一周高论

N0.1 这些声音值得记住……

“中国互联网金融”的风险

2014.3.19-2014.3.25

推荐人：顾怡

（原文摘编）法无禁止即许可。是说，合法是经营的最低标准。但合法经营并不是风险管理的最低标准。风险管理的最低标准其实非常简单：风险宜分散，不宜集中，更不宜积累，“不要把鸡蛋放在同一个篮子里”。

风险分散在有广泛契约关系的攸关方之间进行，基本原则是哪一方能以最佳成本有效性管理哪一类风险，这类风险就应分配给谁。承担风险的利益攸关方要有充足准备，体现在财务上是要提取和其业务规模即所承担风险规模相匹配的准备金，对承担的风险要设有明确上限。

确保上述风险管理最低标准在金融机构中实施的，首先是监管当局，其次是金融机构自查自纠，再加上同业行会。

互联网企业持股甚至控股金融机构，尽管法律没有禁止，但对这种打破天然防火墙的跨界举动要极度警惕。

各类宝通过互联网销售的货币基金产品，尚未完全打通防火墙，但很显然，各防火墙之间的漏洞正在逐渐同步。例如，互联网公司打开窗口招揽用户把钱放到指定账户里，这其实已是变相吸储，但未提取任何风险准备金。

另一面，经营货币基金的基金公司在获得大量客户资金后并没有严格投往规定方向（短期国债、央行票据等），而是投往所谓收益更高的领域，例如传说的光伏发电与房地产开发领域，即事实上已进入实体经济。在这种情况下，互联网、金融业和实体经济里的风险因素聚积起来，就像木炭、硫磺与硝石的混合，待比例恰当时机合适，轰，爆了。

比各类宝更让人担心的是所谓虚拟信用卡和点对点二维码支付，互联网企业从事这样的业务，就闭合了吸储-放贷-结算这个商业银行的全部业务环节。

现在的问题是：互联网企业有相关的风险管理措施吗？

更重要的问题是：互联网企业是管理这类风险的最佳人选吗？

最重要的问题是：互联网企业从事金融业务（而不是金融机构利用互联网为工具进行经营）的风险上限究竟该如何设定？

这些问题，目前看来都没有令人信服的答案。

眼下中国市场里的所谓“互联网金融产品”，在北美和欧盟市场上都没见过同类型或同规格可用于横向比较的样本，也未见到亚马逊、Facebook、推特等互联网公司涉足金融业务。贝宝（PayPal）作为一种在线支付工具，与支付宝相比，其功能的纯粹，相当于推特之于新浪微博，后者夹带了太多可疑、从风险管理角度看来都可能是隐患的附件。

当然，你可以争辩说凭什么中国互联网公司就不能发原创欧美人根本搞不出来的新型金融产品……这个嘛，风险管理的基础功能是根据历史数据和标的的现时状态来判断未来趋势。统计数据不支持“内地互联网企业擅长并坚持搞原创”的观点。打小抄搞山寨的，突然间要扮演爱迪生的角色，很可疑。

◤新浪博客◤2014年3月20日◤解释系主任

【推荐理由】解释系主任为从业多年的金融机构风险管理专家，亦为新浪财经专栏作家。当下，一些“财经作家”与“经济学家”对“互联网金融创新”讴歌连天，但这些人并无实务经验，可听而不可偏听；像作者这样有理论有实务的专家，非比赵括马谡，其观点值得重视。那些用别人的钱空手套白狼，有收益归自己、有风险让国家兜底的金融创新，必须警惕之。

携程明码保存CVV该当何罪？

N0.2

（原文摘编）2014年3月22日，漏洞报告平台“乌云网”指出携程网安全支付日志可遍历下载，能导致大量用户银行卡信息（持卡人姓名、身份证、银行卡号、卡CVV码与卡6位Bin码）泄露。

用户信用卡CVV码即（信用卡检查码），是由卡号、有效期和服务约束代码生成的3位或4位数字。信用卡无需密码支付的方式也叫“脱机交易”，这种支付方式仅凭卡号、CVV码等信息即可完成。对于这种支付而言，CVV安全码等同于密码。漏洞事件显示，携程将用户的姓名、身份证、银行卡号、卡CVV码、卡6位Bin码做了存储。而2014年1月中国广播网经济之声采访携程网时，携程网公关事务部工作人员回复：“目前携程网的后台不会记录用户的支付信息，同时后台的安全性也得到银联和银行的评估。”携程网客服也确认了“付款的信息都是不作保留的”。相隔两月，事实证明携程网撒谎了。

携程网支付页面自称支付环节通过了PCI认证，但PCI-DSS（支付卡行业数据安全标准）明确规定商户不允许存储CVV码。对收单机构而言，敏感的认证数据（包括CVV码）在支付授权完成后，是必须要安全删除的。授权之后，即使已加密，也不允许存储。

