我国金融行业检测认证业务发展现状介绍

我国金融行业检测认证业务发展现状介绍2017年9月8日，中国人民银行、国家认证认可监督管理委员会联合发布了《关于加强支付技术产品标准实施与安全管理的通知》，以提升我国支付产品风险防控能力，切实保护人民群众财产安全和合法权益。为更好普及我国支付技术产品标准实施与安全管理的相关机制，本文详细介绍了我国金融行业检测认证业务的发展现状，梳理了我国检测认证行业发展概况、我国金融行业检测和认证概况、已开展的主要检测认证业务等，并对当前金融认证领域存在的问题进行了分析，同时针对不同差异提出相关建议。一、我国检测认证行业发展概况我国的检测认证工作是在国家质量监督检验检疫总局（简称质检总局）指导下进行的。质检总局是主管全国质量、计量、出入境商品检验、出入境卫生检疫、出入境动植物检疫和认证认可、标准化等工作，行使行政执法职能的国务院直属机构。质检总局按照国务院授权，将认证认可和标准化行政管理职能，分别交给其下辖的中国国家认证认可监督管理委员会（简称国家认监委，CNCA）和中国国家标准化管理委员会（简称国家标准委）承担。其中，国家认监委是国务院决定组建并授权，履行行政管理职能的主管机构，负责全国认证认可工作的统一管理、监督和综合协调，以及认证认可有关国际准则、指南和标准的研究和宣传贯彻工作。(一)制度基础2003年9月3日，国务院颁布了我国认证体系的基础性文件——《中华人民共和国认证认可条例》（以下简称《认证认可条例》），对认证、认可进行了定义，确立了“国家对认证认可工作实行在国务院认证认可监督管理部门统一管理、监督和综合协调下，各有关方面共同实施的工作机制”。该条例自2003年11月1日起施行，后于2016年修订，部分重要内容如下：第九条规定了“取得认证机构资质，应当经国务院认证认可监督管理部门批准，并在批准范围内从事认证活动”。第二十一条规定了“认证机构应当公开认证基本规范、认证规则、收费标准等信息”。第二十三条规定了“认证机构及其认证人员对认证结果负责”。第二十八条规定了“为了保护国家安全、防止欺诈行为、保护人体健康或者安全、保护动植物生命或者健康、保护环境，国家规定相关产品必须经过认证的，应当经过认证并标注认证标志后，方可出厂、销售、进口或者在其他经营活动中使用”。质检总局制订了《认证机构管理办法》（2011年质检总局令第141号公布，2015年质检总局令第164号修订），对认证机构的设立与审批、行为规范、监督检查等进行管理。(二)检测机构概况为了全面规范检验检测机构资质认定工作，国家质检总局制定并发布了《实验室和检查机构资质认定管理办法》。其中，“第五条国家质量监督检验检疫总局主管全国检验检测机构资质认定工作。国家认证认可监督管理委员会负责检验检测机构资质认定的统一管理、组织实施、综合协调工作”。截至2016年底，我国检验检测机构数量为33235家，从业人员102.5万人，共拥有各类仪器设备526.6万台套，实验室面积6115.42万平方米，共出具检验检测报告3.56亿份。(三)认证机构概况1984年，中国电工产品认证委员会成立，并在电工产品开展长城认证。1988年颁布的《中华人民共和国标准化法》首次对质量认证工作做出明确规定。2002年12月10日，我国第一家认证机构中国质量认证中心批准成立。截至2017年7月6日，国家认监委共批准成立认证机构363家。其中，从事管理体系认证机构259家，从事产品认证机构183家，从事服务认证机构57家。(四)认可机构概况中国合格评定国家认可委员会（简称认可委）是由国家认监委根据《中华人民共和国认证认可条例》批准设立并授权的国家认可机构，负责对认证机构、实验室和检验机构等相关机构的认可工作。认可委还在相关法律法规的基础上，制定了认可规范（认可规则、认可准则、认可指南和认可方案文件等）对申请认可的机构进行评审，评审通过后发放CNAS证书，CNAS证书有效期为6年。认可委每年对获证机构进行监督审核，确保资质持续稳定符合要求。目前，我国已加入国际认可论坛（IAF）、国际实验室认可合作组织（ILAC）等组织，与全球30余个国家和地区签署了114份合作协议，还与上海合作组织、东盟、海湾合作组织等建立了认证认可多边合作机制。二、我国金融行业检测和认证概况我国自2010年开始金融领域的检测认证工作后，已经形成了较为完备的管理制度体系，拥有一批较为权威的检测认证机构。(一)我国金融行业检测认证管理制度我国金融行业检测认证工作是由国家认监委和中国人民银行共同指导建立并开展。国家认监委依据《中华人民共和国认证认可条例》和《认证机构管理办法》对金融行业的认证工作进行行政监管，中国人民银行依据金融行业技术发展情况进行具体业务管理。

图1.

