我國手機銀行的風險分析及防范策略

摘要：手機銀行作為一種實體銀行的虛擬工作環境，其潛在的風險遠遠高于傳統銀行。本文從手機銀行發展歷程和業務特點出發，對我國手機銀行現狀進行分析，并進一步對手機銀行存在的風險進行分析，在此基礎上提出相應的安全策略。本研究對于如何更好發展手機銀行、有效防范和控制手機銀行風險，具有現實意義。

關鍵詞：手機銀行 風險分析 安全策略

一、手機銀行的發展歷程和業務特點

1996年9月，捷克斯洛伐克推出了世界上第一個商業性手機銀行產品1，邁出了全球移動金融服務的第一步。此后，美國銀行、富國銀行、德意志銀行等國際著名金融機構相繼展開了針對手機銀行的業務創新，并逐漸發展成為今天全球手機銀行領域的領跑者。國內手機銀行則從21世紀初起步，當時工商銀行、中國銀行、建設銀行、招商銀行分別與中國移動、中國聯通合作，陸續推出了基于短信方式的手機銀行。十年來，伴隨著移動通信和終端技術的持續升級，全球手機銀行也不斷更新換代，展現出商業銀行移動金融服務的創新魅力。

總體而言，手機銀行業務發展可分為三個階段2：一是短信手機銀行（2000-2003年），客戶向銀行發送指定格式的短信，使用賬戶查詢、繳費等簡單的金融服務。二是WAP手機銀行（2004-2009年），這一時期移動互聯網門戶蓬勃發展，CNN、新浪等一系列傳統互聯網信息服務商紛紛推出手機網站，銀行業隨之研發了基于WAP技術標準的手機銀行產品，與短信相比，WAP手機銀行具有圖形化操作界面和加密機制，產品功能相對豐富，客戶體驗也更加流暢。三是客戶端手機銀行（2009至今），智能手機的研發和普及引領全球手機銀行進入了一個嶄新的應用時代。這一階段，一系列革命性的創新讓整個世界為之驚嘆，特別是IPHONE手機和蘋果應用商店的問世徹底顛覆了人們對手機的認識。美國銀行、富國銀行等著名的金融同業迅速響應“手機PC化”潮流，相繼在蘋果商店部署了針對IPHONE手機的金融應用。這些客戶端手機銀行不僅提供金融服務，更融合了“多點觸控”、“重力感應”、“位置服務”等先進的終端特點，為客戶帶來隨時、隨地、隨身、煥然一新的金融體驗。

同時，作為電子銀行大家族的一員，手機銀行蘊含了特有的業務價值。首先，手機銀行是吸引優質客戶的殺手锏。高端客戶更希望享受靈活、便捷的貼身金融服務，而手機銀行高度差異化、以服務為導向、具有貼身體驗的服務模式成為吸引中高端客戶的一大利器。其次，手機銀行是節約經營成本的好幫手。手機銀行通過終端和通訊網絡響應客戶需求，無須依賴密集的物理網點，可以節省大量的硬件和人力成本。按照業內認同的估算法則，每筆柜面業務成本相當于手機銀行的6-10倍。最后，手機銀行是商業銀行參與未來競爭的通行證。未來銀行的規模不再以網點數、員工數衡量，憑借低廉的上網成本、先進的手機終端以及開放的客戶優勢，手機銀行將驅動商業銀行業務模式發生新的轉型和變革，也勢必將成為中外銀行爭奪的焦點。

二、我國手機銀行的發展現狀分析

根據《2011年中國手機銀行用戶調研報告》調查結果顯示3，手機銀行業務在手機網民中的使用率有顯著提高，2010年7月的調查結果為36.8%，2011年2月已經升至52.2%。同時，手機銀行業務開始逐漸向中年人群擴散，相對應的，目前手機銀行用戶的個人月收入均高于去年7月用戶的收入水平。人群結構的優化，預示著手機銀行業務良好的發展前景。

資料來源：3G 門戶《2011 中國手機銀行用戶調研報告》

通過對不同手機銀行用戶的個人月收入分布可以看出，經常使用手機銀行業務的用戶的個人月收入偏高，其中，個人月收入5000元以上的比例為15.4%，2500元以上的比例為52.2%，均高于偶爾使用手機銀行業務的用戶4 。事實上，經常使用手機銀行業務的用戶由于收入偏高且手機銀行使用頻率高，必然成為手機銀行業務的核心客戶，這一較為富裕的目標群體將在很大程度上促進手機銀行業務的繁榮。

