- 互联网金融法律与风险控制(第2版)
- 邓建鹏 黄震
- 2810字
- 2023-01-06 19:53:04
本书主要涉及如下内容:在叙述互联网金融各种主要商业模式基础上,解析根据现行法律确立的具体行为规范,以及行为人在触及相应行为规范时,可能遭遇的法律风险。本书特别针对互联网金融创新业务存在的法律风险以及法律灰色地带,给予深度分析,并提出法律风险防范的应对措施。此外,在著者多年调研的基础上,本书提供了一些具有代表性的企业在风险防范方面的实例,以及在信息与网络安全领域的风险应对措施,供从业者参考。在互联网金融各业态逐渐进入后监管的时期,根据近年各业态的监管办法、监管基本精神以及当前互联网金融整治方案,一些有技术优势或者商业逻辑优势的互联网金融企业纷纷进行合规化调整,并在业务上作了较大的转型,使自己的企业不仅适应监管者的要求,而且有实力迎接新挑战,把握新机遇。企业的这种调整和业务转型的经验,弥足珍贵,值得从业者参考。在部分章节的末尾,附录了当前与互联网金融直接相关的监管法规,供读者延伸阅读。
第1节 法律风险控制的整体思路
互联网金融各产品领域尚在不断地分化组合之中。本书主要针对目前已基本成形的若干产品领域,基于已经发生的真实案例,详细分析这些产品领域存在的法律风险,并系统性地指出潜存的违法行为,为从业者指明控制法律风险的道路。当前,在互联网金融的某些领域存在针对投资者的一些虚假宣传或者欺诈行为,致使投资者权益受到侵害,有的甚至血本无归。为此,我们重点阐述投资者风险控制和权益保护的具体途径,尽可能为投资者降低风险提供可供操作的实践路径。
近几年,互联网金融已从学术概念发展到巨大的产业集群。对于互联网金融,有人以模式论立论,有的说三种模式、有的说六种模式、有的说八大模式。我们认为,互联网金融还在发展过程中,现在谈模式为时尚早,应从要素论入手,分析构成互联网金融创新的要素。要素可以不断重新组合,进而衍生出各种各样的发展模式。特别是其中的货币电子化、虚拟化、数字化,这是互联网金融时代非常重要的基础;其次是支付方法由现金支付变成了网络支付、移动支付。这两个条件是“基因突变”,没有这两个“基因突变”,互联网金融的创新和发展就没有头绪和基础。
互联网金融的四个集聚
互联网金融创新浪潮势不可当,但大潮之下,难免鱼龙混杂,泥沙俱下,在缺乏有效监管以及良莠不齐的发展过程中,有“劣币驱逐良币”的趋势。为了促进互联网金融健康发展,我们务必见微知著,未雨绸缪,加强风险控制,防止恶性事件发生,将风险控制工作作为互联网金融的头等大事。互联网金融在野蛮发展中,早已催生了四个集聚:一是人才的集聚,各行各业的精英都来做互联网金融,近两年,特别是互联网企业和传统金融机构的许多精英进入该行业;二是科技的集聚,一个平台建起来门槛不高,后来做起来的门槛却越来越高,要做数据的挖掘得有基础,要做风险控制得有基础,平台升级得有基础;三是资金的集聚,投资人越来越多在互联网金融领域投资;四是风险的集聚,在早期没有行业标准、没有监管机构的时候,风险一开始就有,并且随着它的集聚被逐渐放大和叠加。虽然自2016年以来,互联网金融多数业态被逐渐进入监管期,但风险并未全部化解。不过,风险同时也是机会,风险与机会并存!互联网金融追求试错升级、激进发展,与传统金融的控制风险、保守发展是两种思路。因此,互联网金融的风险控制具有传统金融所未曾涉猎的内容和要求。
法律风险的多个维度
金融是在降低风险中间获取利润的行业,有风险并不可怕,不知道风险才可怕,不控制风险则最可怕。互联网金融发展中风险很多,最主要的是法律风险。法律风险控制有非常强的专业性,如果不由专业人士应对或提供策略和建议,则对风险的预防、驾驭和化解都将存在很大问题。互联网金融领域法律风险多种多样。
比如,互联网金融产品的设计或交易结构的设计大都依靠《合同法》的架构,违约涉及合同法律风险;互联网网站对大量个人信息数据进行采集,对客户了解越多,要承担的隐私保护的义务越多,因为涉及泄露客户隐私的法律风险。有一个网站曾因为职员和外面的人聊QQ,QQ号被人家盗了,进而导致商业秘密泄露,网站倒闭。客户要借助别人的支付平台完成资金顺利转移,而支付机构在支付过程中资金是否安全,这都涉及资金支付的法律风险;从业者的营业执照核准了经营范围,如果在经营范围外从事了其他业务,诸如金融信息服务,就可能被认定是非法经营,甚至可能带来非法经营罪的刑事法律风险;互联网金融企业是否严格遵循税收管理,涉及税收法律风险;另外在刑事法律风险方面,在互联网金融领域最主要的是涉及非法集资,比如集资诈骗罪;最后是诉讼法律风险,如果从业者在经营过程中侵犯了消费者的权益、侵犯了合作方的利益引起了诉讼,可能会引发旷日持久的诉讼法律风险,影响公司信誉和声誉等。
以“三线”应对风险
面对法律风险的多个维度,从业者应如何控制风险呢?总体原则上,我们认为要注重“三线”建设:
一是平衡权利义务的界线。交易双方的权利义务关系一定要界定清楚,要有一个平衡,不能在经营过程中侵犯投资者(消费者)的利益、侵犯经营合作方的利益,这是权利的界限。
二是把握政策的红线。政策的红线放得很宽,但是要注意,对政府而言稳定压倒一切,不能在互联网金融经营过程中影响社会稳定。一方面,因互联网金融机构侵犯投资者或消费者的利益而引起其上访,引发群体性事件,这将影响社会稳定;另一方面,互联网金融机构引起风险的系统爆发,可导致系统性风险,干扰金融秩序。
三是坚守法律的底线。从业者不要进行非法集资。法规禁止非法集资,比如集资的人数上限不能超过多少,并规定资金金额的上限。
对从业者而言,掌握以上“三线”,是应对风险的基本要义。
风险控制的三阶段
很显然,掌握法律技术对互联网金融的发展会起到非常重要的呵护作用。目前的法律从业者不仅应该严格遵守,而且应该理解它的本义。我们认为,风险管理技术、IT技术和法律技术是成就互联网金融的三大技术。一些从业者从未将法律视为一种技术,而是作为一种外在的资源,是因为他们没有理解法律怎么用。从根本上来说,法律是社会关系的调节器和平衡器,我们可以梳理各种交易和各种产品涉及的社会关系,在这个基础上进行法律探索,寻找相应的法律依据。
风险控制在阶段上表现为,首先,大多数互联网金融机构可以先从企业自律开始,梳理自身的业务流程和交易结构,形成企业标准。在本企业标准具有一定社会影响力后,联合其他知名同行,共同制定一个通用的标准,进而上升为行业标准。其次,企业同时接受客户的监督,这涉及契约是否规范,交易双方所签合同中的权利、义务是否对等。曾有很多互联网金融企业的合同并不规范,这方面可以请法律专家来审核,审核以后才能进行发布。再次,发布行业公约规范,要对履约机制、约束机制进行考核。最后是舆论监督规范,传统的报刊、杂志、电视等也在发挥它的监督作用。
我们的展望
互联网金融在中国已经发展了若干年,我们认为,既要防范风险,也要适度容忍风险。风险并不可怕,只要我们先知道它在哪里,并进行提示、披露,并针对风险设计熔断、控制机制。互联网金融已经逐渐形成一个巨大的产业集群,已让每个投资者(消费者)从过去的眼球关注阶段进入当前的深入参与交易阶段,并逐渐发展到人人从中受益。我们认为,今后十年,互联网金融可能会发展出绿色金融和智慧金融。通过大家的共同努力,中国的互联网金融有望引领世界潮流!
