随着大数据、移动互联、人工智能、生物特征识别等技术的快速发展,支付方式正在发生着巨大而深刻的变革,新技术在丰富支付手段、提高支付效率的同时,带来了新的隐患,也对从业机构的风险防控能力提出了更高的要求。
传统的风控技术,多由各机构自己的风控团队,以人工的方式进行经验控制。但随着互联网技术不断发展,整个社会大力提速,传统的风控方式已逐渐不能支撑机构的业务扩展;而大数据对多维度、大量数据的智能处理,批量标准化的执行流程,更能贴合信息发展时代风控业务的发展要求。
基于大数据的风险智能防控已经逐步在行业内使用,将人工智能等各类算法融入基于大数据的风险管控模型中,对不同的风险场景选择合适的模型,有利于对客户的风险进行科学地分析和评估。
《标准》规定了基于大数据、人工智能等技术开展技术风险防控所需的技术框架和系统实现的安全要求,适用于与支付相关的商业银行、非银行支付机构和清算机构等开展支付风险防控体系建设、运用智能防控技术搭建风险智能防控系统、提供支付风险防控服务等工作。
基于大数据的支付风险智能防控技术主要包含风险防控技术、风险类型、大数据技术三部分内容。通过大数据技术利用在线和离线方式分析数据,为智能化的风险防控技术提供技术支撑,使得机构可利用人工智能等技术不断迭代风控模型,主动识别和防控支付业务过程中的风险。
风险防控技术是基于大数据的支付风险智能防控技术框架的核心组成部分,包含风险防控策略、风险信息处理、支付风险评估、风险监测与决策、风险处置等五个模块。
根据支付产业中存在的各种风险的特点,《标准》将支付风险分为欺诈风险、合规风险和其他风险等类型,值得注意的是,也存在多种风险交织并存的情况。
大数据技术主要为风险智能防控提供基础的数据处理支撑,《标准》对数据保护、数据接入、数据处理与存储、变量与模型计算提出了技术和安全要求。
其中,《标准》要求数据保护应建立符合《个人信息保护法》《个人金融信息保护技术规范》等相关法律、法规和标准的个人信息和业务数据保护策略、管理规范、管理制度等数据保护机制,在确保业务数据安全性的同时,加强个人信息保护。
在风险防控系统安全方面,《标准》要求相关安全错失部署应符合《金融行业网络安全等级保护实施指引》、国家网络安全等级保护有关标准,并根据风险防控所面向的业务系统级别设定相应的等级。
一、《规范》的产生背景
由于互联网技术,特别是移动互联网的快速发展,推动了金融行业在支付领域的快速发展,以往以线下网点渠道为核心的业务模式,迅速转变为线上渠道模式,以互联网技术为根基,通过手机银行、直销银行、网上银行、第三方支付等渠道,实现了支付方式的多样化、灵活化。但也正因为支付模式的多样化,给从业机构在开展支付业务时带来了各类风险。包括:
1、 不法分子利用虚假申请、伪造或变造银行卡、盗用账户等手段盗取银行卡(或账户)交易资金的风险交易。
2、 支付业务参与方因未能遵循法律法规、监管要求、业务规则及内部规范等合规风险。
3、 其它风险类型,资金清算风险、用户道德风险等。
二、《规范》的总体要求
1、 通过规范大数据与人工智能技术在支付风险防控领域的应用,提高支付风险防控技术的针对性和有效性,切实保障人民群众信息和资金安全。
2、 规定了基于大数据、人工智能等技术开展支付风险防控所需的技术框架和系统实现的安全要求。
3、 《规范》适用于本文件与支付相关的商业银行、非银行支付机构和清算机构等开展支付风险防控体系建设、运用智能防控技术搭建风险智能防控系统、提供支付风险防控服务等工作。
三、《规范》引用性文件
1、 JR/T 0071—2020 金融行业网络安全等级保护实施指引
2、 JR/T 0171—2020 个人金融信息保护技术规范
四、《规范》技术框架解读
《规范》的技术框架明确定义了三部分内容,即:风险类型、风险防控技术、大数据技术。总体技术要求是通过大数据技术利用在线和离线方式分析数据,为智能化的风险防控技术提供技术支撑,使得机构可利用人工智能等技术不断迭代风控模型,主动识别和防控支付业务过程中的风险。
1、 风险类型解读
| 序号 | 规范内容 | 解读 |
| 1 | 欺诈风险 | 主要包含了交易类场景、营销类场景以及洗钱套现类场景。欺诈者通过非法手段获取他人用户信息后,进而利用这些信息进行虚假申请、伪造或变造银行卡、盗用账户等手段盗取银行卡(或账户)交易资金、批量模拟真实用户参与营销活动、亦或是不法分子勾结持卡人,通过虚构交易、赚取差价等方式进行的洗钱、套现行为。欺诈风险本质上来讲,主要是由于持卡人信息被盗取或被动泄露后,欺诈者利用这些信息对持卡人账户进行开立、注册、登录、转账等一些列的欺诈行为 |
| 2 | 合规风险 | 主要风险来自于参与方机构未能遵循和落实法律法规、监管要求而带来的风险事件。包括洗钱套现、电信诈骗、非法集资、挪用客户备付金风险等风险 |
