摘 要:近年來,金融科技的高速發(fā)展使得居民的金融生活更加便利,但同時也引發(fā)了金融監(jiān)管的新問題。圍繞互聯(lián)網(wǎng)技術應用和監(jiān)管漏洞的金融黑灰產(chǎn)呈多發(fā)趨勢,對金融行業(yè)正常經(jīng)營和社會信用體系造成了較大沖擊。治理金融黑灰產(chǎn)不能僅從現(xiàn)象出發(fā),而要從黑灰產(chǎn)鏈條的研究出發(fā),針對性地搭建起治理框架,明確各主體之間的責任和分工,才能起到事半功倍的效果。
關鍵詞:金融黑灰產(chǎn) 個人信息保護 金融監(jiān)管 金融素養(yǎng)教育
【中圖分類號】F832.5 【文獻標識碼】A
改革開放以來,我國的經(jīng)濟發(fā)展取得了舉世矚目的成績,金融作為經(jīng)濟系統(tǒng)中的重要一環(huán),也在近二十年實現(xiàn)了跨越式發(fā)展。特別地,金融在宏觀調(diào)控、資源配置和資金融通方面起到了重要作用,也促進了廣大人民群眾生活水平的提升。
快速發(fā)展是契機也是挑戰(zhàn)。目前金融業(yè)的市場結(jié)構、經(jīng)營理念、創(chuàng)新能力、服務水平還不完全適應經(jīng)濟高質(zhì)量發(fā)展的要求,在金融監(jiān)管也相對滯后的背景下,許多不法分子盯上了金融這個具有一定知識壁壘又和居民息息相關的行業(yè),打著“債務減免”“代理維權”“征信修復”“反催收”的旗號牟取巨額非法利益,甚至已經(jīng)形成了完整的黑灰色產(chǎn)業(yè)鏈。這意味著金融領域在規(guī)范市場和行業(yè)方面仍然有很長的路要走。
金融黑灰產(chǎn)相關概念剖析及其影響
金融黑灰產(chǎn)的定義和范疇
關于金融黑灰產(chǎn),目前并沒有明確的定義。本文認為,圍繞金融鏈條衍生的各種非法行為(包括金融信息竊取、洗錢、金融欺詐、非法維權、代理退保、惡性催收等)形成的完整的黑灰色產(chǎn)業(yè)鏈,即為統(tǒng)稱的金融黑灰產(chǎn)。
從整體鏈條的供需關系出發(fā),可以將金融黑灰產(chǎn)分為資源服務提供、資源變現(xiàn)兩階段。資源服務提供階段是指為實現(xiàn)金融非法目的,提供資源和相關服務的階段,例如“料商”提供大量的居民個人信息、偽造企業(yè)資質(zhì),“卡商”等虛擬運營商提供開卡服務、IP服務等。根據(jù)中國工商銀行發(fā)布的《2022網(wǎng)絡金融黑產(chǎn)研究報告》,黑灰產(chǎn)使用工具主要分為三類:開發(fā)者工具、自研類工具和輔助通訊類工具。開發(fā)者工具主要包括開源類應用、模擬器、測試包等應用;自研類工具多為從業(yè)者定向使用的工具,如洗錢-免簽、跑分平臺等特殊應用;輔助通訊類工具是指物料提供環(huán)節(jié)使用的應用,如虛擬撥號(GOIP)、遠控類等應用。這一階段的黑灰產(chǎn)通常潛伏在暗處,不為社會所熟知。
資源變現(xiàn)階段,則是我們?nèi)粘?梢钥吹降那謾嘈袨椋缯T導惡意維權的廣告、含安全隱患的中獎鏈接、偽裝成銀行短信的詐騙鏈接、“反催收”教學視頻,以及通過偽造證據(jù)、虛假惡意投訴等手法進行勒索等。
金融黑灰產(chǎn)的目標、范圍和影響
