我國金融行業(yè)檢測認證業(yè)務(wù)發(fā)展現(xiàn)狀介紹2017年9月8日，中國人民銀行、國家認證認可監(jiān)督管理委員會聯(lián)合發(fā)布了《關(guān)于加強支付技術(shù)產(chǎn)品標準實施與安全管理的通知》，以提升我國支付產(chǎn)品風(fēng)險防控能力，切實保護人民群眾財產(chǎn)安全和合法權(quán)益。為更好普及我國支付技術(shù)產(chǎn)品標準實施與安全管理的相關(guān)機制，本文詳細介紹了我國金融行業(yè)檢測認證業(yè)務(wù)的發(fā)展現(xiàn)狀，梳理了我國檢測認證行業(yè)發(fā)展概況、我國金融行業(yè)檢測和認證概況、已開展的主要檢測認證業(yè)務(wù)等，并對當(dāng)前金融認證領(lǐng)域存在的問題進行了分析，同時針對不同差異提出相關(guān)建議。一、我國檢測認證行業(yè)發(fā)展概況我國的檢測認證工作是在國家質(zhì)量監(jiān)督檢驗檢疫總局（簡稱質(zhì)檢總局）指導(dǎo)下進行的。質(zhì)檢總局是主管全國質(zhì)量、計量、出入境商品檢驗、出入境衛(wèi)生檢疫、出入境動植物檢疫和認證認可、標準化等工作，行使行政執(zhí)法職能的國務(wù)院直屬機構(gòu)。質(zhì)檢總局按照國務(wù)院授權(quán)，將認證認可和標準化行政管理職能，分別交給其下轄的中國國家認證認可監(jiān)督管理委員會（簡稱國家認監(jiān)委，CNCA）和中國國家標準化管理委員會（簡稱國家標準委）承擔(dān)。其中，國家認監(jiān)委是國務(wù)院決定組建并授權(quán)，履行行政管理職能的主管機構(gòu)，負責(zé)全國認證認可工作的統(tǒng)一管理、監(jiān)督和綜合協(xié)調(diào)，以及認證認可有關(guān)國際準則、指南和標準的研究和宣傳貫徹工作。(一)制度基礎(chǔ)2003年9月3日，國務(wù)院頒布了我國認證體系的基礎(chǔ)性文件——《中華人民共和國認證認可條例》（以下簡稱《認證認可條例》），對認證、認可進行了定義，確立了“國家對認證認可工作實行在國務(wù)院認證認可監(jiān)督管理部門統(tǒng)一管理、監(jiān)督和綜合協(xié)調(diào)下，各有關(guān)方面共同實施的工作機制”。該條例自2003年11月1日起施行，后于2016年修訂，部分重要內(nèi)容如下：第九條規(guī)定了“取得認證機構(gòu)資質(zhì)，應(yīng)當(dāng)經(jīng)國務(wù)院認證認可監(jiān)督管理部門批準，并在批準范圍內(nèi)從事認證活動”。第二十一條規(guī)定了“認證機構(gòu)應(yīng)當(dāng)公開認證基本規(guī)范、認證規(guī)則、收費標準等信息”。第二十三條規(guī)定了“認證機構(gòu)及其認證人員對認證結(jié)果負責(zé)”。第二十八條規(guī)定了“為了保護國家安全、防止欺詐行為、保護人體健康或者安全、保護動植物生命或者健康、保護環(huán)境，國家規(guī)定相關(guān)產(chǎn)品必須經(jīng)過認證的，應(yīng)當(dāng)經(jīng)過認證并標注認證標志后，方可出廠、銷售、進口或者在其他經(jīng)營活動中使用”。