搜索结果: JR/T 0202-2020, JR/T0202-2020, JRT 0202-2020, JRT0202-2020
| 标准编号 | JR/T 0202-2020 (JR/T0202-2020) | | 中文名称 | 基于大数据的支付风险智能防控技术规范 | | 英文名称 | (Technical specifications for intelligent prevention and control of payment risks based on big data) | | 行业 | 金融行业标准 (推荐) | | 中标分类 | A11 | | 字数估计 | 24,275 | | 发布日期 | 2020-12-03 | | 实施日期 | 2020-12-03 | | 标准依据 | 全国金融标准化技术委员会通知(2020.12.03) | | 发布机构 | 中国人民银行 | JR/T 0202-2020: 基于大数据的支付风险智能防控技术规范
JR/T 0202-2020 英文名称: (Technical specifications for intelligent prevention and control of payment risks based on big data)
中 华 人 民 共 和 国 金 融 行 业 标 准
基于大数据的支付风险智能防控技术规范
中国人民银行 发 布
1 范围
本文件规定了基于大数据、人工智能等技术开展支付风险防控所需的技术框架和系统实现的安全要求。
本文件适用于与支付相关的商业银行、非银行支付机构和清算机构等开展支付风险防控体系建设、运
用智能防控技术搭建风险智能防控系统、提供支付风险防控服务等工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文
件。
4.2.1 概述
根据支付产业中存在的各种风险的特点,本文件将支付风险划分为欺诈风险、合规风险和其他风险等
类型,同时也存在多种风险交织并存的情况。
4.2.2 欺诈风险
欺诈风险指不法分子利用虚假申请、伪造或变造银行卡、盗用账户等手段盗取银行卡(或账户)交易
资金的风险,或者不法分子勾结持卡人通过虚构交易等方式,造成发卡银行或第三方机构资金、权益等方
面损失的风险,包括但不限于:
a) 伪卡欺诈,包括芯片交易方式伪卡欺诈、降级使用交易方式伪卡欺诈和磁条交易方式伪卡欺诈,
具体内容如下:
--芯片交易方式伪卡欺诈是指伪卡交易通过芯片交易方式完成。
--降级使用交易方式伪卡欺诈(Fall Back)是指伪卡交易通过 Fall Back 降级交易完成。
--磁条交易方式伪卡欺诈是指伪卡交易通过磁条交易完成。
b) 失窃卡欺诈,指冒用或盗用持卡人的银行卡进行欺骗交易,盗取账户内资金,包括丢失卡欺诈与
被盗卡欺诈两种情形。
c) 非面欺诈,指欺诈分子窃取或骗取卡片主账号、有效期、支付短信验证码及其他关键身份验证信
息后,通过邮购、互联网、手机等非面对面渠道进行欺诈冒用。
d) 账户盗用,指欺诈分子冒充真实持卡人或者账户所有人的身份,通过修改账单地址、虚假挂失等
一系列手段获取重制卡片或者账户信息进行的欺诈交易。
e) 伪冒申请,又称虚假申请,指使用虚假身份或冒用他人身份申领银行卡(或开立账户)完成欺诈
交易。
f) 商户合谋,指特约商户在受理支付交易时,违规操作、蓄意进行欺诈交易或纵容、包庇、协助持
卡人开展欺诈交易的行为。
g) 营销欺诈,指不法分子利用营销主办方的营销漏洞,与商家勾结、虚构交易,骗取营销活动主办
机构的营销费用,获得不正当收益。
h) 套现风险,指持卡人未通过正常合法手续(如 ATM 或柜台等)提取现金,与商户或其他第三方合
谋方式,以虚构交易、虚开价格、现金退货等手段将账户中信用额度内的资金以现金的方式套取,
同时又不支付银行提现费用的行为。
4.2.3 合规风险
合规风险指银行、非银行支付机构、特约商户及第三方专业化服务机构等支付业务参与方因未能遵循
法律法规、监管要求、业务规则及内部规范等,可能遭受法律制裁、监管处罚、违规约束进而引发财务或
声誉损失的风险,包括但不限于:
a) 洗钱风险,指将通过各种手段掩饰违法所得,隐瞒违法来源,使其在形式上合法化,常见于毒品
犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、走私犯罪、贪污贿赂犯罪、破坏金融管理秩序犯
罪、金融诈骗犯罪等各类违法犯罪过程。
b) 电信诈骗,指不法分子通过电话、网络和短信方式,编造虚假信息,设置骗局,对受害人实施远
程、非接触式诈骗,诱使受害人本人给不法分子汇款、转账、购物或代付等的犯罪行为,从而给
受害人造成资金和权益方面的损失。
c) 挪用客户备付金风险,指不法分子通过网络攻击,编造虚假交易和信息,伪冒商户等方式挪用、
占用、借用客户备付金而造成持卡人或账户所有人、商户和机构资金和声誉损失的风险。
d) 非法集资,指单位或者个人未依照法定程序经有关部门批准,以发行股票、债券、彩票、投资基
金证券或者其他债权凭证的方式向社会公众筹集资金,并承诺在一定期限内以货币、实物以及其
他方式向出资人还本付息或给予回报的行为。
4.3.1 概述
风险防控技术是基于大数据的支付风险智能防控技术框架的核心组成部分,包含风险防控策略、风险
信息处理、支付风险评估、风险监测与决策、风险处置等五个模块。一是通过大数据、机器学习等技术建
立满足要求的风控模型,进一步加强对风险的事前预测和事中识别的能力。二是通过合理引入多个模型、
强鲁棒性的模型、抗AI攻击的模型等方式,提高模型评分的稳定性。三是支持多渠道、多维度的数据整合,
形成机构内统一的风控系统。
风险防控策略作为风险防控的第一道屏障,通过注册管理、合规审核、风险评级等方面控制,对潜在
风险进行初步分辨。风险信息处理包含交易要素过滤和名单匹配等,将过滤所得信息输出到支付风险评估
模型中。支付风险评估从模型方法、模型管理等方面设计模型,完成对潜在风险的识别、分析和评价。根
据风险模型的计算结果,结合业务要求,采取阻断、挂起、预警、批准等不同的决策行为。最后,在决策
的基础上,开展风险调查、关联排查、案件协查等,其结果可以优化风险防控策略。
4.3.2 风险防控策略
风险防控策略主要是指用户在注册等环节实行的审核与风险防控措施,主要功能应至少包含注册管理、
合规审核、用户风险评级等方面。机构应根据自身的业务场景、风险类型、风险防控需求等,对风险强度
进行级别划分,并实施相应的风险防控策略,具体要求如下:
a) 注册管理方面应满足以下要求:
--建立完备的注册管理机制,在用户注册阶段,对其身份进行核验和管理。
--用户提交必要的身份核验资料,企业用户提交法人身份信息、企业经营信息(如企业名称、
负责人、联系方式、所属行业、经营状况等)资料,个人用户提交身份信息、联系方式等资
料。
--对用户所提交资料的有效性、完整性、真实性进行审核。
--采用多因子的验证方式对用户身份进行核验。
--对用户提交的信息进行定期的复审和更新。
b) 合规审核方面应满足以下要求:
--制定审核机制,对用户的业务目的、业务性质以及交易来源等业务信息进行验证。
--识别与确认用户业务权限。
--判断并标记用户(信息或行为)的类别、级别、名单归属(如是否在黑名单内),并根据标
记对当前用户请求进行响应(通过、拒绝、关注等)。
--定期审核和更新用户信息,及时发现潜在风险。
c) 用户风险评级方面:
--评级指标包括但不限于:
交易属性;
经营信息;
资金往来;
信用状况;
设备指纹。
--评级规则:根据评级指标,设计相应的评级规则。
--评级频次:定期或者不定期评级。
4.3.3 风险信息处理
风险信息处理是根据具体的业务场景采集数据要素用于风控模型计算,至少包括交易要素过滤和名单
匹配两个环节,具体包括:
a) 交易要素过滤方面,具体要求如下:
--应根据业务场景识别所面临的风险类型,业务场景包括但不限于注册、登录、支付等。
--应根据风险类型确定过滤的交易要素,包括要素名称、要素格式、要素条件等。
--交易要素包括但不限于交易信息、账户信息、设备信息、交易方信息,具体要求为:
交易信息包括但不限于卡号(账号)、手机号码、交易时间、交易金额、交易地区等;
账户信息包括但不限于账户开立时间、账户可用额度等;
设备信息包括但不限于 IP 地址、设备指纹、经纬度信息等;
交易方信息包括但不限于用户 ID、名称信息等。
--应定义唯一的主键索引每笔交易。
--宜满足支付风险评估模型计算的要求。
--宜在过滤信息时进行衍生变量的计算,如根据手机号码计算归属地,根据经纬度信息计算所
在地。
b) 名单匹配方面,具体要求如下:
--名单包括但不限于卡号(账号)、手机号码、设备指纹、IP 地址等。
--应匹配公安、司法机关公布的具有明确业务含义的名单。
--宜匹配自有的黑、灰、白名单库,对交易真实性和合法性进行初步识别。
--可匹配外部第三方平台的黑、灰、白名单库,实现风险联防联控。
4.3.4.2 模型方法
模型方法指基于黑样本等已知风险和历史数据表现,根据机构自身的风险偏好,在各业务场景及环节
中,将数据变量通过运算逻辑关系自由组合,设置实时、准实时、批量、验证类等模型和规则,以实现对
风险的识别判断,包括专家规则、机器学习等。
a) 专家规则应符合以下要求:
--专家规则包含但不限于以下信息:
商户(用户)身份信息;
操作设备信息;
地址位置信息;
交易信息;
营销活动信息。
--形成文档保存或在风控后台中记录,保留每次规则设置和更新时间及内容。
--依据业务情况设置查看、新增、修改、删除、复核等管理权限。
--在新增和修改前进行充分有效的评估。
--宜有量化评价规则效能的指标,如触发率、准确率、覆盖率等。
b) 机器学习主要分为监督学习、半监督学习、无监督学习(参见附录),针对不同的风险类型,可
采用多步骤式建模方法,挖掘并提取海量特征对事件或者主体进行描述,也可采用端到端建模方
法,直接基于数据构建模型,具体要求如下:
--监督学习宜符合以下要求:
有足够数量的高风险、低(无)风险样本;
有样本选取、特征计算、训练、预测和效果评价等必备的环节;
有特征列表及模型可解释性指标,如特征重要度列表等(端到端建模除外);
有量化评价效果的数据指标,如精确率、召回率等。
--半监督学习宜符合以下要求:
有一定数量的高风险样本和更多的未标记样本;
计算效率能够满足业务的性能要求;
有量化评价效果的数据指标,如准确率等。
--无监督学习宜符合以下要求:
有一定数量的数据集;
计算效率能够满足业务的性能要求;
有量化评价效果的数据指标,如准确率等。
此外,关系网络也是机器学习常用的模型方法。关系网络是以图论为基础,旨在描述真实世界中存在
的各种实体或概念及其相互之间的关系,并以此构成关系网络图,它提供更好地组织、管理和理解海量信
息的能力(参见附录),具体要求如下:
--宜有关系网络的可视化展现。
--宜有量化评价效果的数据指标,如准确率等。
4.3.4.3 模型管理
模型管理是指对模型的全生命周期进行管理,包括模型设计、模型评估、模型部署和模型迭代 4 个阶
段,具体要求如下:
a) 模型设计是基于不同的业务场景和风险类型,结合实际需求选择合适的变量和模型方法,包括但
不限于应用特征工程、端到端建模等方法清洗和加工数据,对样本组成的训练集和测试集用各类
模型算法进行训练,基于模型指标选择最优模型等,具体要求如下:
--应有模型设计文档。
--宜有模型训练或模拟过程。
b) 模型评估是指对于模型设计产生的模型进行效果和安全等方面的评估,以作为选择模型或者调整
模型设计的依据,具体要求如下:
--宜有模型评估流程。
--宜根据业务制定模型评估方法。
--宜对模型结果制定量化评价指标。
c) 模型部署是将已完成训练或模拟的模型结果上线部署到生产环境中,用于识别各类风险,具体要
求如下:
--应建立模型部署审批流程(含业务评审),遵循规范步骤。
--应在部署前完成模型性能测试。
--应在模型部署后对模型效果进行监控。
d) 模型迭代是针对生产环境中表现不佳或出现效能衰退的模型进行调整优化的过程,具体要求如下:
--模型上线后应定期观测模型表现。
--应对已衰退的或存在明显问题的模型进行及时调优和更新。
--宜有模型迭代上线流程。
--宜有模型迭代文档和更新记录。
4.3.5 风险监测与决策
风险监测是对各种已识别或关注的风险以及整体风险情况,表征风险的指标等进行监控和测算。
风险决策是指对当前业务经过风险信息处理和风险评估处理后,判断其是否具有风险。根据自身业务
要求及风险分析结果,按照不同的风险级别采取不同的决策行为,主要包括拦截阻断、挂起确认、提示预
警、批准通过等。
a) 拦截阻断将使得当笔交易失败,具体要求如下:
--交易授权系统宜支持对交易进行拦截阻断。
--宜在阻断拦截后开展事后调查分析,评估确认是否为欺诈交易,必要时与持卡人或账户所有
人核实确认是否为欺诈交易,具体要求如下:
如确认欺诈,可采取进一步措施控制风险,如加入卡号(账户)黑名单、限制 IP......
|