建立高度信任与合作的支付平台
——访维萨(VISA)公司首席企业风险官艾睿琪(Ellen Richey)
来源:《中国金融》2012年17期
记者:7月25日您来京参加了“中国支付安全高层研讨会”,请您谈谈参会的印象与感受。对于支付领域来说,您认为什么是最重要的?
艾睿琪:给我留下深刻印象的是这场研讨会的规模和发言人的演讲质量,他们对自己所从事的风险管理工作都有非常深的了解。在中国,风险和应对措施同时并存,与会者提出了许多措施,并且对措施的实施提出了建议。我认为这些都非常有意义。参会经验让我更有信心,相信VISA的风险防范措施能够适用于中国。中国需要一整套风险防范机制,并贯穿始终。中国像其他国家一样,犯罪分子会从薄弱环节下手。目前中国已经是一个颇具规模的支付市场,并且还在迅速发展,因此我们更需要一个完整的风险防范机制,让中国的支付行业能够保持领先地位。
我还想强调一下业界各方的合作与信任,这个问题非常重要。作为一家支付系统公司,我们必须与客户进行紧密的合作,没有它们我们无法成功。我们可以制定标准,但必须有人来执行。我们已经和一些银行、金融机构、政府部门会晤,商讨如何推进这些安全策略的实施。这就是我所强调的合作,我们坚信安全是所有人的责任,所有机构在安全问题方面都扮演着不可或缺的角色。而谈到信任,我认为我们应该让消费者对这个系统有信心。作为支付行业的一员,如果缺乏信任,商户、发卡机构就不会合作。而对于消费者而言,如果缺乏对支付系统的信任,他们就不会通过这一网络进行支付,从而就限制了支付网络的发展。
记者:您刚才提到了需要一个贯穿始终的风险管理机制,请您详细阐述一下VISA在这方面是怎么做的。
艾睿琪:我们把这套风险管理体系称为“分层法”(Layered Approach)。首先,我们将采取高科技的手段防止(Prevent)欺诈的发生,例如使用EMV芯片卡;即一个使用动态验证码的智能卡,这样,犯罪分子即使有密码和卡片信息,也会因为缺少这个一次性验证码而无法入侵。其次,我们假设一些信息能为犯罪分子轻易盗取,因此我们与支付卡行业数据安全标准委员会(PCI DSS Council)合作制定了一个标准,让掌握数据的机构(如支付系统、商户、银行和服务提供商等)都要“合规”,这样犯罪分子就无法盗取数据信息。这属于“保护”(Protect)层面。
在信息泄露发生时我们采用的是“响应”(Respond)的策略。例如,作为支付系统,我们要求持卡人在发现信息被盗时及时报告我们;我们与金融机构合作,凭借自己的技术手段,通过数据分析监测信息泄露状况,即通过定位信息泄露的环节,然后我们与金融机构合作与商户取得联络,走访出现问题的商户,一同解决信息泄露的问题;同时我们通知发卡行,让它们对持卡人信息采取保护措施;我们还与全球各国执法机关合作,将窃取信息列入犯罪,并帮助它们将这些犯罪分子绳之以法。
我们用“神经网络”(Neural Network)技术来监测可疑的交易。举例来讲,如果你常常在中国内地、香港和澳门购物,突然间你的消费记录却出现在玻利维亚,这项科技就会对这笔可疑交易进行提示,特别是如果你的卡与某个信息泄露事件相关联。这时,我们将通知发卡行,让其决定是否拒绝处理这笔交易,从而中止盗用。在另一种情况下,对于像我这样经常往返于世界各地的人而言,突然在玻利维亚出现的一笔交易就不是那么非同寻常。针对这样的人群,我们有一个产品叫做VISA高级授权系统(Visa Advanced Authorization-VAA),该产品能监测海外发生的可疑交易,并防止欺诈的发生。去年,VAA成功地监测到涉及15亿美元的潜在欺诈交易。有了这些措施,在整个交易环节内,我们能够发现潜在危险,这是一个不断优化的全面的风险管理策略,我们试图借此降低环节内的隐患。
同时,我们同样需要保护创新支付产品和技术的安全,我们非常积极地制定行业标准,而VISA也曾在全球与其他支付系统一道为很多日后成为行业标准的准则作出过贡献。像支付卡行业数据安全(PCI DSS)标准,一开始就是由VISA制定的,完成后我们将其提交给委员会,并在行业内执行。对于互联网信息交换,我们也有一套安全协议。
但遗憾的是,“道高一尺,魔高一丈”,犯罪分子总能找到那些不采取措施保护自己信息安全的人、那些不按规程及时向我们报告的人、或者那些不使用芯片卡的人。不过这种情况虽然棘手,但这会鞭策我们不断想出更加完善的措施,减少问题发生的几率。
记者:请您谈谈当前新的形势下,支付系统所面临着哪些新的风险和安全方面的挑战?