第2节 互联网金融广告的法律风险与控制
对所有互联网金融从业者而言,其业务都有可能涉及对外宣传。互联网金融本质上与金融密切相关,作为特殊行业,当前对互联网金融的广告规范越来越细致,从业者应谨慎对待,以免与现行法规抵触。与互联网金融广告相关的法规主要有:2015年9月1日起施行的新《广告法》;2016年4月,国家工商总局等十七部门印发的《开展互联网金融广告及以投资理财名义从事金融活动风险专项整治工作实施方案》,该方案配合自2016年以来的互联网金融专项整治工作,主要规范互联网金融广告及以投资理财名义从事金融活动的行为,防范化解潜在风险隐患;2016年7月国家工商行政管理总局令第87号公布的《互联网广告管理暂行办法》;等等。
当前,该领域整治方案要点主要涉及:互联网金融广告与信息发布等宣传行为应依法合规、真实准确,不得对金融产品和业务进行不当宣传;未取得相关金融业务资质的从业机构,不得对金融产品、金融业务或公司形象进行宣传;取得相关业务资质的,宣传内容应符合相关法律法规规定,需经有关部门许可的,应当与许可的内容相符合,不得进行误导性、虚假违法宣传。上述法规对互联网金融广告合规、宣传内容和宣传口径等做了具体规范。互联网金融广告的法律风险主要涉及:对投资理财类产品的收益、安全性等内容的虚假宣传;没有风险提示、信息披露不到位、误导销售;欺骗和误导消费者,致使消费者权益受到损害,广告的发布者、经营者、设计者为此将承担相应的法律责任;等等。
基本行为规范
根据上述法规要求,互联网金融广告内容必须遵循真实性原则,不得欺骗消费者。对一般行业的广告(同时也适用于互联网金融行业),《广告法》要求广告应当真实、合法,不得含有虚假或者引人误解的内容,不得欺骗、误导消费者。广告主应当对广告内容的真实性负责。《广告法》第二十五条特别规定,招商等有投资回报预期的商品或者服务广告,应当对可能存在的风险以及风险责任承担有合理提示或者警示,并不得含有下列内容:
(1)对未来效果、收益或者与其相关的情况作出保证性承诺,明示或者暗示保本、无风险或者保收益等,国家另有规定的除外;
(2)利用学术机构、行业协会、专业人士、受益者的名义或者形象作推荐、证明。
《广告法》第二十八条对虚假广告进行了界定,广告以虚假或者引人误解的内容欺骗、误导消费者的,构成虚假广告。广告有下列情形之一的,为虚假广告:(1)商品或者服务不存在的;(2)商品的性能、功能、产地、用途、质量、规格、成分、价格、生产者、有效期限、销售状况、曾获荣誉等信息,或者服务的内容、提供者、形式、质量、价格、销售状况、曾获荣誉等信息,以及与商品或者服务有关的允诺等信息与实际情况不符,对购买行为有实质性影响的;(3)使用虚构、伪造或者无法验证的科研成果、统计资料、调查结果、文摘、引用语等信息作证明材料的;(4)虚构使用商品或者接受服务的效果的;(5)以虚假或者引人误解的内容欺骗、误导消费者的其他情形。
互联网金融从业机构利用互联网发布、发送广告,不得影响用户正常使用网络。在互联网页面以弹出等形式发布的广告,应当显著标明关闭标志,确保一键关闭。
针对互联网金融机构发布招商等有投资回报预期的商品或者服务的广告,广告主体资质是:必须获得相应金融监管部门的行政许可或牌照,并且必须在许可的范围之内进行广告宣传活动。对于互联网金融企业(如网贷机构)而言,则一般要求相关机构先在地方金融监管机构备案,在工信部门获得ICP资质。
违反《广告法》相关规定,其行为具体可体现为:对金融产品或服务未合理提示或警示可能存在的风险以及承担风险责任;对未来效果、收益或者与其相关情况作出保证性承诺,明示或者暗示保本、无风险或者保收益。互联网金融机构发布的虚假广告,可体现为对投资理财类产品的收益、安全性等情况进行虚假宣传,欺骗和误导消费者。
根据《开展互联网金融广告及以投资理财名义从事金融活动风险专项整治工作实施方案》,互联网金融广告应当依法合规、真实可信,不得含有以下内容:一是违反《广告法》相关规定,对金融产品或服务未合理提示或警示可能存在的风险以及承担风险责任的;二是对未来效果、收益或者与其相关情况作出保证性承诺,明示或者暗示保本、无风险或者保收益的;三是夸大或者片面宣传金融服务或者金融产品,在未提供客观证据的情况下,对过往业绩作虚假或夸大表述的;四是利用学术机构、行业协会、专业人士、受益者的名义或者形象作推荐、证明的;五是对投资理财类产品的收益、安全性等情况进行虚假宣传,欺骗和误导消费者的;六是未经有关部门许可,以投资理财、投资咨询、贷款中介、信用担保、典当等名义发布的吸收存款、信用贷款内容的广告或与许可内容不相符的;七是引用不真实、不准确数据和资料的;八是宣传国家有关法律法规和行业主管部门明令禁止的违法活动内容的;九是宣传提供突破住房信贷政策的金融产品,加大购房杠杆的。此项整治工作方案一方面包括了《广告法》的部分内容,另一方面结合了当前国家对房产等宏观调控的内容。
相关法规要求广告主应注重相应社会责任,提醒投资者注意投资风险,并适时对投资者进行教育,以便于投资者维权。互联网广告发布者、广告经营者应当查验有关证明文件,核对广告内容,对内容不符或者证明文件不全的广告,不得设计、制作、代理、发布。
法律风险及后果
在行政法律风险(行政处罚)方面,据《广告法》规定,互联网金融从业者发布虚假广告的,由工商行政管理部门责令停止发布广告,责令广告主在相应范围内消除影响,处广告费用三倍以上五倍以下的罚款,广告费用无法计算或者明显偏低的,处二十万元以上一百万元以下的罚款;两年内有三次以上违法行为或者有其他严重情节的,处广告费用五倍以上十倍以下的罚款,广告费用无法计算或者明显偏低的,处一百万元以上二百万元以下的罚款,可以吊销营业执照,并由广告审查机关撤销广告审查批准文件,一年内不受理其广告审查申请。广告经营者、广告发布者明知或者应知广告虚假仍设计、制作、代理、发布的,由工商行政管理部门没收广告费用,并处广告费用三倍以上五倍以下的罚款,广告费用无法计算或者明显偏低的,处二十万元以上一百万元以下的罚款;两年内有三次以上违法行为或者有其他严重情节的,处广告费用五倍以上十倍以下的罚款,广告费用无法计算或者明显偏低的,处一百万元以上二百万元以下的罚款,并可以由有关部门暂停其广告发布业务、吊销营业执照、吊销广告发布登记证件。
