网站首页 | 网站地图

人民论坛网·国家治理网> 前沿理论> 正文

金融黑灰产整治:概念、框架与路径

摘 要:近年来,金融科技的高速发展使得居民的金融生活更加便利,但同时也引发了金融监管的新问题。围绕互联网技术应用和监管漏洞的金融黑灰产呈多发趋势,对金融行业正常经营和社会信用体系造成了较大冲击。治理金融黑灰产不能仅从现象出发,而要从黑灰产链条的研究出发,针对性地搭建起治理框架,明确各主体之间的责任和分工,才能起到事半功倍的效果。

关键词:金融黑灰产 个人信息保护 金融监管 金融素养教育

【中图分类号】F832.5 【文献标识码】A

改革开放以来,我国的经济发展取得了举世瞩目的成绩,金融作为经济系统中的重要一环,也在近二十年实现了跨越式发展。特别地,金融在宏观调控、资源配置和资金融通方面起到了重要作用,也促进了广大人民群众生活水平的提升。

快速发展是契机也是挑战。目前金融业的市场结构、经营理念、创新能力、服务水平还不完全适应经济高质量发展的要求,在金融监管也相对滞后的背景下,许多不法分子盯上了金融这个具有一定知识壁垒又和居民息息相关的行业,打着“债务减免”“代理维权”“征信修复”“反催收”的旗号牟取巨额非法利益,甚至已经形成了完整的黑灰色产业链。这意味着金融领域在规范市场和行业方面仍然有很长的路要走。

金融黑灰产相关概念剖析及其影响

金融黑灰产的定义和范畴

关于金融黑灰产,目前并没有明确的定义。本文认为,围绕金融链条衍生的各种非法行为(包括金融信息窃取、洗钱、金融欺诈、非法维权、代理退保、恶性催收等)形成的完整的黑灰色产业链,即为统称的金融黑灰产。

从整体链条的供需关系出发,可以将金融黑灰产分为资源服务提供、资源变现两阶段。资源服务提供阶段是指为实现金融非法目的,提供资源和相关服务的阶段,例如“料商”提供大量的居民个人信息、伪造企业资质,“卡商”等虚拟运营商提供开卡服务、IP服务等。根据中国工商银行发布的《2022网络金融黑产研究报告》,黑灰产使用工具主要分为三类:开发者工具、自研类工具和辅助通讯类工具。开发者工具主要包括开源类应用、模拟器、测试包等应用;自研类工具多为从业者定向使用的工具,如洗钱-免签、跑分平台等特殊应用;辅助通讯类工具是指物料提供环节使用的应用,如虚拟拨号(GOIP)、远控类等应用。这一阶段的黑灰产通常潜伏在暗处,不为社会所熟知。

资源变现阶段,则是我们日常可以看到的侵权行为,例如诱导恶意维权的广告、含安全隐患的中奖链接、伪装成银行短信的诈骗链接、“反催收”教学视频,以及通过伪造证据、虚假恶意投诉等手法进行勒索等。

金融黑灰产的目标、范围和影响

近年来,金融黑灰产呈现多发趋势,根据威胁猎人发布的《2022年黑灰产业研究报告》,2022年,我国金融黑灰产业从业者已超200万,平均年龄23岁,市场规模高达1100亿。并且,金融黑灰产表现出目标精准、分工明确、技术先进的特征,严重侵犯了金融消费者的合法权益,阻碍了金融机构的正常运行,也影响了我国金融行业的稳定发展。

中国工商银行发布的《2022网络金融黑产研究报告》指出,针对金融行业的黑灰产攻击目标主要包含两大类,一是对个人用户的资金欺诈,二是对金融企业的“薅羊毛”、活动作弊。

针对个人用户的资金欺诈方面,《2022网络金融黑产研究报告》指出,2022年针对普通个人用户的欺诈类型仍以虚假兼职、交友诈骗、身份冒充、金融理财为主,分别占所有类型的29.5%、25.6%、12.5%和10.7%,占所有举报类型的70%以上,且此四类诈骗危害结果也较高,涉案金额占所有类型涉案总额的95%以上。相较2021年,虚假兼职及交友诈骗占比变化不大,但身份冒充类案件数量在2022年有所上升,由2021年的第四位(9.4%),上升到第三位(12.5%)。

针对金融企业的欺诈方面,黑灰产对银行业务的关注度在2022年持续攀高,银行业欺诈事件整体呈高发态势,从针对银行业攻击消息数量的统计中可以看出,针对银行业的攻击多集中发生在下半年,与这期间银行业务活动较多、整体营销力度较大有关。