質(zhì)檢總局制訂了《認證機構(gòu)管理辦法》（2011年質(zhì)檢總局令第141號公布，2015年質(zhì)檢總局令第164號修訂），對認證機構(gòu)的設(shè)立與審批、行為規(guī)范、監(jiān)督檢查等進行管理。(二)檢測機構(gòu)概況為了全面規(guī)范檢驗檢測機構(gòu)資質(zhì)認定工作，國家質(zhì)檢總局制定并發(fā)布了《實驗室和檢查機構(gòu)資質(zhì)認定管理辦法》。其中，“第五條國家質(zhì)量監(jiān)督檢驗檢疫總局主管全國檢驗檢測機構(gòu)資質(zhì)認定工作。國家認證認可監(jiān)督管理委員會負責(zé)檢驗檢測機構(gòu)資質(zhì)認定的統(tǒng)一管理、組織實施、綜合協(xié)調(diào)工作”。截至2016年底，我國檢驗檢測機構(gòu)數(shù)量為33235家，從業(yè)人員102.5萬人，共擁有各類儀器設(shè)備526.6萬臺套，實驗室面積6115.42萬平方米，共出具檢驗檢測報告3.56億份。(三)認證機構(gòu)概況1984年，中國電工產(chǎn)品認證委員會成立，并在電工產(chǎn)品開展長城認證。1988年頒布的《中華人民共和國標準化法》首次對質(zhì)量認證工作做出明確規(guī)定。2002年12月10日，我國第一家認證機構(gòu)中國質(zhì)量認證中心批準成立。截至2017年7月6日，國家認監(jiān)委共批準成立認證機構(gòu)363家。其中，從事管理體系認證機構(gòu)259家，從事產(chǎn)品認證機構(gòu)183家，從事服務(wù)認證機構(gòu)57家。(四)認可機構(gòu)概況中國合格評定國家認可委員會（簡稱認可委）是由國家認監(jiān)委根據(jù)《中華人民共和國認證認可條例》批準設(shè)立并授權(quán)的國家認可機構(gòu)，負責(zé)對認證機構(gòu)、實驗室和檢驗機構(gòu)等相關(guān)機構(gòu)的認可工作。認可委還在相關(guān)法律法規(guī)的基礎(chǔ)上，制定了認可規(guī)范（認可規(guī)則、認可準則、認可指南和認可方案文件等）對申請認可的機構(gòu)進行評審，評審?fù)ㄟ^后發(fā)放CNAS證書，CNAS證書有效期為6年。認可委每年對獲證機構(gòu)進行監(jiān)督審核，確保資質(zhì)持續(xù)穩(wěn)定符合要求。目前，我國已加入國際認可論壇（IAF）、國際實驗室認可合作組織（ILAC）等組織，與全球30余個國家和地區(qū)簽署了114份合作協(xié)議，還與上海合作組織、東盟、海灣合作組織等建立了認證認可多邊合作機制。二、我國金融行業(yè)檢測和認證概況我國自2010年開始金融領(lǐng)域的檢測認證工作后，已經(jīng)形成了較為完備的管理制度體系，擁有一批較為權(quán)威的檢測認證機構(gòu)。(一)我國金融行業(yè)檢測認證管理制度我國金融行業(yè)檢測認證工作是由國家認監(jiān)委和中國人民銀行共同指導(dǎo)建立并開展。國家認監(jiān)委依據(jù)《中華人民共和國認證認可條例》和《認證機構(gòu)管理辦法》對金融行業(yè)的認證工作進行行政監(jiān)管，中國人民銀行依據(jù)金融行業(yè)技術(shù)發(fā)展情況進行具體業(yè)務(wù)管理。

圖1.