根据《法治周末》记者粗略统计,从2016年年初至2017年年初,从事互联网金融相关推广业务的某家广告经营机构,在其平台上发布与其有合作的、被曝光“踩雷”的网贷平台高达24家。广告经营商发布的网贷平台推广中,数量众多的网贷出现跑路等问题,在广告发布者明知或者应知广告虚假仍设计、制作、代理、发布时,其可能面临前述行政处罚的法律风险,甚至面临下述刑事法律风险。
关于互联网金融广告相关的刑事法律风险,根据《最高人民法院关于审理非法集资刑事案件具体应用法律若干问题的解释》(法释〔2010〕18号)第八条规定,广告经营者、广告发布者违反国家规定,利用广告为非法集资活动相关的商品或者服务作虚假宣传,具有下列情形之一的,依照刑法第二百二十二条的规定,以虚假广告罪定罪处罚:(1)违法所得数额在10万元以上的;(2)造成严重危害后果或者恶劣社会影响的;(3)二年内利用广告作虚假宣传,受过行政处罚二次以上的;(4)其他情节严重的情形。明知他人从事欺诈发行股票、债券,非法吸收公众存款,擅自发行股票、债券,集资诈骗或者组织、领导传销活动等集资犯罪活动,为其提供广告等宣传的,以相关犯罪的共犯论处。
该司法解释将相关犯罪行为分为两种,一是单纯为非法集资活动提供广告业务,危害后果严重的,以虚假广告罪论处,根据刑法规定,处二年以下有期徒刑或者拘役,并处或者单处罚金。另外一种是广告经营者明知广告内容违法(有欺诈等行为)而为之发布广告,则成为非法集资犯罪活动的共犯,在涉及同等业务金额的情况下,其定罪量行通常比前一种更为严厉。
责任主体法律责任的承担与分配
违反《广告法》规定,发布虚假广告,欺骗、误导消费者,使购买商品或者接受服务的消费者的合法权益受到损害的,由广告主依法承担民事责任。广告经营者、广告发布者不能提供广告主的真实名称、地址和有效联系方式的,消费者可以要求广告经营者、广告发布者先行赔偿。虚假广告造成消费者损害的,其广告经营者、广告发布者、广告代言人,明知或者应知广告虚假仍设计、制作、代理、发布或者作推荐、证明的,应当与广告主承担连带责任。
违反《广告法》第二十五条规定发布招商等有投资回报预期的商品或者服务广告的,由工商行政管理部门责令停止发布广告,责令广告主在相应范围内消除影响,处广告费用一倍以上三倍以下的罚款,广告费用无法计算或者明显偏低的,处十万元以上二十万元以下的罚款;情节严重的,处广告费用三倍以上五倍以下的罚款,广告费用无法计算或者明显偏低的,处二十万元以上一百万元以下的罚款,可以吊销营业执照,并由广告审查机关撤销广告审查批准文件,一年内不受理其广告审查申请。
综上所述,互联网金融机构应该严格审查所发布项目信息的真实性、合法性,切实防范相关法律风险。
相关法规目录
《中华人民共和国广告法》;国家工商总局等十七部门印发《开展互联网金融广告及以投资理财名义从事金融活动风险专项整治工作实施方案》(工商办字〔2016〕61号);《互联网广告管理暂行办法》(2016年7月4日国家工商行政管理总局令第87号公布);国家工商行政管理总局、中国银行业监督管理委员会、国家广播电影电视总局、新闻出版总署《关于处置非法集资活动中加强广告审查和监管工作有关问题的通知》(工商广字〔2007〕190号)。
第3节 网络经营许可的法律规范与风险
网络经营许可的法律规范
互联网金融机构属于经营性机构,为客户提供增值服务,因此,其经营与日常活动受到电信、互联网业务经营许可等相关法规的约束。目前中国相关法规主要有如下三部:《中华人民共和国电信条例》《互联网信息服务管理办法》《电信业务经营许可管理办法》。
根据上述三部法规的规定,电信业务经营分为基础电信业务和增值电信业务。其中增值电信业务是指利用公共网络基础设施提供的电信与信息服务的业务。另外,互联网信息服务分为经营性和非经营性两类。所谓经营性是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。对经营性互联网信息服务国家实行许可制度,对非经营性则实行备案制度。据此,互联网金融机构作为商事主体,其网络服务属于增值电信业务,通常具有经营性质,应获得与其业务相应的互联网信息服务许可证。
具体而言,国家对电信业务经营按照电信业务分类,实行许可制度。经营电信业务,必须依照《中华人民共和国电信条例》取得国务院信息产业主管部门或者省、自治区、直辖市电信管理机构颁发的电信业务经营许可证。未取得电信业务经营许可证,任何组织或者个人不得从事电信业务经营活动。
互联网金融机构在申请经营增值电信业务时,应当具备下列条件:
(1)经营者为依法设立的公司;
(2)有与开展经营活动相适应的资金和专业人员;
(3)有为用户提供长期服务的信誉或者能力;等等。
申请经营增值电信业务,应当根据《中华人民共和国电信条例》规定,向国务院信息产业主管部门或者省、自治区、直辖市电信管理机构提出申请。申请经营的增值电信业务,按照国家有关规定须经有关主管部门审批的,还应当提交有关主管部门审核同意的文件。国务院信息产业主管部门或者省、自治区、直辖市电信管理机构应当自收到申请之日起60日内审查完毕,作出批准或者不予批准的决定。予以批准的,颁发跨地区增值电信业务经营许可证或者增值电信业务经营许可证;不予批准的,应当书面通知申请人并说明理由。
《电信业务经营许可管理办法》对申请经营增值电信业务列出更为详细的各类条件:
(1)经营者为依法设立的公司。
(2)有与开展经营活动相适应的资金和专业人员。
(3)有为用户提供长期服务的信誉或者能力。
(4)在省、自治区、直辖市范围内经营的,注册资本最低限额为100万元人民币;在全国或者跨省、自治区、直辖市范围经营的,注册资本最低限额为1000万元人民币。
(5)有必要的场地、设施及技术方案。
(6)公司及其主要出资者和主要经营管理人员三年内无违反电信监督管理制度的违法记录。
(7)国家规定的其他条件。
互联网金融机构申请办理增值电信业务经营许可证,应当向电信管理机构提交下列申请材料:
(1)公司法定代表人签署的经营增值电信业务的书面申请。内容包括申请经营电信业务的种类、业务覆盖范围、公司名称、公司通信地址、邮政编码、联系人、联系电话、电子信箱地址等。
(2)公司的企业法人营业执照副本及复印件。
(3)公司概况。包括公司基本情况,拟从事增值电信业务的人员、场地和设施等情况。
(4)公司最近经会计师事务所审计的企业法人年度财务会计报告或者验资报告及电信管理机构规定的其他相关会计资料。
(5)公司章程、公司股权结构及股东的有关情况。
(6)申请经营电信业务的业务发展、实施计划和技术方案。
(7)为用户提供长期服务和质量保障的措施。