近年來,金融黑灰產(chǎn)呈現(xiàn)多發(fā)趨勢,根據(jù)威脅獵人發(fā)布的《2022年黑灰產(chǎn)業(yè)研究報告》,2022年,我國金融黑灰產(chǎn)業(yè)從業(yè)者已超200萬,平均年齡23歲,市場規(guī)模高達1100億。并且,金融黑灰產(chǎn)表現(xiàn)出目標精準、分工明確、技術先進的特征,嚴重侵犯了金融消費者的合法權益,阻礙了金融機構的正常運行,也影響了我國金融行業(yè)的穩(wěn)定發(fā)展。
中國工商銀行發(fā)布的《2022網(wǎng)絡金融黑產(chǎn)研究報告》指出,針對金融行業(yè)的黑灰產(chǎn)攻擊目標主要包含兩大類,一是對個人用戶的資金欺詐,二是對金融企業(yè)的“薅羊毛”、活動作弊。
針對個人用戶的資金欺詐方面,《2022網(wǎng)絡金融黑產(chǎn)研究報告》指出,2022年針對普通個人用戶的欺詐類型仍以虛假兼職、交友詐騙、身份冒充、金融理財為主,分別占所有類型的29.5%、25.6%、12.5%和10.7%,占所有舉報類型的70%以上,且此四類詐騙危害結(jié)果也較高,涉案金額占所有類型涉案總額的95%以上。相較2021年,虛假兼職及交友詐騙占比變化不大,但身份冒充類案件數(shù)量在2022年有所上升,由2021年的第四位(9.4%),上升到第三位(12.5%)。
針對金融企業(yè)的欺詐方面,黑灰產(chǎn)對銀行業(yè)務的關注度在2022年持續(xù)攀高,銀行業(yè)欺詐事件整體呈高發(fā)態(tài)勢,從針對銀行業(yè)攻擊消息數(shù)量的統(tǒng)計中可以看出,針對銀行業(yè)的攻擊多集中發(fā)生在下半年,與這期間銀行業(yè)務活動較多、整體營銷力度較大有關。
金融黑灰產(chǎn)的影響并不局限于欺詐和營銷作弊,還越來越多地滲透到了金融生活各方面。例如,隨著云計算、云服務等新技術在互聯(lián)網(wǎng)的應用和發(fā)展,第三方支付和虛擬貨幣成為網(wǎng)絡洗錢犯罪的主要資源。又如,針對券商、保險、證券咨詢業(yè)、投資顧問公司的惡意維權和過度維權等侵權行為屢見不鮮。
筆者通過調(diào)研多家證券咨詢機構,發(fā)布過一份《第三方證券投資咨詢行業(yè)投資者權益保護調(diào)研報告》。報告重點關注通過批量制作虛假維權的廣告文章來吸引投資者進行維權代理的問題。研究采用大數(shù)據(jù)和機器學習的方法識別此類文章在網(wǎng)絡上的普遍性、涉及金融機構的廣泛性,以及內(nèi)容的關聯(lián)性,以此作為佐證惡意維權現(xiàn)象存在的證據(jù)。具體的發(fā)現(xiàn)如下:
首先,涉嫌虛假維權可能性的文章比例很高(占分析的10萬篇樣本文章的20%);這些文章涵蓋絕大部分的理財機構樣本,97%的公司均為虛假維權的目標;單個金融機構被涉嫌虛假維權的文章提及次數(shù)的均值為53次,中位數(shù)為37次,最大值達到了342次。這些結(jié)果說明惡意維權現(xiàn)象的確在市場普遍存在,其潛在影響波及絕大多數(shù)的保險公司、投資顧問公司和證券公司。
其次,從涉嫌虛假維權可能性的文章來源看,出現(xiàn)數(shù)量最高的前20域名占到78%,其中數(shù)量最高的一個域名占比39%。除此之外,多達77%的涉嫌虛假維權可能性文章提供了聯(lián)系方式,而且很多文章都對應了同一個聯(lián)系方式。這些研究發(fā)現(xiàn)與惡意維權常見的技術手段特征高度吻合。