金融黑灰产的影响并不局限于欺诈和营销作弊,还越来越多地渗透到了金融生活各方面。例如,随着云计算、云服务等新技术在互联网的应用和发展,第三方支付和虚拟货币成为网络洗钱犯罪的主要资源。又如,针对券商、保险、证券咨询业、投资顾问公司的恶意维权和过度维权等侵权行为屡见不鲜。

笔者通过调研多家证券咨询机构,发布过一份《第三方证券投资咨询行业投资者权益保护调研报告》。报告重点关注通过批量制作虚假维权的广告文章来吸引投资者进行维权代理的问题。研究采用大数据和机器学习的方法识别此类文章在网络上的普遍性、涉及金融机构的广泛性,以及内容的关联性,以此作为佐证恶意维权现象存在的证据。具体的发现如下:

首先,涉嫌虚假维权可能性的文章比例很高(占分析的10万篇样本文章的20%);这些文章涵盖绝大部分的理财机构样本,97%的公司均为虚假维权的目标;单个金融机构被涉嫌虚假维权的文章提及次数的均值为53次,中位数为37次,最大值达到了342次。这些结果说明恶意维权现象的确在市场普遍存在,其潜在影响波及绝大多数的保险公司、投资顾问公司和证券公司。

其次,从涉嫌虚假维权可能性的文章来源看,出现数量最高的前20域名占到78%,其中数量最高的一个域名占比39%。除此之外,多达77%的涉嫌虚假维权可能性文章提供了联系方式,而且很多文章都对应了同一个联系方式。这些研究发现与恶意维权常见的技术手段特征高度吻合。

最后,在涉嫌虚假维权可能性的文章样本中,67%的样本之间的相似度在0.8以上。这说明,很多涉嫌虚假维权的文章之间有很高的相似性,很有可能是用技术手段批量生成的。据南都大数据研究院2023年4月发布的《“非法代理维权”治理调研报告(2023)》,职业化“非法代理维权”从业人员有数十万人,而黑灰产煽动教唆的“非法代理维权”活动参与人员有几百万上千万,造成金融机构财产损失达数百亿元级别。仅从虚假维权和恶意维权这一个侧面,我们就可以看到,金融黑灰产范围之广、关联性之强、技术恶意运用之娴熟,及其经济社会危害之大。

当前金融黑灰产整治进展分析

防范、打击和整治黑灰产已经成为监管部门和金融行业的共识。近期,大大小小的金融行业论坛上,关于“金融黑灰产”的话题讨论度极高。2023年6月底,世界金融论坛WFF主办了相关学术研讨会,探讨监管合作联动和打击金融黑灰产。2023年“7.8全国保险公众宣传日”期间,中国保险行业协会围绕“整治‘代理退保’黑灰产”举办了相关对话。

早在2022年8月,银保监会就发布了《关于进一步加强消费金融公司和汽车金融公司投诉问题整治的通知》,指出要严厉打击非法代理黑灰产,严肃查处以“征信修复、洗白、铲单、征信异议投诉咨询、代理”为名行骗,严重扰乱社会信用体系建设大局的不法分子。

行业协会也在不断探索通过制定催收标准等方式打击金融黑灰产。2023年7月,中国互联网金融协会在“催收国家标准研制和联合应对黑灰产侵扰工作机制建设”工作会议上,介绍了《互联网金融领域严重影响从业机构正常运营的代理维权活动应对指南》的起草情况,就联合应对黑灰产侵扰工作机制建设等工作提出总体思路和整体计划。同年8月,中国互联网金融协会发布了《关于加强互联网金融行业协同、维护行业正常秩序的倡议》,提出将组织互联网金融领域从业机构共同应对黑灰产的侵害,倡议从业机构切实践行负责任金融的理念,履行反黑灰产的主体责任和社会责任,身体力行站在反黑灰产的第一线。该倡议发出后,得到了多家互联网金融公司的积极响应。

除此之外,从业机构也积极行动,在科技赋能、共建行业黑名单等方面共同发力。2022年3月,全国首个打击金融领域黑灰产联盟(AIF)成立,截至2023年8月,已有银行、消金、小贷、保险、金融科技在内的成员单位68家。2023年8月,AIF联盟第一次会议暨系统平台启动仪式上,全国首个金融黑灰产打击系统平台开始试运行。

