信息安全管理办法及细则精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的信息安全管理办法及细则主题范文,仅供参考,欢迎阅读并收藏。
第1篇:信息安全管理办法及细则范文
1 引言
随着医院的发展和信息化的进步,信息系统渗透到医院的各个角落。医院的医疗业务、教学、研究对信息系统的依赖性是不容置疑的。医院的信息安全不仅是保证医院有效秩序的前提 ,还是保障医院的财务管理等方面巨大的支撑,并且安全的医疗信息数据才能够有效地提高病人的治疗效果、维护病人的权益。因此加强管理和监控,加强医院有关信息安全系统方面的建设 ,是医院良好有序发展的前提以及客观要求[1]。因此对信息安全的认识从方方面面都得到了前所未有的重视。作为走在信息安全研究前列的大国,美、俄、日等国家都已制定自己的信息安全发展战略和计划,确保信息安全沿着正确的方向发展。2000年初美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月日本信息技术战略本部及信息安全会拟定了信息安全指导方针。2000年9月俄罗斯批准了《国家信息安全构想》,明确了保护信息安全的措施。
我国对信息安全研究起步较晚,目前已初步建成了国家信息安全组织保障体系[2]。我国在1994年颁布了《中华人民共和国计算机信息系统安全保护条例》。在以后的十几年中,国家又出台了多个法律、法规,对信息安全等级保护的具体内容、职责和工作方法做了具体的规定。在2007年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室出台了《信息安全等级保护管理办法》。首都医科大学附属医院北京妇产医院(以下简称“北京妇产医院”)正是借着《信息安全等级保护管理办法》的实行,促进了院信息安全工作的发展,提高了信息安全的水平。从2007年到今天,院信息安全等级保护工作已经走到了第十个年头。这十年信息安全建设大约分为两个阶段。
2 第一阶段:夯实制度基础,加强边界防护
北京妇产医院于2007年10月根据《信息安全等级保护管理办法》的要求和医院的实际情况,把医院的核心系统HIS和LIS系统定为二级系统。在随后的几年中严格按照等级保护二级系统的规范进行建设。
2.1 制定和完善制度,促进安全管理
任何技术都只是手段,而人是最重要的因素,能把两者有效的、高效的结合在一起的是管理。管理又是通过制度实现的。参照等级保护的要求,增加制定了网络安全管理制度、计算机病毒防治管理制度、业务网络安全管理规定、信息安全数据使用授权制度和重大信息安全事件报告制度等制度,基本做到了制度完备。通过信息安全管理相关规范的制订与,确立信息安全方针,对信息安全管理体系文档的制订、、修订、评审进行约定,以保证信息安全管理规范文档的严肃性。通过制订全院统一的信息安全策略,有效指导信息安全管理与技术工作的开展,为全院建立了统一的信息安全策略标准。
2.2 提高信息安全意识
在领导层面,北京妇产医院建立了医院信息系统安全领导小组,明确信息安全工作由院长负责,成员包括信息科、院办、医务科等相关科室领导。在基层层面,根据技术专长和日常工作把工作人员安排为信息安全管理员、安全审计员、系统管理员等。这样不仅使每个人了解信息安全,还要负责信息安全的事,同时也让工作人员时时刻刻有信息安全的意识,还把信息安全内容纳入到每年进修人员和新入职人员培训日程之中。
2.3 加强中心机房的安全建设和管理
北京妇产医院参照《信息系统安全等级保护基本要求》进行信息化基础设施建设。中心机房配置门禁系统,机房出入口安排专人值守,控制、鉴别和记录进入的人员。外来人员进出机房须获得机房管理员的授权,对人员及设备进出情况进行记录。中心机房内服务器、网络设备均安置在机柜内并固定,对设备与走线进行了标识。中心机房设置防盗报警系统、视频监控系统、自动消防系统、空调周围安装漏水检测报警系统等物理安全设备。目前中心机房物理环境基本达到了等级保护三级系统所要求的物理环境,物理安全防护措施相对完善。
2.4 部署了基线网络监控管理系统
此系统能够通过SNMP协议获得被监控网络设备、服务器、通讯线路、网段、应用等有关信息,包括系统信息、网络连接、TCP连接、程序运行、 ARP表、路由表以及CPU负荷等。网络管理员可以通过此系统对全网络可以实时的监控。此系统还可以对IP地址的全局使用情况有一个清晰准确的统计,对于 IP地址使用的管理、分配都可以起到很好的辅助作用。
2.5 部署了桌面管理系统
此系统能够远程维护、远程控制为网络的管理、维护与故障诊断提供了全方位的平台。在管理、维护或故障排除需要时,网络管理员可以通过本功能远程登录客户机,当服务器显示客户机桌面后,即可以对其进行相应的操作。通过桌面管理系统可以管理外部设备,我院业务网禁用了U盘、软驱、光驱、UBS等各种各样的外部存储设备,减少病毒通过外部存储设备进入到业务网中的可能。通过桌面管理系统指定部分关键终端进行IP地址绑定,进一步提升了业务网的安全性。桌面管理系统还不断地进行更新、升级,以提升网络的防护水平。
北京妇产医院通过信息系统的等级保护定级工作,对医院的信息安全状况进行了一次较为全面的摸底,认识到自身信息安全水平和问题所在。针对信息安全投入了相当的力量,通过以上和其他措施加强了防篡改、防病毒、防泄密等方面的安全,提升了业务网的边界防护能力,使其处于基本安全的环境中。
3 第二阶段:持续性推进,再上台阶
2007年至2012年,北京妇产医院年门诊量从7万人次增长11万人次;年出院人次从2.5万人次增长到约3万人次;病房手术人次从1.9 万人次增长到2.5万人次。HIS系统的主要用户医生、护士、医技人员也从500余个增加到约1200余个。HIS系统的应用大大提高了医院工作效率,使医院的资源得到了更合理的优化配置。但是同时对信息系统的依赖性越高,也就对信息系统的安全有了更高的要求。在2012年《北京地区卫生行业信息安全等级保护工作实施细则》中提出:“三级甲等医院的核心业务信息系统的安全保护等级原则上不低于第三级”。针对过去的问题和三级的要求,积极进行整改和推动信息安全工作,在2014年将核心系统 - HIS系统原定级2级提升为3级系统。
3.1 确定保护对象及其区域边界,打好建设基础。
根据北京妇产医院业务的发展需要,原有的内、外网物理的隔离的网络拓扑将随着区域卫生平台、网上预约挂号等业务的推进而发生结构性的改变。如图1所示。
因此,医院原有相对独立的业务网将会受到来自互联网以及其他第三方网络威胁源的攻击。北京妇产医院与时俱进,根据《信息系统安全等级保护基本要求》首先确定了保护对象及其区域边界。根据医院信息系统的计算环境划分情况,围绕信息系统确定出区域边界:
(1)东院业务域计算环境区域边界;
(2)西院业务域计算环境区域边界;
(3)东院终端控制域计算环境区域边界;
(4)外网业务应用域计算环境区域边界;
(5)内网数据交换前置域计算环境区域边界;
(6)外网无线网络域边界;
(7)安全管理域计算环境区域边界;
(8)内网办公终端域计算环境区域边界;
(9)外网办公终端域计算环境区域边界。
保护对象及其区域边界的确定,为以后的计算环境、区域边界、通信网络等安全保护设计和实施奠定了坚实地基础。
3.2 完善日常安全管理,切实落实安全制度
北京妇产医院以前更多地关注技术的提升,有了等级保护要求之后,使得大家能全方位来看待信息安全。从安全管理平台角度来看,技术安全和管理安全同等重要,而在实际工作中,网络维护人员常常忽视管理层面的安全防护,如安全制度的建立和长期执行,机房登记制度等[3]。
北京妇产医院的信息安全制度根据实际情况进行不定期修改,使其具有科学性和可操作性。为保证信息安全制度及各种安全管理手段与技术的落实,信息科制定了完善的巡检制度。巡检人员按规定时间、内容及技术路线对设备进行巡回检查,巡检的内容涵盖了全院。硬件包括中心机房的服务器、交换机;门诊大厅的自助打印机、排号机;中心机房和各个楼层设备间的环境监控和消防等,软件包括数据库监控、病毒监控和移动存储设备的监控;磁盘空间容量、系统运行情况等。巡检人员每日巡检项目11大类504小项,巡检内容还要及时向上级进行反馈,以保证各种安全隐患的得到及时处理。同时还记录每天的程序改动、软件问题等信息,便于事后追溯。
3.3 提高数据备份与恢复能力,降低安全事件带来影响和损失
北京妇产医院原有利用东、西两院区各自独立的机房,采用了后台磁盘阵列之间的远程镜像技术,实现东、西两院区数据同步和远程容灾。通过存储在不同存储设施上的镜像数据,可以实现医院内部关键业务数据的备份与快速恢复。医院对数据保护的方式主要是采用双机高可用和备份系统。但是,双机热备系统也只能避免由于网络故障、服务器故障、物理硬盘故障造成的系统停机问题,如果应用数据受到病毒感染、人为误删除、黑客攻击、甚至是共享磁盘阵列故障,应用系统也是无法运行的。
随着等保工作和信息化建设的推进,医院又配置了CDP保护设备,实现重要数据实时保护;1-3分钟内找回丢失的数据,同时可以恢复到毫秒级的数据版本状态,保障核心业务数据的完整性、一致性、可用性,从而保证核心业务系统正常、稳定、连续运行;数据恢复过程简单方便;后端重建系统,无停机时间;仅复制上次复制后已更改的增量数据,进行有效的系统及数据备份;大大缩短恢复过程,从而减少停机时间并保持生产力;如果出现应用程序故障或硬盘崩溃,可以可靠地捕捉启动应用程序服务器所需的数据。CDP设备部署如2图所示。
CDP设备不仅能够轻而易举的实现本地的应用系统保护和恢复,而且能够很轻松的将保护延伸到远程,建立起更为强大的异地容灾系统。
4 结束语
信息安全是动态的,随着技术的发展而变化。信息安全防护没有完全单一而又绝对保险的安全措施[4]。如果墨守成规,止步不前,必然会影响信息安全的整体水平。每年按照等级保护的要求进行自查,可以让医院查缺补漏,对医院的信息安全是很好的督促。医院在等级保护制度的指导下,持续性的推进信息安全工作,必然会明显地降低信息安全的风险。等级保护制度还促进了卫生行业信息安全建设的标准化和规范化。我们有理由认为信息安全等级保护制度对医院信息安全的建设、管理等方方面面都有极大的促进作用。
第2篇:信息安全管理办法及细则范文
尊敬的领导:
2018年,xx严格按照集团公司“稳中提质、改革创新”总要求,围绕安全生产、经营管控、风险防控等工作重点,从信息化管控、系统建设、应用推广、运行维护等方面开展信息化工作,较好的发挥了信息系统在生产监控、过程管理和辅助决策方面的作用。现将主要工作情况汇报如下:
第一部分 信息化管控
一、信息化管理制度建设情况
公司共制定有《xx信息化管理办法》、《xx网络安全管理制度》、《xx计算机管理办法》、《xx软件正版化管理办法》、《xx办公自动化系统使用管理办法》、《xx应用系统数据管理办法》等有关规划、项目、基础设施、应用系统和运行维护的信息化管理制度18项,较好的指导和规范了公司信息化建设。
2018年重新修订完善了硬件资产管理办法、应用系统运维管理办法、信息化管理办法、微信、QQ群组管理办法、报废计算机和计算机耗材废旧污染物品管理办法、网络信息安全管理办法等6项信息化管理制度。
二、信息化资本支出计划情况
(一)2018年信息化资本支出计划完成情况。
按《xx关于下达2018年度资本支出计划(信息化专项)的通知》要求,严格监控审核各类信息化资本支出项目的执行情况,督导各单位资本支出计划按进度完成。2018年各类信息化计划资本支出费用为537.2万元,截至10月底,完成了346.43万元,预计11-12月份完成122.13万元,全年总计完成468.56万元,计划完成率为87.22%。
1、审核类项目
xx审核类项目共计8项,分别为工艺动画展示软件、SaaS门户网站防护软件、龙软地测空间信息管理系统、病案管理系统、生化检验血库管理软件、预防保健数字化门诊系统、远程控制软件、综合管理系统(二期)。
(1)综合管理系统(二期),合同额120万,2018年计划完成80万元,按合同约定,已完成第一阶段付款36万元,按照开发进度及合同约定,12月份将完成第二阶段付款36万元,完成了预算目标。
(2)山不拉煤矿龙软地测空间信息管理系统,预算金额为30万元,实际支出30万元,完成了预算目标。
(3)职工医院病案管理系统预算金额为15万元,计划12底前购置完成。
(4)职工医院生化检验血库管理软件预算金额4万元,实际支出4万元,完成了软件的购置。
(5)职工医院预防保健数字化门诊系统软件预算金额为8万元,实际支出为7.51万元,完成了系统软件的购置。
(6)特凿公司工艺动画展示软件预算金额为15万元,实际支出15万元,完成了软件的购置。
(7)特凿公司SaaS门户网站防护软件预算金额为8万元,计划12月底前购置完成。
(8)培训中心远程控制软件预算金额为2万元,计划12月底前购置完成。
2、备案类项目
备案类重点项目有3项,分别为笔记本电脑购置38台,24.58万元,台式机购置116台,74.89万元,打印机购置71台,23.43万元,合计占备案总预算的62.48%。
3、费用类项目
重点费用类项目有1项,为线路租赁费用,公司共有广域网专线9条,互联网线路13条,年租赁费用为87.64万元。
(二)2019年信息化资本支出计划情况。
1、基本情况。2019年各类信息化资本支出费用预计为1261.9419万元,其中审核类费用预计773.15万元,备案类费用预计320.78万元,费用类预计168.0119万元。
审核类中,BIM分中心建设项目318.55万元,BIM分中心配套机房及网络改造项目139.6万元,山不拉煤矿安全监控系统升级改造项目186万元(说明:地方政府要求在2018年底完成,专项请示在2018年增列计划,由于时间太紧,只能将计划在2019年列支)。
第二部分 信息系统建设应用
三、综合管理系统(二期)建设应用
(一) 建设目标:流程固化、数据共享、全程追溯。
(二) 建设原则:围绕资金、业务主导、横向到边、纵向到底。
(三) 保障措施:
1、成立了综合管理系统应用推进领导小组,公司主要领导亲自抓。明晰系统应用推进中的职责、责任到人。
2、定期不定期的召开项目协调例会,及时协调解决系统开发、应用过程中的各类问题。
3、全员培训。已开展用户培训12场次,培训用户2200余人次,涵盖公司领导、部门负责人、关键用户和业务人员。
4、日常指导。通过电话、QQ群、远程桌面、面对面交流等方式解答系统使用中的各类问题,平均日处理各类解答300余人次。
5、督导考核。从组织机构、用户培训、系统操作、数据质量四方面对各单位、各项目部已上线业务开展督导考核。通过督导考核来看,数据质量基本可靠。
(四)开发进度:
自7月份正式开发以来,完成了物资、技术质量、科技、安全、党建、市场开发、法律事务和监察审计业务的开发上线,完成了财务、人力、经营、机电业务部分功能(资金、税务、人事、薪酬、结算、分包、租赁等)的开发上线,完成了整体开发计划的80%。