資料來源：3G 門戶《2011 中國手機銀行用戶調研報告》

在對手機銀行用戶對手機銀行使用的情況分析來看，工商銀行手機銀行的使用率依然最高，達35.1%，建設銀行緊隨其后，為35.0%。通過進一步的分析發現，在經常使用手機銀行的用戶中，對建設銀行手機銀行的使用率（37.4%）略高于對工商銀行的使用率（36.0%），這表明建設銀行的用戶相對養成了使用手機銀行的習慣。另外，農業銀行與中國銀行的使用率在這半年中都有顯著提升，不斷縮小與行業領跑者的差距。

資料來源：3G 門戶《2011 中國手機銀行用戶調研報告》

在本次調研中，對不同人群最常使用手機銀行功能的指數分析表明，在校學生更傾向于經常使用手機銀行支付功能，較少使用手機理財功能；行政/事業單位、國企干部更傾向于使用手機銀行的轉賬匯款功能、繳費功能、信用卡功能和理財功能，尤其是理財功能；行政/事業單位、國企職工經常使用信用卡功能和理財功能的傾向性也非常明顯；外企/民企中高級主管則更傾向于經常使用信用卡功能；私營企業主經常使用手機銀行信用卡功能的傾向性顯著。

資料來源：3G 門戶《2011 中國手機銀行用戶調研報告》

本次調查發現，超過一半的用戶希望手機銀行能夠提供完善的商城購物服務，這表明用戶對商城購物有較大的潛在需求。而使用過手機銀行商城的用戶占到了64.3%，其中，10.8%的用戶經常使用，31.4%偶爾使用，22.1%很少使用。這其中行政/事業單位、國企干部、外企/民企中高級主管和私營企業主經常使用手機銀行商城服務的傾向性顯著，外企/民企職員的使用意向較為明顯，而在校學生和農民群體很少使用，且農民群體不打算使用手機商城的傾向非常明顯。

資料來源：3G 門戶《2011 中國手機銀行用戶調研報告》

根據用戶調研數據分析，超過四成的手機銀行用戶能夠接受對金融產品如手機炒股和手機支付實行收費，同時，有約兩成的用戶能夠接受對手機游戲和手機地圖導航實行收費。這表明，對特定的手機應用服務收費能夠得到部分用戶的接受和認可。

資料來源：3G 門戶《2011 中國手機銀行用戶調研報告》

另外，手機銀行用戶使用手機支付時，首選的是WAP頁面，56.1%的用戶更愿意采用這種形式。其次是手機客戶端，其比例為44.4%。近場支付（手機刷卡）這種支付形式較為新穎，愿意使用的用戶比例僅占17.3%。此外，有15.9%的人以上三種方式都能接受。

資料來源：3G 門戶《2011 中國手機銀行用戶調研報告》

而手機銀行用戶在使用手機支付時傾向于小額支付，超過7成的用戶使用手機銀行支付時的最高額度在1000元以下，其中，還有接近一半的用戶使用手機銀行支付時的最高額度為500元。當然，調查也顯示，超過1成的用戶的最高額度在1萬元及以上。

與2010年7月發布的《2010中國手機銀行用戶調研報告》相比，手機銀行業務在手機網民中的使用率有顯著提高。一方面，手機上網大環境逐漸形成，移動互聯網產業鏈上的各類企業都在提供更好的服務，中國的消費者逐漸接受和喜愛用手機來服務生活的方式；另一方面，各大銀行積極推廣手機銀行業務，不斷提升手機銀行用戶體驗，同時給予消費者各種優惠措施，這些都促使手機銀行業務發展進入了快車道。這不僅預示著手機銀行業務良好的市場前景，更為中國手機銀行業發展加速前行。

三、手機銀行的風險分析

對手機銀行而言最為關鍵的風險集中于三方面：技術風險、法律風險和信譽風險5。

（一）手機銀行技術風險

1.技術選擇風險。手機銀行業務的開展需要以相應軟硬件平臺為支撐，因此，銀行就必須選擇特定的技術解決方案。某種技術方案在設計上潛在的缺陷或漏洞，在實際運行過程中都會使銀行面臨實際風險。當前，各種手機銀行解決方案層出不窮，各技術方案提供商都在推薦各自產品中不遺余力。銀行選擇與哪家公司合作，采用哪一種解決方案，成為銀行面臨的潛在風險。一旦選擇失誤，則可能使其手機銀行業務處于技術陳舊、使用不便的競爭劣勢，造成巨大的技術機會損失，甚至巨大的商業機會損失。

2.信息的泄露、丟失和被篡改。由于手機銀行需要通過無線和有線網絡來傳遞信息，因此，攻擊者可能通過搭接、在電磁波輻射范圍內安裝接收裝置等方式，截獲在移動通訊和固定網絡上傳輸的機密信息。

3.拒絕服務攻擊。通過特定裝置持續對手機銀行服務系統進行干擾，改變其正常的服務流程，或執行無關程序使系統響應速度減慢甚至癱瘓，使合法用戶無法正常進入手機銀行系統或不能得到相應的服務。