我国金融行业检测认证主体框架2010年，为保障金融安全、消费者权益和支付行业健康发展，中国人民银行科技司开始组织建立金融行业标准检测认证体系，成立金融标准认证管理领导小组办公室，负责推进金融行业技术标准制定，并通过检测认证认可制度推动技术标准落地。目前，我国金融行业已经开展了非金融机构支付业务设施技术认证、移动金融技术服务认证、金融密码应用服务认证、金融安全载体个人化服务能力认证、银行营业网点服务认证等5项服务认证。此外，中国银联为统一银联相关产品的技术标准，开展了中国银联标识产品企业资质认证。下文将会对几种主要的认证业务展开叙述。(二)主要从业机构1.检测机构我国金融行业检测机构经过多年发展，已经逐渐成熟，并获得国际国内权威机构的认可，目前能够提供上述5项金融行业服务认证的检测机构有9家，详见下表。

表1.我国金融行业服务认证主要检测机构概况2.认证机构我国金融行业经国家认监委行政许可、人民银行批准，开展金融认证业务的认证机构有2家，北京中金国盛认证有限公司和中国信息安全认证中心。北京中金国盛认证有限公司成立于2011年，是中国金融电子化公司唯一的子公司，是国内首家从事金融业服务和产品质量安全管理的专业认证机构。该公司获准开展服务认证和自愿性产品认证，覆盖金融行业已开展的所有认证业务，并获得CNAS证书和高新技术企业证书。该公司具有内部检测实验室，实验室已获得CMA和CNAS资质。中国信息安全认证中心为国家质检总局直属事业单位，总部位于北京，并在各地设立了7个分中心。该中心已获得CCC产品认证资质、自愿性产品认证资质、体系认证资质和服务认证资质，在金融行业认证获准开展的认证业务仅为非金融机构支付业务设施技术认证。

三、

已开展的主要检测认证业务金融行业从事相关检测和认证业务的机构及其相关业务详见下表：

表2.金融行业相关检测认证机构(一)非金融机构支付业务设施技术认证中国人民银行发布的《非金融机构支付服务管理办法》（中国人民银行令〔2010〕第2号），第十一条规定了支付业务牌照申请人应当向所在地中国人民银行分支机构提交“技术安全检测认证证明”。《非金融机构支付服务管理办法实施细则》（中国人民银行公告〔2010〕第17号）对认证机构的资质要求进行了规定，“第十五条前款所称检测机构和认证机构均应当获得中国合格评定国家认可委员会（CNAS）的认可，并符合中国人民银行关于技术安全检测认证能力的要求”。中国人民银行先后批准北京中金国盛认证有限公司和中国信息安全认证中心作为该认证业务的获准认证机构，并批准中国金融电子化公司、银行卡检测中心、中国金融认证中心有限公司等8家机构为该认证业务授权检测机构。非金融机构支付业务设施技术认证重点关注机构支付系统的业务系统功能、风险监控、系统性能、安全性和外包管理等，确保支付指令的完整性、一致性和不可抵赖性，确保支付业务处理的及时性、准确性和支付业务的安全性，以及支付业务的连续性。非金融机构支付业务设施技术认证采用第五种认证模式，具体方式为：非银行支付机构向认证机构提交申请材料，认证机构签订合同并受理后，非银行支付机构在签约检测机构范围内自愿选择送检的检测机构。非银行支付机构向认证机构提交合格的检测报告后，认证机构组织审查组、认证决定组审核合格后发放证书，认证证书有效期3年。截至2017年7月20日，北京中金国盛认证有限公司发放非金融机构支付业务设施技术认证有效证书290张，中国信息安全认证中心发放非金融机构支付业务设施技术有效认证证书17张。(二)移动金融技术服务认证