我國金融行業(yè)檢測認證主體框架2010年，為保障金融安全、消費者權(quán)益和支付行業(yè)健康發(fā)展，中國人民銀行科技司開始組織建立金融行業(yè)標準檢測認證體系，成立金融標準認證管理領(lǐng)導(dǎo)小組辦公室，負責(zé)推進金融行業(yè)技術(shù)標準制定，并通過檢測認證認可制度推動技術(shù)標準落地。目前，我國金融行業(yè)已經(jīng)開展了非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認證、移動金融技術(shù)服務(wù)認證、金融密碼應(yīng)用服務(wù)認證、金融安全載體個人化服務(wù)能力認證、銀行營業(yè)網(wǎng)點服務(wù)認證等5項服務(wù)認證。此外，中國銀聯(lián)為統(tǒng)一銀聯(lián)相關(guān)產(chǎn)品的技術(shù)標準，開展了中國銀聯(lián)標識產(chǎn)品企業(yè)資質(zhì)認證。下文將會對幾種主要的認證業(yè)務(wù)展開敘述。(二)主要從業(yè)機構(gòu)1.檢測機構(gòu)我國金融行業(yè)檢測機構(gòu)經(jīng)過多年發(fā)展，已經(jīng)逐漸成熟，并獲得國際國內(nèi)權(quán)威機構(gòu)的認可，目前能夠提供上述5項金融行業(yè)服務(wù)認證的檢測機構(gòu)有9家，詳見下表。

表1.我國金融行業(yè)服務(wù)認證主要檢測機構(gòu)概況2.認證機構(gòu)我國金融行業(yè)經(jīng)國家認監(jiān)委行政許可、人民銀行批準，開展金融認證業(yè)務(wù)的認證機構(gòu)有2家，北京中金國盛認證有限公司和中國信息安全認證中心。北京中金國盛認證有限公司成立于2011年，是中國金融電子化公司唯一的子公司，是國內(nèi)首家從事金融業(yè)服務(wù)和產(chǎn)品質(zhì)量安全管理的專業(yè)認證機構(gòu)。該公司獲準開展服務(wù)認證和自愿性產(chǎn)品認證，覆蓋金融行業(yè)已開展的所有認證業(yè)務(wù)，并獲得CNAS證書和高新技術(shù)企業(yè)證書。該公司具有內(nèi)部檢測實驗室，實驗室已獲得CMA和CNAS資質(zhì)。中國信息安全認證中心為國家質(zhì)檢總局直屬事業(yè)單位，總部位于北京，并在各地設(shè)立了7個分中心。該中心已獲得CCC產(chǎn)品認證資質(zhì)、自愿性產(chǎn)品認證資質(zhì)、體系認證資質(zhì)和服務(wù)認證資質(zhì)，在金融行業(yè)認證獲準開展的認證業(yè)務(wù)僅為非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認證。

三、

已開展的主要檢測認證業(yè)務(wù)金融行業(yè)從事相關(guān)檢測和認證業(yè)務(wù)的機構(gòu)及其相關(guān)業(yè)務(wù)詳見下表：

表2.金融行業(yè)相關(guān)檢測認證機構(gòu)(一)非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認證中國人民銀行發(fā)布的《非金融機構(gòu)支付服務(wù)管理辦法》（中國人民銀行令〔2010〕第2號），第十一條規(guī)定了支付業(yè)務(wù)牌照申請人應(yīng)當(dāng)向所在地中國人民銀行分支機構(gòu)提交“技術(shù)安全檢測認證證明”。《非金融機構(gòu)支付服務(wù)管理辦法實施細則》（中國人民銀行公告〔2010〕第17號）對認證機構(gòu)的資質(zhì)要求進行了規(guī)定，“第十五條前款所稱檢測機構(gòu)和認證機構(gòu)均應(yīng)當(dāng)獲得中國合格評定國家認可委員會（CNAS）的認可，并符合中國人民銀行關(guān)于技術(shù)安全檢測認證能力的要求”。中國人民銀行先后批準北京中金國盛認證有限公司和中國信息安全認證中心作為該認證業(yè)務(wù)的獲準認證機構(gòu)，并批準中國金融電子化公司、銀行卡檢測中心、中國金融認證中心有限公司等8家機構(gòu)為該認證業(yè)務(wù)授權(quán)檢測機構(gòu)。