艾睿琪:风险和挑战具有不同的含义。我们看到犯罪分子采取的手段越来越复杂,在美国和一些亚洲国家,许多处理信息的公司和机构,它们掌握着大量的信息,而一些犯罪分子则能够轻易侵入其系统,并掩盖入侵的痕迹,窃取信息。有一点正变得越来越重要,那就是准确定位这些犯罪分子,并迅速关闭可疑交易。
随着社交媒体的兴起,对个人信息的入侵和被“钓鱼”变得越来越普遍。比如设定密码时,你很可能使用您母亲的名字、宠物的名字、过去的学校等等作为密码或安全提示问题。现在有一些非常高超的手段,能够轻松获取这些信息,比如通过“钓鱼”,或入侵你的facebook账户等。得到这些信息后他们就可以进行网络欺诈,这是我们在网络方面所看到的一个趋势。
在移动商务方面,问题不再局限于数据泄露。有非常多的新机构想要参与到这个市场中来,不单是网络服务提供商,还有像Square这样提供手机刷卡解决方案的公司,但我们需要认识到,手机最初并不是从支付安全的角度出发去设计的。所以很重要的一点是,支付系统需要制定非常严格的新标准,以确保这些设备在进行支付的时候是安全的,而且保证手机一些不那么安全的功能不会干扰支付的安全。
总之,这些在网络和移动支付迅速发展的情况下支付安全面临的一些新情况新问题,给我们的工作提出了更高的要求。
记者:那么,各国在制定相关政策与行业规则时需要做出哪些相应调整,需要对消费者进行哪些保护?
艾睿琪:从政策角度讲,特别是在发展中国家,政府正越来越多地参与到支付系统基础设施的建设中,并致力于确保这些设施的安全性。它们参与的具体措施之一就是制定法规,制裁盗刷银行卡的犯罪。VISA与其中许多政府机构合作,确保法规的实施。我们直接与立法机构和执法机构合作,参与法规的制定与执行。当然根据各市场的不同情况,合作机构会有所不同。
对于市场而言,强有力的法律法规是很重要的,如若不然,就会发生犯罪分子虽然被捕,但由于缺乏法律依据和证据或发生的是跨国犯罪,其仍然逍遥法外的情况,我们已经看到这种情况在一些国家和地区发生。我们在这方面做了大量工作,以求与当地政府合作。
另一个方面是如何保障信息安全。不同国家的政府在这方面采取的措施不同,但大多数人都认同政府不应该强制推行某种标准。原因是市场变化得很快,风险也变化得很快。任何标准都有可能落后于实际,但我们不能因此望而却步,而要设法使得标准制定得更加科学及时。
还有一个方面是商业规则的制定。总体而言,对于政府来讲最有效的方式是确保有一个公平竞争的平台,这样市场竞争就可以确保商业规则得到很好的贯彻。在一些国家,如东欧的某些国家,并没有有效的措施保证合同的履行,也不能保证债务的清偿,这样就让银行和商户以及支付系统很难达成一定的商业规则。所以拥有公平可行的法律保证法规的履行,保证市场的公平竞争是非常重要的。
最后,对消费者的保护之所以对政府来讲十分重要,是因为它关系到对政府的信任。如果消费者在使用银行卡时感到无法可依,受到欺骗,那么这个系统就无法运转。所以在美国,监管的重点是保证信息透明,让消费者非常清楚用卡的条款,明白消费如何计贷,了解他们的隐私如何得到保护,诸如此类。另一些国家的举措主要集中在更具体的强制性措施,比如规定利率上限等。消费者保护是基础建设中需要完善的重点之一。有趣的是,支付系统的一个很大优势是能够让政府、消费者或企业与整个世界相联结。因此我们所进入的每个国家,都不仅希望改善自身支付环境,还希望确保人们能够与世界上其他国家联结。例如,将中国与美国、欧洲或亚洲其他地方联系起来。所以互通性对政府而言非常重要。
记者:我们看到某些国家出现了像热钱大量涌入,还有洗钱这样威胁金融安全的现象,有的银行也因此出现很大的问题,请问VISA对于此类问题有何应对措施?