2014年9月，国家认监委批准北京中金国盛认证有限公司开展移动金融技术服务认证业务。2015年1月，中国人民银行发布《中国人民银行关于推动移动金融技术创新健康发展的指导意见》（银发[2015]11号），提出“自2016年1月1日起，各商业银行和银行卡清算机构开展移动金融服务所采用的TSM、SE、嵌入式应用软件等软硬件产品原则上应符合相关标准，并通过‘移动金融技术服务’认证”。随着移动支付的发展，我国逐渐开展了可信服务管理系统认证、安全载体（SE）认证、嵌入式应用软件认证、安全芯片认证、客户端软件认证5项移动金融技术服务认证业务。获证机构覆盖国际、国内主要移动支付机构，例如：恩智浦半导体公司（NXPSemiconductorsGermanyGmbH）、英飞凌科技公司（InfineonTechnologiesAG）、意法半导体（STMicroelectronicsAsiaPacificPteLtd）、三星（中国）投资有限公司、中国银联股份有限公司、华为技术有限公司等。移动金融技术服务认证与非金融机构支付业务设施技术认证的认证模式相同，也采用第五种认证模式。中国人民银行批准北京中金国盛认证有限公司为国内移动金融技术服务认证唯一认证机构，并批准中国金融电子化公司、银行卡检测中心、信息产业信息安全测评中心等8家机构为该认证业务授权检测机构。截止2017年7月，移动金融技术服务认证已发放41张有效证书，证书有效期三年。(三)PBOC检测1998年9月29日，中国人民银行发布公告，要求金融IC卡和终端设备厂商应依据《中国金融集成电路（IC）卡规范》进行检测，未经检测合格的产品禁止在中国金融业务中使用，各商业银行不得购买使用未经检测合格的产品。中国人民银行各分支行负责检测各银行发放的金融IC卡是否具有合格的检测报告。中国金融IC卡规范共经历了几个发展阶段：1997年，中国人民银行参照EMV96和ISO7816发布了《中国金融集成电路（IC）卡规范》（V1.0），简称PBOC1.0。PBOC1.0规定了电子钱包/电子存折的应用，为建立全国统一的IC卡技术体系奠定了基础。2005年，中国人民银行颁布《中国金融集成电路(IC)卡规范》（JR/T0025-2005），简称PBOC2.0，为磁条卡平稳过渡到金融IC卡提供了技术解决方案，也成为终端先行进行改造、做好受理准备的必要前提。2010年，为进一步满足社会大众快速安全小额支付需求，人民银行颁布实施PBOC2.0规范2010版。2011年，中国人民银行发布了《关于推进金融IC卡应用工作的意见》，决定在全国范围内正式启动银行卡芯片迁移工作，ATM和POS等终端机具全部可以受理金融IC卡。2013年，中国人民银行发布了PBOC3.0规范，推进金融IC卡由磁条芯片卡向单芯片卡过渡，并全面支持其在公共服务领域及跨境领域中的使用。1998年9月29日，中国人民银行指定银行卡检测中心为唯一检测机构进行PBOC相关规范的检测，至今已向全国所有银行、厂商等机构出具了6千多份检测报告。(四)中国银联标识产品企业资质认证为确保银联卡产品、直接接入中国银联网络的终端产品、银联卡支付应用软件产品执行统一的技术标准，中国银联股份有限公司（以下简称中国银联）建立了银联认证体系，对金融支付相关产品及其生产、开发企业开展认证工作，向成员机构和合作伙伴提供统一、标准、高安全、高质量的产品，确保持卡人交易安全及体验一致性，提升银联相关产品和企业的行业竞争力。中国银联资质认证由银联标识产品企业资质认证办公室（以下简称资质认证办公室）负责。资质认证办公室依据中国人民银行发布的标准、中国银联制定的标准，制定认证规则，开展认证工作。中国银联标识产品企业资质认证分为两类：第一类为产品资质认证。包括银联卡产品认证、银联卡受理终端设备安全认证、银联卡受理终端产品应用认证、中国银联移动支付产品认证、银联卡支付应用软件安全认证。第二类为企业资质认证。包括银联卡产品企业资质认证、银联卡芯片安全认证、银联卡受理商户信息系统开发企业资质认证、银联卡产品质量管理认证、中国银联移动支付产品企业资质认证。中国银联标识产品企业资质认证的认证流程为：申请方向中国银联提交申请材料，中国银联审查通过后由中国银联授权的专业检测实验室进行产品检测，产品检测通过后由中国银联进行现场安全检查，现场安全检查通过后由资格认证管理委员会审议，审议通过后发放认证证书。中国银联认证证书有效期为三年，由于软件产品更新升级较为频繁，软件认证证书有效期为一年。

四、当前金融认证领域存在的问题（一）检测认证体系存在断层我国的支付技术检测认证工作是在认证认可体系框架下进行的。其中，认证机构负责管理检测机构业务范围、制定实施细则，维护检测认证体系具体运行，保障检测活动质量；检测机构负责按照国家、金融行业标准实施具体检测工作。但在实际运作过程中，认证机构作为市场主体在体系具体运行、细则制定、结果认定等方面具有一定局限性，在国家认监委与认证机构之间存在断层，执行上难以保证结果客观公正。（二）机构遴选机制不够健全按照国内外通行做法，行业主管部门不宜直接对具体的检测活动进行监督管理；认证机构负责监管检测机构的资质认定及检测活动，对检测机构拥有较高裁量权。然而，认证机构作为市场主体，由于角色定位与职能权