(五)应用效果
1、用户可通过手机APP,企业微信处理系统业务。
2、用户日平均登录2000余人次,7日上线率为54.7%(系统注册用户数2558人)。
3、打通了从业务到财务的各个环节,财务核算与业务过程互相约束、互相校验,实现了业务过程可控、资金流向可控。
4、提高了工作效率、提升了管理水平。流程平均审批效率29小时,较之前的以周计算或以月计算,工作效率成倍提高。管理模式逐渐从结果导向转变为过程控制,建筑行业的粗放型管理得到明显改观。
四、云视频会议系统建设应用
云视频会议系统采用SaaS模式建设,省却了基础设施、网络安全、系统运维等方面的工作。
系统可以通过PC、手机、硬件终端召开会议。系统有三个会议室,一个100账号和两个25账号,一个账号在一台设备中使用,一台设备可以在实体会议室供多人参会。
系统上线以来,平均月召开云视频会议10余次,平均参会人数200余人/次,年节省差旅费、油费、会议费约120万元(按每项目部每次节省1000元计算,10x12x1000x10=1200000)。
系统的成功应用,不但提高了会议效率,降低了费用,还减少了路途中的安全风险。
五、BIM技术应用情况
在建设集团、集团公司的领导和统一部署下,xx有条不紊的开展了BIM系统的应用和推广工作。完成了与建设集团BIM云平台对接和公司BIM平台建设;完成了各专业族库的建立、施工工艺视频的制作及BIM5D平台学习与试用。截至目前,公司BIM平台已经具备了质量、安全和进度管理、匹配成本信息和施工进度模拟等功能,能够实现数据和信息的有效共享。
六、安全监控监测系统
按照国家煤矿安监局及内蒙古煤矿安监局相关文件要求,配合山不拉煤矿完成了瓦斯监控系统升级改造方案制定、预算编制和前期筹备工作,协调完成了专项费用计划增列的申报工作。
按照集团公司要求,配合山不拉煤矿完成了工业视频监控高清改造方案的调研、方案制定、预算编制工作。
完成了小回沟项目部瓦斯监控系统升级改造后的数据联网上传工作。
七、推进各应用系统的使用
(一)年度考核系统应用。开展考核系统的配置、值守等工作,协助人力资源部完成年度考核工作。
(二)OA系统应用。继续优化涉及办公、财务、经营、人力、机电等各方面各类电子签章审批工作流,指导各单位梳理建立使用OA签章审批工作流。截至目前,优化、修改工作流程50个,制作电子签章100余人次。
(三)视频会议系统的应用。截至目前,公司召开视频会议121次,参会人数12000多人次;召开云视频会议100余次,参会人数20000余人次。保障了会议精神实时、全面、有效的传达,节约了大量交通、住宿、会议等费用。
(四)安全培训系统的应用。协助公司职工教育培训中心开展特种作业人员和项目部安管人员的取证培训、岗位复训,使用系统进行培训、考核10场次,参培人员800余人次。
(五)推进集团公司ERP等系统的应用。定期跟踪各部门对集团财务、采购、库存、人力资源、合同管理、安全管理等系统的应用情况。定期收集相关部门对系统的使用意见和建议,督促系统实施进度和培训。
第三部分 基础设施建设应用
八、数据中心机房建设情况
公司数据中心机房建于2009年,安装有门禁、供电、UPS、制冷、新风、消防、监测等机房系统,其中UPS按照供电8小时设计,现由于电池组老化,仅能满足供电2小时。机房内有服务器14台,分别承载OA、综合项目管理、档案管理、安管培训模拟、视频会议、用友财务等使用中的应用系统;有存储设备1台,承担综合项目管理系统的数据存储任务;有核心交换机、IDS、防火墙、路由器、网络行为管理、VPN等网络设备14台,分别承载公司局域网和广域网的数据传输和网络安全任务。
九、广域网建设情况
公司广域网连接的单位有10处、31处、49处、特凿处、南阳坡分公司、内蒙古分公司、山不拉煤矿和两级集团公司。到南阳坡分公司和内蒙古分公司广域网带宽为2Mbps,到集团公司的广域网带宽为8Mbps,其余为4Mbps。广域网主要承载视频会议系统、ERP系统等需要专线连接的应用系统。
十、局域网建设情况
局域网采用星型拓扑,接入交换机到电脑终端为百兆带宽,接入交换机汇聚到核心交换机为千兆带宽。
公司局域网包括公司办公楼、培训中心和物业管理公司丛台基地,共有电脑终端200余台。电脑按楼层、部门划分为10个VLAN,起到疏导流量、隔离广播风暴和防止病毒大范围扩散的作用。
根据具体实际,对各单位机房和局域网的建设提出了最基本的标准,并指导各单位信息专业人员逐步完善。
十一、互联网建设
公司机关及各单位均有互联网接入线路。公司机关接入带宽为中国电信的50Mbps互联网专线,31处、49处、特凿公司和山不拉矿今年均变更为100Mbps,其他各单位互联网接入带宽为50Mbps。
十二、BIM分中心基础设施建设情况
配合建设集团完成了BIM中心建设总体方案的制定工作和xxBIM分中心建设方案的制定工作,围绕BIM分中心建设方案,结合公司机房及网络现状,制定了BIM分中心机房、网络配套设施改造方案。
第四部分 信息化运维
开展桌面运维,定期对用户计算机安装的软件进行维护,监督正版软件的使用。定期维护计算机硬件,保障计算机正常工作。
开展网络运维,定期检查网络设备的配置、日志,保障设备运行正常。定期对网络线路巡检,及时排除断网隐患。不定期开展用户网络排错培训,提高用户常见网络故障的自我解决能力。
开展应用系统运维,督促或组织制定应用系统管理办法,从系统用户、系统运行、系统安全等方面加强日常检查,保障各系统安全运行。
开展机房运维,严格执行每日巡检制度,明确了机房温度、湿度、供电等环境要素标准。加强运维人员操作系统、服务器组成等软硬件知识学习,每日必须登录服务器分析运行日志,及时发现问题、解决问题。
第五部分 信息安全
网络与信息安全方面管控主要从安全制度、安全技术、安全教育和安全评测等方面进行,力保信息的可信性、可用性和完整性。
安全制度方面。公司成立有保密与网络安全委员会,领导公司的网络安全工作。下发了《党委网络安全责任制实施细则》、《网络安全管理制度》、《信息安全岗位职责管理办法》等制度,明确了安全职责、任务、措施等内容,经常性的在用户中宣传网络安全的重用性、必要性,指导用户使用常用网络安全技术措施。
安全技术方面。遵照ISO七层网络模型,针对每层容易暴露的安全问题,采取有针对的防护措施。在网络边界部署了防火墙、入侵检测、上网行为管理等安全设备。在服务器区部署了防火墙,并在服务器中安装了杀毒软件和终端防护软件。在用户端按楼层划分了VLAN、IP地址和MAC地址进行了登记并绑定,用户计算机也安装了杀毒软件、软件防火墙。
安全教育方面。通过专题讲座、发放宣传资料、安全事件案例等多种形式开展信息安全知识普及工作,提高员工的安全防范意识,减少安全事件的发生。要求用户口令长度不小于8位,且必须由大写、小写字母与数字共同组成,并定期提醒用户更换密码,必要时强制更改密码。要求用户不得将账号密码转借他人。
安全评测方面。定期开展应用系统和基础网络自评,加强了计算机终端、局域网络、服务器主机、服务器操作系统、应用系统等安全制度、安全策略和安全行为管理,进一步提高了公司信息系统的安全水平。定期委托专业公司开展安全评测,按照评测整改报告及时完成整改。对新开发的应用系统,需通过安全测评后才允许验收。
第六部分 对外网站
制定了《xx门户网站管理办法》,明确了网站管理的权利、责任。
要求各单位对外网站需完成备案工作、安装政府网站防护软件、在国家重大活动期间强化安全监控,必要时关闭网站。
公司网站采用PaaS模式建设,采用的阿里云平台的专有云,并采购了安骑士云盾、WAF防火墙和态势感知安全服务,还安装了公安部网防G01 V3.0防护软件。专有云提供安全风险短信预警功能,能动态提醒操作系统、网站系统、恶意攻击等安全风险事件。
第七部分 存在的问题和不足
一、专业人才短缺。软件、网络、安全和数据库等方面相关专业人才短缺,制约了应用系统自主运维和开发。
二、系统集成难度大。系统种类多、功能重合多,系统间数据集成共享难度大,造成了业务和数据的割裂,形成了实际上的信息孤岛,有违信息化建设的初衷。建议能有系统建设和系统集成的顶层设计,形成标准规范。
第八部分 2019年重点工作
第3篇:信息安全管理办法及细则范文
【关键词】互联网;信息管理;管理办法
1.相关法律介绍
互联网信息服务领域的相关法律法规很多,整体上看《电信条例》和《互联网信息服务管理办法》是目前电信行业最高位阶的法律规范,从法律名头就可以看出来,《互联网信息服务管理办法》被作为《电信条例》规制范围的一个分支。而《电信条例》是以传统电信业为主要规制对象的。与互联网信息服务市场秩序密切相关的法律还有《消费者权益保护法》、《反不正当竞争法》和《反垄断法》等等。
2.互联网信息服务领域法律秩序存在的问题
2.1行业行政法规太宏观不具体
我国互联网信息服务领域由于起步较晚,发展又很快,所以管理水平上就很难跟进。例如《电信条例》是以传统电信业为主要规制对象的,纵观其全部内容除总则以外,与互联网信息服务可能有关的条文并不多。其中第十三条至第十六条是关于办理“增值电信业务许可证”的内容,对于经营性互联网信息服务具有约束力。至于《互联网信息服务管理办法》将“通过互联网向上网用户提供信息的服务活动”作为自己的规制对象。第十五条规定了互联网信息服务提供者的九项禁止,并由第十六条、第二十条对此进行了配套性规定。从第十九条至二十五条的处罚规定来看也缺少对于违反第十三条的处罚措施。综合来看《互联网信息服务管理办法》对于危害国家和社会安全、严重侵害个人人身权利的行为规定比较明确,但对于互联网信息服务提供过程中存在的不正当竞争、侵害消费者权益等影响市场秩序的行为则未予以相应的关注。综上可以看出,我国的主要法律,大部分是宏观上的规定,对象不明确,要求也不太严格,缺乏清晰的界限和规范力度。
2.2其他相关法律法规不便于直接适用
除了上述两个主要的法律规范,其他的法律条例则有更严重的缺陷,管理者使用起来很不方便。与互联网信息服务市场秩序密切相关的法律主要有《消费者权益保护法》、《反不正当竞争法》和《反垄断法》。适用《消费者权益保护法》的前提是互联网信息服务用户是消费者。根据《消费者权益保护法》第二条规定,只要是自然人,为了非专用于经营性的用途而使用互联网信息服务,不论其是否直接为服务付费都应当是消费者。虽然《消费者权益保护法》规定消费者享有安全权、知情权、选择权等九大权利,但是将这些规定直接应用于互联网信息服务上还存在很大的障碍。很难将用户个人信息保护直接归入人身安全或者是财产安全,并且在保护的范围等方面也还需要明确界定。至于《反不正当竞争法》是通过明确规定何者为不正当竞争行为,并以行政的、民事的甚至是刑事的责任来规制的,如果互联网信息服务提供者的不当竞争行为难以界定为《反不正当竞争法》所规定的不正当竞争行为,则必然很难加以规制。同样《反垄断法》也存在不能直接适用的情况,这就迫切需要出台专门的法律规范来对此加以规范。从上面介绍可以看出,这些法律在覆盖领域上有所重叠,在交叉领域有些规定甚至相违背,另管理者难以下手。
2.3相关规章的规定比较粗糙
国务院有关主管部门根据《电信条例》、《互联网信息服务管理办法》等法律法规制定了一系列规章,其中《互联网电子邮件服务管理办法》的第九条规定了互联网电子邮件服务提供者对用户的个人注册信息和互联网电子邮件地址的保密的义务。《互联网视听节目服务管理规定》对用户的个人信息保密、公平交易权、知情选择权作出了初步规定,并规定了相应的处罚措施,值得肯定。《软件产品管理办法》要求“软件产品的开发、生产、销售、进出口等活动应当遵守我国有关法律、法规和标准规范。”但我国实行强制认证的软件主要是涉及计算机、互联网安全的软件,没有对普通软件开展认证,已经颁布的强制性认证标准中也没有包括对收集、使用用户个人信息,对软件和服务实施不兼容、捆绑等不正当竞争行为的规范。《电信用户申诉处理暂行办法》与解决用户权益争议密切相关,但直接照搬适用于传统电信领域的申诉处理办法,远远不能应对互联网信息服务的特殊性。《互联网新闻信息服务管理规定》、《非经营性互联网信息服务备案管理办法》、《互联网站管理工作细则》等规定虽然与用户权益保护关系密切,但却没有相关的具体规定。当然,法律秩序的问题源于我国互联网领域发展太快,以及各地发展不均衡,所以造成法律、法规、规章的严重滞后,但是国家有关部门应该加大法律立法力度和管理力度,明确直接的法律指引与约束,做到有法可依,有法必依,执法必严。
3.对互联网信息服务管理的建议
3.1审批部门及收费标准要统一
根据国务院第292号令《互联网信息服务管理办法》第七条、第八条规定从事经营性与非经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理互联网信息服务增值电信业务经营许可证和备案手续。目前国家对各省、自治区、直辖市电信管理机构办理互联网信息服务审批的具体部门并无具体规定。据了解,有的省的审批机构设置在通信管理局的市场监管处有的省设置在信息安全中心还有的省设置在中介机构。有的收费、有的不收费尚无统一标准。为了强化管理,统一管理互联网信息服务领域的力量,我们应该将相关审批部门联合起来,明确规定统一的发放许可证的审批部门以适应国家对电信企业统一监管全国一盘棋的总战略。这样做符合公平、公开、公正的原则,有利于提高政务公开的透明度。
3.2审批程序目录化
从事经营性互联网信息服务的必备的申请材料按国务院第292号令《互联网信息服务管理办法》要求有十一项,规模大的单位提交的材料多则50多页规模较小的单位提交材料也得40多页。
为提高工作效率,使审批工作制度化、程序化、目录化,我认为申请单位应将提交的材料按下列顺序目录化排列:材料一:申办经营性互联网信息服务的书面申请;材料二:申办单位的企业法人营业执照;材料三:会计师事务所或审计会计事务所近期的资信证明或验资报告;材料四:申办单位的公司章程;材料五:已购或欲购的主要设备清单;材料六:为用户提供长期服务的保障能力及服务措施;材料七:申办单位的概况包括技术力量和经营管理人员情况场所设施等有关情况;材料八:业务发展计划及相关技术方案;材料九:健全的网络与信息安全保障措施包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度;材料十:提交经营性互联网信息服务登记表。有了统一的审批材料目录,不仅准备起材料来得心应手,审批部门审批时也会提高效率。
4.结语
互联网作为信息交流的主要平台,在人们的生活中扮演的角色越来越重要。而法律规范作为管理互联网信息服务领域最重要的手段,它的完善与否直接关系着管理互联网信息服务领域的效果。所以我国要想真正的规范好细心服务系统,必须要极力完善相关的法律规范,加大管理力度。
【参考文献】
[1]苏秦,李钊,崔艳武,赵婷.网络消费者行为影响因素分析及实证研究[J].系统工程,2007,(2):1-6.