艾睿琪:实际上零售支付系统一般不会有大笔资金流动,因为用银行卡交易的金额一般都是比较小的。但我们仍然对反洗钱问题非常关心,并且在各国我们都有一些银行客户负责运用法律监控大笔可疑跨境交易。
作为一个支付系统,所有与我们合作的银行都需要遵守VISA制定的规章,建立反洗钱系统,监控任何热钱或可疑交易。我们还会向他们发放问卷,询问这些监控系统的运作情况。我们自己也监控交易情况,并定位那些非正常的交易,虽然由于我们的业务性质这种情况比较少见。比如,我们曾经监测到一张加勒比海某小岛发行的预付卡上存在异常的资金流动,在东欧有异常的套现行为,这些都是不正常的现象。客户在某个小岛或东欧某地进行大笔套现有什么样的合理原因呢?当我们发现这些现象时就会进行尽职调查,虽然我们不是政府机构,没有能力关闭它,但我们可以进行调查,及时报告银行,银行会自行采取措施避免这种情况,因此我们的工作就是与之配合,帮助银行更好地实施控制措施。我们始终致力于如何保证整个系统对所有人都是安全的。
记者:各国对支付行业的监管实际上是有所不同的,VISA怎样在统一的支付系统与不同的监管之间进行协调呢,您是否认为有一些国家或地区监管过度呢?
艾睿琪:我每到一个国家,都要与央行或金融监管机构接触,了解它们的需求。我的另一项工作就是与当地银行客户、金融机构的风险部门对话,了解它们对政策监管的需求。
监管机构所关心的问题取决于很多方面,特别是这个国家的经济发展程度和支付系统发展程度。某些发展中国家拥有比其他国家更先进而广泛的支付系统。例如在巴西,它们大规模采用的支付系统获得了成功,现在巴西已拥有大量的银行卡。它们目前主要关注的问题是让市场更加开放,并为消费者提供更好的保护,因为银行所发行的产品和提供的服务正日趋复杂。
在另一些国家,关注的焦点在于外汇交易,如利用银行卡将资金转出境外等。一些国家比较关注反洗钱,一些国家拥有官方的安全系统,像美国。因此,这项工作不仅是单个政府的责任,而是涉及世界上的很多政府。一些国家的反应非常迅速,像新加坡,而像美国这样的国家,决策需要经过很多的政治博弈。所以没有一个放之四海而皆准的解决方案。
我觉得中国香港和新加坡是将监管和基础设施建设协调得非常好的范例。它们不仅建立了安全可靠的支付系统,同时还保证了一个公平竞争的平台,促进行业进步和创新。而美国当然也已经是推动行业成长的佼佼者,取得了毋庸置疑的成功。从受理终端数量、银行卡数量、交易笔数和方便程度上讲,美国都是非常成功的,特别是美国人对方便的要求已经到了其他国家闻所未闻的程度。所以就市场的成长而言,美国是成功的。
但在最近的五年间,美国经历了一些倒退,政府也意识到目前市场上存在一些滥用信息的情况。因此政府现在开始强调消费者保护,我们已经在信息透明方面采取了措施,但我们需要出台更多举措,因为仅仅让消费者了解这些条款是不够的,还需要推行这些条款。所以在美国,就像阴阳的平衡一样,我们不仅需要推动发展,还需要去监管,并取得一个平衡,这是一个有意思的模式。
巴西体现了另一种模式,市场基本上没有监管的存在,虽然市场情形有些像美国,但却没有那么复杂。这个市场也发展迅速,但发展速度是合理的。一些其他国家的消费者保护措施也可以应用在这里。
记者:请您介绍一下国际支付领域在自律方面的成功经验,国际自律组织、监管机构以及司法机构是怎样无缝衔接的?
