2020年12月3日,中国人民银行正式发布《基于大数据的支付风险智能防控技术规范》(下文简称为“规范”),自发布之日起实施。芯盾时代作为国际领先的业务安全产品和服务提供商,特别是在金融行业,持续引领业务安全技术发展方向,第一时间对规范进行深度解读。
一、《规范》的产生背景
由于互联网技术,特别是移动互联网的快速发展,推动了金融行业在支付领域的快速发展,以往以线下网点渠道为核心的业务模式,迅速转变为线上渠道模式,以互联网技术为根基,通过手机银行、直销银行、网上银行、第三方支付等渠道,实现了支付方式的多样化、灵活化。但也正因为支付模式的多样化,给从业机构在开展支付业务时带来了各类风险。包括:
二、《规范》的总体要求
三、《规范》引用性文件
四、《规范》技术框架解读
《规范》的技术框架明确定义了三部分内容,即:风险类型、风险防控技术、大数据技术。总体技术要求是通过大数据技术利用在线和离线方式分析数据,为智能化的风险防控技术提供技术支撑,使得机构可利用人工智能等技术不断迭代风控模型,主动识别和防控支付业务过程中的风险。
序号 | 规范内容 | 解读 |
1 | 欺诈风险 | 主要包含了交易类场景、营销类场景以及洗钱套现类场景。欺诈者通过非法手段获取他人用户信息后,进而利用这些信息进行虚假申请、伪造或变造银行/卡、盗用账户等手段盗取银行/卡(或账户)交易资金、批量模拟真实用户参与营销活动、亦或是不法分子勾结持卡人,通过虚构交易、赚取差价等方式进行的洗钱、套现行为。欺诈风险本质上来讲,主要是由于持卡人信息被盗取或被动泄露后,欺诈者利用这些信息对持卡人账户进行开立、注册、登录、转账等一些列的欺诈行为 |
2 | 合规风险 | 主要风险来自于参与方机构未能遵循和落实法律法规、监管要求而带来的风险事件。包括洗钱套现、电信诈骗、非法集资、挪用客户备付金风险等风险 |
3 | 其它风险 | 除了欺诈风险和合规风险之外,给从业机构带来其它的风险。 |
风险控制技术是《规范》的核心组成部分,包含风险防控策略、风险信息处理、支付风险评估、风险监测与决策、风险处置等五个模块。 特别是在支付风险评估、风险监测与决策模块中,多次提出模型方法、机器学习等基于大数据、人工智能等技术,将人工智能等各类算法加入风险管控模型中,对不同的风险场景制定基于场景化的风控模型,有利于对各类的风险问题进行科学的评估与决策。
序号 | 规范内容 | 解读 |
1 | 风险防控策略 | 主要涉及用户注册管理、合规审核以及风险评级要求。其目的实行用户在初始化注册环节开始,对持卡人账号进行全生命周期的管理,利用资料完整性、多因子的验证方式对用户身份进行核验、用户提交的信息进行定期的复审和更新、访问主体(用户、设备)的可信度量等方式制定风险防控策略 |
2 | 风险信息处理 | 此类数据是做为风险评估模块的数据基础,根据具体的业务场景采集数据要素用于风控模型计算,在数据采集维度方面包括:交易信息、设备信息、账户信息等,以及对应风险相匹配的名单信息 |
3 | 支付风险评估 | 评估方法分为专家规则和机器学习,专家规则适用于已知风险、防御可能发生的风险、风险视角以单人单笔交易为防控思路,通过在系统定制专家规则,通过不同维度的规则,覆盖整个交易环节,进而达到风险评估的目的。而机器学习更多站在团伙作案的防御未知的风险为视角,通过部署场景化的机器学习模型,例如反洗钱模型、反信用/卡套现、反虚假账户注册等机器学习模型,进而达到风险评估的目的。专家规则与机器学习两者形成联防联控,整体提升风险评估能力。 |