最后,在涉嫌虛假維權可能性的文章樣本中,67%的樣本之間的相似度在0.8以上。這說明,很多涉嫌虛假維權的文章之間有很高的相似性,很有可能是用技術手段批量生成的。據(jù)南都大數(shù)據(jù)研究院2023年4月發(fā)布的《“非法代理維權”治理調(diào)研報告(2023)》,職業(yè)化“非法代理維權”從業(yè)人員有數(shù)十萬人,而黑灰產(chǎn)煽動教唆的“非法代理維權”活動參與人員有幾百萬上千萬,造成金融機構財產(chǎn)損失達數(shù)百億元級別。僅從虛假維權和惡意維權這一個側(cè)面,我們就可以看到,金融黑灰產(chǎn)范圍之廣、關聯(lián)性之強、技術惡意運用之嫻熟,及其經(jīng)濟社會危害之大。
當前金融黑灰產(chǎn)整治進展分析
防范、打擊和整治黑灰產(chǎn)已經(jīng)成為監(jiān)管部門和金融行業(yè)的共識。近期,大大小小的金融行業(yè)論壇上,關于“金融黑灰產(chǎn)”的話題討論度極高。2023年6月底,世界金融論壇WFF主辦了相關學術研討會,探討監(jiān)管合作聯(lián)動和打擊金融黑灰產(chǎn)。2023年“7.8全國保險公眾宣傳日”期間,中國保險行業(yè)協(xié)會圍繞“整治‘代理退保’黑灰產(chǎn)”舉辦了相關對話。
早在2022年8月,銀保監(jiān)會就發(fā)布了《關于進一步加強消費金融公司和汽車金融公司投訴問題整治的通知》,指出要嚴厲打擊非法代理黑灰產(chǎn),嚴肅查處以“征信修復、洗白、鏟單、征信異議投訴咨詢、代理”為名行騙,嚴重擾亂社會信用體系建設大局的不法分子。
行業(yè)協(xié)會也在不斷探索通過制定催收標準等方式打擊金融黑灰產(chǎn)。2023年7月,中國互聯(lián)網(wǎng)金融協(xié)會在“催收國家標準研制和聯(lián)合應對黑灰產(chǎn)侵擾工作機制建設”工作會議上,介紹了《互聯(lián)網(wǎng)金融領域嚴重影響從業(yè)機構正常運營的代理維權活動應對指南》的起草情況,就聯(lián)合應對黑灰產(chǎn)侵擾工作機制建設等工作提出總體思路和整體計劃。同年8月,中國互聯(lián)網(wǎng)金融協(xié)會發(fā)布了《關于加強互聯(lián)網(wǎng)金融行業(yè)協(xié)同、維護行業(yè)正常秩序的倡議》,提出將組織互聯(lián)網(wǎng)金融領域從業(yè)機構共同應對黑灰產(chǎn)的侵害,倡議從業(yè)機構切實踐行負責任金融的理念,履行反黑灰產(chǎn)的主體責任和社會責任,身體力行站在反黑灰產(chǎn)的第一線。該倡議發(fā)出后,得到了多家互聯(lián)網(wǎng)金融公司的積極響應。
除此之外,從業(yè)機構也積極行動,在科技賦能、共建行業(yè)黑名單等方面共同發(fā)力。2022年3月,全國首個打擊金融領域黑灰產(chǎn)聯(lián)盟(AIF)成立,截至2023年8月,已有銀行、消金、小貸、保險、金融科技在內(nèi)的成員單位68家。2023年8月,AIF聯(lián)盟第一次會議暨系統(tǒng)平臺啟動儀式上,全國首個金融黑灰產(chǎn)打擊系統(tǒng)平臺開始試運行。
