摘 要:近年來,金融科技的高速發展使得居民的金融生活更加便利,但同時也引發了金融監管的新問題。圍繞互聯網技術應用和監管漏洞的金融黑灰產呈多發趨勢,對金融行業正常經營和社會信用體系造成了較大沖擊。治理金融黑灰產不能僅從現象出發,而要從黑灰產鏈條的研究出發,針對性地搭建起治理框架,明確各主體之間的責任和分工,才能起到事半功倍的效果。
關鍵詞:金融黑灰產 個人信息保護 金融監管 金融素養教育
【中圖分類號】F832.5 【文獻標識碼】A
改革開放以來,我國的經濟發展取得了舉世矚目的成績,金融作為經濟系統中的重要一環,也在近二十年實現了跨越式發展。特別地,金融在宏觀調控、資源配置和資金融通方面起到了重要作用,也促進了廣大人民群眾生活水平的提升。
快速發展是契機也是挑戰。目前金融業的市場結構、經營理念、創新能力、服務水平還不完全適應經濟高質量發展的要求,在金融監管也相對滯后的背景下,許多不法分子盯上了金融這個具有一定知識壁壘又和居民息息相關的行業,打著“債務減免”“代理維權”“征信修復”“反催收”的旗號牟取巨額非法利益,甚至已經形成了完整的黑灰色產業鏈。這意味著金融領域在規范市場和行業方面仍然有很長的路要走。
金融黑灰產相關概念剖析及其影響
金融黑灰產的定義和范疇
關于金融黑灰產,目前并沒有明確的定義。本文認為,圍繞金融鏈條衍生的各種非法行為(包括金融信息竊取、洗錢、金融欺詐、非法維權、代理退保、惡性催收等)形成的完整的黑灰色產業鏈,即為統稱的金融黑灰產。
從整體鏈條的供需關系出發,可以將金融黑灰產分為資源服務提供、資源變現兩階段。資源服務提供階段是指為實現金融非法目的,提供資源和相關服務的階段,例如“料商”提供大量的居民個人信息、偽造企業資質,“卡商”等虛擬運營商提供開卡服務、IP服務等。根據中國工商銀行發布的《2022網絡金融黑產研究報告》,黑灰產使用工具主要分為三類:開發者工具、自研類工具和輔助通訊類工具。開發者工具主要包括開源類應用、模擬器、測試包等應用;自研類工具多為從業者定向使用的工具,如洗錢-免簽、跑分平臺等特殊應用;輔助通訊類工具是指物料提供環節使用的應用,如虛擬撥號(GOIP)、遠控類等應用。這一階段的黑灰產通常潛伏在暗處,不為社會所熟知。
資源變現階段,則是我們日常可以看到的侵權行為,例如誘導惡意維權的廣告、含安全隱患的中獎鏈接、偽裝成銀行短信的詐騙鏈接、“反催收”教學視頻,以及通過偽造證據、虛假惡意投訴等手法進行勒索等。
金融黑灰產的目標、范圍和影響
近年來,金融黑灰產呈現多發趨勢,根據威脅獵人發布的《2022年黑灰產業研究報告》,2022年,我國金融黑灰產業從業者已超200萬,平均年齡23歲,市場規模高達1100億。并且,金融黑灰產表現出目標精準、分工明確、技術先進的特征,嚴重侵犯了金融消費者的合法權益,阻礙了金融機構的正常運行,也影響了我國金融行業的穩定發展。
中國工商銀行發布的《2022網絡金融黑產研究報告》指出,針對金融行業的黑灰產攻擊目標主要包含兩大類,一是對個人用戶的資金欺詐,二是對金融企業的“薅羊毛”、活動作弊。
針對個人用戶的資金欺詐方面,《2022網絡金融黑產研究報告》指出,2022年針對普通個人用戶的欺詐類型仍以虛假兼職、交友詐騙、身份冒充、金融理財為主,分別占所有類型的29.5%、25.6%、12.5%和10.7%,占所有舉報類型的70%以上,且此四類詐騙危害結果也較高,涉案金額占所有類型涉案總額的95%以上。相較2021年,虛假兼職及交友詐騙占比變化不大,但身份冒充類案件數量在2022年有所上升,由2021年的第四位(9.4%),上升到第三位(12.5%)。
針對金融企業的欺詐方面,黑灰產對銀行業務的關注度在2022年持續攀高,銀行業欺詐事件整體呈高發態勢,從針對銀行業攻擊消息數量的統計中可以看出,針對銀行業的攻擊多集中發生在下半年,與這期間銀行業務活動較多、整體營銷力度較大有關。
