2015年11月08日07:38中國經(jīng)營報 我有話說 收藏本文
　　汪青
　　對于投資者而言，P2P風(fēng)控除了自身業(yè)務(wù)之外，平臺系統(tǒng)的安全性也同樣值得關(guān)注。
　　近日，補天漏洞響應(yīng)平臺爆出重慶網(wǎng)貸平臺易九金融的系統(tǒng)存在漏洞，導(dǎo)致上萬用戶數(shù)據(jù)泄露。
　　此外，曾有投資者在網(wǎng)絡(luò)上質(zhì)疑易九金融與平臺資金第三方托管機構(gòu)——重慶易極付科技有限公司（以下簡稱“易極付”）均屬重慶博恩科技集團(tuán)，用戶資金安全或存風(fēng)險。
　　基于此，《中國經(jīng)營報》記者致電了易九金融采訪。
　　對于上述問題，平臺一位負(fù)責(zé)人以短信形式進(jìn)行了回復(fù)。她表示，易極付是第三方支付公司，有央行和相應(yīng)的監(jiān)管銀行進(jìn)行資金的監(jiān)管。因此，平臺絕對沒有設(shè)立資金池，資金流向也非常清晰。而對于補天漏洞響應(yīng)平臺爆出的漏洞問題，對方則表示暫時沒有接到客戶投訴。
　　平臺漏洞屬高危級別
　　根據(jù)補天漏洞響應(yīng)平臺官網(wǎng)上的信息顯示，易九金融的漏洞被描述為“存在信息泄露、資金操作風(fēng)險”，官方評為高危級別。漏洞提交時間為2015年11月1日，被定為事件型漏洞，目前正處于通知廠商中（即易九金融）。
　　據(jù)記者了解，補天漏洞響應(yīng)平臺對漏洞的定義分為通用漏洞與事件漏洞兩種。其中，事件漏洞（即非通用型漏洞），主要是指互聯(lián)網(wǎng)上應(yīng)用的一個具體漏洞，例如，某網(wǎng)站命令執(zhí)行可被滲透、某電商訂單泄漏任意充值、某網(wǎng)站應(yīng)用SQL注入可導(dǎo)致信息泄露等等。
　　在易九金融官網(wǎng)上的“安全保障”中，對平臺系統(tǒng)安全性的描述為“平臺IT系統(tǒng)為本公司自主研發(fā)，通過內(nèi)外網(wǎng)完全隔離、高等級訪問控制、入侵防范、行為監(jiān)控、高標(biāo)準(zhǔn)數(shù)據(jù)加密等一系列保障措施，確保用戶信息與交易信息的數(shù)據(jù)安全。同時建立了異地備份數(shù)據(jù)中心，制定了多套災(zāi)備應(yīng)急方案，確保發(fā)生緊急事件時避免存儲數(shù)據(jù)丟失，保證核心設(shè)備正常運行”。
　　上述平臺負(fù)責(zé)人在回復(fù)記者時，首先表示目前暫時沒有收到客戶投訴信息泄露的問題，此后亦表示，平臺擁有獨立IT團(tuán)隊，一直在維護(hù)和升級系統(tǒng)，肯定會以客戶利益為首。
　　隨著P2P兩年多以來的野蠻生長，平臺風(fēng)控安全已不僅僅只局限在業(yè)務(wù)模式上，系統(tǒng)安全亦十分重要。全國人大財經(jīng)委員會副主任吳曉靈曾公開表示，根據(jù)世界反黑客組織的最新通報，中國P2P已經(jīng)成為全世界黑客宰割的羔羊。業(yè)內(nèi)人士亦表示，黑客頻繁高強度的攻擊，已然是行業(yè)內(nèi)“公開的秘密”。
　　據(jù)相關(guān)數(shù)據(jù)顯示，截至2014年底，已有近165家P2P平臺由于黑客攻擊造成系統(tǒng)癱瘓、惡意篡改、資金被洗劫一空等，甚至有不少平臺因為黑客攻擊而面臨倒閉。例如，去年中旬，深圳曉風(fēng)軟件公司服務(wù)的一百多家P2P平臺被爆存系統(tǒng)漏洞，遭黑客攻擊，導(dǎo)致很大一部分被攻擊的P2P平臺損失慘重。
　　資深業(yè)內(nèi)人士對本報記者表示，P2P作為信息技術(shù)平臺，技術(shù)安全是最基本的要求。在實際操作中，平臺和投資者都應(yīng)重視系統(tǒng)安全問題，對平臺而言，如若自身無法把控，則可以聘請相關(guān)第三方安全認(rèn)證機構(gòu)。
　　“一般而言，平臺會掌控用戶的身份證號，銀行卡號，綁定銀行卡的手機號，甚至身份證原件圖片，如果使用快捷支付，有些平臺甚至?xí)�記錄相�?yīng)銀行卡的取款密碼，如果這些信息泄露，被一些不法分子掌握，對用戶的資金安全來講無疑是滅頂之災(zāi)。”該人士表示。
　　資金托管機構(gòu)與平臺屬同一集團(tuán)