與此同時,各家機構也積極發(fā)揮自身優(yōu)勢打擊金融黑灰產(chǎn)。消費金融方面,螞蟻消金聯(lián)合合作機構建立了智能風險感知與響應分析系統(tǒng),該系統(tǒng)可以通過風險提醒、智能考卷、安全保鏢、延遲放款、叫醒服務等一系列分級管控手段,主動向用戶發(fā)出反詐預警。根據(jù)《重慶螞蟻消費金融有限公司2022年度報告》,2022年“叫醒”用戶10余萬人,為其避免了巨額潛在損失。并且,螞蟻消金積極與高校合作,在“金融反黑灰產(chǎn)反欺詐”課題上建設消保領域的憑證識別技術體系,運用密碼學、語音識別、圖像處理等領域的前沿研究成果,采用機器學習算法對黑灰產(chǎn)“代理維權”中存在協(xié)商憑證造假、印章造假等作假行為進行識別,目前假證的識別準確率已經(jīng)達到97%以上。
金融科技領域,2022年4月奇富科技(原360數(shù)科)宣布推出奇網(wǎng)數(shù)字化安全解決方案(下稱“奇網(wǎng)”),將數(shù)據(jù)安全、信息安全、合規(guī)自檢、系統(tǒng)安全管理系統(tǒng)集成于奇富科技網(wǎng)狀系統(tǒng)中,形成全方位、一體化、可對外輸出的數(shù)字化安全解決方案。在為期8個月的測試期內(nèi),“奇網(wǎng)”的反詐預警總數(shù)達 25387940次,幫助用戶避免財產(chǎn)損失3.2億元。信也科技已于2023年5月成立消費者權益保護委員會,與各地金融機構、執(zhí)法部門等強化了信息互通,建立了黑灰產(chǎn)動態(tài)聯(lián)絡機制,同時開展了行業(yè)規(guī)則制定、反欺詐技術研制等相關工作。
可以看到,各類主體對金融黑灰產(chǎn)的打擊與整治力度正在加強,技術力量也在逐漸增加。與其他違法犯罪相區(qū)別,金融黑灰產(chǎn)呈現(xiàn)“一對多”特征,犯罪手段隱蔽,整治現(xiàn)狀從總體上看還不盡如人意。一方面,金融黑灰產(chǎn)犯罪行為多為金融和信息技術的結(jié)合,專業(yè)性強、技術性高,而立法存在一定滯后性,加上監(jiān)管手段和技術不夠先進,無法做到全面、精準的打擊整治。另一方面,由于金融黑灰產(chǎn)涉及的機構多、違法行為類型多,對不同機構的影響程度差異很大,在應對方式上容易出現(xiàn)各自為政的現(xiàn)象。由此,亟需搭建治理框架、厘清治理脈絡、規(guī)劃更加明晰的治理路徑,明確各主體之間的責任,建立金融黑灰產(chǎn)規(guī)范治理聯(lián)動機制,放大協(xié)同效應。
金融黑灰產(chǎn)治理框架分析
由于金融黑灰產(chǎn)已經(jīng)形成和具備完整產(chǎn)業(yè)鏈條的趨勢和特征,治理金融黑灰產(chǎn)不能僅從現(xiàn)象出發(fā),而要從黑灰產(chǎn)鏈條的研究出發(fā),針對性地搭建起治理框架,明確各主體之間的責任和分工,才能起到事半功倍的效果。
厘清金融黑灰產(chǎn)衍生的階段和鏈條
目前對于金融黑灰產(chǎn)問題的處理停留在“出現(xiàn)一例,打擊一例”的階段。原因是多樣的,一方面,金融黑灰產(chǎn)有一定的隱蔽性,例如有的隱藏在維權的合法外衣下,有的則和合理的營銷活動混淆。另一方面,金融黑灰產(chǎn)治理的框架還未設立,對于金融黑灰產(chǎn)的定義范疇懲治手段均無明文規(guī)定,只能一事一議,用現(xiàn)有的框架找最接近目標的解決方法。
治理金融黑灰產(chǎn)首先需要了解清楚黑灰產(chǎn)的鏈條。如前文所討論,我們可以根據(jù)供需關系把金融黑灰產(chǎn)的參與主體分為資源供給方和資源變現(xiàn)方。