艾睿琪:我们就从自律说起。我认为支付卡行业数据安全标准委员会在自律方面是一个很好的范例。正像我前面提到的,大多数国家都采取开放的态度,让市场自行调节,而不是硬性规定支付安全的标准。美国正在数据安全和网络犯罪方面加大力度,以便让政府和自律机构之间的信息交换更加通畅。所以美国目前正试图组建一个机构,为用户提供安全信息、犯罪情况警示,以及政府所掌握的信息等。这些都随着欺诈情形的日益复杂而变得越来越重要。行业组织可以自行规定信息透明方面的标准,而政府可以要求获取相关的信息,并且提供一个让大家都能共享这些信息的平台。实际上犯罪分子之间的信息“共享”是非常充分的,他们对如何向我们发起攻击非常清楚,反倒是我们行业内部的信息共享做得不那么理想。
信息共享还能让我们相互提供保护。在香港,我们就与香港警察商业罪案调查科在法律的执行方面进行了一次非常好的合作。VISA本身会帮助行业发展自律机制,让法律得以完善、教育得到加强。通过这项合作,现在香港银行卡犯罪非常少。
在执法方面,光靠自律是不够的,因为我们没办法监管犯罪分子。但如果我们能够通过合作和信息共享,让执法机构互相沟通并定位犯罪分子,执法过程就会更加有效,并且能够遏制犯罪。但问题是这些犯罪分子可能转向其他地方,比如泰国这些有VISA服务的市场,因此我们需要不断地扩展这个模型。总之,我认为香港地区是与执法机构合作的一个范例地区。
在另一些国家,政府会强制推行一些预防犯罪的技术,像墨西哥的银行就在推行EMV芯片卡。拉美国家,如哥伦比亚和秘鲁也是一样。我觉得这样做非常有建设性,VISA也与行业紧密合作,制定了一个路线图,并创立激励机制鼓励银行发行芯片卡。如果一个国家能够从政策层面支持这一进程,它们也可能将我们制定的路线图纳入官方政策中。当然,在像美国这样的国家达到这个效果比较难,因为这和美国的法律传统不相吻合;而像中国这样幅员辽阔的国家所面临的问题就是每个地区情况迥异,有大城市和欠发达地区,差别非常大。
记者:如何在全世界范围内培养消费者的风险管理意识,VISA在这方面有怎样的经验?
艾睿琪:这是个非常好的问题。犯罪分子正越来越多地将矛头对准消费者,就像刚才提到的“钓鱼”。因此我们在全球也推出了很多的消费者安全意识教育项目。
不久之前,我们在印度赞助了一项非常有趣的活动。这是一个VISA主办的活动,我们赞助了印度全国的广播广告和广播体育转播节目。我们塑造了一些角色,讲述关于用卡安全的故事,像如何保护你的密码,不泄露给别人等等,都是非常具有喜剧效果的故事,同时信息量也非常丰富。这是我们所做的其中一项工作。
此外,我们还在网站上设置了一个区域,消费者可以从那里获取信息,这也是我们希望大力推广的。我们也与美国的一些非政府组织合作,传播相关的信息。我们还以金融教育为中心进行消费者的教育,不仅局限于安全用卡,还涉及如何使用金融产品进行理财等。我们还在全球开展了一个叫做“金融足球(Financial Football)”的项目,确保消费者正确使用金融产品。
记者:请您谈谈支付体系下一步的发展趋势。
艾睿琪:我认为未来趋势是电子商务的发展,而我们必须保障它的安全。今天的网络环境并不像我们期望的那样安全,但我相信如果我们能够解决跨境电子商务支付过程中的问题,我们可以推动电子商务爆炸式的增长。
另外,在发展中市场我们看到,移动支付正将金融服务延伸到前所未有的范围,这将大幅提升全球的经济和人们的生活水平。而对经济的贡献还不是全部,它将带动亿万人达到中产生活水平,并进一步提升他们的消费能力,从而带动电子支付的使用。
因此,在行业内我们能够预见网上支付和移动支付的兴起,而且在发展中市场我们看到电子支付正在发展,电子支付和现金可能还将并行一段时间;而像美国这样的发达国家也将继续从现金向电子支付转变。这形成了发展中市场和发达市场间的一个平衡。日后,我们可能会看到现金变得非常少见。