(8)信息安全保障措施。
(9)证明公司信誉的有关材料。
(10)公司法定代表人签署的公司依法经营电信业务的承诺书。
申请经营的电信业务依照法律、行政法规及国家有关规定须经有关主管部门事先审核同意的,应当提交有关主管部门审核同意的文件。尚未获得企业法人营业执照的申请人,应当提交公司的企业名称预先核准通知书,不需提交前款第2项、第9项规定的材料。对于前款第1项规定的书面申请和第10项规定的承诺书,拟成立有限责任公司的,应当由全体股东签署;拟成立股份有限公司的,应当由全体发起人签署。
另据《互联网信息服务管理办法》规定,从事经营性互联网信息服务,除应当符合《中华人民共和国电信条例》规定的要求外,还应当具备下列条件:
(1)有业务发展计划及相关技术方案;
(2)有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度。
从事经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证(以下简称经营许可证)。省、自治区、直辖市电信管理机构或者国务院信息产业主管部门应当自收到申请之日起60日内审查完毕,作出批准或者不予批准的决定。予以批准的,颁发经营许可证;不予批准的,应当书面通知申请人并说明理由。申请人取得经营许可证后,应当持经营许可证向企业登记机关办理登记手续。
互联网金融机构申请网络经营许可证主要涉及两类,其一为ICP,其二为EDI。网络内容服务商英文为Internet Content Provide,简写为ICP,即向广大用户综合提供互联网信息业务和增值业务的电信运营商。其必须具备的证书即为ICP证。ICP证是指各地通信管理部门核发的“中华人民共和国电信与信息服务业务经营许可证”。经营性ICP主要是指利用网上广告、代制作网页、出租服务器内存空间、主机托管、有偿提供特定信息内容、电子商务及其他网上应用服务等方式获得收入的ICP。ICP证是网站经营的许可证,根据《互联网信息服务管理办法》规定,经营性网站必须办理ICP证,否则属于非法经营。
另外,根据工业与信息化部公布的“电信业务分类目录”(2015年版),电信业务分为A类(基础电信业务)和B类(增值电信业务)。在B类中,B21项为“在线数据处理与交易处理业务”,此属于第一类增值电信业务。在线数据处理与交易处理业务是指利用各种与公用通信网或互联网相连的数据与交易/事务处理应用平台,通过公用通信网或互联网为用户提供在线数据处理和交易/事务处理的业务。在线数据处理与交易处理业务包括交易处理业务、电子数据交换业务和网络/电子设备数据处理业务。
对网贷行业而言,自从网贷监管的《暂行办法》出台后,有关电信业务许可要求是ICP还是EDI争论好久。目前基本已有定论,网贷行业的电信业务准入门槛,是《电信业务分类目录(2015)》里B21类在线数据处理与交易处理业务。网贷机构申请B21类时,需符合新规第五条的规定,“网络借贷信息中介机构完成地方金融监管部门备案登记后,应当按照通信主管部门的相关规定申请相应的电信业务经营许可”。如未在地方金融办办理备案,符合网贷经营业务需求的B21类是无法获批的。
增值电信业务经营许可证(在线数据处理与交易处务)简称“EDI证”“EDI经营许可证”或“EDI许可证”,是运营在线支付、在线订单处理、在线电子交易业务必须具备的资质,由公司注册地所在省/直辖市通信管理局审批、颁发,业务范围覆盖本省。EDI经营许可证主要涉及利用各种与通信网络相连的数据与交易/事务处理应用平台,通过通信网络为用户提供在线数据处理和交易/事务处理的业务。在线数据和交易处理业务包括交易处理业务、电子数据交换业务和网络/电子设备数据处理业务。交易处理业务包括办理各种银行业务、股票买卖、票务买卖、拍卖商品买卖、费用支付等。申请EDI证必备的条件包括:公司注册资金100万以上;公司属于全内资企业(注册资金不能有外资)。
网络经营许可的法律风险
互联网金融机构违反《中华人民共和国电信条例》的规定,伪造、冒用、转让电信业务经营许可证、电信设备进网许可证或者编造在电信设备上标注的进网许可证编号的,由国务院信息产业主管部门或者省、自治区、直辖市电信管理机构依据职权没收违法所得,处违法所得3倍以上5倍以下罚款;没有违法所得或者违法所得不足1万元的,处1万元以上10万元以下罚款。
互联网金融机构违反《互联网信息服务管理办法》的规定,未取得经营许可证,擅自从事经营性互联网信息服务,或者超出许可的项目提供服务的,由省、自治区、直辖市电信管理机构责令限期改正,有违法所得的,没收违法所得,并处违法所得3倍以上5倍以下的罚款;没有违法所得或者违法所得不足5万元的,处10万元以上100万元以下的罚款;情节严重的,责令关闭网站。互联网金融机构未在其网站主页上标明其经营许可证编号或者备案编号的,由省、自治区、直辖市电信管理机构责令改正,并处5000元以上5万元以下罚款。
隐瞒有关情况或者提供虚假材料申请电信业务经营许可的,电信管理机构不予受理或者不予行政许可,并给予警告,申请人在1年内不得再次申请该行政许可。以欺骗、贿赂等不正当手段取得电信业务经营许可的,电信管理机构撤销该行政许可,给予警告,并视情节轻重处5000元以上3万元以下的罚款,申请人在3年内不得再次申请该行政许可;构成犯罪的,依法追究刑事责任。
“增值电信业务经营许可”办理流程——以北京为例
办理机构为各省、直辖市等通信管理局电信管理处;办理时限为60个工作日。
申请条件包括:
(1)在省、自治区、直辖市范围内经营的,其注册资本最低限额为100万元人民币;
(2)有可行性研究报告和相关技术方案;
(3)有必要的场地和设施;
(4)最近三年内未发生过重大违法行为。
申请者应提交如下申办材料:
(1)公司法定代表人签署的经营增值电信业务的书面申请,内容包括申请电信业务的种类、业务覆盖范围、公司名称、通信地址、邮政编码、联系人、联系电话、电子信箱地址等;
(2)公司的企业法人营业执照副本及复印件(包括法人身份证复印件);
(3)公司概况,包括:公司基本情况,拟从事增值电信业务的人员、场地和设施等情况(执有通信行业职业资格证书的情况);
(4)公司最近经会计师事务所审计的企业法人年度财务会计报告或验资报告及电信主管部门规定的其他相关会计资料;
(5)公司章程,公司股权结构及股东的有关情况(包括入股方式的说明);