資源供給方承擔更多的“技術支持”角色,通過非法手段獲得居民金融信息,提供網(wǎng)絡詐騙所需要的站點服務、IP服務、偽造資質(zhì)等。資源供給方雖然不直接與居民相接觸,卻為后續(xù)的金融詐騙等侵權行為提供了最基礎的助力。從源頭治理黑灰產(chǎn),就需要切斷資源供給方的鏈條,增加資源方的違法成本和難度。這個環(huán)節(jié),需要金融企業(yè)提升自身的數(shù)字化防護能力,對新技術的認識和掌握要實時更新、不斷進步。
資源變現(xiàn)方作為實施侵權行為、實現(xiàn)斂財目的的“實施主體”,在資源供給方提供信息、站點、技術手段的基礎上,通過電話、短信、視頻、網(wǎng)絡等方式誘導居民參與“債鬧”“虛假維權”“代理退保”“惡意薅羊毛”,乃至通過惡意鏈接盜取客戶金融資產(chǎn)實現(xiàn)金融詐騙等。顯而易見,對變現(xiàn)方的治理應側(cè)重于對違法犯罪行為的嚴厲打擊和整治上。
完善金融黑灰產(chǎn)監(jiān)管法律和制度法律空白和監(jiān)管不到位
針對資源供給方的非法信息獲取和提供非法網(wǎng)絡信息服務行為,立法機關已經(jīng)出臺了相關的法律,《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》也對相關責任進行了規(guī)范。但可能由于其中的一些表述過于抽象,也可能由于缺乏對應的法律治理依據(jù),司法部門的治理效果還達不到預期,需要對大量的規(guī)則、標準進行補充和細化。如:關于自動化決策的透明度與公正性的規(guī)范;還有一些規(guī)則和辦法長期處于“征求意見”狀態(tài),何時轉(zhuǎn)正或修訂落地,也是懸而未決的問題。另外,在監(jiān)管方向上,與歐盟與美國的執(zhí)法模式不同,在個人信息保護領域,中國尚未設置統(tǒng)一的數(shù)據(jù)保護機構,而是將相關機構統(tǒng)稱為“履行個人信息保護職責的部門”。這意味著網(wǎng)絡金融等監(jiān)督管理部門等都有相應的管理權限,這種“九龍治水”的模式會在一定程度上影響監(jiān)管效果。由是觀之,推動監(jiān)管機構改革、實現(xiàn)分工優(yōu)化勢在必行。
針對資源變現(xiàn)方明顯的違法犯罪行為,既需要執(zhí)法部門強化打擊力度,也需要健全多元共治體制機制。一方面,現(xiàn)有的法律體系也需要增加更多與金融實踐相關的管理細則,加大機構聯(lián)動和懲治力度,增加違法犯罪成本。另一方面,也需要監(jiān)管、市場、教育部門、媒體等主體加大對居民金融安全、風險防范的宣傳教育,從而降低資源變現(xiàn)方的成功率。
金融黑灰產(chǎn)治理路徑探析
基于以上分析,可以歸納總結(jié)出以下幾個方向的治理途徑:
首先,完善法律體系。信息安全方面,在評估現(xiàn)有互聯(lián)網(wǎng)信息發(fā)展技術的基礎上,完善《個人信息保護法》《網(wǎng)絡安全法》《數(shù)據(jù)安全法》的實施細則,增加其可操作性。包括并不限于:制定個人信息保護具體規(guī)則、標準;針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用,制定專門的個人信息保護規(guī)則、標準;支持研究開發(fā)和推廣應用安全、方便的電子身份認證技術,推進網(wǎng)絡身份認證公共服務建設。