非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認證重點關(guān)注機構(gòu)支付系統(tǒng)的業(yè)務(wù)系統(tǒng)功能、風(fēng)險監(jiān)控、系統(tǒng)性能、安全性和外包管理等，確保支付指令的完整性、一致性和不可抵賴性，確保支付業(yè)務(wù)處理的及時性、準確性和支付業(yè)務(wù)的安全性，以及支付業(yè)務(wù)的連續(xù)性。非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認證采用第五種認證模式，具體方式為：非銀行支付機構(gòu)向認證機構(gòu)提交申請材料，認證機構(gòu)簽訂合同并受理后，非銀行支付機構(gòu)在簽約檢測機構(gòu)范圍內(nèi)自愿選擇送檢的檢測機構(gòu)。非銀行支付機構(gòu)向認證機構(gòu)提交合格的檢測報告后，認證機構(gòu)組織審查組、認證決定組審核合格后發(fā)放證書，認證證書有效期3年。截至2017年7月20日，北京中金國盛認證有限公司發(fā)放非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認證有效證書290張，中國信息安全認證中心發(fā)放非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)有效認證證書17張。(二)移動金融技術(shù)服務(wù)認證

2014年9月，國家認監(jiān)委批準北京中金國盛認證有限公司開展移動金融技術(shù)服務(wù)認證業(yè)務(wù)。2015年1月，中國人民銀行發(fā)布《中國人民銀行關(guān)于推動移動金融技術(shù)創(chuàng)新健康發(fā)展的指導(dǎo)意見》（銀發(fā)[2015]11號），提出“自2016年1月1日起，各商業(yè)銀行和銀行卡清算機構(gòu)開展移動金融服務(wù)所采用的TSM、SE、嵌入式應(yīng)用軟件等軟硬件產(chǎn)品原則上應(yīng)符合相關(guān)標準，并通過‘移動金融技術(shù)服務(wù)’認證”。隨著移動支付的發(fā)展，我國逐漸開展了可信服務(wù)管理系統(tǒng)認證、安全載體（SE）認證、嵌入式應(yīng)用軟件認證、安全芯片認證、客戶端軟件認證5項移動金融技術(shù)服務(wù)認證業(yè)務(wù)。獲證機構(gòu)覆蓋國際、國內(nèi)主要移動支付機構(gòu)，例如：恩智浦半導(dǎo)體公司（NXPSemiconductorsGermanyGmbH）、英飛凌科技公司（InfineonTechnologiesAG）、意法半導(dǎo)體（STMicroelectronicsAsiaPacificPteLtd）、三星（中國）投資有限公司、中國銀聯(lián)股份有限公司、華為技術(shù)有限公司等。移動金融技術(shù)服務(wù)認證與非金融機構(gòu)支付業(yè)務(wù)設(shè)施技術(shù)認證的認證模式相同，也采用第五種認證模式。中國人民銀行批準北京中金國盛認證有限公司為國內(nèi)移動金融技術(shù)服務(wù)認證唯一認證機構(gòu)，并批準中國金融電子化公司、銀行卡檢測中心、信息產(chǎn)業(yè)信息安全測評中心等8家機構(gòu)為該認證業(yè)務(wù)授權(quán)檢測機構(gòu)。截止2017年7月，移動金融技術(shù)服務(wù)認證已發(fā)放41張有效證書，證書有效期三年。(三)PBOC檢測1998年9月29日，中國人民銀行發(fā)布公告，要求金融IC卡和終端設(shè)備廠商應(yīng)依據(jù)《中國金融集成電路（IC）卡規(guī)范》進行檢測，未經(jīng)檢測合格的產(chǎn)品禁止在中國金融業(yè)務(wù)中使用，各商業(yè)銀行不得購買使用未經(jīng)檢測合格的產(chǎn)品。中國人民銀行各分支行負責(zé)檢測各銀行發(fā)放的金融IC卡是否具有合格的檢測報告。中國金融IC卡規(guī)范共經(jīng)歷了幾個發(fā)展階段：1997年，中國人民銀行參照EMV96和ISO7816發(fā)布了《中國金融集成電路（IC）卡規(guī)范》（V1.0），簡稱PBOC1.0。PBOC1.0規(guī)定了電子錢包/電子存折的應(yīng)用，為建立全國統(tǒng)一的IC卡技術(shù)體系奠定了基礎(chǔ)。2005年，中國人民銀行頒布《中國金融集成電路(IC)卡規(guī)范》（JR/T0025-2005），簡稱PBOC2.0，為磁條卡平穩(wěn)過渡到金融IC卡提供了技術(shù)解決方案，也成為終端先行進行改造、做好受理準備的必要前提。