4.病毒攻擊。現階段手機銀行面臨的病毒威脅，不但有在計算機網絡中傳播的計算機病毒，還包括在移動網絡中傳播的手機病毒。計算機病毒的入侵便往往會造成網絡主機系統崩潰，數據丟失等嚴重后果。并且計算機病毒普遍具有再生異化功能，可通過網絡進行擴散、傳播，如不能對病毒進行有效防范，將會毀壞所有數據，給銀行網絡系統帶來致命威脅。目前，手機病毒的危害主要限于破壞手機功能、清除用戶手機中記錄信息等方面，但是，從理論上講也存在通過手機病毒竊取用戶機密信息的可能。

（二）手機銀行法律風險

手機銀行的法律風險來自違反法律、法規的可能性，以及有關交易各方的法律權利和義務的不明確性。手機銀行給銀行零售業務帶來了相對較新的特點，而交易各方的權利和義務在某些情況下還未確定。目前，我國消費者保護法對手機銀行運作的適用性還不明確，并且，客戶通過電子媒介所達成協議的有效性也具有不確定性，這些都會引發手機銀行法律風險。

在客戶信息披露和隱私權保護方面，手機銀行也面臨著法律風險。如果銀行沒能完全地告訴客戶其權利和義務，當客戶與銀行間發生糾紛時，客戶就會對銀行提出法律訴訟。

手機銀行屬于新興事物，大多數國家和地區都沒有配套的法律法規與之相適應，因此，銀行在開展手機銀行業務時基本處于無法可依的狀態，其潛在風險不容忽視。

（三）手機銀行信譽風險

所謂信譽風險，是關于銀行的負面公眾輿論引發的銀行客戶或資金嚴重流失風險。信譽風險包括使公眾對銀行整體運行產生持續負面印象的行為，這些行為嚴重地損害了銀行建立和維持客戶關系的能力。如果公眾對銀行處理臨界問題的能力喪失信心，也會引發信譽風險。

對開展手機銀行服務的銀行來說，提供一個可靠的服務平臺是至關重要的。如果金融機構不能持續地提供安全、準確和及時的手機金融服務，銀行的信譽將受到損害。尤其值得重視的是，為了提供手機銀行服務，商業銀行必須與第三方（移動公司）合作，因此，第三方的服務質量也會影響客戶對銀行的評價。例如，妨礙客戶訪問其資金或賬戶信息的嚴重的通訊網絡故障，將造成客戶對手機銀行服務的懷疑和對銀行的不信任。

四、手機銀行的風險防范及安全策略

（一）手機銀行技術風險防范

1.數據保密性。一般來說，一些安全機制已經在手機以及無線通訊網絡的設計中被考慮，但是，這些無線傳輸的基礎結構如GSM的加密技術較為簡單，比較容易被解密。這些基本的傳輸層安全機制對于機密和敏感信息，如個人身份號碼（personal identification number， PIN）和密碼的保護往往是不夠的，因此，端對端（End-to-end）的應用層加密對于傳輸敏感信息來說必不可少6。這種端對端的應用層安全機制，用來保證敏感信息從輸入設備開始到接收端為止的全程數據安全加密，并且敏感信息不能在網絡系統、服務器、網關和其他傳輸通道中使用明碼。加密、解密和相關的鑒定處理也應當由專用的設備和程序來保證。

2.系統和數據完整性。當客戶的手機從無線信號良好的地區進入覆蓋不好的地區時，往往會發生信息延遲和通訊失敗所帶來的數據不完整。因此，移動通訊系統中應當提供相應的機制，用來防止這種數據不完整的發生。無線基礎設備包括操作系統、載波通道、各種應用軟件、手機終端、網關、服務器、主機和處理設備，這些設備時時面對惡意手機編碼如手機病毒以及其他惡意攻擊的威脅，因此，手機銀行系統應當配備適當的安全措施如防火墻、侵入竊密檢測系統、監視控制系統和快速恢復機制保證數據安全。為了保證手機銀行系統的完整性，完整性機制應當能夠對系統、文件編碼進行完整性檢測，用以保證所有的未經授權的軟件和硬件篡改都被禁止。在數據傳輸過程中，數據不完整或傳輸失敗的情況都應當及時記錄分析，以便找到系統中的安全漏洞。

3.身份鑒別。當手機銀行客戶需要輸入密碼和個人身份號碼時，數據應該立即被加密編碼，同時必須保證機密信息傳輸的單向性。在這一過程中，敏感信息不能在手機終端上被顯示，用以防止密碼被其他人看到。為了保證加密和身份鑒定通訊過程中的數據完整，當手機通訊線路傳輸特性突變或通訊過程被阻斷發生時，系統應當重復進行身份鑒定過程。為了保證手機銀行的操作過程是按照客戶意愿來進行的，手機銀行系統一般都具備客戶確認機制，具體方法是當用戶輸入某種操作后系統將這些操作顯示在他們的手機上，這就增大了信息被竊取的風險。由于這些信息對于手機銀行和客戶來說往往是非常重要的，因此用戶要定期變動這些個人信息。