　　重慶易九金融服務(wù)有限公司（即易九金融運營公司）成立于2013年6月，注冊資本3000萬元人民幣，公司法人王希婭，股東是重慶易一天使投資有限公司、陳林和張鵬，平臺平均收益在8.7%，投資期限主要以4~6個月為主，投資種類分為“投融�！焙汀罢�融保”。經(jīng)營范圍包括：投融資咨詢服務(wù)、信用管理、資產(chǎn)管理、企業(yè)信用管理、商務(wù)信息咨詢服務(wù)等。
　　官網(wǎng)顯示，易九金融是由重慶博恩科技集團(tuán)（以下簡稱“博恩集團(tuán)”）全資擁有的重慶易一天使投資公司聯(lián)合自然人共同發(fā)起創(chuàng)立。博恩集團(tuán)是一家以軟件、互聯(lián)網(wǎng)為主業(yè)的大型科技集團(tuán)，旗下知名企業(yè)包括全球最大威客網(wǎng)——重慶豬八戒網(wǎng)絡(luò)有限公司，重慶唯一一家同時擁有互聯(lián)網(wǎng)第三方支付牌照、基金銷售支付結(jié)算牌照、跨境電子商務(wù)外匯支付牌照的第三方支付公司——易極付等。
　　值得注意的是，記者在官網(wǎng)上并沒有明確提示平臺第三方資金托管機構(gòu)名稱。在“安全保障”中“第三方支付機構(gòu)托管資金賬戶”中顯示，“參與交易的各方均在第三方支付機構(gòu)開設(shè)獨立的資金托管賬戶，所有資金劃付指令由客戶通過平臺向第三方支付機構(gòu)發(fā)出。第三方支付機構(gòu)為獲中國人民銀行頒發(fā)的互聯(lián)網(wǎng)支付結(jié)算牌照的企業(yè)，其資金托管業(yè)務(wù)在央行的嚴(yán)格監(jiān)管之下。通過第三方機構(gòu)對資金賬戶托管，平臺與客戶資金嚴(yán)格隔離，杜絕挪用、自融、非法集資等風(fēng)險”。
　　在記者致電易九金融時，對方回應(yīng)稱，平臺資金確實由第三方支付機構(gòu)——易極付進(jìn)行資金托管。不過，該負(fù)責(zé)人表示，易極付是第三方支付公司，有央行和相關(guān)監(jiān)管銀行進(jìn)行監(jiān)管，平臺絕對沒有設(shè)立資金池，資金流向也非常清晰。
　　中倫文德律師事務(wù)所高級合伙人、互聯(lián)網(wǎng)金融法律顧問團(tuán)隊負(fù)責(zé)人陳云峰表示，一則是理論上的，另一側(cè)是實踐操作上的。理論上，根據(jù)十部委意見是不容許設(shè)立資金池的。而安全操作實務(wù)方面，如果一個平臺能遵守規(guī)則，那么它是安全的，反之則不安全。
　　“平臺與第三方資金托管機構(gòu)這種情況屬于關(guān)聯(lián)公司，不是不可以，不過應(yīng)該向投資人公開并設(shè)置制度防止利益輸送。”北京大成律師事務(wù)所合伙人肖颯說。
　　資深業(yè)內(nèi)人士楊濤認(rèn)為，目前的P2P資金托管模式中，常用的還是互聯(lián)網(wǎng)支付公司的托管模式，其實這種托管模式嚴(yán)格來講也是資金池模式，只是資金池管理是支付公司（沒有托管的P2P也是資金池，但資金池管理是P2P公司）。在今年7月出臺的支付公司監(jiān)管政策之前，這是這些公司心照不宣的秘密，同時第三方支付公司在做其他業(yè)務(wù)時，也會產(chǎn)生數(shù)量巨大的沉淀資金，而資金的管理全部由第三方支付公司自由掌控。雖然這些資金也在銀行存放，但只是存放在第三方支付公司的不同戶頭上的，銀行是不會監(jiān)管資金流動的去向的，跟普通人在銀行開賬戶存取錢一樣，銀行是沒有義務(wù)確定資金是否屬于儲戶。
　　今年8月，由于涉嫌違規(guī)挪用客戶備付金等違法犯罪行為，浙江易士企業(yè)管理服務(wù)有限公司被央行正式吊銷《支付業(yè)務(wù)許可證》，成為國內(nèi)首家《支付業(yè)務(wù)許可證》注銷企業(yè)。央行“零容忍”的明確態(tài)度也被業(yè)內(nèi)人士解讀，央行為第三方支付機構(gòu)敲響了警鐘，也意味著日后央行對第三方支付機構(gòu)的監(jiān)管將越來越嚴(yán)格。
　　此外，記者發(fā)現(xiàn)易九金融的標(biāo)的借款金額都在百萬級別以上，起投金額也在萬元以上，資金主要用于項目流動需求。其中，“投融�！笔瞧脚_簽約的國有擔(dān)保公司將其評審?fù)ㄟ^的投資接收人推薦到平臺進(jìn)行融資，而“政融�！笔锹�(lián)合各省、市、區(qū)、縣政府控制的國有公司推出的P2G直融項目。
　　有業(yè)內(nèi)人士對記者表示，在實體經(jīng)濟(jì)疲軟、地方債高企的大環(huán)境下，眾多百萬級別借款金額的企業(yè)，其兌付能力也有待考量。