第4篇:信息安全管理办法及细则范文
关键词:企业 信息系统控制 管理
中图分类号:TP273 文献标识码:A 文章编号:1003-9082(2014)04-0021-01
一、信息系统控制概述
企业的内部控制体系建设,通常包括信息层面和业务层面两个方面,信息层面的内部控制要求统称为信息系统控制。信息系统控制又分为两个层面来建立和实施,即:信息系统总体控制和信息系统应用控制。
1.信息系统总体控制是指企业在信息系统的开发、实施、运行、维护及管理等方面的控制。信息系统总体控制通常包括企业控制环境、信息安全、信息项目建设管理、系统变更管理、系统日常运作、最终用户操作等内容。
2.信息系统应用控制是指应用系统中的电算化步骤以及用以控制不同种类交易处理的系统外人工操作程序。信息系统应用控制通常包括人事管理软件、财务管理软件、物资管理软件、销售管理软件等所涵盖的控制。
通俗的讲信息系统总体控制就是信息系统项目建设及其运行维护的过程控制要求的总体,而信息系统应用控制就是应用系统已经实现的功能步骤及使用人员的日常操作过程。
信息系统总体控制和信息系统应用控制密不可分、相辅相成。前者为体,后者为用,两者共同保证信息控制的有效性。
二、信息系统控制建设的必要内容
1.编制信息系统控制建设实施方案
信息系统控制的建立是一个系统工程,必须由企业信息管理部门负责组织编写实施方案,方案应明确企业各部门的工作职责,将信息系统控制建设划分成若干工作阶段,并明确各时段工作内容和工作成果。
方案还应明确建立建设领导小组和工作组。领导小组负责协调解决信息系统控制建设过程中的疑难问题,工作小组完成信息系统控制建设各个时段工作的跟进监督,并给领导小组定期汇报工作。
另外,方案应明确信息管理部门负责组织制定信息系统控制的各项管理制度,应用系统隶属部门负责本专业的应用系统日常运行维护管理,企业的信息管理部门是信息系统控制建设总顾问,应该全程参与建设工作。
企业各部门按照实施方案,严格履行建设职责,确保各个时段工作内容准确按时完成,顺利推进信息系统控制建设任务。
2.建立三类管理制度
“没有规矩不成方圆”,中国的上市企业大部分规模巨大,地域广阔,分公司众多,信息应用系统分散,种类繁多,涉及部门多,如果没有统一的管理制度,很难将信息系统控制落到实处,将直接影响信息系统控制运行的有效性。为了达到控制要求,企业应建立统一的信息系统控制管理制度。
首先,企业根据自身特点,建立信息系统总体控制管理办法。它是信息系统总体控制体系的纲要性文件,制定了企业信息系统总体控制体系建设与完善的相关原则和策略,它必须包括控制环境、信息安全、项目建设管理、系统变更管理、信息系统日常运作、最终用户操作等内容。
其次,企业还需制定应用系统控制管理办法。它是在信息系统总体控制管理办法的指导下,制定的用于指导企业信息系统日常运行、维护和运营管理的具体流程与实施细则。它应该涵盖数据信息的安全性、完整性、准确性和有效性的控制要求及控制程序。安全性控制包括物理安全、逻辑安全、网络安全、病毒防护、第三方安全管理等内容;完整性控制包括所有的建议经过处理且只处理一次、不允许数据的重复录入与处理;准确性控制包括所有的数据是正确和合理的;有效性控制包括交易被适当授权、系统不接受虚假交易、例外情况被发现和处理。
企业还应该建立相应的考核激励制度。它应该包括应用系统项目建设、上线运行、更新升级、日常运维等过程中的高效能奖励,应用系统出现问题时的责任追溯惩罚机制,以及对应用系统的管理员、操作员的考核奖惩机制。
三、信息系统控制有效执行的必要保障
1.完善信息系统控制执行的机制建设,保障执行有力
主要是围绕保障控制活动的实施,建立并运行一整套立足激励与约束、目标明确的工作制度、程序和办法,具体解决“如何自觉执行、保障执行、督促执行和提高执行力”的问题。根据信息系统控制的内容,信息系统控制执行机制应当包括:宣传培训机制、监督检查机制、责任机制和奖惩机制。四个机制相互联系、相辅相成,共同构成信息系统控制执行的保障机制。
宣传培训机制是旨在提升信息系统控制宣传培训工作质量和效果、营造和活跃氛围、为控制执行提供群众基础和智力支持的一整套制度、办法和运行程序。
监督检查机制是为促使信息系统控制活动有效运行而采取的旨在跟踪检查评价、发现并整改问题、纠正并规范控制行为、提升企业各级人员执行能力的一整套制度、办法和运行程序。
责任机制是以信息系统控制组织体系为基础,旨在明确责任、落实责任、纠正过失,构建清晰、严明的工作责任环境,促进控制责任到位和执行能力提升的一整套制度、办法和运行程序。
奖惩机制是以考核为基础,以利益驱动为手段,旨在奖优罚劣和调动积极性,促进责任意识转换为实际执行能力,形成努力实现控制目标内在动力的一整套制度、办法和运行程序。
2.重点关注信息系统控制制度中三个方面的控制程序
一是针对“信息系统项目建设”管理,前期要认真编制立项申请、可行性研究报告、设计说明书,中期要认真组织项目实施、数据移植前的测试,后期组织好系统上线审批、系统培训、系统变更管理。而且,项目建设全程必须确保测试环境要与生产环境分离。
二是针对“信息安全”控制,要及时检查并确保登录系统验证机制健全、服务器配置安全、账号设置符合职责分离要求、口令设置符合规则、用户操作监控有效、严格控制对数据的直接访问、机房管理有效、网络监控有效、病毒防护及时,信息安全管理员定期将不符情况报知相关负责人,并及时解决问题。
三是针对“日常维护”控制,必须定期如实填写机房设备巡检记录、备份记录、批处理作业调度记录、问题记录日志、问题分类汇总月报等控制证据表单,针对发现的问题,必须按照管理制度规定时限改正处理完毕。
3.必须处理好几个关系
首先,必须确立一个正确的观点,即:执行信息系统控制并不是信息管理部门的一个部门的事,而是企业所有部门及员工必须共同遵守的准则。因为信息收集、整理、传递时时刻刻在发生,信息系统控制无处不在,他们必须遵从信息系统控制体系要求。
其次,必须明确自己的角色定位,如实履行职责。在信息系统控制工作中,不同的角色,所拥有的权限和承担的责任是不同的,每个人必须清楚自己在整个信息系统控制链条中负责哪几环节?实际工作中不能越权,也不能懒于执行应有的控制。例如:应用系统管理员额外掌握数据库管理员的账号和密码,可以从数据库底层直接修改数据,这是最常犯的权限职责设置错误。
再次,必须处理好与其它管理体系的关系。信息系统控制的执行和设定除了符合信息系统的控制要求外,还要紧密联系实际,灵活处理与其他管理体系(HSE体系等)的关系,针对同一控制事项,不必重复建立控制文本,可以选用多个管理体系的管理要求并集,规避重复执行控制要求。另外,灾害情况下可以执行应急预案,并非教条式执行信息系统的某些控制。例如:机房失火,消防员不必填写机房出入登记表,直接投入抢险工作。
第5篇:信息安全管理办法及细则范文
一、卫星定位系统的应用
(一)卫星定位系统是提升交通运输行业管理和服务水平,保障交通运输安全和提高生产效率的有效手段。在国家有关政策的指导下,鼓励交通运输行业推广应用卫星定位系统。
(二)卫星定位系统应优先应用于交通运输行业涉及公共安全的重点监管领域,包括水路运输特别是在重点水域的载客和危险品运输,道路运输中的长途客运、旅游客运、高速公路客运和危险品运输等。同时鼓励和引导应用卫星定位系统对其它类别的客货运输实施安全监管和运营管理。
(三)卫星定位系统主要分为公共管理与服务系统和内部运营管理系统。公共管理与服务系统主要用于交通运输管理部门行政管理、安全监管,为船舶、车辆提供信息服务等;内部运营管理系统主要用于运输企业(业户)内部的运营和安全管理等,同时为公共管理与服务系统提供相关信息,满通运输管理部门实施行业管理和安全监管的需要。
二、卫星定位系统的建设
(一)卫星定位系统的建设应坚持需求主导、规范有序、突出重点、资源共享的原则,避免各自为政、重复建设和增加运输企业(业户)的负担。
(二)交通运输管理部门主导公共管理与服务系统的建设,并提供必要的经费保障。为减少重复建设、促进资源共享,省级以上交通运输管理部门应积极创造条件,建设统一的卫星定位系统公共平台和管理与服务系统,并按照公路、水路交通运输管理工作的要求分步推进。公共管理与服务系统应具备兼容已有的卫星定位系统和多种终端的功能,同时可根据实际需求兼具内部运营管理系统的功能。
(三)在卫星定位系统相关数据库建设或改造中,对涉及公路、车辆、港口、航道、船舶等基础信息的代码和数据格式,应按照交通部编制的《交通信息基础数据元集》和相关的行业要求予以规范。
(四)运输企业(业户)根据生产管理需要,可自行选用或开发内部运营管理系统,并须按照公共服务信息共享的要求,实现与公共管理与服务系统的联通。鼓励运输企业(业户)利用公共管理与服务系统,积极开发内部运营管理系统,增强管理和服务功能,充分发挥卫星定位系统在运输生产组织、调度中的作用,提高投入产出效益。
(五)卫星定位系统终端设备的安装应依法允许运输企业(业户)自主选择终端设备和运营服务商,管理部门不得违规提出强制性要求,干预企业正常经营。应严格遵循一艘船、一辆车只安装一套终端设备的原则,不得以任何名义强制运输企业(业户)安装具有相同或类似功能的其它终端设备。
(六)交通运输管理部门应依法行政,规范卫星定位系统的建设,切实维护运输企业(业户)的正当权益。应通过公开透明的程序,择优向运输企业(业户)推荐符合有关标准规范的终端设备。危险品运输车辆配备的终端应符合国家有关要求和标准。
三、卫星定位系统的管理
(一)交通运输管理部门应按照专业化、市场化的要求选择公共管理与服务系统的运营维护单位,努力降低运营维护成本。收取用户的服务费用标准应符合相关规定,不得额外或变相收费。
(二)应充分发挥市场对信息资源配置的基础性作用,鼓励和引导增值开发卫星定位系统信息资源。交通运输管理部门及运营维护单位还应加强卫星定位系统信息安全管理工作,切实维护运输企业(业户)的商业和个人秘密。
第6篇:信息安全管理办法及细则范文
关键词:第三方支付;网络金融创新;金融监管
文章编号:1003-4625(2014)01-0104-04 中图分类号:F831.2 文献标志码:A
近年来,第三方支付掀起了网络金融创新浪潮,将信息技术、电子商务、金融服务深度融合,不仅标志着我国经济金融正加速进入信息化时代,更意味着超大规模关联关系的建立和更多的安全风险敞口。以满足市场特色金融服务需求为切入点的创新,已不仅仅局限于支付服务,正向着金融产业链的纵深发展,与金融稳定、金融发展、国家经济金融信息安全等内容密切相关,亟须对其实施全方位、多层次的监管和引导。本文通过梳理网络金融创新的特点,对现有第三方支付监管体系存在的问题进行分析,并进一步探讨如何完善我国网络金融的监管架构。
一、第三方支付网络金融创新特点
作为新支付渠道,第三方支付在我国走过了十多年的发展历程,已经形成较完备的产业链结构,支付渠道、支付介质、支付应用都呈现多元化的发展趋势。当前,我国第三方支付正不断拓展支付服务的内涵和外延。各支付机构以新技术应用、深化金融服务为切入点,向包括金融业在内的各产业链纵深渗透,开展了一系列市场化、产业化、多样化的网络金融创新活动,主要在以下三个层面上依次递进展开。
(一)基于银行服务又高于银行服务
传统金融服务发展的不均衡,为网络金融创新提供了空间。单就支付服务而言,目前第三方支付活动,必须要借助于银行提供的清算通道才能完成。长期以来银行业基于资金成本收益和稳定存款源的考量,多采取“二八原则”:即重点服务带来80%利润的20%的大型客户,小微企业、普通客户群个性化金融服务需求尚未成为业务发展的重点,各家银行推出的网上银行服务,往往是线下传统流程的移植。而第三方支付依托技术、数据、客户群的优势,通过不断创新来满足小微企业、民众对网络金融服务的需求:在移动支付领域,不断推进二维码、手机刷卡等新技术应用;在深化金融服务方面,通过统一门户提供包括消费、投资、理财、转账、缴费等各类快捷便宜、价格低廉的支付服务,体现出基于银行服务而又高于银行服务,贴近网络个性化应用需求的特性。
(二)从满足支付需求到发掘支付需求