(6)业务发展可行性研究报告和技术方案,包括申请经营电信业务的业务发展和实施计划、技术方案、服务项目、业务覆盖范围、市场调研与分析、收费方案、预期服务质量、投资分析、社会效益和经济效益等;
(7)为用户提供长期服务和质量保障的措施;
(8)信息安全保障措施;
(9)证明公司信誉的有关材料;
(10)公司法定代表人签署的公司依法经营电信业务的承诺书;
(11)申请经营的电信业务依照法律、行政法规及国家有关规定须经有关主管部门事先审核同意的,应当提交有关主管部门审核同意的文件。
上述材料中,具备硬性要求的为第7项、第8项和第11项。其中的第11项应该就是要求互联网金融机构(比如网贷平台)预先获得省级地方金融监管机构的备案。其中,第8项有关“信息安全保障措施”,根据《通信网络安全防护管理办法》第七条的规定,通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级(又细分为3.1/3.2)、四级、五级。具体定级标准见《增值电信企业网络单元定级流程及方法》。
第4节 非法集资的法律风险
互联网背景下非法集资的特征
互联网金融是近年来出现的新型业态,其改造或者重塑了传统金融的某些形式,与旧有金融监管法律的立法思维有较大不同。互联网金融所服务的主要对象很多是“草根群体”。这个群体投资渠道狭小,缺乏专业的风险识别和防范能力,本来就是非法集资类犯罪的主要侵害对象和高发群体。在互联网金融背景下,非法集资活动呈现如下特征:
(1)互联网金融依托网络平台,打破时空阻隔,涉众更多、地域范围更广;
(2)移动互联网背景下的非法集资犯罪发生速度更快、影响加大,涉案金额往往超过了非互联网化的犯罪活动;
(3)犯罪人与被害人之间,不再以普通熟人为主,而是以陌生人居多,彼此间没有联系,易为犯罪分子蒙骗,由于受害人之间信息没有联通,加大了公安机构立案侦查的难度;
(4)目前多发在P2P网络借贷、数字货币(及借假数字货币名义进行传销等违法活动)以及网络股权众筹领域。
在固有法律尚未全面调整之际,新型业态的法律风险有两个表现:一是一些骗子公司利用互联网金融的外在形式,主观上故意实施犯罪行为;二是一些互联网金融公司的创新型业务无意中与固有金融监管法律相抵触,从而使创业者受到法律的制裁。在这两种形式中,当前最普遍、最常见同时也是最大的法律风险,乃是非法集资犯罪,特别是P2P网络借贷、股权众筹或者是区块链数字货币交易机构,均存在相关的法律风险。由于互联网金融的本质还是金融,说俗一点,即往往涉及广大消费者的资金问题,因此,甚至可以说,非法集资风险是互联网金融领域最具有代表性的法律风险。
非法集资的法定细节
非法集资是个通俗的说法,在《刑法》中主要有两个罪名与之相关,一是非法吸收公众存款罪,二是集资诈骗罪。关于对非法吸收公众存款罪中“非法性”的理解,据《刑法》第一百七十六条第一款规定,非法吸收公众存款罪是指违反国家有关规定,非法吸收公众存款或变相吸收公众存款,扰乱金融秩序的行为。我国商业银行法对从事吸收公众存款的主体的设立设置了严格的实质要件与严格的设立程序要件,两者缺一不可。同时,《商业银行法》作了明确的限制性规定,其中第十一条要求:“未经国务院银行业监督管理机构批准,任何单位和个人不得从事吸收公众存款等商业银行业务”。
从上述刑法对非法吸收公众存款罪的规定及商业银行法对从事吸收公众存款业务的条件规定可以看出,非法吸收公众存款罪所要求的“非法性”可从三个层面理解:
(1)主体违法。从事吸收公众存款的经营主体必须是经国务院银行业监督管理机构批准设立的商业银行业务机构,任何单位与个人未经国务院银行业监督管理机构批准不得从事吸收公众存款业务,这是构成本罪的根本性要素。未经法定设立程序而擅自从事吸收公众存款的自然人,不管所吸收的存款用途是否合法,均不影响行为违法性的构成。
(2)行为违法。即不具备吸收公众存款资格者向公众吸收了存款。“不具备吸收公众存款资格者向公众吸收了存款”的违法性之成立,是基于吸收公众存款主体资格违法性而产生的,是前者的延伸,因为主体前提违法,由违法主体去实施的行为当然违法。
(3)后果违法。国家对吸收公众存款等金融业务实行严格的制度管理,专门出台了《银行业监督管理法》《人民银行法》《商业银行法》等多部法律,用以维护金融管理秩序,非法吸收公众存款的行为必然破坏金融管理制度与秩序。
非法吸收公众存款罪作为行为犯,非法向社会公开吸收公众存款或者变相吸收公众存款的法定行为一经实施,即属犯罪既遂,而不问所吸收资金的实际用途,资金的使用仅为量刑的酌定情节。
根据《最高人民法院关于审理非法集资刑事案件具体应用法律若干问题的解释》规定,同时具备下列四个条件的,除刑法另有规定的以外,应当认定为《刑法》第一百七十六条规定的“非法吸收公众存款或者变相吸收公众存款”:
(1)未经有关部门依法批准或者借用合法经营的形式吸收资金;
(2)通过媒体、推介会、传单、手机短信等途径向社会公开宣传;
(3)承诺在一定期限内以货币、实物、股权等方式还本付息或者给付回报;
(4)向社会公众即社会不特定对象吸收资金。
未向社会公开宣传,在亲友或者单位内部针对特定对象吸收资金的,不属于非法吸收或者变相吸收公众存款。
根据《最高人民检察院、公安部关于公安机关管辖的刑事案件立案追诉标准的规定(二)》(公通字〔2010〕23号)中的第二十八条规定,非法吸收公众存款或者变相吸收公众存款,扰乱金融秩序,涉嫌下列情形之一的,应予立案追诉:
(1)个人非法吸收或者变相吸收公众存款数额在二十万元以上的,单位非法吸收或者变相吸收公众存款数额在一百万元以上的;
(2)个人非法吸收或者变相吸收公众存款三十户以上的,单位非法吸收或者变相吸收公众存款一百五十户以上的;
(3)个人非法吸收或者变相吸收公众存款给存款人造成直接经济损失数额在十万元以上的,单位非法吸收或者变相吸收公众存款给存款人造成直接经济损失数额在五十万元以上的;
(4)造成恶劣社会影响的;
(5)其他扰乱金融秩序情节严重的情形。
集资诈骗犯罪是以非法占有为目的的犯罪。在司法实践中,认定是否具有非法占有为目的,应当坚持主客观相一致的原则,既要避免单纯根据损失结果客观归罪,也不能仅凭被告人自己的供述,而应当根据案件具体情况具体分析。根据司法实践,对于行为人通过诈骗的方法非法获取资金,造成数额较大资金不能归还,并具有下列情形之一的,可以认定为具有非法占有的目的,应当依照《刑法》第一百九十二条的规定,以集资诈骗罪定罪处罚。这些情形包括:
(1)集资后不用于生产经营活动或者用于生产经营活动与筹集资金规模明显不成比例,致使集资款不能返还的;
(2)肆意挥霍集资款,致使集资款不能返还的;
(3)携带集资款逃匿的;
(4)将集资款用于违法犯罪活动的;
(5)抽逃、转移资金、隐匿财产,逃避返还资金的;
(6)隐匿、销毁账目,或者搞假破产、假倒闭,逃避返还资金的;
(7)拒不交代资金去向,逃避返还资金的;
(8)其他可以认定非法占有目的的情形。
集资诈骗罪和欺诈发行股票、债券罪及非法吸收公众存款罪在客观上均表现为向社会公众非法募集资金,区别的关键在于行为人是否具有非法占有的目的。对于以非法占有为目的的非法集资,或者在非法集资过程中产生了非法占有他人资金的故意,均构成集资诈骗罪。但是,在处理具体案件时要注意以下两点:一是不能仅凭较大数额的非法集资款不能返还的结果,推定行为人具有非法占有的目的;二是行为人将大部分资金用于投资或生产经营活动,而将少量资金用于个人消费或挥霍的,不应仅以此便认定具有非法占有的目的。
具体到互联网金融领域,以网络借贷平台或网络股权众筹平台等机构为例,其不具有经国务院银行业监督管理机构批准吸收存款的资质,网贷平台被银监会等机构出台的法规定性为信息中介平台。这意味着网贷平台自身不得吸收公众存款。若其从事吸收公众存款业务,则主体违法,因其主体资格不合法,故其吸收公众存款的行为亦违法;其吸收公众存款的结果破坏了金融管理制度与秩序,因而其行为后果亦违法。即便此类互联网金融机构向公众吸收的款项用于合法的经营,仍不能否定其行为违法的本质。
新司法解释的几个要点
2014年3月25日,最高人民法院、最高人民检察院和公安部印发(以下简称“两高一部”)《关于办理非法集资刑事案件适用法律若干问题的意见》(以下简称《意见》)。新的司法解释增加了互联网金融活动的非法集资入罪风险,应该特别引起互联网金融从业者的注意。该《意见》对非法集资的行政认定、社会公众以及公开宣传等概念的边界进行了明确,整体属于收紧的态势,将过去一些“疑罪”定为了有罪,特别是结合自2016年以来的互联网金融专项整治工作,对相关违法行为的打击在整体上将更加严厉,增大了互联网金融从业者的刑事责任风险,尤其应该引起从业者重视,预先防范相应风险。
一是行政认定问题。该《意见》规定:“行政部门对于非法集资的性质认定不是非法集资刑事案件进入刑事诉讼程序的必经程序。行政部门未对非法集资作出性质认定的,不影响非法集资刑事案件的侦查、起诉和审判。”“两高一部”出台的司法解释告诫互联网金融从业者不要听信地方政府的一些临时性鼓励政策或放宽政策而踩踏法律红线,一旦出现问题,政府可能把责任推给企业,企业因此将会面临危险的境地。当前,个别中部或西部地区的地方政府为了招商引资,在某些地方金融相关牌照的申请或者从事互联网金融的政策(比如工商注册的开放程度)通常要比北京、上海、杭州或深圳等发达地区更为宽松。但是,如果从业者后来因违法而被移交司法机构,参照“两高一部”的司法解释,前述地方政府较为宽松的互联网金融政策,恐怕不能成为免除从业者刑事法律风险的挡箭牌。
二是向社会公开宣传问题。该《意见》将《最高人民法院关于审理非法集资刑事案件具体应用法律若干问题的解释》第1条第1款第2项中的“向社会公开宣传”,扩大解释为包括以各种途径向社会公众传播吸收资金的信息,以及明知吸收资金的信息向社会公众扩散而予以放任等情形。原司法解释将“向社会公开宣传”限定为“通过媒体、推介会、传单、手机短信等途径向社会公开宣传”,这是将向社会公开宣传明确限定为积极主动的行为。但新的司法解释将“明知吸收资金的信息向社会公众扩散而予以放任”也列入犯罪行为,这意味着非法集资类犯罪中的犯罪客观方面被扩大化了,不仅仅再局限于主动积极行为,将“放任”也纳入其向社会公众吸收资金的认定问题。
三是涉众对象的扩大问题。该《意见》规定:“下列情形不属于《最高人民法院关于审理非法集资刑事案件具体应用法律若干问题的解释》第1条第2款规定的‘针对特定对象吸收资金’的行为,应当认定为向社会公众吸收资金:(1)在向亲友或者单位内部人员吸收资金的过程中,明知亲友或者单位内部人员向不特定对象吸收资金而予以放任的;(2)以吸收资金为目的,将社会人员吸收为单位内部人员,并向其吸收资金的。”此条将原来的刑事认定标准进行了扩大解释。对互联网金融企业和创业者来说,企业不仅要自身行为合法合规,而且必须要确保自己的员工不发生任何向不特定对象吸收资金的行为,这在小型企业中还可以适用,但对于那些有几千人、几万人的企业而言,互联网金融企业和创业者应当用制度表明自身是完全禁止违法行为、违法宣传的,否则就有入罪的风险。其次,该条第2款将社会人员吸收为单位内部人员,并向其吸收资金的也列入非法集资范畴,这样一些以商会会员、众筹网站成员等名义开展的互联网金融业务也存在了入罪的风险。
四是资金池模式是否属于非法集资类犯罪问题。严格根据法条来看,不具有金融牌照的个人和机构使用资金池模式募集资金,应属非法吸收公众存款无疑。自2015年以来,在监管者的若干表述以及各种互联金融相关监管办法中,均对资金池模式持否定态度。一些从业者对此不应抱有任何侥幸心理。
五是关于共同犯罪的问题。“两高一部”印发的《意见》中,关于共同犯罪一条中明确规定:“为他人向社会公众非法吸收资金提供帮助,从中收取代理费、好处费、返点费、佣金、提成等费用,构成非法集资共同犯罪的,应当依法追究刑事责任。”虽然司法解释表示,能够及时退缴上述费用的,可依法从轻处罚,情节轻微的可不入罪,但是诸如P2P网贷平台一旦出现风险,基本都不太可能退回大部分费用。P2P企业应当对此保持高度的警惕,对贷款标审查不严,也将有可能被入罪!除了高管,互联网金融企业的普通员工从事上述违法活动,收取各种代理费和好处费等,也可能涉嫌构成共犯,面临刑事法律风险。
相关法规目录
《最高人民法院、最高人民检察院、公安部关于办理非法集资刑事案件适用法律若干问题的意见》(2014年3月25日);《最高人民法院、最高人民检察院、公安部关于办理组织领导传销活动刑事案件适用法律若干问题的意见》(公通字〔2013〕37号);《最高人民法院关于审理非法集资刑事案件具体应用法律若干问题的解释》(法释〔2010〕18号);《最高人民法院关于非法集资刑事案件性质认定问题的通知》(法〔2011〕262号);《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体应用法律若干问题的解释(法释〔2011〕7号);《最高人民法院关于审理非法集资刑事案件具体应用法律若干问题的解释》(法释〔2010〕18号);《最高人民检察院、公安部关于公安机关管辖的刑事案件立案追诉标准的规定(二)》(公通字〔2010〕23号)。