信息保護方面,通過法律解釋、指南、修訂、處罰公示、公民訴訟、司法判例、行業(yè)最佳實踐、年報、白皮書等不同方式,全面促進個人信息保護的深化和升級,保持法律制度的活力。當然這些海量的、艱巨的任務僅僅依靠監(jiān)管機構是不可能獨立完成的,應當鼓勵、動員更多的社會力量共同參與,尤其是要調(diào)動研究機構、技術公司、行業(yè)協(xié)會、標準化組織、企業(yè)代表等力量,并且可以學習借鑒國內(nèi)外優(yōu)秀的成果和經(jīng)驗,例如歐盟、美國的數(shù)據(jù)治理經(jīng)驗,以他山之石攻玉。懲罰機制方面,既要增強監(jiān)管及處罰標準的確定性,明確監(jiān)管主體和合規(guī)指導的路徑,提高監(jiān)管政策的透明度,也要明確對金融衍生黑灰產(chǎn)的行政、刑法規(guī)范范圍和路徑,探討在法律體系具有滯后性的情況下,如何通過法律解釋、司法解釋、判例創(chuàng)新等方式建立關于金融黑灰產(chǎn)違法行為的評估體系。
其次,建立統(tǒng)一監(jiān)管協(xié)調(diào)機制。金融監(jiān)管局的設立帶來了一個良好的契機。國家金融監(jiān)管總局省級機構統(tǒng)一掛牌,意味著大消保監(jiān)管體制的確立。金融消費者保護部門作為牽頭部門,可以起到統(tǒng)籌協(xié)調(diào)的作用。具體來說,要明確監(jiān)管主體,協(xié)調(diào)金融機構、司法部門、工信部、市場監(jiān)督管理機構形成打擊金融黑灰產(chǎn)的工作合力。為相關機構開展個人信息保護工作制定標準、進行評估認證、開展監(jiān)督服務,引導金融機構在數(shù)據(jù)、信息安全和效率之間找到平衡,提升金融機構保護數(shù)據(jù)安全的意識。另外,還要重視和完善個人信息保護投訴、舉報工作機制。
第三,建立行業(yè)自律組織、打擊金融黑灰產(chǎn)產(chǎn)業(yè)聯(lián)盟,充分發(fā)揮機構主體的主觀能動性,建立機構之間的合作、協(xié)調(diào)、共享、互助機制,自發(fā)維護行業(yè)環(huán)境和市場秩序。2022年3月,首個打擊金融領域黑灰產(chǎn)聯(lián)盟(AIF)成立,這預示著機構走向聯(lián)合與協(xié)作,通過同步金融黑灰產(chǎn)的發(fā)展和變化、預警防范信息,組織研討金融領域黑灰產(chǎn)現(xiàn)狀和應對策略,分享成功案例,達到凈化行業(yè)環(huán)境、維護良好金融運營秩序的目的。長遠來看,聯(lián)盟職責的明晰、執(zhí)行的有效性以及對聯(lián)盟的監(jiān)管和指導仍需進一步探討。
第四,金融機構一方面需要提高數(shù)據(jù)安全保障能力和合規(guī)意識,跟隨技術進步的腳步提升數(shù)字化水平;另一方面,更加重視投資者教育和保護工作,增進與客戶的互動,提高客戶的風險防范意識,減少金融黑灰產(chǎn)對機構和客戶的可乘之機。
第五,在金融監(jiān)管局的牽頭下,不斷提升社會大眾金融安全意識。提高金融素養(yǎng)教育的可獲得性,從自身意識、能力的提升出發(fā),鼓勵社會大眾更多了解金融相關行業(yè)運行規(guī)律,提高對金融黑灰產(chǎn)、違法犯罪行為的警覺,從而避免不必要的財產(chǎn)損失。
【本文作者為 吳 飛,上海交通大學上海高級金融學院教授;許 潔,上海交通大學中國金融研究院青年研究員】
責編:羅 婷/美編:王嘉騏