随着业务的发展,第三方支付企业已经不满足于网银渠道、传统支付中介的角色。一方面营运中采集的数据,使第三方支付机构能够成为了解消费者习惯、需求,熟知经营者状况,掌握市场行情和行业发展前景的信息情报中心;另一方面,散落民间的小微资本所具有的聚沙成塔的数量优势以及长期以来投资获利无门的实际情况,使第三方支付机构能够运用“长尾理论”,开发并提供新型金融服务产品,引导公众做出自有资金投资、管理的支付决定。目前,第三方支付机构已经推出了包括保险、基金、存款在内的更加灵活的多种碎片化在线理财业务。1元起的余额宝、50元起的定存宝实现了消费、理财管理的无缝连接。尽管这些服务还未实现产品多样化,但是服务的种类已基本涵盖传统银行个人金融、中间业务服务的内容,对传统银行经营模式形成了强劲的冲击。
(三)利用大数据优势向金融产业链的纵深发展
互联网发展进入大数据时代,为网络金融创新提供了平台。研究认为,在大数据时代依托互联网发展的产业具有三大趋势:
一是应用软件泛互联网化,即公司通过门户网站向用户提供功能强大的软件应用服务,在分析用户数据的基础上,不断改进服务质量,增强用户使用黏性;二是行业会垂直整合,即越靠近终端用户的公司,在产业链上拥有更大的发言权;三是数据成为掌控市场的重要资产,能够获得巨大的经济利润。
以阿里巴巴、苏宁、京东商城为代表的电商企业和以支付宝为代表的第三方支付机构,已经清楚地认识到:
一是电商要在竞争中立于不败之地,必须拥有配套的第三方支付互联网金融服务,增强客户黏性;二是不论是自发成立或是联合,电商和第三方支付机构间的密切合作,能够集中客户、技术、数据优势,打造上下游配套供应链金融服务,建立基于平台的、封闭的网络金融生态环境;三是借助信息资源的优势,能够建立内容丰富的行业、中小企业、个人信用信息数据库,并据此开办具有关联关系的小额贷款公司、融资担保公司、特色应用数据中心、创业风险投资公司、咨询机构,乃至银行、保险、证券、信托、征信和评级机构,获取丰厚的集团利润回报。
正是基于清晰的利益链条,尽管目前第三方支付机构本身不能直接受理金融服务,所有的互联网金融创新活动都要与传统金融机构联手实施,但大型的电商、第三方支付机构都在为可预见的信息化金融时代积极布局:设立相关全资、控股子公司;或是和大型金融集团建立联盟;争取诸如支付业务许可、IDC(因特网数据中心)业务牌照、融资性担保机构经营许可证等相关行业执业许可牌照。电商联手第三方支付机构正在向金融产业链的纵深快速挺进。这一过程中,我们可以看到外资控股的阿里巴巴集团和腾讯控股有限公司活跃的身影。
二、第三方支付网络金融创新中存在的问题
第三方支付掀起的创新活动将网络、信息技术、电子商务、金融服务深度融合,正在建立前所未有的超大规模关联关系,也因此形成了更多的安全风险敞口。
(一)跨界经营的风险管理问题
一是多行业风险叠加。一方面第三方支付活动中原有的一些问题,诸如客户备付金权益保障、预付卡发行和受理业务的违规和无序竞争、反洗钱义务难履行、支付信息系统安全隐患、虚拟货币管理、非法套现等问题更加凸显。另一方面电子商务存在的诱导消费、告知不到位、模糊概念、服务协议不规范、霸王条款等问题在创新活动中也体现了出来。
二是第三方支付机构在安全稳健经营、内外风险控制管理等方面,与传统金融机构相比还存在较大差距。三是目前对跨界业务创新融合尚无有效的跟踪监管。
(二)混业经营多重角色转换带来的问题
第三方支付企业已经在向集团化方向发展,除了支付结算职能,其自身或关联机构还往往兼有电子商务服务商、金融产品交易经纪人、信用评估、担保等多重职能。众多的角色容易产生道德风险、关联风险和监管套利风险,如第三方支付机构单方改变、终止服务内容,提高服务受理标准;机构内部人员勾结作案;通过掌握的信息操纵市场;掩盖真实服务内容逃避监管等。
(三)大规模的互联网应用金融安全风险凸显
一是网络信息技术在促进创新的同时,具有非比寻常的风险规模放大效应,一旦出现问题“蝴蝶效应”和“羊群效应”更加迅速和显著,会对金融稳定产生巨大影响。
二是作为创新活动的主体,第三方支付所采用的软硬件技术绝大多数来自国外,对外技术依存度高。
三是网络金融创新服务链长、结点多、涉及海量资金与数据的特点使其更容易遭受外来恶意攻击。2013年彭博泄密事件、斯诺登事件都表明网络安全形势十分严峻。
(四)创新活动背后的外资背景与金融安全问题
网络金融多方参与、混业经营、跨界融合、完全市场化的运作方式,使得不同背景的资本能够有机会通过多方渠道,深入参与我国金融业发展,掌控包括第三方支付信息在内的经济、金融信息资源。当前,电子商务行业巨头被外资控股、第三方支付正在形成的行业垄断,这些均应当引起监管者足够的关注。
三、我国现有第三方支付的监管现状及其存在问题
由于第三方支付掀起的网络金融创新浪潮已不仅局限于支付服务,而是呈现出跨平台、跨行业、集团化、产业联动、相互融合的特点,并向着金融产业链的纵深发展,因此,仅依靠现有的第三方支付监管体系,显然难以适应网络金融创新发展的需要。
(一)我国现有第三方支付的监管架构
2013年6月和7月颁布的《支付机构客户备付金存管办法》《银行卡收单业务办法》表明,中国人民银行正在探索构建一个人民银行主导监管、行业组织自律管理、商业银行外部监督、支付机构自我管理的第三方支付多方位监管体系。
作为我国支付体系的组织建设者、推动者和监管者,人民银行立足建立公平、有序、开放的第三方支付市场竞争环境,并对支付业务活动进行监督管理。近年来在市场准入、业务规范、客户备付金管理、反洗钱、统计指标、信息安全管理、技术标准等方面,先后出台了《非金融机构支付服务管理办法》及其《实施细则》《网上支付跨行清算系统业务处理办法》《支付清算组织反洗钱和反恐怖融资指引》等一系列管理办法。
中国支付清算协会负责对第三方支付业务活动进行自律管理,制定业务操作层面的具体管理办法。商业银行则利用资产规模、技术、网点、内部管理等方面的优势以及与第三方支付机构间的对手业务关系,对客户备付金存管业务进行日常监督。
(二)网络金融创新浪潮下现有监管存在的问题
1.网络金融创新监管主体单一,尚未建立内外联合监管体系
一是各部委对自身在网络金融创新活动中的监管定位并不明确,容易形成监管真空和监管套利。尽管“一行三会”、工信部、国家发改委、商务部、工商管理总局、国家税务总局等部委对创新多持鼓励的态度,但多数部委没有开展与创新相对应的风险管理、研究。相关的管理制度和行业标准的制定与修订,以及配套的监管基础设施建设,远远落后于市场发展的水平。
二是尚未形成有效的宏观联合监管机制。2013年8月15日国务院批准中国人民银行牵头“一行三会”、外汇管理局(必要时可扩展至相关部委),建立金融监管协调部际联席会议制度,负责包括交叉性金融产品、跨市场金融创新协调在内的监管合作。但是,短时间内仍难以在监管决策、实施层面形成合力。
三是人民银行现行职能管理模式难以识别网络金融创新中存在的风险敞口。从已经出台的第三方支付管理办法内容看,监管的重点依然围绕着行业准入、支付业务和反洗钱,对消费者权益保护和信息管理仅提出了连带要求,还没有围绕网络金融创新的特点和发展趋势,建立支付、反洗钱、金融稳定、科技、征信等部门间的长效联合监管机制。
2.基层机构监管力量薄弱,行业协会尚未具备自我管理的能力
一是人民银行现有的机构设置、人员配备、监管的能力和手段还难以满足市场监管需求,尤其是基层行监管力量薄弱,全面实施市场监管难度较大。
二是我国的支付清算协会成立仅两年,尚未建立分支机构,很难满足线下行业自律的监管要求。同时自律的管理办法还不健全,对行业的实际约束力有待进一步提升。
三是商业银行、第三方支付机构在对手交易中是竞争合作的关系,以竞争对手的身份履行监督、检查职能,角色尴尬。作为独立的法人减少运营成本、争取最大化的盈利是其共性,不能期望运动员同时是尽职、中立、无私的执法者。
四是网络活动的虚拟性、开放性等一系列不同于现实环境的特点,使第三方支付机构很难实现客户身份、交易真实性尽职调查,同时基于经营者趋利避害的天性,第三方支付自我监管不可能到位。
3.第三方支付消费者权益保护滞后
一是维权机制不健全,消费者在维权过程中处于劣势。第三方支付目前尚未建立支付机构、行业协会、行业监管者、法律仲裁层层递进的维权机制。目前消费者只能向支付机构内设部门进行投诉。
二是维权法规不健全,消费者维权依据难寻。尽管第三方支付活动和网络金融创新是金融服务的延伸,但2013年出台的《中国人民银行金融消费权益保护工作管理办法(试行)》并没有将其纳入保护范围。而支付清算委员会消费者权益保护工作才刚开始起步。
三是现有网络金融创新外部监管协作不到位,容易出现监管真空。以支付宝推出的余额宝业务为例,尽管证监会对余额宝业务备案合规性进行了提示,但余额宝界面“高收益”“理论上存在亏损可能,但从历史数据来看收益稳定风险极小”的产品说明,却没有任何监管机构予以管理。这与《银行业产品说明书描述规范》的出台形成了鲜明的反差。
四是监管者对消费者开展的金融和第三方支付知识普及与宣传不足。
4.第三方支付信息资源利用监管严重缺失
第三方支付活动产生的信息是网络经济金融活动的原始记录,其蕴含的社会资金运动的规律,不仅成为宏观经济、金融运行的“晴雨表”,在经营决策、支付监管、研究、宏观决策等领域更具有重要的作用,因此极具经济价值。互联网金融创新浪潮依托、利用的正是这一核心资源。从长期发展来看,这些数据能够弥补现有征信系统的不足,是金融发展所必需的公共信息资源。
目前监管存在的问题主要是:一是对信息资源的公共属性、行业重要性认识不足。二是对信息资源的监管思路并不明确。没有从维护国家金融安全、稳定、促进行业公平竞争的角度,对挖掘、使用这类信息的行为进行规范监管。
5.监管主体和监管对象之间存在严重信息不对称
在网络金融创新过程中,第三方支付机构较为独立封闭的集团化、网络化、数字化运营模式,以及数据管理、技术应用的优势,使其在监管过程中占据信息优势。尽管中国人民银行2013年5月颁布的《支付业务统计指标》有利于缓解这种矛盾,但是各监管部门在监管手段、信息化进程上的差距和联合监管目标的差异性,决定了第三方支付互联网金融创新活动难以在短期内获得全方位的监管。
四、完善我国网络金融监管体系的建议
(一)建立多层次动态联合监管体系
一是各部委之间建立有效的动态联合监管机制。认清网络金融创新活动对原有监管组织体系架构的挑战,明确各部委在创新活动中的监管定位,加快对应的监管基础设施建设。二是中国人民银行应调整第三方支付行业监管策略,在鼓励创新和行业自律的同时,尽快整合内部多方力量,对创新活动进行持续、系统、同步的跟踪研究,加强监管及时识别隐含的关联风险,对创新活动进行规划引导,避免因为监管缺位、市场失灵形成无序发展的倒逼机制。三是引入网络金融服务产品报备和消费者互动监督机制,弥补由于监管力量不足、不到位带来的监管失察。
(二)加快对第三方支付信息资源使用的监管和研究
一是从征信业发展规划的角度出发,明确第三方支付信息资源使用和管理的思路。二是从公平竞争防范金融市场利益冲突的角度出发,以业务隔离机制为核心,确保支付信息能够被平等合理使用。通过鼓励第三方支付机构和银行共享数据,实行差异化经营,避免同质化竞争对金融发展带来的消极影响。三是从国家信息安全的角度,梳理外资机构对我国第三方支付信息资源的掌控情况,评估其通过网络金融创新参与我国金融业务经营的程度。四是加快国家大数据的产业研究和应用,利用技术变革的优势后发赶超促进网络金融服务发展。
(三)成立金融监管信息技术风险实验室
一是通过跟踪新技术的发展,确保监管者在技术风险管理中具有前沿性和领先性,从风险管理和防控的角度对创新活动做出及时的判断,为监管决策提供意见。二是可以模拟监管环境,研发并提供与创新发展相适应的技术监管手段减少信息不对称。三是可以将新技术和新应用的研究分析成果,转化为监管手册对监管人员进行培训,使其更好地认识科技风险,从而提升监管队伍整体水平。
(四)加快完善我国金融消费者权益保护体系建设
第三方支付活动是金融服务的延伸,应当将其纳入我国金融消费者权益保护体系之中,尽快予以完善。
一是通过立法明确第三方支付消费者权益保护的监管目标,并纳入金融机构监管的基本职责。二是加强第三方支付机构消费者保护制度建设。三是规范投诉机制建立切实有效、层层递进的维权机制。四是强化风险意识和责任意识教育,帮助金融消费者树立“买者有责、卖者余责”的理念,对金融消费者进行第三方支付、金融知识普及和宣传,引导其识别相关网络金融服务的风险点,让金融消费者清晰理解金融机构、第三方支付机构和自身的风险责任及应对措施。
参考文献:
[1]赵国栋.大数据时代的三大发展趋势及投资方向[EB/OL].百度文库,2012,(04).