金融黑灰產的影響并不局限于欺詐和營銷作弊,還越來越多地滲透到了金融生活各方面。例如,隨著云計算、云服務等新技術在互聯網的應用和發展,第三方支付和虛擬貨幣成為網絡洗錢犯罪的主要資源。又如,針對券商、保險、證券咨詢業、投資顧問公司的惡意維權和過度維權等侵權行為屢見不鮮。
筆者通過調研多家證券咨詢機構,發布過一份《第三方證券投資咨詢行業投資者權益保護調研報告》。報告重點關注通過批量制作虛假維權的廣告文章來吸引投資者進行維權代理的問題。研究采用大數據和機器學習的方法識別此類文章在網絡上的普遍性、涉及金融機構的廣泛性,以及內容的關聯性,以此作為佐證惡意維權現象存在的證據。具體的發現如下:
首先,涉嫌虛假維權可能性的文章比例很高(占分析的10萬篇樣本文章的20%);這些文章涵蓋絕大部分的理財機構樣本,97%的公司均為虛假維權的目標;單個金融機構被涉嫌虛假維權的文章提及次數的均值為53次,中位數為37次,最大值達到了342次。這些結果說明惡意維權現象的確在市場普遍存在,其潛在影響波及絕大多數的保險公司、投資顧問公司和證券公司。
其次,從涉嫌虛假維權可能性的文章來源看,出現數量最高的前20域名占到78%,其中數量最高的一個域名占比39%。除此之外,多達77%的涉嫌虛假維權可能性文章提供了聯系方式,而且很多文章都對應了同一個聯系方式。這些研究發現與惡意維權常見的技術手段特征高度吻合。
最后,在涉嫌虛假維權可能性的文章樣本中,67%的樣本之間的相似度在0.8以上。這說明,很多涉嫌虛假維權的文章之間有很高的相似性,很有可能是用技術手段批量生成的。據南都大數據研究院2023年4月發布的《“非法代理維權”治理調研報告(2023)》,職業化“非法代理維權”從業人員有數十萬人,而黑灰產煽動教唆的“非法代理維權”活動參與人員有幾百萬上千萬,造成金融機構財產損失達數百億元級別。僅從虛假維權和惡意維權這一個側面,我們就可以看到,金融黑灰產范圍之廣、關聯性之強、技術惡意運用之嫻熟,及其經濟社會危害之大。
當前金融黑灰產整治進展分析
防范、打擊和整治黑灰產已經成為監管部門和金融行業的共識。近期,大大小小的金融行業論壇上,關于“金融黑灰產”的話題討論度極高。2023年6月底,世界金融論壇WFF主辦了相關學術研討會,探討監管合作聯動和打擊金融黑灰產。2023年“7.8全國保險公眾宣傳日”期間,中國保險行業協會圍繞“整治‘代理退保’黑灰產”舉辦了相關對話。
早在2022年8月,銀保監會就發布了《關于進一步加強消費金融公司和汽車金融公司投訴問題整治的通知》,指出要嚴厲打擊非法代理黑灰產,嚴肅查處以“征信修復、洗白、鏟單、征信異議投訴咨詢、代理”為名行騙,嚴重擾亂社會信用體系建設大局的不法分子。
行業協會也在不斷探索通過制定催收標準等方式打擊金融黑灰產。2023年7月,中國互聯網金融協會在“催收國家標準研制和聯合應對黑灰產侵擾工作機制建設”工作會議上,介紹了《互聯網金融領域嚴重影響從業機構正常運營的代理維權活動應對指南》的起草情況,就聯合應對黑灰產侵擾工作機制建設等工作提出總體思路和整體計劃。同年8月,中國互聯網金融協會發布了《關于加強互聯網金融行業協同、維護行業正常秩序的倡議》,提出將組織互聯網金融領域從業機構共同應對黑灰產的侵害,倡議從業機構切實踐行負責任金融的理念,履行反黑灰產的主體責任和社會責任,身體力行站在反黑灰產的第一線。該倡議發出后,得到了多家互聯網金融公司的積極響應。
除此之外,從業機構也積極行動,在科技賦能、共建行業黑名單等方面共同發力。2022年3月,全國首個打擊金融領域黑灰產聯盟(AIF)成立,截至2023年8月,已有銀行、消金、小貸、保險、金融科技在內的成員單位68家。2023年8月,AIF聯盟第一次會議暨系統平臺啟動儀式上,全國首個金融黑灰產打擊系統平臺開始試運行。