4.難恢復性。手機銀行的災難恢復包括數據災難恢復和系統災難恢復。數據災難恢復就是面對自然災害、計算機系統遭受誤操作、病毒侵襲、硬件故障、系統攻擊等事件后，將用戶數據從各種“無法讀取”的存儲設備中拯救出來，從而將損失減低到最小，使系統能夠重新投入運行。系統災難恢復就是裝備必要的恢復和后備系統，這些備份的軟、硬件和輪換部件可以保證系統的可恢復性和高系統可靠性，將系統故障所造成的服務中斷風險降低到最小。災難恢復策略包括對災難風險的評估、尋求解決方案、執行計劃和維護計劃。

5.操作不可否認性?？蛻裘看螛I務操作的信息均由用戶的私人密鑰進行數字簽名，因為用戶的私人密碼只有用戶自己才有，所有信息的數字簽名就如同用戶實際的簽名和印鑒一樣，可以作為用戶操作的證據。并且，在客戶義務操作過程中的各種數據信息，如移動公司的通訊記錄信息，也可作為確認客戶身份的輔助手段。

（二）法律風險的防范

手機銀行業務處理上應充分利用我國現行的《合同法》、《會計法》、《票據法》、《支付結算辦法》等法律來擬定手機銀行相關協議，制定有關業務流程和業務處理規定。技術安全上充分利用目前執行的關于信息技術安全方面的行政法規，如《中華人民共和國計算機信息系統安全保護條例》、《金融機構計算機信息系統安全保護工作暫行規定》等。商業銀行應注重交易數據包括電子數據和紙質憑證的保管，認真研究其作為證據的合理性，爭取得到合理認定，為可能的糾紛或訴訟過程做好必要準備。

（三）信譽風險的防范

防范信譽風險的重點是防范操作風險和利用手機銀行進行金融欺詐的行為。操作風險主要來自銀行內部，應完善手機銀行內部控制制度，建立科學的操作規范和嚴格的內部制約機制，保證管理員與經辦員分離、程序員與操作員分離、制作者與執行者分離，任何進入系統的操作必須在系統運行記錄中記載。在防范利用手機銀行進行金融欺詐方面，以往我們一直把監控業務的重點放在對個人服務的零售業務上，隨著手機銀行業務的不斷拓展，應適時對登錄手機銀行的重點客戶加強監控，尤其應對巨額資金的大進大出的背景進行監控。按照巴塞爾協議監管核心原則和《關于洗錢、扣押、沒收犯罪所得公約》等國際條約，手機銀行應進行交易跟蹤，通過數據挖掘軟件，對可疑資金交易進行分析，防范利用手機銀行進行非法資金交易。

五、結語

我國的手機銀行體系無論是銀行還是運營商都不能滿足客戶的需求。隨著3G時代的到來，各個商業銀行都看到了手機銀行的潛在商機，紛紛開通了手機銀行業務。但是作為虛擬環境交易的載體，手機銀行存在的風險不容忽視。各商業銀行在開展手機銀行業務的同時，也要對手機銀行存在的風險加以管理和控制。同時監管部門也應該加強監管，按照《電子銀行業務管理辦法》和《電子銀行安全評估指引》對手機銀行業務進行有效的監管，形成有效的監管體系對手機銀行業務的發展是非常重要的。

參考文獻：

1 庾力， 陳繼明， 王瑱. 中國手機銀行發展：現狀、問題及對策[J]，《西部金融》，2012（04）：13-23.

2 熊俊，陸軍.國內和歐美手機銀行業務發展的實踐與創新[J]，《金融論壇》，2011（03）：64-67.

3 2011年3月17日3G門戶網發布的《2011中國手機銀行用戶調研報告》， http：//tech.qq.com/a/20110318/000209.htm.

4 胡素青. 超五成手機用戶使用手機銀行——解讀《2011中國手機銀行用戶調研報告》[J]，《金融科技時代》，2011（5） ：32-34.

5 張紀.國際手機銀行發展、風險分析與安全策略[J]，《國際金融研究》，2006（03）：68-72.

6 劉恩茂，孫英雋，陳妍.手機銀行業務風險分析和防范研究[J]，《金融經濟》，2011（10）：51-53.

基金項目：上海市教委重點學科建設項目（J50504）；上海市社科項目（2009BJB031）；上海市教委重點課程建設項目《商業銀行經營管理》；上海理工大學核心課程建設項目《商業銀行經營管理》；上海市研究生創新基金項目（JWCXSL1102）。