看索尼公司在英国的遭遇。2011年4月PSN服务大规模数据泄露事件，2013年7月索尼公司被英国数据保护监管部门罚款40万美元。当时PSN服务泄露的用户数据包括用户姓名、地址、电邮、生日和账号密码等。携程明码记录保存CVV码比这严重多了。

◤网易《另一面》◤第1032期◤李熙

【推荐理由】携程现在有赔付承诺，不过需要受害者自我举证被盗刷，这对信用卡用户来说是几乎无法完成的任务。即使现在携程客户的信用卡没有被盗刷，窃贼把泄露出的信息保存起来静默一段时间再盗刷也是可能的。迄今为止，所有的网银盗窃案件中，用户起诉银行时，银行均指责用户未妥善保管密码，并自辩其信息安全系统可靠。所以，大家赶紧换新卡吧。

纽约摊贩和“城管”何以共处

N0.3

◤《上海经济评论》◤2014年3月25日◤林广

（原文摘编）纽约市没有我们所说的“城管”，但是，街头摊贩管理工作却十分严格。人们要从事街头商贩业务，就要获得营业许可证。

经营食品的商贩，得向卫生局申请营业许可证，全市约3000个，此外还需要通过食品卫生专业的考试、培训，合格后取得上岗证。同时，商贩们还得随时准备接受卫生局的食品安全检查。卫生局要求摊贩必须戴手套、口罩，食物储存必须保持在一定的温度以防变质。

杂货摊贩就需向消费者事务局申请许可证，这类许可证名额不到一千，而且退伍老兵或者退伍老兵家属优先。

不过，在纽约街头摆地摊售杂志、书籍、艺术品不需要申办许可证，只要不影响交通和行人的安全即可。

所有的摊贩均要求，不能占道经营，摊位必须离开路沿0.4米，与建筑物、十字路口、地铁口、学校等保持一定距离，否则警察就会来干涉。虽然警察没有直接罚款和没收的权力，但是他们记录违法内容后将单据交给市政处理。

对街头商贩们的违法行为：无证经营可能面临拘捕与没收货物商品，没有食品专业上岗证者罚400美元，食品原料温度不合格的罚款700美元，不听劝告在不合适的地点摆餐车将被罚款2000美元。这样的罚单平均每年约有4万张。

有了公开透明的管理条例，执法者和商贩们就可以依法行事。美国特别强调契约和法治的重要性。商贩们明白，干扰执法和冒犯警察会付出更大的代价。如果商贩在警察执法过程中争辩或逃跑，那么罪加一等。

【推荐理由】从纽约市对摊贩的管理上我们能管窥什么是“治理能力现代化”，执法者和摊贩有法可依，对执法有异议可以通过司法途径解决，一切都井井有条，这才叫法律与秩序，所谓的现代公共治理不过是体现在诸多像这样似乎是细小，但与市民息息相关的方面。那些动辄称摊贩是“弱势群体”，因而占道扰民侵权违法就理直气壮的“穷横逻辑”，是民粹主义。

民间办大学得打破“出身论”

N0.4

（原文摘编）“我一直有个困惑……我们办了十多年的学，要独立办学都不允许？申请20%的自主招生权，也不给。”最近，笔者到一所独立学院调研，该校负责人曾担任某省副省长，他深刻感受到，在我国教育领域，还盛行“出身论”和“成分论”。

独立学院有这样的困惑，当年很多民办院校也都有这样的困惑：自己办学十多年了，却不能招收本科，而由公办大学举办的独立二级学院，校舍、图书资料、师资没解决，却能立即招收本科，不能授予自己的学位，就采取授予母体学校文凭的做法。

有什么理由认为举政府之力，就能办出好学校？同时，有何理由怀疑民间资金，就不会有办好教育的能力？

无论是政府出资举办的公立学校，还是民间举办的私立学校，在设立时的审批按一样的条件才对。在学校设立之后，要充分尊重学校的教育自主权，而学校举办的教育，是否得到社会专业认证机构的认可、得到学生的欢迎，那不是政府部门操心的事。得不到认可的自然被淘汰。

按规定，到2013年，所有独立学院都必须独立，可至今真正独立的独立学院不到10%，有母体学校阻止独立的，有独立学院不想独立的，有教育部门质疑独立学院独立之后不能独立办学的。

要消除教育“身份论”，就必须取消不合理的教育行政审批，推进教育管办评分离。根据十八届三中全会决定的精神，教育部门正逐渐下放或取消教育行政审批权。不过核心的审批权还掌握在行政部门手中。

◤《华商报》◤2014年3月22日◤熊丙奇

【推荐理由】对高校招生资格与学位授予资格的限制，本来就没有什么道理可言。民办高校自主招生为什么不可以，为什么不可以和北大清华同台竞争高考状元？现在说这话让大多数听者觉得要笑掉大牙：民办高校现在教育水准多弱啊，就是放开招生，会有高考状元愿意去吗？不过，放开招生之后，民办高校就有动力提高教育质量吸引优质学生了，总有一天会出牛校。