银行都带来损失。比如，客户在没有安全防护措施的场合使用信用卡号、银行账号等私人信息，就很容易被他人窃取而导致账号泄密。


网络银行安全系统设计缺陷也会引起操作风险。随着计算机处理能力的增强和通讯手段的增多，网络银行客户地理位置更加分散，网络银行对客户进入其账户的授权管理相应也变得复杂。如果对客户进入账户没有明确授权或进入时授权过于繁琐，都可能导致客户蒙受经济损失，加大网络银行操作风险。对网上支付而言，网络银行安全的缺陷使客户很难辨认交易是否真实，从而产生对网络银行的怀疑，这种不信任往往构成网络银行另一种形式的操作风险。


网络银行员工工作失职或缺乏职业道德，也会导致网络银行严重的操作风险，甚至危及网络银行的总体安全。比如，某些员工利用职务便利，有目的地获取客户私人资料，并使用客户账户进行买卖股票、炒外汇等风险投资，将交易风险直接转嫁到客户身上。


（三）法律风险


我国现行法律还远远不能适应网络银行的发展，利用网络从事银行业务，存在着相当大的法律风险。比如：进行网上银行交易所需的数字化签名是否具有法律效力？使用信用卡付款后发生退款该如何处理？因此，为适应网络发展，从《商业银行法》、《消费者权益保护法》、《知识产权保护法》到《广告法》，都有需要修改的地方。同时，因特网的国际性和跨国界性，也使网络银行所处的法律环境较传统银行更为复杂，其中蕴含的法律风险也更大。


险以上风险外，网络银行还面临传统银行经营过程中存在的流动性风险、利率风险、结算风险等，本文不再赘述。


二、我国网络银行风险防范对策


（一）加强安全技术防范措施


１．宏观层面上，加强银行体系网络化建设，推动网络银行的发展。目前，我国的网络用户仅占总人口的３％，与美国的４０％及香港的１５％相比，差距较大。因此，提高银行体系网络化水平、大力发展互联网业务、普及网络安全知识，是推动我国网上银行发展的前提。这需要国家产业政策的积极引导，引入竞争机制，整合各行业、各部门、各地方的局域网资源，形成全国性的主干银行金融网络体系。同时，国家网络技术支持部门、银行监管部门、各商业银行等要通力合作，确保网上银行体系的交易安全和无故障运行，为发展网络银行创造一个良好的外部环境。


２．微观层面上，强化技术手段，保证网络银行安全运营。网络银行的发展需要科技为保障，我国目前的计算机系统以国外产品为主，其操作系统的安全性基本上属较低层次，因此，我国的网上银行更需要把目光放到技术安全防范问题上。较完整的网络安全防护设计包括：①系统的内、外部防护。内部防护包括防火墙和路由器过滤设施，通过数据包过滤和代理服务，作为各不同层次之间以及不同数据库之间的屏障；外部防护包括通信加密、防火墙、物理隔离等，作为网络与网络之间的屏障。②加强本地工作站／平台安全环境，包括个人访问控制和配置检查功能、防护工具及程序。③入侵探测系统。由于我国计算机操作系统的安全性能整体较低，利用这些设施建立的网络，即使采取加密、防火墙等安全技术措施，其安全水平也不可能有根本性的提高。要从根本上改善网络的安全现状，必须发展网络攻击检测技术。④设计可靠牢固的、可修复的基础设施，能够抵消攻击或系统由于自身原因崩溃时所造成的破坏，并在事后可稳步修复。


（二）强化网络银行安全管理


１．网络安全的常规防护管理措施。操作人员设置和职能权限、网络系统日常操作维护规范、安全扫描／监控工具使用规范、系统应急处理措施、安全审计制度、业务审计制度和机房出入制度等等，都应作为制度做出明确规定。


２．网络银行的业务控制管理措施。网络银行应在交易日志的基础上形成业务审计日志，并由专人负责进行分析，及时发现可疑交易行为，采取控制措施；转账限制和交易额限制，对账户性质、资金流动、不同品种的单笔交易额、当日累计交易额等加以限制。


３．网络银行的人事管理措施。招聘员工时，必须进行必要的背景审查，审查的内容包括该员工曾有的与计算机系统相关问题的信息；对员工进行培训时，应将计算机安全管理规章制度作为培训的主要内容；解聘员工时，应事先采取必要的网络安全措施，如改变该员工的访问权限、修改有关口令等。


（三）建立健全相关法律法规


１．建立网络银行法律监管体系。目前，我国网络银行许多监管规范仍停留在审批阶段，对于事后与事中的监管力度不够。因而，有关方面应及时修改、修订有关法律法规，将网络银行业务纳入其管理体系，做好网络银行的外部惩罚措施以及涉及网络银行的市场退出机制。


２．建立网络银行业务运营法律体系。这需要建立《电子银行法》、《电子签名法》、《电子资金划拨法》等法律法规，同时还应对已有法律法规进行充实、修改。


３．完善网络银行配套法律法规建设。主要有税收征管法、合同法、国际税收法、电子商务法、刑法、诉讼法、票据法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等相关法律法规。


４．加强与国际立法、司法实践的交流与合作。通过合作与交流，加大打击网上洗钱、网上盗窃等电子犯罪的力度。