与此同时,各家机构也积极发挥自身优势打击金融黑灰产。消费金融方面,蚂蚁消金联合合作机构建立了智能风险感知与响应分析系统,该系统可以通过风险提醒、智能考卷、安全保镖、延迟放款、叫醒服务等一系列分级管控手段,主动向用户发出反诈预警。根据《重庆蚂蚁消费金融有限公司2022年度报告》,2022年“叫醒”用户10余万人,为其避免了巨额潜在损失。并且,蚂蚁消金积极与高校合作,在“金融反黑灰产反欺诈”课题上建设消保领域的凭证识别技术体系,运用密码学、语音识别、图像处理等领域的前沿研究成果,采用机器学习算法对黑灰产“代理维权”中存在协商凭证造假、印章造假等作假行为进行识别,目前假证的识别准确率已经达到97%以上。

金融科技领域,2022年4月奇富科技(原360数科)宣布推出奇网数字化安全解决方案(下称“奇网”),将数据安全、信息安全、合规自检、系统安全管理系统集成于奇富科技网状系统中,形成全方位、一体化、可对外输出的数字化安全解决方案。在为期8个月的测试期内,“奇网”的反诈预警总数达 25387940次,帮助用户避免财产损失3.2亿元。信也科技已于2023年5月成立消费者权益保护委员会,与各地金融机构、执法部门等强化了信息互通,建立了黑灰产动态联络机制,同时开展了行业规则制定、反欺诈技术研制等相关工作。

可以看到,各类主体对金融黑灰产的打击与整治力度正在加强,技术力量也在逐渐增加。与其他违法犯罪相区别,金融黑灰产呈现“一对多”特征,犯罪手段隐蔽,整治现状从总体上看还不尽如人意。一方面,金融黑灰产犯罪行为多为金融和信息技术的结合,专业性强、技术性高,而立法存在一定滞后性,加上监管手段和技术不够先进,无法做到全面、精准的打击整治。另一方面,由于金融黑灰产涉及的机构多、违法行为类型多,对不同机构的影响程度差异很大,在应对方式上容易出现各自为政的现象。由此,亟需搭建治理框架、厘清治理脉络、规划更加明晰的治理路径,明确各主体之间的责任,建立金融黑灰产规范治理联动机制,放大协同效应。

金融黑灰产治理框架分析

由于金融黑灰产已经形成和具备完整产业链条的趋势和特征,治理金融黑灰产不能仅从现象出发,而要从黑灰产链条的研究出发,针对性地搭建起治理框架,明确各主体之间的责任和分工,才能起到事半功倍的效果。

厘清金融黑灰产衍生的阶段和链条

目前对于金融黑灰产问题的处理停留在“出现一例,打击一例”的阶段。原因是多样的,一方面,金融黑灰产有一定的隐蔽性,例如有的隐藏在维权的合法外衣下,有的则和合理的营销活动混淆。另一方面,金融黑灰产治理的框架还未设立,对于金融黑灰产的定义范畴惩治手段均无明文规定,只能一事一议,用现有的框架找最接近目标的解决方法。

治理金融黑灰产首先需要了解清楚黑灰产的链条。如前文所讨论,我们可以根据供需关系把金融黑灰产的参与主体分为资源供给方和资源变现方。

资源供给方承担更多的“技术支持”角色,通过非法手段获得居民金融信息,提供网络诈骗所需要的站点服务、IP服务、伪造资质等。资源供给方虽然不直接与居民相接触,却为后续的金融诈骗等侵权行为提供了最基础的助力。从源头治理黑灰产,就需要切断资源供给方的链条,增加资源方的违法成本和难度。这个环节,需要金融企业提升自身的数字化防护能力,对新技术的认识和掌握要实时更新、不断进步。

资源变现方作为实施侵权行为、实现敛财目的的“实施主体”,在资源供给方提供信息、站点、技术手段的基础上,通过电话、短信、视频、网络等方式诱导居民参与“债闹”“虚假维权”“代理退保”“恶意薅羊毛”,乃至通过恶意链接盗取客户金融资产实现金融诈骗等。显而易见,对变现方的治理应侧重于对违法犯罪行为的严厉打击和整治上。