與此同時,各家機構也積極發揮自身優勢打擊金融黑灰產。消費金融方面,螞蟻消金聯合合作機構建立了智能風險感知與響應分析系統,該系統可以通過風險提醒、智能考卷、安全保鏢、延遲放款、叫醒服務等一系列分級管控手段,主動向用戶發出反詐預警。根據《重慶螞蟻消費金融有限公司2022年度報告》,2022年“叫醒”用戶10余萬人,為其避免了巨額潛在損失。并且,螞蟻消金積極與高校合作,在“金融反黑灰產反欺詐”課題上建設消保領域的憑證識別技術體系,運用密碼學、語音識別、圖像處理等領域的前沿研究成果,采用機器學習算法對黑灰產“代理維權”中存在協商憑證造假、印章造假等作假行為進行識別,目前假證的識別準確率已經達到97%以上。
金融科技領域,2022年4月奇富科技(原360數科)宣布推出奇網數字化安全解決方案(下稱“奇網”),將數據安全、信息安全、合規自檢、系統安全管理系統集成于奇富科技網狀系統中,形成全方位、一體化、可對外輸出的數字化安全解決方案。在為期8個月的測試期內,“奇網”的反詐預警總數達 25387940次,幫助用戶避免財產損失3.2億元。信也科技已于2023年5月成立消費者權益保護委員會,與各地金融機構、執法部門等強化了信息互通,建立了黑灰產動態聯絡機制,同時開展了行業規則制定、反欺詐技術研制等相關工作。
可以看到,各類主體對金融黑灰產的打擊與整治力度正在加強,技術力量也在逐漸增加。與其他違法犯罪相區別,金融黑灰產呈現“一對多”特征,犯罪手段隱蔽,整治現狀從總體上看還不盡如人意。一方面,金融黑灰產犯罪行為多為金融和信息技術的結合,專業性強、技術性高,而立法存在一定滯后性,加上監管手段和技術不夠先進,無法做到全面、精準的打擊整治。另一方面,由于金融黑灰產涉及的機構多、違法行為類型多,對不同機構的影響程度差異很大,在應對方式上容易出現各自為政的現象。由此,亟需搭建治理框架、厘清治理脈絡、規劃更加明晰的治理路徑,明確各主體之間的責任,建立金融黑灰產規范治理聯動機制,放大協同效應。
金融黑灰產治理框架分析
由于金融黑灰產已經形成和具備完整產業鏈條的趨勢和特征,治理金融黑灰產不能僅從現象出發,而要從黑灰產鏈條的研究出發,針對性地搭建起治理框架,明確各主體之間的責任和分工,才能起到事半功倍的效果。
厘清金融黑灰產衍生的階段和鏈條
目前對于金融黑灰產問題的處理停留在“出現一例,打擊一例”的階段。原因是多樣的,一方面,金融黑灰產有一定的隱蔽性,例如有的隱藏在維權的合法外衣下,有的則和合理的營銷活動混淆。另一方面,金融黑灰產治理的框架還未設立,對于金融黑灰產的定義范疇懲治手段均無明文規定,只能一事一議,用現有的框架找最接近目標的解決方法。
治理金融黑灰產首先需要了解清楚黑灰產的鏈條。如前文所討論,我們可以根據供需關系把金融黑灰產的參與主體分為資源供給方和資源變現方。
資源供給方承擔更多的“技術支持”角色,通過非法手段獲得居民金融信息,提供網絡詐騙所需要的站點服務、IP服務、偽造資質等。資源供給方雖然不直接與居民相接觸,卻為后續的金融詐騙等侵權行為提供了最基礎的助力。從源頭治理黑灰產,就需要切斷資源供給方的鏈條,增加資源方的違法成本和難度。這個環節,需要金融企業提升自身的數字化防護能力,對新技術的認識和掌握要實時更新、不斷進步。
資源變現方作為實施侵權行為、實現斂財目的的“實施主體”,在資源供給方提供信息、站點、技術手段的基礎上,通過電話、短信、視頻、網絡等方式誘導居民參與“債鬧”“虛假維權”“代理退保”“惡意薅羊毛”,乃至通過惡意鏈接盜取客戶金融資產實現金融詐騙等。顯而易見,對變現方的治理應側重于對違法犯罪行為的嚴厲打擊和整治上。
完善金融黑灰產監管法律和制度法律空白和監管不到位
針對資源供給方的非法信息獲取和提供非法網絡信息服務行為,立法機關已經出臺了相關的法律,《網絡安全法》《數據安全法》《個人信息保護法》也對相關責任進行了規范。但可能由于其中的一些表述過于抽象,也可能由于缺乏對應的法律治理依據,司法部門的治理效果還達不到預期,需要對大量的規則、標準進行補充和細化。如:關于自動化決策的透明度與公正性的規范;還有一些規則和辦法長期處于“征求意見”狀態,何時轉正或修訂落地,也是懸而未決的問題。另外,在監管方向上,與歐盟與美國的執法模式不同,在個人信息保護領域,中國尚未設置統一的數據保護機構,而是將相關機構統稱為“履行個人信息保護職責的部門”。這意味著網絡金融等監督管理部門等都有相應的管理權限,這種“九龍治水”的模式會在一定程度上影響監管效果。由是觀之,推動監管機構改革、實現分工優化勢在必行。