第5节 网络及信息安全的法律风险
刑事法律风险
由于互联网金融是依托互联网而存在的新业态,因此,其首先涉及的重大法律风险便是网络及信息安全的法律风险。与之相关,国内出台了若干法律,对此问题作了详细规定。
在刑事法律风险方面,2015年8月,第十二届全国人大常委会十六次会议表决通过《刑法修正案(九)》,自2015年11月1日起开始施行。新增的犯罪行为规定涉及信息安全管理渎(失)职罪。《修正案》在《刑法》第二百八十六条后增加一条,作为第二百八十六条之一。该法规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
另外,《修正案》规定在《刑法》第二百八十七条后增加两条,作为第二百八十七条之一、第二百八十七条之二。其中,第二百八十七条之一规定,利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;(三)为实施诈骗等违法犯罪活动发布信息的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
《刑法》第二百八十七条之二规定,明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通信传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
上述新增罪名,主要涉及关于网络服务提供者的一些禁止性行为。网络服务提供者对网络安全具有排他的支配地位,其他人或机构很难进入该领域进行及时有效的安全管理。因此,法律和行政法规规定了网络服务提供者对网络安全具有监督型作为义务。如行为人能履行而拒不履行安全管理义务,应成立不作为犯罪。另一方面,在大数据背景下,如硬性要求行为人对网络信息安全进行实时全面的维护并不现实。《刑法》仅对网络服务提供者进行有限制的处罚,即需要网络服务提供者满足以下条件才成立犯罪:
(1)经监管部门通知采取改正措施而拒绝执行;
(2)情节严重,即致使违法信息大量传播、致使用户信息泄露造成严重后果、致使刑事犯罪证据灭失,严重妨害司法机关依法追究犯罪等。
行政处罚的法律风险
上述关于刑事法律风险方面的规定,应与行政部门关于信息网络安全管理方面的法规相对接。这包括工信部制定的《通信网络安全防护管理办法》,该法规明确要求通信网络运行单位(指电信业务经营者和互联网域名服务提供者)进行安全风险评估。另外,从业者亦可参考公安部2007年6月公安部等部门颁布的《信息安全等级保护管理办法》以及《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》等。工信部制定的《通信网络安全防护管理办法》和公安部发布的《信息安全等级保护管理办法》,这两个部门的规章中一些内容相互交叉,部分重复。不过,前者侧重于网络风险评估,后者侧重于信息等级保护,技术规范与标准适用的用户群体不太一样。
当然,大部分互联网金融机构皆涉及公众利益,按这两个部门规章要求,互联网金融机构应同时达到两个规章的要求,否则可能涉嫌违规。从互联网金融行业属性来说,工信部的风险评估对企业安全帮助比较大,尤其是在网络安全方面。公安部的等级保护测评偏重于信息系统安全,主要适用于大型央企、国企、政府。从2016年8月24号公布的《网络借贷信息中介机构业务活动管理暂行办法》(下文简称《办法》)看,上述两个部门规章都需要网贷平台遵守,且风险评估对申办ICP(或EDI)亦有直接作用。
具体而言,《办法》第十八条规定,网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。网络借贷信息中介机构应当记录并留存借贷双方上网日志信息、信息交互内容等数据,留存期限为自借贷合同到期起5年;每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。网络借贷信息中介机构成立两年以内,应当建立或使用与其业务规模相匹配的应用级灾备系统设施。
因此,根据《办法》的上述要求,网贷平台作为在线网络借贷服务的提供者,应尽到维护网络安全和信息安全的义务。如果经监管部门责令网贷平台采取改正措施,网贷平台拒不改正,如果致使违法信息大量传播,或者致使用户信息泄露,造成严重后果的,则可能由行政处罚的法律风险上升为面临刑事法律风险。网贷平台面临的这种法律风险,同时也完全可能适用于其他互联网金融机构。
另据《中华人民共和国电信条例》规定,任何组织或者个人不得有下列危害电信网络安全和信息安全的行为:
(1)对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改;
(2)利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动;
(3)故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施;
(4)危害电信网络安全和信息安全的其他行为。
违反上述规定,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关、国家安全机关依照有关法律、行政法规的规定予以处罚。这值得从业者一并参照。
第6节 网络及信息安全常见隐患及预防措施
如前所述,近年来,国家对网络及信息安全方面的立法越来越完善,互联网金融从业者应及时注意到国家法律的相关要求,以防范法律风险。特别是在2017年1月16日公安部发布了《中华人民共和国治安管理处罚法(修订公开征求意见稿)》。该《征求意见稿》第三十二条规定,网络服务提供者不履行下列信息网络安全管理义务,经公安机关或者其他监管部门责令改正而拒不改正的,处五日以下拘留或者一千元以下罚款;情节较重的,处五日以上十日以下拘留:
(1)用户信息登记和保护;
(2)公共信息发布审核和巡查;
(3)日志留存;
(4)发现、拦截、处置违法信息并向公安机关报告;
(5)为公安机关、国家安全机关依法履行职责提供技术支持与协助;
(6)建立和执行信息网络安全管理制度和措施;
(7)法律、行政法规规定的其他信息网络安全管理义务。