完善金融黑灰产监管法律和制度法律空白和监管不到位

针对资源供给方的非法信息获取和提供非法网络信息服务行为,立法机关已经出台了相关的法律,《网络安全法》《数据安全法》《个人信息保护法》也对相关责任进行了规范。但可能由于其中的一些表述过于抽象,也可能由于缺乏对应的法律治理依据,司法部门的治理效果还达不到预期,需要对大量的规则、标准进行补充和细化。如:关于自动化决策的透明度与公正性的规范;还有一些规则和办法长期处于“征求意见”状态,何时转正或修订落地,也是悬而未决的问题。另外,在监管方向上,与欧盟与美国的执法模式不同,在个人信息保护领域,中国尚未设置统一的数据保护机构,而是将相关机构统称为“履行个人信息保护职责的部门”。这意味着网络金融等监督管理部门等都有相应的管理权限,这种“九龙治水”的模式会在一定程度上影响监管效果。由是观之,推动监管机构改革、实现分工优化势在必行。

针对资源变现方明显的违法犯罪行为,既需要执法部门强化打击力度,也需要健全多元共治体制机制。一方面,现有的法律体系也需要增加更多与金融实践相关的管理细则,加大机构联动和惩治力度,增加违法犯罪成本。另一方面,也需要监管、市场、教育部门、媒体等主体加大对居民金融安全、风险防范的宣传教育,从而降低资源变现方的成功率。

金融黑灰产治理路径探析

基于以上分析,可以归纳总结出以下几个方向的治理途径:

首先,完善法律体系。信息安全方面,在评估现有互联网信息发展技术的基础上,完善《个人信息保护法》《网络安全法》《数据安全法》的实施细则,增加其可操作性。包括并不限于:制定个人信息保护具体规则、标准;针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设。信息保护方面,通过法律解释、指南、修订、处罚公示、公民诉讼、司法判例、行业最佳实践、年报、白皮书等不同方式,全面促进个人信息保护的深化和升级,保持法律制度的活力。当然这些海量的、艰巨的任务仅仅依靠监管机构是不可能独立完成的,应当鼓励、动员更多的社会力量共同参与,尤其是要调动研究机构、技术公司、行业协会、标准化组织、企业代表等力量,并且可以学习借鉴国内外优秀的成果和经验,例如欧盟、美国的数据治理经验,以他山之石攻玉。惩罚机制方面,既要增强监管及处罚标准的确定性,明确监管主体和合规指导的路径,提高监管政策的透明度,也要明确对金融衍生黑灰产的行政、刑法规范范围和路径,探讨在法律体系具有滞后性的情况下,如何通过法律解释、司法解释、判例创新等方式建立关于金融黑灰产违法行为的评估体系。

其次,建立统一监管协调机制。金融监管局的设立带来了一个良好的契机。国家金融监管总局省级机构统一挂牌,意味着大消保监管体制的确立。金融消费者保护部门作为牵头部门,可以起到统筹协调的作用。具体来说,要明确监管主体,协调金融机构、司法部门、工信部、市场监督管理机构形成打击金融黑灰产的工作合力。为相关机构开展个人信息保护工作制定标准、进行评估认证、开展监督服务,引导金融机构在数据、信息安全和效率之间找到平衡,提升金融机构保护数据安全的意识。另外,还要重视和完善个人信息保护投诉、举报工作机制。

第三,建立行业自律组织、打击金融黑灰产产业联盟,充分发挥机构主体的主观能动性,建立机构之间的合作、协调、共享、互助机制,自发维护行业环境和市场秩序。2022年3月,首个打击金融领域黑灰产联盟(AIF)成立,这预示着机构走向联合与协作,通过同步金融黑灰产的发展和变化、预警防范信息,组织研讨金融领域黑灰产现状和应对策略,分享成功案例,达到净化行业环境、维护良好金融运营秩序的目的。长远来看,联盟职责的明晰、执行的有效性以及对联盟的监管和指导仍需进一步探讨。

第四,金融机构一方面需要提高数据安全保障能力和合规意识,跟随技术进步的脚步提升数字化水平;另一方面,更加重视投资者教育和保护工作,增进与客户的互动,提高客户的风险防范意识,减少金融黑灰产对机构和客户的可乘之机。

第五,在金融监管局的牵头下,不断提升社会大众金融安全意识。提高金融素养教育的可获得性,从自身意识、能力的提升出发,鼓励社会大众更多了解金融相关行业运行规律,提高对金融黑灰产、违法犯罪行为的警觉,从而避免不必要的财产损失。

【本文作者为 吴 飞,上海交通大学上海高级金融学院教授;许 洁,上海交通大学中国金融研究院青年研究员

责编:罗 婷/美编:王嘉骐

责任编辑:张宏莉