第7篇:信息安全管理办法及细则范文
一、县级广播电视行政执法依据、范围
1、广播电视方面现行的主要法规、规章:
(1)国务院制定颁布的行政性法规:《广播电视管理条例》、《广播电视设施保护条例》、《卫星电视广播地面接收设施管理规定》等。
(2)国家广电总局制定的主要规章:《有线电视管理规定》、《〈卫星电视广播地面接收设施管理规定〉实施细则》、《有线广播电视传输覆盖网安全管理办法》、《广播电视广告播放管理暂行办法》、《广播电视视频点播业务管理办法》、《境外电视节目引进、播出管理规定》、《广播电影电视行政处罚程序暂行规定》、《互联网等信息网络传播视听节目管理办法》、《互联网视听节目服务管理规定》等。
(3)省、自治区、直辖市出台的主要地方性法规,如《湖北省卫星电视广播地面接收设施管理办法》。
2、目前,县级广播电视行政执法的范围主要有:
(1)对违法设立广播电视台、站和有线广播电视网络及相关设施的行为进行查处;
(2)对广播电视台、站、有线电视网络及其他视听媒体违法播放、传送广播电视类节目的行为进行查处;
(3)对违法销售、设置、使用卫星广播电视地面接收设施的行为进行查处;
(4)对损坏、破坏广播电视设施、妨碍广播电视设施安全,阻碍广播电视设施设立的违法行为进行查处;
(5)对违法设立广播电视节目制作经营单位或违法从事广播电视节目制作经营业务的行为进行查处;
(6)对违法设立有线电视共用天线工程设计、安装单位和卫星广播电视地面接收设施安装单位或违法从事有线电视共用天线工程设计、安装及卫星广播电视地面接收设施安装业务的行为进行查处;
(7)对违法从事视频点播系统安装、开展视频点播业务、为视频点播活动供片的行为进行查处;
(8)对擅自从事信息网络传播视听节目的行为进行查处。
二、县级广播电视行政执法遭遇的四大难题
1、遭遇广播电视法律法规真空的难题。部分广播电视法律法规条文笼统,实际执法过程中操作性不强,处罚找不到相应的条款,使管理工作出现盲目性和随意性。行政许可法实施前,各行各业对本系统的行政许可项目进行了全面清理,广播电视仅仅保留了一些涉及国家政治安全、信息安全、传播安全的大项目,而基层广播电视企事业单位实际最需要的行政执法项目却被清理了。
2、遭遇广播电视法律法规需要执法,但实际工作中不能执法的难题。《卫星电视广播地面接收设施管理规定》第九条规定“个人不得安装和使用卫星地面接收设施。如有特殊情况,个人确实需要安装和使用卫星地面接收设施并符合国务院广播电影电视行政部门规定的许可条件的,必须向所在单位提出申请,经当地县、市人民政府广播电视行政部门同意后报省、自治区、直辖市人民政府广播电视行政部门审批”。但目前很多农村群众未经许可,擅自安装了卫星地面接收设施。据初步统计,我县私自非法安装地面卫星电视接收装置约2万户。年,“鑫诺3号”和“中星6B”卫星发射成功,原有接收亚洲3S、亚洲4号,亚太6号、亚太2R、中卫1号和鑫诺1号(中央40路广播)其6颗卫星广播电视节目全部调整到接收两颗专用卫星。国家、省、市广电部门为让农村群众更好地收看电视节目,要求县广播电视局工程技术人员为群众(包括私自安装使用卫星地面接收设施的用户)提供转星咨询服务和技术保障。转星调整后,农村群众认为私自安装使用卫星地面接受设施已得到了国家认可,不再是违法行为。按照依法行政的要求,广播电视部门应该开展行政执法,规范卫星地面接收设施的安装和使用。但为了保障群众的收视权益,广播电视部门不仅不能执法,而且还要提供技术服务,让处在基层的县级广播电视部门陷入需要执法又不能执法的尴尬境地。
3、遭遇广播电视法律法规无人理会的难题。一是部分广播电视法规的规格和层次较低,缺乏权威性和法律约束力。据不完全统计,截止目前,我国共有23件法律有涉及广播电视的条款、7件广播电视行政法规、39件广播电视部门规章。由于大多数受众和用户不懂广电法规,不了解条文,广播电视法规意识十分淡薄。许多群众对于擅自截传有线电视信号,无证销售、安装、使用卫星地面接收设施等行为不以为然。今年,部分省的电信部门擅自开展了IP电视业务,国家广电总局对此发文作出了“属于违规行为,情节严重,依照相关法律法规应予严处和停办”的处理,但有的地方IP电视业务仍在违规发展。
二是县级广播电视行政执法在实际执行中受到其他部门过多牵制,单一个广播电视行政管理部门显得孤立无援,严重影响了行政监管和行政执法。根据《卫星电视广播地面接收设施管理规定》,“地卫”设施生产环节归信息产业部门管理,销售环节归工商部门管理,进口环节归海关和商务部门管理,而广播电视部门只管理安装使用环节。要管住“卫星锅”需要信息产业、工商、公安等多个部门的配合。行政执法过程中,涉及的部门过多,牵制的因素过繁,势必影响广播电视行政执法的效能发挥和执法水平的提高。
4、遭遇执法人员少、经费不足的难题。加强广播电视执法工作,可以为广播电视事业的健康有序发展营造一个良好、安全、高效的运行环境。长期以来,县级广播电视行政执法力量相当薄弱。执法人员少,没有给执法人员配备必需的装备,经费又不足,大多数行政执法人员未接受过基本法律知识培训便上岗执法,几乎不能完整地履行执法职能。我县仅有5人具备广播电视行政执法资格,没有一个专职人员编制,遇到执法任务,往往是临时抽调力量完成。由于没有专职的行政执法队伍,造成广播电视系统的行政执法行为不规范,执法水平不高。
三、加强县级广播电视行政执法的对策建议
依法进行广播电视管理,是国家赋予广播电视部门的行政职能。要适应新形势、新要求,认真履行依法行政的职责,树立广播电视执法的权威和形象,切实保障广播电视事业健康有序发展,笔者认为要重点抓好以下几方面工作:
1、及时修改完善法律法规条文。广播电视是一个高速发展、更新速度很快的行业。随着广播电视事业的快速发展以及高新技术在广播电视领域中的广泛应用,部分出台时间较早的广播电视法律法规,在施行过程中出现了许多新情况、新问题。对于不适应当前形势、不能发挥作用的广播电视法律法规,建议上级要及时修改完善。
2、广泛深入学习、宣传广播电视法规、规章,增强法制观念。一是加强对系统内部的普法宣传,提高广大职工的法律意识。在系统内部不但要宣传国家基本法律,而且要深入宣传广电部门自己的法规、规章,使广大职工明确广电部门的权利与职责、自身的权利和义务,规范自身行为,从而提高依法管理水平。进一步加强对执法人员的法制培训及广电基本业务知识培训,提高执法队伍的整体战斗力。做为一名广电执法人员,不但要学习掌握本系统的法律法规,而且要学习国家的基本法律以及与执法有关的行政法律法规。只有这样,执法人员在案件处理中才能做到有条不紊,正确运用法律,正确处理事业发展中出现的新情况、新问题。二是充分发挥广播电视媒体的优势,在社会上广泛深入宣传广电法规、规章,使广大人民深入了解广电法规、规章,规范自己的行为。三是及时把新的法规、规章和中央、省市关于广播电视事业的批示精神及时向上级主管领导汇报,争取主管领导的支持。
3、严格按行政执法程序执法,真正做到依法行政,内外一致。依法行政不仅要求实体合法,而且要求程序合法。是否遵循法定程序,有无规范的法律文书,是衡量具体行政行为是否合法有效的重要标准。执法人员只有严格按法定程序处理案件,亮证执法,制作行政案件法律文书,才能确保执法行为合法有效,才能真正达到依法管理、依法行政的目的。
第8篇:信息安全管理办法及细则范文
关键词:第三方支付;市场准入;信息不对称
中图分类号:DF41 文献标识码:A
收稿日期:2013-09-02
作者简介:马永保(1980-),男,安徽肥西人,安徽大学法学院博士研究生,研究方向:经济法。
一、第三方支付行业市场准入的现实依据
第三方支付行业的市场准入是特殊市场准入制度的组成部分,从本质上是行政许可审批制度。但第三方支付行业推行行业准入的依据和基础何在?即第三方支付行业与一般的市场有何不同而必须要推行特殊市场准入制度?本文认为,推行第三方支付行业特殊市场准入制度,主要是基于以下的考虑:
(一)支付系统风险大
第三方支付系统中隐藏着各种风险,主要有网络安全风险、法律风险、金融风险(包括资金滥用风险、诈骗犯罪风险、盗卡恶意支付风险、资金沉淀风险)以及网购者隐私泄露风险[1-2]。要应付这些风险,需要第三方支付企业具备雄厚的经济实力,雇佣专业技术人才和经验丰富的管理者,建设可以经受得住网络攻击的软件系统,建立起完善的内控措施、反洗钱及反套现措施。要保证只有满足了这些条件的才能进入第三方支付市场,就必须事先设置进入条件,并由监管机构审查申请者条件,只给符合条件者颁发经营许可。也就是说,要建立起一整套市场准入法律制度,预防并化解可能的各种风险。
(二)使用者多,影响广,出现问题会造成灾难性社会影响
第三方支付以其便利、快捷的特性,自产生就很快吸引无数使用者的青睐。据中国互联网络信息中心(CNNIC)报告数据显示:截至2011年12月底,国内网上支付的用户已经超过167亿,使用率提升至325%,同比增长2957万,年增长率为216%。早在2012年6月,支付宝就宣称其注册用户数已经达到7亿,而工商银行至2012年年底却只有438万公司客户和393亿个人客户。须知工商银行自1984年1月1日成立,距今已经发展了30年,而第三方支付行业的发展历程却只有十几年。众多市场参与者导致交易频率加速、交易关系复杂、市场影响增大,也使市场风险扩散[3],一旦出现风险将会危及民众共同利益,可能引发社会震荡。政府为了避免发生因第三方支付企业出现问题而对社会秩序造成的影响,降低可能的社会风险,必然要提高进入门槛,设立严格的准入标准,将不符合资质的企业驱逐出去,让真正有实力的企业进入市场经营,在服务使用者的同时获取利润。
(三)信息不对称
信息是包括物品(包括劳务)和生产要素的价格、质量、数量以及不同经济主体(如买方和卖方)讨价还价的能力、信誉度等知识。信息不对称是指在相互对应的个体之间的信息呈现不均匀、不对称的状态。“掌握信息比较充分的人员,往往处于比较有利的地位,而信息贫乏的人员,则处于比较不利的地位”[4]。信息不对称或信息偏在被认为是政府干预市场行为的基础之一。
在第三方支付市场中存在着明显的信息不对称。第三方支付企业掌握着整个平台的运作,对支付过程拥有充分的信息。使用者虽然可以发出指令,但对交易过程中的信息掌握并不充分(如账户资金如何流动,转入转出的确切时间),交易过程中可能面临风险。此外,第三方支付平台采取了哪些技术措施保障使用者资金安全?支付企业内部的各项制度是否符合法律规定?能否取得预期效果?对于这些问题,使用者也都很难获取准确信息。信息的不对称,可能会导致效率损失,主要体现在逆向选择和道德风险两种情况上。其中,逆向选择指的是低质量品排挤掉高质量品。没有市场准入,任何资质和条件的企业都可以从事第三方支付业务,结果将导致第三方支付行业企业众多,企业规模和服务水平参差不齐。如果使用者对各个支付企业信息不了解,无法鉴定各方服务水平的高低,不能做出正确选择,有可能选择技术水平不高、服务质量差的企业,从而导致优秀的企业不能继续生存下去。道德风险主要是指来自个人道德方面的危害,通常是市场主体一种故意违背道德规范的行为,这种行为可能导致其他市场主体的利益受到损坏。
没有市场准入,没有入口监管,第三方支付企业缺乏内部控制措施,没有防止洗钱、套现等技术措施,可能会导致第三方支付企业贪污、挪用沉淀资金,从事洗钱等违法犯罪行为,最终受到损害的是每一个使用者。反之,通过市场准入,要求每一个第三方支付企业达到法律规定的要求和资质,可以确保获得牌照的企业能够提供满意的服务。要求企业在申请时提供各项资料和文件,还可以消除监管者与第三方支付企业之间的信息不对称,让今后的监管行为建立在充分信息的基础上,监管更加科学。此外,在准入审核程序及此后的经营中,要求第三方支付企业进行信息披露,也是消除信息偏在、避免逆向选择和道德风险的有效手段。
二、第三方支付行业市场准入问题透视
(一)外资股权规定模糊