| 3 | 其它风险 | 除了欺诈风险和合规风险之外,给从业机构带来其它的风险。 |
2、 风险防控技术解读
风险控制技术是《规范》的核心组成部分,包含风险防控策略、风险信息处理、支付风险评估、风险监测与决策、风险处置等五个模块。 特别是在支付风险评估、风险监测与决策模块中,多次提出模型方法、机器学习等基于大数据、人工智能等技术,将人工智能等各类算法加入风险管控模型中,对不同的风险场景制定基于场景化的风控模型,有利于对各类的风险问题进行科学的评估与决策。
| 序号 | 规范内容 | 解读 |
| 1 | 风险防控策略 | 主要涉及用户注册管理、合规审核以及风险评级要求。其目的实行用户在初始化注册环节开始,对持卡人账号进行全生命周期的管理,利用资料完整性、多因子的验证方式对用户身份进行核验、用户提交的信息进行定期的复审和更新、访问主体(用户、设备)的可信度量等方式制定风险防控策略 |
| 2 | 风险信息处理 | 此类数据是做为风险评估模块的数据基础,根据具体的业务场景采集数据要素用于风控模型计算,在数据采集维度方面包括:交易信息、设备信息、账户信息等,以及对应风险相匹配的名单信息 |
| 3 | 支付风险评估 | 评估方法分为专家规则和机器学习,专家规则适用于已知风险、防御可能发生的风险、风险视角以单人单笔交易为防控思路,通过在系统定制专家规则,通过不同维度的规则,覆盖整个交易环节,进而达到风险评估的目的。而机器学习更多站在团伙作案的防御未知的风险为视角,通过部署场景化的机器学习模型,例如反洗钱模型、反信用卡套现、反虚假账户注册等机器学习模型,进而达到风险评估的目的。专家规则与机器学习两者形成联防联控,整体提升风险评估能力。 |
| 4 | 模型管理 | 《规范》定义了模型的全生命周期进行管理,包括模型设计、模型评估、模型部署和模型迭代 4 个阶段,在模型设计阶段,主要制定了基于不同的业务场景和风险类型,结合实际需求选择合适的变量和模型方法。在模型评估阶段,制定了模型设计产生的模型进行效果和安全等方面的评估。在模型部署阶段,制定了完成训练或模拟的模型结果上线部署到生产环境中,用于识别各类风险。在模型迭代阶段,制定了模型在生产环境中表现不佳或出现效能衰退的模型进行调整优化的过程 |
| 5 | 风险监测与决策 | 通过风险评估模块的实时风险评估,得到风险分数,依据分数对应的风险等级,采取不同的决策建议,主要包括拦截阻断、挂起确认、提示预警、批准通过等。对于人为误操作等特殊情况,被阻截、挂起的业务,由事后人工审核等方式,进行风险案件处理,避免误杀等错误的处置 |
| 6 | 风险处置 | 风险处置是对当前交易被风控系统判定为风险交易后进行的评估反馈、风险核查、关联排查、案件协查和损失处置的相关后续活动。风险处置的结果旨在完善现有风险防控的策略、风险信息处理的内容与支付风险评估的能力,实现风险防控流程的闭环反馈优化 |
3、 大数据技术解读
大数据技术主要为风险智能防控提供基础的数据处理支撑,对数据保护、数据接入、数据处理与存储、变量与模型计算等提出了技术和安全要求变量与模型计算等提出了技术和安全要求。
同时,《规范》还要求数据保护应建立符合《个人信息保护法》《个人金融信息保护技术规范》等相关法律、法规和标准的个人信息和业务数据保护策略、管理规范、管理制度等数据保护机制,在确保业务数据安全性的同时,加强个人信息保护。
| 序号 | 《规范》一级要求 | 《规范》二级要求 | 解读 |
| 1 | 数据保护 | 要求依据和遵循《中华人民共和国个人信息保护法》、以及《个人金融信息保护技术规范》(JR/T 0171-2020)的要求,对个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。 | |
| 2 | 接入、处理与存储数据 | 接入包括:被动接入、主动接入、关联补齐和接入质控要求 | 具体要求详见《规范》4.4.3.2节 |
| 处理方法包括:流计算、内存计算、图计算、批处理等 | 具体要求详见《规范》4.4.3.3节 | ||
| 存储数据要求:对采集的原始数据及分析处理之后生成的结构化数据进行持久化 | 具体要求详见《规范》4.4.3.4节 | ||
| 3 | 变量与模型计算 | 建立特征变量计算、滑窗变量计算、在线模型计算、离线模型计算的满足要求 | 具体要求详见《规范》4.4.4节 |
| 数据存储 | 对采集的原始数据及分析处理之后生成的结构化数据进行持久化具体要求详见《规范》4.4.3.4节 |
五、风险防控系统安全要求解读
1、 总体要求
在风险防控系统安全方面,《规范》要求相关安全错失部署应符合《金融行业网络安全等级保护实施指引》、国家网络安全等级保护有关标准,并根据风险防控所面向的业务系统级别设定相应的等级。
2、 系统安全建设流程