4 | 模型管理 | 《规范》定义了模型的全生命周期进行管理,包括模型设计、模型评估、模型部署和模型迭代 4 个阶段,在模型设计阶段,主要制定了基于不同的业务场景和风险类型,结合实际需求选择合适的变量和模型方法。在模型评估阶段,制定了模型设计产生的模型进行效果和安全等方面的评估。在模型部署阶段,制定了完成训练或模拟的模型结果上线部署到生产环境中,用于识别各类风险。在模型迭代阶段,制定了模型在生产环境中表现不佳或出现效能衰退的模型进行调整优化的过程 |
5 | 风险监测与决策 | 通过风险评估模块的实时风险评估,得到风险分数,依据分数对应的风险等级,采取不同的决策建议,主要包括拦截阻断、挂起确认、提示预警、批准通过等。对于人为误操作等特殊情况,被阻截、挂起的业务,由事后人工审核等方式,进行风险案件处理,避免误杀等错误的处置 |
6 | 风险处置 | 风险处置是对当前交易被风控系统判定为风险交易后进行的评估反馈、风险核查、关联排查、案件协查和损失处置的相关后续活动。风险处置的结果旨在完善现有风险防控的策略、风险信息处理的内容与支付风险评估的能力,实现风险防控流程的闭环反馈优化 |
大数据技术主要为风险智能防控提供基础的数据处理支撑,对数据保护、数据接入、数据处理与存储、变量与模型计算等提出了技术和安全要求变量与模型计算等提出了技术和安全要求。
同时,《规范》还要求数据保护应建立符合《个人信息保护法》《个人金融信息保护技术规范》等相关法律、法规和标准的个人信息和业务数据保护策略、管理规范、管理制度等数据保护机制,在确保业务数据安全性的同时,加强个人信息保护。
序号 | 《规范》一级要求 | 《规范》二级要求 | 解读 |
1 | 数据保护 | 要求依据和遵循《中华人民共和国个人信息保护法》、以及《个人金融信息保护技术规范》(JR/T 0171-2020)的要求,对个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。 | |
2 | 接入、处理与存储数据 | 接入包括:被动接入、主动接入、关联补齐和接入质控要求 | 具体要求详见《规范》4.4.3.2节 |
处理方法包括:流计算、内存计算、图计算、批处理等 | 具体要求详见《规范》4.4.3.3节 | ||
存储数据要求:对采集的原始数据及分析处理之后生成的结构化数据进行持久化 | 具体要求详见《规范》4.4.3.4节 | ||
3 | 变量与模型计算 | 建立特征变量计算、滑窗变量计算、在线模型计算、离线模型计算的满足要求 | 具体要求详见《规范》4.4.4节 |
数据存储 | 对采集的原始数据及分析处理之后生成的结构化数据进行持久化 具体要求详见《规范》4.4.3.4节 |
五、风险防控系统安全要求解读
在风险防控系统安全方面,《规范》要求相关安全错失部署应符合《金融行业网络安全等级保护实施指引》、国家网络安全等级保护有关标准,并根据风险防控所面向的业务系统级别设定相应的等级。
六、芯盾时代《基于大数据的支付风险智能防控技术规范》解决方案
《规范》中,风险防控技术部分,作为规范的核心部分,通过部署芯盾时代人工智能产IPA ,基于海量的设备安全数据、威胁情报数据、用户行为数据,利用流式分析处理、数据挖掘和机器学习等关键技术,构建以设备安全为核心的智能实时身份反欺诈模型,实现对用户身份的“无感知认证”,可广泛应用于银行、证券、第三方支付等行业,有效解决虚假注册、盗转盗刷、交易欺诈、薅羊毛、营销欺诈、用户隐私泄露等各类互联网欺诈。通过对不同的场景分析,芯盾时代能提供全渠道交易反欺诈、互联网反欺诈、智能人机识别和可视化人工智能中台等产品方案,满足《规范》中,大数据技术部门和风险防范技术的要求,同时,系统还支持灵活的数据接入方法、处理方法以及存储库。