《支付清算组织管理办法》(以下简称《管理办法》)就外资投资支付企业问题并未做出明确规定,只是规定央行就外商投资支付机构的业务范围、境外出资人的资格条件和出资比例等问题另行制定规定,经国务院批准后实行。目前,央行并未颁行明文规定,但实践中,有着外资背景的第三方支付公司如盛大盛付通、腾讯财付通等,却都已获得牌照[5]。2013年7月10日,获得支付牌照的27家第三方支付企业中,包含有两家外资支付企业:上海索迪斯万通服务有限公司和艾登瑞德(中国)有限公司。前者由法国索迪斯万通国际有限公司100%持股,后者由艾登瑞德股份有限公司100%控股[6]。不过,这两家获得牌照的企业都是从事预付卡发行与受理业务,业务区域狭窄,业务系统也相对封闭,更多地被认为是央行在支付业进行的一个有步骤的开放。与此相对的是,全球最大的网上支付公司PayPal早在2011 年年底就向央行提交了申请报告,信心满满会成为第一家获得牌照的外资公司,但由于其体量大,业务丰富,还涉及跨境结算业务,并未获得审批。
关于外资投资第三方支付企业的比例,2005年6月10日央行对外公开征求意见的《支付清算组织管理办法(征求意见稿)》曾经规定:境外投资者可以与境内的投资者共同投资设立支付清算组织,境外投资者投资股权比例不能超过50%。该征求意见稿在2007年和2009年分别作出修改。其中,2007年的修改稿中取消了2005年征求意见稿中对于境外投资者投资比例不得超过50%的规定;2009年,央行在《支付清算组织管理办法》的意见稿里指出,第三方支付企业的外资比例不得超过25%,但后来的修改稿又将这一比例调整为20%,而最终颁行的《管理办法》却回避了这一敏感问题。在外资比例限制上的争议主要反映出商务部和人民银行之间的分歧[7]。
外资投资比例问题之所以重要,是因为外资身影活跃于中国互联网支付企业中,是这一行业的背景之一。而监管新规对外资规定的模棱两可,引发了中国金融开放程度的争议和行政监管与市场准入的矛盾[7],这一点在支付宝股权事件中可见一斑。支付宝(中国)网络技术公司原本是一家外资公司100%控股的外资企业,其股东为Alipay E-commerce Corp(下称Alipay),Alipay公司又是阿里巴巴集团旗下的全资子公司。2009年6月和2010年10月,Alipay公司分两次,分别作价176亿元和165亿元将支付宝公司70%和30%的股权转到浙江阿里巴巴电子商务公司(下称浙江阿里巴巴)名下[8]。在这一股权转让过程中,阿里巴巴集团的两大股东雅虎公司和软银公司并不知情,也没有获得董事局的同意,转让的价格也大大低于支付宝作为国内第一大第三方支付企业的应有价值。阿里巴巴集团董事局主席马云对此的解释是遵守央行规定,维护国家金融信息安全。尽管这一事件涉及到很多法律问题,如VIE结构①的合法性,但最为核心的问题(也是本文重点关注的焦点)是央行规定的模糊性对第三方支付企业发展所造成的影响。
《管理办法》规定所有的第三方支付企业必须在该法施行后一年内申请取得《支付业务许可证》,否则不得从事支付业务。《管理办法》施行时间是2010年9月1日,这就意味着在2011年9月1日前必须取得《支付业务许可证》,否则就不能经营支付业务。而在申请牌照时,监管机构又要求不能为外资控制,这就让马云等人为了取得牌照而不得不将支付宝公司转为内资公司。尽管我们不能排除以马云为首的中方高管团队可能是因为其他个人利益而选择违背诚信的偷偷转让股权,但法律政策的不确定使得第三方支付企业不得不小心面对,采取谨慎的应对措施。为此,“财付通、易宝支付、快钱、拉卡拉等支付企业均在申请支付牌照前完成上述转制”[9]。
直至今天,获得第三方支付牌照的第三方支付企业已经达到250家,仅仅只有两家外资企业取得牌照,但尚无一家网络支付企业获得牌照。这些都充分说明了监管机构至今在这一问题仍然非常保守。监管机构的行为不仅给企业的经营行为造成了困难,也违背了中国政府加入WTO签订的《金融服务协议》中关于放宽或取消外资机构在金融信息提供等方面的限制。
(二)准入条件规定模糊,监管机构裁量权过大
尽管《管理办法》专章规定了第三方支付企业市场准入条件,《实施细则》也对其中的一些条款和概念进行了解释和说明,但仍然不能改变其规定较为模糊的现状。由于第三方支付行业发展时间短,发展变化也异常迅猛,实行市场准入制度也只是最近三年才开始,很多事项都还处在摸索阶段,许多标准不得不规定得很抽象,以适应形势的发展。如《管理办法》规定:欲取得《支付业务许可证》,申请人必须具备内部控制制度和风险管理措施。按照一般理解,内部控制制度是单位内部各职能部门、各有关工作人员之间,在处理经济业务过程中相互联系、相互制约的一种管理制度。它是对经济业务的处理过程实施控制的方法、程序和手续的总称,包括内部会计控制制度和内部管理控制制度。由于每个单位的性质、业务、规模等方面的不同,内部控制制度的具体内容也不尽相同。对于一般企业,财政部等部委曾于2006年下发《企业内部控制基本规范》,从风险评估、内部环境、控制活动、信息与沟通、内部监督等方面进行了规范。不过这一规定主要是从财务、会计角度要求企业建立内控制度,且主要适用于实体企业。金融机构如商业银行内部控制制度有严格的规范,按照《商业银行内部控制指引》的规定,包括授信的内部控制、资金业务的内部控制、存款和柜台业务的内部控制、中间业务的内部控制、会计的内部控制、计算机信息系统的内部控制等内容。第三方支付企业作为非金融机构,从事的却是支付业务,是按照一般企业建立内控制度,还是参照金融企业建立更为严格的内控制度,现行立法并未明确。
目前,第三方支付行业正处于高速发展时期,很多企业都在以低价、牺牲利润的方式跑马圈地,抢占市场份额。业内企业很多都被风险投资基金所掌控,并且基本上还没有确定成熟的经营模式和盈利模式,在企业治理、机构设置及权责分配方面与一般企业相比尚有待完善;涉及的行业立法及政策滞后、不完整,法制观念更需要培养。由于条件的不成熟,就赋予了监管机构在审查市场准入制度时极大的裁量权,标准模糊,尺度不统一。什么企业符合要求,什么企业不符合要求,仅凭监管机构的一纸公文,整个程序相关信息并不公开,这让准入制度的公信力大打折扣,未能实现制度设计的初衷。
(三)缺少特有的救济途径
《支付业务许可证》的颁发作为一种行政许可行为,直接关乎申请人的重大利益,也与相关利害关系人的利益息息相关。如果行政监管机构的许可行为及其后续行为损害申请人及利害关系人的合法权益,必须为受害人提供适当的救济途径实现维权。救济包括申请人不能获得牌照的救济,利害关系人因申请人获得牌照或者不获得牌照的救济,后者体现为第三方支付企业的竞争对手、合作伙伴利益会因牌照的取得或不能取得而受损时的正当权益保障途径或措施。此外,如果第三方支付平台的使用者基于对市场准入制度和市场监管机构的信任而选择获得牌照企业提供的支付服务,因此造成了损失,除了支付企业应该承担责任,监管机构是否也应该承担责任?《管理办法》对这些问题只字未提,各种缘由很简单,该规章系央行颁行,而央行是《支付业务许可证》的核发机关,不可能指望央行自己立法来赋予第三方支付企业权利向自己维权。所以,《管理办法》第四章《罚则》尽管规定了监管工作人员违规可能要受到的行政处分和刑事责任,但对民事赔偿问题却进行了回避。
2004年实行的《中华人民共和国行政许可法》第7条规定:公民、法人或者其他组织对行政许可可以提起行政复议和诉讼,受损时有权要求赔偿。这似乎为《支付业务许可证》申请人及利害关系人维权指明了道路,但由于规定针对所有行政许可行为,缺少对《支付业务许可证》行政许可特殊性的关注,实际上并不具有可操作性,有很多障碍难以突破。
第三方支付市场准入不仅是依照《管理办法》及其实施细则的执法问题,更是复杂的技术问题。反洗钱措施、支付业务设备、内部控制制度、风险管理措施以及安全保障措施是否达到法律规定的标准,实现保护消费者的目的,需要专业人士依据详细的技术标准进行审核,而绝非几条条文规定的那么简单。监管机构对信息安全管理与技术风险防范技术问题都没有把握进行全面审查和控制,为此于2011年6月16日公布实施了《非金融机构支付服务业务系统检测认证》,引入非金融机构支付服务业务系统检测认证制度,要求支付企业在申请《支付业务许可证》前6个月内对支付业务处理系统、网络通信系统以及容纳上述系统的专用机房进行认真检测,并在后续经营中每3年至少检测一次。按照央行岗位职责,行政复议的具体负责部门是内设的法制部门条法司下属的行政复议处,复议主要审查许可程序的正当性,许可是否与相关条文相符,复议审查人员并不具备条件和能力审查技术问题。行政诉讼更是如此,负责审理行政案件的行政庭法官都是法律专业人士,对第三方支付技术问题知之甚少,根本无力进行技术审查。正因如此,复议和诉讼会沦为形式,并不能实质上为申请人及利害关系人维权提供救济。
(四)规定流于形式,不能取得预期效果
法律规定与法律落实的差异是一对永恒的对立方。立法规定要得到全面、完整的落实,实现预期的立法目的,除了要求法治环境,更需要规定自身具有科学性与合理性,并与现实相切合,否则或无法落实,或流于形式,执行后没有实际价值。现行立法中对第三方支付市场准入的一些规定就属于后一种情况。如《管理办法》对注册资本的要求是:全国范围经营的最低实缴货币注册资本1亿元人民币;在省一级行政区域内经营的,为3千万元人民币。规定门槛似乎很高,实缴资本似乎更加有利于保护消费者利益,其实不然。这样的规定是对注册资本作用的过度神话,“资本不过是公司资产演变的一个起点,是一段历史,是一种观念和象征,是一个静止的符号或数字”[10]。资本不等于资产,资产才能真正体现公司的实力。在目前的市场经济环境下,过度要求最低注册资本,不但不能实现保护包括债权人在内的利害关系人利益,反而将成为新企业设立的障碍,同时会使在位企业成为垄断者,造成资源的浪费;甚至会出现违法犯罪行为,诱发“一些发起人虚假出资,虚报资本,或是通过对外借贷进行验资,待公司成立后再抽回出资”[11]。第三方支付企业是高新技术行业,涉及网络技术,软件技术和硬性设备条件要求都很高,需要大量的资金投入,但并不必然要求注册资本就必须高。即使是实缴的注册资金,也不会全部投入公司的运营中。反之,有时候实缴注册资本虽然很低,股东实际投入公司运营的资金数量远远高于注册资本。“各个公司成立时究竟需要投入多少资本,以及在营业过程中,究竟要维持多大的资本规模,是因各个公司所在的行业、经营规模以及股东对经营形式的预测等综合因素而定,是每一个公司的具体个案判断范围,无法由国家作出统一的规定”[12]。《管理办法》颁行前,300多家支付公司中有一半的注册资本达不到规定的门槛,但都能够正常经营,占有一定的市场份额,既没有出现重大经营风险,也没有危害消费者合法权益。《管理办法》实施后至今有超过了250家获得了牌照,表明很多企业迫于法规的要求都进行了增资。既然增资前与增资后经营并没有实质性变化,增资只有形式上的意义,并造成了资源的浪费。盲目要求过高的实缴资本,会大大增加市场准入的隐形成本,将具有地方特色或者行业特色的中小支付企业拒绝在市场之外,让那些资金雄厚的大企业借助市场准入制度强化市场主导地位。
《管理办法》还要求牌照申请人及其高级管理人员不能在3年内因利用支付业务实施违法犯罪活动或为违法犯罪活动办理支付业务等受过处罚,但这一规定的合理性值得研究。违法与犯罪是两个差别巨大的概念,处罚也有行政与刑事之分,两种类型严重程度也有天壤之别。《实施细则》进一步界定高级管理人员为总经理、副总经理、财务负责人、技术负责人或实际履行上述职责的人员,尽管这样的限制性解释与《公司法》的规定相一致,并根据第三方支付企业技术性强的特性将技术负责人纳入其中,但既然是违法犯罪行为,公司的合规部门和风险部门的负责人似乎更应纳入其中。更为重要的是,因为过去的违法行为,就否定获得经营牌照的资格,代价太过严格。以后颁行之法再度惩罚先前之行为,有违基本之法理。从之后的实践看,央行也并未严格遵守这条规定。如快钱支付清算信息有限公司的高级管理人员梅某与境外赌博集团勾结,协助境外赌博集团流转资金30余亿元,“快钱”公司从中获利 1 700余万元,但2011年5月26日快钱公司仍顺利获得首批支付牌照。