2010年，為進一步滿足社會大眾快速安全小額支付需求，人民銀行頒布實施PBOC2.0規(guī)范2010版。2011年，中國人民銀行發(fā)布了《關(guān)于推進金融IC卡應(yīng)用工作的意見》，決定在全國范圍內(nèi)正式啟動銀行卡芯片遷移工作，ATM和POS等終端機具全部可以受理金融IC卡。2013年，中國人民銀行發(fā)布了PBOC3.0規(guī)范，推進金融IC卡由磁條芯片卡向單芯片卡過渡，并全面支持其在公共服務(wù)領(lǐng)域及跨境領(lǐng)域中的使用。1998年9月29日，中國人民銀行指定銀行卡檢測中心為唯一檢測機構(gòu)進行PBOC相關(guān)規(guī)范的檢測，至今已向全國所有銀行、廠商等機構(gòu)出具了6千多份檢測報告。(四)中國銀聯(lián)標識產(chǎn)品企業(yè)資質(zhì)認證為確保銀聯(lián)卡產(chǎn)品、直接接入中國銀聯(lián)網(wǎng)絡(luò)的終端產(chǎn)品、銀聯(lián)卡支付應(yīng)用軟件產(chǎn)品執(zhí)行統(tǒng)一的技術(shù)標準，中國銀聯(lián)股份有限公司（以下簡稱中國銀聯(lián)）建立了銀聯(lián)認證體系，對金融支付相關(guān)產(chǎn)品及其生產(chǎn)、開發(fā)企業(yè)開展認證工作，向成員機構(gòu)和合作伙伴提供統(tǒng)一、標準、高安全、高質(zhì)量的產(chǎn)品，確保持卡人交易安全及體驗一致性，提升銀聯(lián)相關(guān)產(chǎn)品和企業(yè)的行業(yè)競爭力。中國銀聯(lián)資質(zhì)認證由銀聯(lián)標識產(chǎn)品企業(yè)資質(zhì)認證辦公室（以下簡稱資質(zhì)認證辦公室）負責(zé)。資質(zhì)認證辦公室依據(jù)中國人民銀行發(fā)布的標準、中國銀聯(lián)制定的標準，制定認證規(guī)則，開展認證工作。中國銀聯(lián)標識產(chǎn)品企業(yè)資質(zhì)認證分為兩類：第一類為產(chǎn)品資質(zhì)認證。包括銀聯(lián)卡產(chǎn)品認證、銀聯(lián)卡受理終端設(shè)備安全認證、銀聯(lián)卡受理終端產(chǎn)品應(yīng)用認證、中國銀聯(lián)移動支付產(chǎn)品認證、銀聯(lián)卡支付應(yīng)用軟件安全認證。第二類為企業(yè)資質(zhì)認證。包括銀聯(lián)卡產(chǎn)品企業(yè)資質(zhì)認證、銀聯(lián)卡芯片安全認證、銀聯(lián)卡受理商戶信息系統(tǒng)開發(fā)企業(yè)資質(zhì)認證、銀聯(lián)卡產(chǎn)品質(zhì)量管理認證、中國銀聯(lián)移動支付產(chǎn)品企業(yè)資質(zhì)認證。中國銀聯(lián)標識產(chǎn)品企業(yè)資質(zhì)認證的認證流程為：申請方向中國銀聯(lián)提交申請材料，中國銀聯(lián)審查通過后由中國銀聯(lián)授權(quán)的專業(yè)檢測實驗室進行產(chǎn)品檢測，產(chǎn)品檢測通過后由中國銀聯(lián)進行現(xiàn)場安全檢查，現(xiàn)場安全檢查通過后由資格認證管理委員會審議，審議通過后發(fā)放認證證書。中國銀聯(lián)認證證書有效期為三年，由于軟件產(chǎn)品更新升級較為頻繁，軟件認證證書有效期為一年。

四、當(dāng)前金融認證領(lǐng)域存在的問題（一）檢測認證體系存在斷層我國的支付技術(shù)檢測認證工作是在認證認可體系框架下進行的。其中，認證機構(gòu)負責(zé)管理檢測機構(gòu)業(yè)務(wù)范圍、制定實施細則，維護檢測認證體系具體運行，保障檢測活動質(zhì)量；檢測機構(gòu)負責(zé)按照國家、金融行業(yè)標準實施具體檢測工作。但在實際運作過程中，認證機構(gòu)作為市場主體在體系具體運行、細則制定、結(jié)果認定等方面具有一定局限性，在國家認監(jiān)委與認證機構(gòu)之間存在斷層，執(zhí)行上難以保證結(jié)果客觀公正。（二）機構(gòu)遴選機制不夠健全按照國內(nèi)外通行做法，行業(yè)主管部門不宜直接對具體的檢測活動進行監(jiān)督管理；認證機構(gòu)負責(zé)監(jiān)管檢測機構(gòu)的資質(zhì)認定及檢測活動，對檢測機構(gòu)擁有較高裁量權(quán)。然而，認證機構(gòu)作為市場主體，由于角色定位與職能權(quán)