单位实施前款行为的,处五万元以上二十万元以下罚款;情节较重的,处二十万元以上五十万元以下罚款。以上七项直接与互联网金融从业者相关。
此外,《刑法》第二百八十六条规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而仍不改正,致使用户信息泄露,造成严重后果;或者致使刑事犯罪证据灭失,情节严重的;或者有其他严重情节的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。也就是说,在网络及信息安全方面相应保障手段不到位,互联网金融从业者可能面临行政法律风险甚至严峻的刑事法律风险。
根据上述法律要求,从业机构应及时自觉登记用户信息并提供保护,留存日志,并建立和执行信息网络安全管理制度和措施。互联网金融机构如果未对本平台的网络及信息安全作基本技术应对措施,没有达到国家规定的网络安全标准,一旦出现网络及信息安全问题,导致客户权益受损,恐怕并不能仅凭互联网金融机构一纸事先的单方面免责声明,即可规避损害赔偿责任。各家互联网金融从业机构应首先做好“内功”,在网络及信息安全领域配备充分的技术手段,做好常规性的网络风险与安全测评工作,将是防范相应风险的重要前提。
为此,我们调研了国内知名网络及信息安全第三方评测机构——竞远安全(广州竞远安全技术股份有限公司)。竞远安全的资深工程师基于以往大量测评实例,整理了互联网金融企业常见的各类安全问题,并提出相应预防应对措施,供从业者参考。
系统与运行环境存在的安全漏洞
系统与运行环境存在的安全漏洞主要包括如下几项:
(1)弱口令,比如将常见好记的数字或英文字母组合设置为用户密码(包括纯数字、生日、手机号码或英文单词等,如123456、admin、abc123)。
(2)远程溢出漏洞,如openssl heartbleed漏洞、ghost幽灵漏洞。
(3)远程代码执行漏洞,如Java反序列化漏洞。
(4)不安全配置,如redis未授权登陆漏洞、mongodb未授权访问漏洞。
业务系统存在的缺陷及可能导致的安全隐患
业务系统存在的缺陷及可能导致的安全隐患主要包括如下几项:
(1)越权访问漏洞,可能导致修改交易号、借款号、合同号、债券转让编号等,查看别的客户交易投资信息。
(2)XSS漏洞,由于未对用户的输入进行脚本过滤或者输出时进行HTML编码输出,导致浏览器的HTML脚本执行,从而泄露用户隐私数据。
(3)代码执行漏洞,如ImageMagick远程代码执行漏洞。
(4)信息泄露漏洞,SVN源代码泄露,页面代码中包含开发人员的手机、邮箱等信息。
(5)文件上传漏洞,对用户上传的文件未进行文件后缀、上传路径、文件大小、文件类型的安全处理和未禁止上传目录的代码执行,而导致任意文件上传漏洞(如uploadify漏洞),从而使网站被攻击。
(6)内容管理系统出现遗漏:
❑ 使用第三方厂商提供的交易系统,漏洞出现的位置一致,甚至可能存在上一家购买交易系统的公司信息。
❑ 没有对交易系统进行安全代码审计,公司内部没有人对交易系统熟悉,仅仅在原有基础上进行构建,存在的安全问题无法得到解决。
❑ 公司内部人员离职,没有进行任何交接,后入职的员工仅能在原有基础上开发,没有进行代码审计,存在的安全问题无法得到解决。
❑ 公司内部人员离职后,交接完毕未进行修改密码或未进行信息系统交接,导致信息系统的账号密码依旧,离职人员仍可通过原密码进入公司的信息系统。
(7)CMS漏洞。
(8)逻辑漏洞,如短信炸弹、重置密码缺乏验证。
(9)SQL注入漏洞,由于未对用户的输入进行安全处理,用户可直接进入数据库查询,从而导致SQL注入。
(10)暴力破解。
(11)不安全的数据传输,使用HTTP GET传输账号密码或未加密传输用户敏感信息,如密码、银行卡、身份证、E-mail等,导致信息泄露。
(12)任意文件读取漏洞,未对文件的路径及类型做出判断,导致可任意下载文件,致使敏感信息泄露。
(13)不安全的会话配置,比如,Cookies未配置HttpOnly可能导致会话凭据的泄露等。
(14)App安全问题:
❑ Webview远程代码执行漏洞。
❑ 密钥硬编码(加密数据的密钥直接硬编码到代码中,导致加密数据可被还原)。
❑ 加密证书/Webview SSL证书弱校验(使用HTTPS加密传输用户数据时未验证加密证书对应的主机名是否一致,导致会话凭据的泄露)。
❑ SharedPrefs明文存储(android存储在sharedprefs的信息未进行加密)。
❑ Webview明文存储密码(Webview未配置禁止保存密码)。
❑ 调试信息/异常打印(开发者在进行发布打包时未禁止或者清除日志的输出,未捕获异常或者异常信息的直接输出,导致敏感信息的泄露)。
❑ 第三方SDK漏洞,如WormHole漏洞。
网络及信息安全管理的缺陷
网络及信息安全管理的缺陷包括如下几项:
(1)业务操作不规范:
❑ 未经安全测试的新功能直接上线。
❑ 测试环境与生产环境数据一致。
❑ 备份数据存放在个人电脑或源服务器上。
❑ 开发人员拥有后台管理权限,甚至服务器权限。
❑ 中间件数据库未设置密码(或设置弱密码),即直接对外开放。
❑ XcodeGhost编译器后门(开发人员通过非官方渠道或者P2P下载工具进行下载安装Xcode,导致应用嵌入了恶意代码)。
(2)网络架构不完善:
❑ 单点故障。
❑ 无故障切换。
❑ 无异地容灾。
❑ 无独立备份。
❑ 无日志审计。
❑ 无性能监控。
❑ 无统一鉴权。
❑ 无漏洞扫描。
❑ 无病毒检测。
❑ 无隔离措施。
(3)人员配置不全:安全人员配置单一,部分企业仅仅配置了开发人员,安全运维都由开发人员兼职,只能应对初级、简单形式的安全问题。
(4)应急方案缺失:目前,还没有高效的、成熟的应急方案来应对突发的互联网金融安全问题,包括但不限于紧急预案、报警流程、事后的弥补措施等。
(5)容灾方案缺失:部分企业仅将数据备份在生产服务器上,没有独立的数据备份服务器,无法应对加密勒索恶意木马的威胁,甚至当机房出现故障时,无法正常开展业务。
部分预防措施
部分预防措施如下:
(1)定期常规安全测评,涉及系统与环境漏洞、网站常规漏洞等。
(2)业务逻辑分析,涉及控制流与数据流分析、污点传播分析、逻辑流对比分析。
(3)App安全分析,涉及常规漏洞检测、代码层分析、第三方库安全性分析等。
(4)定期安全巡检。
(5)制定并定期演练应急预案。
(6)制定数据容灾方案。