此外,以经营地域范围划分第三方支付企业,并在注册资本等方面提出不同的要求,对网络第三方支付行业并不适用。网络第三方支付企业的最大优势就是借助网络突破空间限制。任何一家网络第三方支付企业想要立足市场,必然会选择全国作为其地区经营。近年来,不少行业内的巨头都在谋划超越国境的跨境支付结算问题,业内人士呼吁监管部门应尽快出台跨境支付管理办法,以保障我国第三方支付企业在开展跨境支付业务时能够做到有法可依。在这样的背景下,局限于经营地域范围的分类就显得非常不合时宜。
(五)退出机制不科学,难以承担作为配套措施的功能
市场准入制度需要与配套措施相互作用,才能发挥功效,这其中最核心的是退出机制。《管理办法》对市场准入不做数量限制,并且可以不受次数限制进行续展,意味着进入市场的主体数量可能很庞大,实际情况也表明如此。有进就有出,才能给已经进入市场的主体以压力,确保市场的活力和竞争力。吊销牌照、强令退出市场,这是对从业者最严厉的处罚,也是最有威慑力的处罚,意味着失去了继续存在的依据,一切的投入和经营都将付诸东流,这是经营者最不愿意看到的。
《管理办法》规定的退出方式包括自行申请、因违法犯罪行为注销《支付业务许可证》。取得牌照的主体可以自行申请退出,申请需要提交书面申请报告,并提出善后事项的处理方案,经银行批准后方能退出市场。被注销牌照的情形主要包括经营中有违法犯罪行为、不履行反洗钱等法定义务情节严重的以及申请过程中有欺骗等不当行为。规定主要是从监管机构角度出发,对不配合、不服从监管机构行政管理行为进行处罚,而对诸多危害消费者权利的行为却并未给予注销牌照的严重处罚。如支付企业侵犯消费者个人信息权、财产安全权,造成严重后果的,其社会危害性绝对不亚于《管理办法》规定的拒绝或阻碍相关检查监督等不服从行政管理的行为,因为前者直接侵害消费者利益,而后者只是可能存在违法行为,也可能并没有违法行为或者不会造成实际影响。
判断是否应该退出的核心标准是能否继续经营,抵抗可能的风险,确保消费者正当权益。监管机构不能为了管理的方便,就对一些不当行为课以重罚,剥夺企业牌照,严重影响企业权益,这对第三方支付平台的消费者也十分不公,影响其正常使用,并可能危及财产安全。
三、第三方支付行业市场准入制度之改进路径
(一)明确指导原则
1.利益平衡原则
“在错综复杂的社会关系中,不同的利益之间会发生冲突,法律的目标就是协调并保护各种合法的利益。法律实际上就是调整利益分配的手段”[13]。第三方市场准入涉及第三方支付企业利益、使用者利益以及监管机构利益,诸多利益之间的和谐共存与平衡一致是市场准入制度应该遵循的基本原则。也就是说,在市场准入制度中,“通过法律的权威来协调各方面的冲突因素,使相关各方的利益在共存和相容的基础上达到合理的优化状态”[14]。
使用者利益应当受到特别保护,因为使用者在信息获取、财产、维权能力等各方面都处于弱势地位,使用者的选择对整个行业发展具有决定性意义,是行业存在的基础,也是市场准入制度存在的依据。可以考虑在准入程序中允许使用者发表意见,将使用者的使用感受和评价意见作为衡量第三方支付平台是否达到准入要求的核心参考指标之一,因为使用者直接面对支付平台,对平台的功能最为关切,感受也最为深切。
监管机构利益与公共利益并非全部一致,监管机构及其工作人员有其利益追求,这种现象具有客观性,也为理论所广泛认可,在进行制度设计时需要正视它的存在,根据监管机构的公共性,维护其中正当部分,控制监管机构私利不当扩张。《管理办法》虽规定了监管机构工作人员严重违法犯罪应该承担的行政责任和刑事责任,但由于缺乏对利益正当界限的准确界定,会纵容监管机构及工作人员为追求利益而滥用权力。应当考虑细化现有规定,或者另行制定细则,约束监管机构及其工作人员的自由裁量权,限制获取不当利益的空间。
作为商事组织,第三方支付企业存在的目的就是为了获利,如果不能最终赚取利润并分配给股东,就失去存在价值。在第三方支付市场发展初期,很多企业在风险投资基金的支持下不计成本,希望在市场竞争格局中处于有利位置。暂时的亏本经营是为了在市场发展成熟时利用竞争优势获取更大的回报。市场准入制度运行时应当考虑支付企业巨大的前期投入,不能人为设置障碍,损害支付企业合理预期利益。
2.控权原则
“权力,无论从什么角度、哪个方面观察分析,对社会、政治、经济的发展都具有正反两方面的作用”[15]。对权力的控制成为伴随权力左右的课题,第三方支付行业的市场准入许可权同样面临这一问题。监管机构会强化、专享许可权,权力的行使者会希望借助权力攫取个人不当利益。因此在整个市场准入制度运行全过程都应该遵循权力控制原则,防止权力内部存在的自我扩张的欲望。
“程序中出现的问题容易被发现并及时予以纠正,可以实现将权力运行可能造成的危害限制或消灭在萌芽状态的作用”[16]。程序是控制许可权的有效工具。程序公开、透明要求监管机构应该将程序运行中所有相关信息对利害关系人及时披露,让他们拥有监督的机会和条件。程序参与允许支付企业参与许可程序,表达意见和诉求,并纳入准入审核材料中。第三方支付行业技术性强,企业工作人员对支付平台的信息掌握更加全面,允许其参与审核程序,对有关问题特别是技术问题做出说明,能够更加直观、具体、生动,便于监管机构工作人员的审核工作建立在充分信息基础之上。
3.促进原则
“我国改革开放30年来,无论是经济发展还是法制建设,都一直不断有大量的促进型手段在经济领域和立法领域产生和发展”[17]。第三方支付行业作为互联网经济的组成部分,还处于发展的积累阶段,既需要各项政策支持,更需要经济法的促进。经济法学界有学者提出所谓“促进型经济法”,认为经济法中有一些规范采取指导、鼓励、促进等方式,能够克服传统“限禁型”经济法存在的执法困境、信息悖论等问题。在市场准入问题上,监管机构应该从长远出发,对申请者多进行引导,编制市场准入申请指南或者说明,细化相关规范,增强规范的可操作性,进行技术指导,鼓励每一个现有的市场参与者自我完善、自我进步,对申请准入进程中的行为多优惠和奖励,少惩罚和制裁,让申请者有更大的动力进入法律规范的市场秩序中有序经营,正当竞争。
(二)合理修订外资市场准入制度
第三方支付行业发展初期,由于技术要求较高,需要巨额资金的投入,大量外资得以以各种形式进入。“2003年至2011年有18家电子支付企业获得风险投资,总披露金额为1595亿美元,其中超过60%的企业为外资机构参股”[18]。在市场准入制度中必须要正视这一问题的严重性和急迫性,破除错误认识,从制度上保证外资与内资平等的国民待遇。为此,需修改《管理办法》中关于外资投资第三方支付企业的经营范围、比例等问题由央行另行制定规定并经国务院批准的规定,因为无论是在《管理办法》直接规定,还是再另行规定,立法中直接规定境外出资人的资格条件和出资比例,都是不妥当的,有违世贸组织《服务贸易总协定》不得“以限制外国股权最高百分比或限制单个或总体外国投资总额的方式限制外国资本的参与”之规定。外资持股的国内第三方支付企业既属于《服务贸易总协定》第 1 条所规定的“商业存在”,也是《服务贸易具体承诺减让表》 第7条B款规定的 “其他金融服务”。我国在加入世贸组织时,承诺给予其他成员方服务提供者以国民待遇和市场准入,不过可以对申请者资质进行限制[19]。所以,应当在资质方面对外资入股或者控制第三方支付企业进行要求,但不能直接以其外资股权原因作为获得牌照的条件。当然。资质要求也不能针对外资入股的支付企业有歧视性要求。
当然,也需清醒地认识到以PayPal为代表的域外第三方支付企业发展时间长,内部管理科学,软件技术系统与硬件条件优越,经济实力雄厚,已探索出成熟的经营盈利模式,而我国绝大部分第三方支付企业还处在持续亏损、苦苦煎熬等待发展机会的阶段。二者竞争力差距明显,毫无限制的引入外资,是否会对行业安全和金融体系安全造成冲击,确实不容忽视。因此,监管机构应在保持谨慎态度的基础上,持续监控整个行业发展,动态评估外资可能的影响,根据可能的影响及时调整法律和政策,避免违反国际义务。
(三)优化规定,创新相关制度,强化可操作性
1.引入第三方支付企业自有资金的持续要求
我国现行制度只是规定了很高的注册资本,其结果是规定形式化,即使规定得以落实,也不能取得预期效果。可以考虑参考域外的规定,强化在企业自有资金方面的持续要求。如美国对第三方支付企业在资金方面的要求是保持不低于25 000美元的资本净值②;欧盟《关于电子货币机构业务开办、经营和审慎监管的2009/110/EC 指令》对作为第三方支付企业在资金方面的要求是,初始资金不低于 35 万欧元,后续经营中持续性的持有自有资金比例必须要严格遵守相应的规定比例。它山之石,可以攻玉,我国可以降低注册资本要求,同时要求第三方支付企业应该随着经营规模的增大,动态化调整企业自有资规模金,与客户结算资金保持适当比例,以是否能够有效保护客户资金账户的资金安全为最高标准。
2.设立准入保证金
现行规定对使用者资金最直接的保证是《支付机构客户备付金存管办法》中规定的风险准备金,即第三方支付机构应该每个季度计提不少于10%的利息收入作为风险准备金,用于解决使用者的备付金特定损失和央行规定的其他用途。风险准备金制度可以解决经营过程中消费者备付金损失,但不能保证初始阶段消费者资金安全,而且风险准备金资金来源是消费者备付金利息,意味着第三方支付企业在消费者资金安全保障方面可以不需要有直接的支出,显失公平。为此,需要在市场准入阶段就要求第三方支付企业设立保证金,作为对消费者资金安全的保障,在出现风险时直接划拨保证金作为对消费者资金损失的赔偿。这样,“既能提高第三方支付机构作为信用中介的可信度,还能淡化第三方支付机构实力不同的差别,促进第三方支付市场的公平竞争,并约束第三方支付机构的经营行为,在一定程度上降低了第三方支付机构本身的道德风险”[20]。美国《统一货币服务法》就规定第三方支付企业必须在申请准入时提供50 000美元保证金,而且每增加一个服务地点就需要另行增加10 000美元。主管部门在企业出现财务危机时还可以要求提高保证金数额,以防备危机的发生,为消费者提供更多的保障。英国的《金融服务与市场法》(Financial Services and Markets Act 2000,简称为“FSMA”)要求作为电子货币机构的水电费支付企业需要为消费者的预付价值提供担保,同时要求客户预付价值总额不得高于其自有资金的8倍。我国可以根据第三方支付企业经营的区域范围设置不同的保证金,并随着经济的发展和币值的变化等因素而进行调整。当出现经营不善、财务风险、有可能资不抵债之虞时,提高保证金数额作为保障,以提振消费者的信心。
3.完善退出机制,为市场准入创造条件
改变目前立法规定中退出机制的目标追求,将注销《支付业务许可证》作为对支付企业违反监管机构管理的处罚措施变为淘汰经营不善、无力保护消费者权利的不合格支付企业,实现整个市场的良性循环。具体来说,就是要修改注销《支付业务许可证》具体情形,增加如下规定,即在以下情况下,监管机构可以有权责令停止经营,注销《支付业务许可证》:(1)继续经营会危及整个支付系统安全的;(2)严重损害消费者正当权益的;(3)无力履行偿还责任的;(4)经营中有从事虚假、误导或欺骗性广告行为的;(5)不再满足获得核准的条件;(6)其他无法正常经营的情形。
完善程序性规定,赋予第三方支付企业申请听证的权利。牌照关乎企业的生死,是否违反规定,应该保障企业陈述、申辩的权利,让其提供证据,诉说理由。同时明确规定对注销《支付业务许可证》行政行为可以提起行政复议和行政诉讼等救济措施。
注释:
① VIE结构,也称协议控股结构。当事人以其控制的境外公司名义,返程设立外商独资企业(WFOE),并以WFOE名义,通过排他性管理咨询或技术服务协议等合同,控制境内企业的全部经营活动。通过这番操作,境内企业从表面上看为独立的内资企业,但实际上该企业的一切经营及其相应的资产、收入和利润等权益均归属境外公司(傅若岩.“支付宝事件”使马云惨遭诚信危机[J].IT时代周刊,2011(14):49.)。
② 《统一货币服务法》第 2 条 206 的规定要求:被许可者应当按照本条的规定依照公认的会计准则维持不低于25 000美元的资本净值。
参考文献:
[1] 沈红兵.网络零售支付与结算[M].重庆:重庆大学出版社,2011:252-254.