針對資源變現方明顯的違法犯罪行為,既需要執法部門強化打擊力度,也需要健全多元共治體制機制。一方面,現有的法律體系也需要增加更多與金融實踐相關的管理細則,加大機構聯動和懲治力度,增加違法犯罪成本。另一方面,也需要監管、市場、教育部門、媒體等主體加大對居民金融安全、風險防范的宣傳教育,從而降低資源變現方的成功率。
金融黑灰產治理路徑探析
基于以上分析,可以歸納總結出以下幾個方向的治理途徑:
首先,完善法律體系。信息安全方面,在評估現有互聯網信息發展技術的基礎上,完善《個人信息保護法》《網絡安全法》《數據安全法》的實施細則,增加其可操作性。包括并不限于:制定個人信息保護具體規則、標準;針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用,制定專門的個人信息保護規則、標準;支持研究開發和推廣應用安全、方便的電子身份認證技術,推進網絡身份認證公共服務建設。信息保護方面,通過法律解釋、指南、修訂、處罰公示、公民訴訟、司法判例、行業最佳實踐、年報、白皮書等不同方式,全面促進個人信息保護的深化和升級,保持法律制度的活力。當然這些海量的、艱巨的任務僅僅依靠監管機構是不可能獨立完成的,應當鼓勵、動員更多的社會力量共同參與,尤其是要調動研究機構、技術公司、行業協會、標準化組織、企業代表等力量,并且可以學習借鑒國內外優秀的成果和經驗,例如歐盟、美國的數據治理經驗,以他山之石攻玉。懲罰機制方面,既要增強監管及處罰標準的確定性,明確監管主體和合規指導的路徑,提高監管政策的透明度,也要明確對金融衍生黑灰產的行政、刑法規范范圍和路徑,探討在法律體系具有滯后性的情況下,如何通過法律解釋、司法解釋、判例創新等方式建立關于金融黑灰產違法行為的評估體系。
其次,建立統一監管協調機制。金融監管局的設立帶來了一個良好的契機。國家金融監管總局省級機構統一掛牌,意味著大消保監管體制的確立。金融消費者保護部門作為牽頭部門,可以起到統籌協調的作用。具體來說,要明確監管主體,協調金融機構、司法部門、工信部、市場監督管理機構形成打擊金融黑灰產的工作合力。為相關機構開展個人信息保護工作制定標準、進行評估認證、開展監督服務,引導金融機構在數據、信息安全和效率之間找到平衡,提升金融機構保護數據安全的意識。另外,還要重視和完善個人信息保護投訴、舉報工作機制。
第三,建立行業自律組織、打擊金融黑灰產產業聯盟,充分發揮機構主體的主觀能動性,建立機構之間的合作、協調、共享、互助機制,自發維護行業環境和市場秩序。2022年3月,首個打擊金融領域黑灰產聯盟(AIF)成立,這預示著機構走向聯合與協作,通過同步金融黑灰產的發展和變化、預警防范信息,組織研討金融領域黑灰產現狀和應對策略,分享成功案例,達到凈化行業環境、維護良好金融運營秩序的目的。長遠來看,聯盟職責的明晰、執行的有效性以及對聯盟的監管和指導仍需進一步探討。
第四,金融機構一方面需要提高數據安全保障能力和合規意識,跟隨技術進步的腳步提升數字化水平;另一方面,更加重視投資者教育和保護工作,增進與客戶的互動,提高客戶的風險防范意識,減少金融黑灰產對機構和客戶的可乘之機。
第五,在金融監管局的牽頭下,不斷提升社會大眾金融安全意識。提高金融素養教育的可獲得性,從自身意識、能力的提升出發,鼓勵社會大眾更多了解金融相關行業運行規律,提高對金融黑灰產、違法犯罪行為的警覺,從而避免不必要的財產損失。
【本文作者為 吳 飛,上海交通大學上海高級金融學院教授;許 潔,上海交通大學中國金融研究院青年研究員】
責編:羅 婷/美編:王嘉騏