[2] 任曙明,张静,赵立强.第三方支付产业的内涵、特征与分类[J].商业研究,2013(3):96-101.
[3] 张守文.经济法研究(第7卷)[M].北京:北京大学出版社,2010:352.
[4] 孙恩棣.怪诞博弈论[M].北京:当代中国出版社,2012:126.
[5] 薛松.第三方支付或向外资开闸[N].广州日报,2013-07-02(AII2).
[6] 王雪姣.外资机构首次获批通过 移动互联支付迎新巨头[N].金融投资报,2013-07-12.
[7] 邢少文.第三方支付监管争议外资开放[J].南风窗,2011(15):74-75.
[8] 冯英.VIE模式评述――基于对支付宝事件的分析[J].企业家天地(理论版),2011(7).
[9] 张飒.数家申牌第三方支付企业已告别外资身份[N].东方早报,2011-05-13.
[10]赵旭东.从资本信用到资产信用[J].法学研究,2003(5).
[11]王林清,顾东伟.新公司法实施以来热点问题适用研究[M].北京:人民法院出版社,2009:158.
[12]左传卫.股东出资法律问题研究[M].北京:中国法制出版社,2004:48.
[13]费安玲.防止知识产权滥用法律机制研究[M].北京:中国政法大学出版社,2009:199.
[14]陶鑫良,袁真富.知识产权法总论[M].北京:知识产权出版社,2005:17-18.
[15]侯书森,朱杰军.权力史鉴(上)[M].长春:时代文艺出版社,1998:210.
[16]赵宝华.程序控权与社会和谐[M].北京:人民出版社,2011:177
[17]乔刚.生态文明视野下的循环经济立法研究[M].杭州:浙江大学出版社,2011:114.
[18]谢睿.第三方支付去外资路径悬疑协议控制是否可行?[N].南方都市报,2011-05-18。
[19]李毅,李卫刚.试析我国第三方支付领域的外资准入问题[J].国际经贸探索,2013(6):78.
[20]李洪心.网上支付与结算[M].北京:北京师范大学出版社,2010:212.
Abstract:The market access of the third-party payment industry is a special part of the market access system, and is the administrative licensing examination and approval system in essence. Because information asymmetry, big system risk, multiple users and wide influence, a problem will cause disastrous social influence, so, we must carry out market access.
第9篇:信息安全管理办法及细则范文
关键词:财税;金融;国库
近年来,随着财税和金融改革的不断推进和深入,国库业务电子化步伐进一步加快,尤其是国库接入现代化支付系统和国库集中支付系统上线后,国库资金风险呈现出了新的形式和特点,风险点增多,风险面加大,如何正确认识国库资金风险,有效防范和化解国库资金风险,成为当前国库生存和发展的核心和关键。
一、当前国库资金风险存在的主要类型
1.人员数量和素质与业务量不匹配的风险
一是虽然国库电子化、网络化大大提高了业务处理的质量和效率,但随着经济不断增长,财税收入迅猛增加,国库业务量也在迅速增长。以调查市为例,全辖业务量由2006年的28万笔增加到2011年的69万笔,预算收入总额由77.12亿元增加到276.93亿元,增长3.6倍,支出总额由57.01亿元增加到188.95亿元,增长3.3倍,增幅之大显而易见。然而在国库业务量迅猛增长的同时,基层国库人员配备明显跟不上形势发展的需要,主要表现为专职国库人员的配置达不到基本的要求。有的县支行,国库、会计人员总共才5人,其中专职国库人员仅1 人或2 人。这些人员除了办理日常国库会计核算业务外,还要负责国库综合业务、统计分析、国库监管、财务管理、支付清算、反洗钱等业务,这样势必造成不合理兼岗和“一手清”现象的存在,更不必说要害岗位人员定期进行轮换,这样的人员配备根本满足不了国库业务发展的需要。业务量增长和人员不足之间的矛盾势必引发一些国库资金风险。二是因人民银行机构改革,很多支行人员只出不进长达十多年,现有人员正逐步老龄化,四十二三岁在县支行就算是年轻人了,因而国库人员断层现象比较明显。有的国库人员几十年在一个岗位工作,而且从事的是比较重要的岗位,这样长期从事比较枯燥繁忙重复的国库会计核算业务,易造成国库人员思想麻痹和惯性思维,出现用习惯代替制度和规范的行为,易在资金控制环节中产生风险隐患。
2.支付方式转变引发的风险
实行国库集中支付后,由于支付方式发生了变化,国库在支付环节承担了更大的风险。一是国库对财政拨款监督困难,传统支付模式下,国库部门直接办理财政支出,对财政拨款的监督是事前的监督,比较容易发现和解决问题。国库集中支付改革后,监督时间滞后,监督对象增加,国库处于被动清算的地位,对预算执行的监督职能弱化。二是支付额度和支付清算控制方面的风险。集中支付后国库资金的拨付是通过与银行进行资金清算来实现的,而国库部门进行资金清算的唯一前提就是清算资金不超过财政部门确定的支付额度。支付额度可以说是控制国库支付清算的“闸门”,但这个“闸门”并非万无一失。由于支付额度和支付清算文件通常采取磁盘导入方式来录入,而国库会计核算系统接收的支付额度和支付清算文件都是文本文件,都未进行加密处理,可以随时被打开和修改,资金、信息安全缺乏可靠的技术和制度保障,对国库资金安全形成巨大隐患。三是单一账户体系存在的风险。集中支付改革后单一账户体系建设有待进一步完善,国库集中收付改革设计理念的核心是取消单位原有账户,建立国库单一账户体系。在实际运作中预算单位零余额账户存在一些功能性缺陷:(1)零余额账户不能进钱,收入类的资金不能通过该账户核算;(2)零余额账户只能核算财政性资金,难以解决往来资金核算问题;(3)目前有关规章制度中没有明确预算单位零余额账户是属于基本账户还是专用账户。这些问题的存在,不仅影响了国库单一账户体系的运作效率,而且客观上导致了一些预算单位想方设法保留老账户。我们在对银行现场检查监督中发现有财政直接支付零余额账户款项直接转到预算单位实有资金账户的现象,而且预算单位零余额账户存在提取大额现金的违规行为。实有资金账户到目前为止仍然每天有资金进出,不能遵循“只出不进,逐步消化”的原则。以上单一账户体系的功能性缺陷隐含着一定的国库资金风险。
3.银行违规操作带来的风险
(1)银行存在先清算后支付的违规行为。根据集中支付改革对银行的要求,银行应先向预算单位支付后,再以实际垫付的金额与人民银行国库清算。经现场检查发现个别行出于自身利益考虑和上级行的要求,没有按照“先支付,后清算”的原则办理款项支付,而是先向国库清算,取得国库资金后再办理预算单位的支付业务,使国库资金成为银行的资金来源,容易诱发国库资金风险。
(2)银行延压、坐支财政集中支付资金和退款。个别银行收到财政集中支付核算中心送达的支付凭证后,先向人民银行办理清算,待资金到账后不急于给预算单位拨款,延压占用财政资金有的达十多天之久,引起很多预算单位不满。另外银行办理集中支付业务的垫付资金经常因收款单位户名或账号不符被退回,退回资金到达银行账户时往往银行已与人民银行清算,收到了财政清算资金。根据清算制度规定,退回资金应于当天退回国库单一账户,但多数是银行不按制度的规定当天退回,而是将退回资金 待核算支付中心修正后再次支付,有的资金延压好多天后才再次支付,很少退回国库单一账户,形成坐支、延压财政资金,隐藏着极大的资金风险。
(3)账户管理不规范。一是部分行为财政部门、预算单位开设零余额账户,未经人民银行审批、备案,有的虽报经人民银行审查批准,但未按规定将账户的开立、变更、撤销等情况报人民银行国库部门备案。二是银行虽然使用零余额账户办理集中支付业务,却为预算单位从零余额账户向单位其他账户划转资金。这主要是由于集中支付改革设立零余额账户后,预算单位多头开户情况仍然存在,使得预算单位将零余额账户的资金过渡到其他账户成为可能。资金一旦从预算单位零余额账户划转到其它账户,就游离于财政、人民银行的监督范围之外。
4.监督理念狭窄,监督手段落后的风险
随着国库电算化业务的发展,国库风险点前移,但相应的监督理念、手段、却存在落后的现状。表现为:一是监督理念落后。目前国库监督人员的思想仍定位在简单的凭证要素和账务勾对上,而对国库制度的执行情况、岗位交接、重大事项授权审批、重要空白凭证的管理、资金支出的往来变化等资金风险方面的监督不足,没有形成全方位的监督理念;二是监督手段和时效落后。事后监督部门每日接到国库部门的凭证、账簿、报表后仍限于手工核对凭证的要素及印章是否齐全,收入报表和收入凭证是否相符等,在报表、账簿之间单一的核对,没有完善的监督操作系统,缺乏对国库资金风险点的重点监控,导致监督工作流于表面,抓不住重点,特别是参加支付清算系统后,资金将实行实时清算,而事后监督工作仅是对上一个工作日发生的业务进行审核,如遇到星期五发生的业务要等下星期一审核,中间间隔两天,时间滞后,操作滞后,如果某一笔资金处理的有问题或者出现案件,则会不可挽回;三是监督人员素质不高,国库知识掌握滞后。近年来,国库业务发展变化很快,需要专职懂业务的事后监督人员,但目前事后监督人员大都没有经过系统的学习和培训,对国库新业务不熟悉或知识陈旧,严重影响了监督工作的质量和效果。
二、新形势下防范和化解资金风险的对策及建议
1.加强队伍建设,优化队伍结构
一是总行应从依法履行中央银行职责考虑,进一步明确国库部门的各项职能定位,并采取有效措施从根本上解决基层行人员年龄、知识结构老化和数量短缺的矛盾,拓宽人员进出通道,改善人员队伍结构,增强县支行履职能力和可持续发展能力;二是要把提高国库人员业务素质作为一项长期重要的工作来抓,通过分批次、分岗位举办培训班,提高国库干部的业务技能,确保具备“一人多岗”的履职能力;三是进一步加大推广国库业务整体移位和整体接管的实地业务检查和审计方案,加强基础业务人员横向和纵向交流力度,相互学习、相互借鉴,促进人员素质提高。
2.完善法规制度建设,推广应用支付密码技术
(1)完善配套措施,理顺零余额账户的管理。总行应会同相关部门尽快修订,《国家金库条例》及其实施细则、《商业银行、信用社国库业务管理办法》及其他相关国库管理规定,针对改革后的变化情况,共同出台新的《银行账户管理办法》,对零余额账户的性质给出明确的定义,规范预算单位零余额账户以及其他银行账户的使用。对目前零余额账户的功能可进行扩展,兼容改革前各单位基本账户的功能。同时对国库经收处、集中支付银行国库业务的责权利进行明确,完善其违规的处罚措施,使国库部门正确履行监管职责,国库监管真正做到有法可依、有规可查,有理可管。
(2)建议最好是至上而下推广运行全国统一开发的应用程序,可降低自行开发系统带来的功能不科学、操作不严密、难以管理引发的资金风险。另外对资金进出口环节推广应用支付密码,通过网络技术封闭型设计资金进出口安全管理将目前通过网络传输的集中支付相关文件进行加密处理,以防有人恶意的窜改核算单位支付额度和支付金额造成不可挽回的损失。
3.加快横向联网步伐,建立完善的风险防范体系
一是加快财、税、库、行横向联网的步伐,实现信息、资源共享,通过网络查询将财政、税务、银行的相关业务都纳入人民银行监督管理的范围之内。尤其迫切需要完成银行清算系统与财政国库集中支付系统的链接,增加自动对账功能以及对不合规业务的监测预警功能等。二是加大对银行和经收处的监督检查力度,特别要加强对财政部门零余额账户和预算单位零余额账户的管理,发现违规问题严肃处理,决不姑息迁旧;三是由国库、事后监督、纪检监察、人事等部门协调配合成立国库资金风险预警评价小组,定期测评,定期反馈风险存在状况,以确保国库资金风险的全面控制。
4.建立完善的国库事后监督系统,加强人员培训及岗位轮换
(1)建议尽快研发国库会计核算事后监督系统和国库会计影像监督系统,这两个系统上线后,县级支库的事后监督工作可以上收市一级事后监督部门办理,通过这两个系统与核算系统的对接,准确、快捷地采集有关核算信息,合理有效的对整个国库会计核算过程进行全方位的监督和管理,改变目前事后监督手段落后及监督范围狭窄的弊端,以提高事后监督的准确性、有效性,对当天业务实行实时监督,确保国库当天业务准确无误,次日只对前一日的票据进行整理装订。
