本文字数:5829,阅读时长大约3分钟
作者 | 第一财经 宋易康 陈洪杰
这些短信究竟是来自伪基站的山寨诈骗短信,还是真的属于银行行为,令消费者“傻傻分不清”。
吴先生最近有些苦恼,在几天里收到七八条银行邀请办信用卡或贷款的短信后,他既不敢回复退订,也不敢点开链接咨询,因为他分不清这些短信是否真的来自银行。
这些短信都是以一长串“106”开头的号码,一共有18位。短信内容例如,“【上海银行】您的记录良好,点击http://t.cn/RBxFotx完善信息即可申请我行(白金)卡,额度最高8万,刷卡免年费,退订回T”;“【中国平安(601318,股吧)】尊敬的客户,根据您的信誉记录,已获得10-50万信用额度,手续简单,当天到账。咨询办理回复Y,退订回N”。
吴先生上述经历并非个案,多位手机用户向第一财经记者反映,曾经在手机上接收过非银行官方客服发出的申办信用卡或消费金融贷款推荐短信。这些“18位”推荐办卡短信,究竟是来自伪基站的山寨诈骗短信,用来套取客户真实信息,还是真的属于银行行为,令消费者“傻傻分不清”。
第一财经记者调查发现,这些短信背后是银行信用卡中心、现金分期事业部、消费金融事业部等相关业务板块主动发起的业务营销行为,即所谓“丢包”。“丢包”在银行内部遵循了严格的审核流程,但仍然涉嫌对客户造成骚扰以及侵犯客户隐私。
现有法律尚待明确界定,客户隐私又由谁来保护?
记者亲测银行所为
吴先生收到的银行短信还包括:中信银行(601998,股吧)邀请办白金信用卡;光大银行(601818,股吧)阳光金卡申领资格,额度达10万;民生银行(600016,股吧)白金卡,额度10万,最快3秒批卡;交通银行(601328,股吧)VISA金卡申领资格,额度5万,等等。除了银行信用卡,还有消费贷和小贷公司的短信。例如,中国平安邀请客户申请10-50万信用额度;360借条推荐4万借款额度与免息券。
第一财经记者随机选取了中信银行、光大银行与中国平安,点开链接后发现,前两条均为银行信用卡中心所为,最后一条来自平安好贷,为平安集团旗下小额无抵押信用贷款平台。
以“中信银行”短信为例,记者首先选取推荐办理该行信用卡的短信,链接点开后,页面跳转至“中信银行i白金信用卡申请”页面。(如下图)
从网站域名看,http://creditcard.ecitic.com/h5/shenqing/ibaijin_p.html?sid=SJUNNSH9,与中信银行信用卡官方网站http://creditcard.ecitic.com前缀重合。
申请说明中显示,用户在提交申请资料后,如果遇到审核资料未达到该卡等级要求的情况,申请的卡等级会自动更换为适合的卡等级。如申请白金卡用户,不符合白金卡要求,符合金卡,银行会给用户更换为金卡,以此类推。
随后,记者用自己的身份信息在该链接上申请了上述中信银行i白金信用卡,显示成功,仅用了半小时。
之后,记者又分别用手机和电脑网页登录中信银行信用卡中心官网,在“进度查询”一栏中输入身份证号、手机号等关键信息后,查到了自己刚刚通过短信链接转入快速办理页面申请办理的“中信银行i白金信用卡”。
如此,吴先生收到的短信邀请办理中信银行白金卡,的确为中信银行信用卡中心的官方行为,而非来自伪基站诈骗或恶意软件套取客户信息。
随后,第一财经记者又点开光大银行邀请办信用卡的链接,链接被转至“中国光大银行信用卡在线申请”界面。
该网页的域名为http://xyk.cebbank.com/cebmms/apply/ps/card-index.htm?req_card_id=3142&pro_code=FHTG067632SA0396CYJR&c2c_recom_flag=,而光大银行信用卡官方网域名为http://xyk.cebbank.com,有专业人士对第一财经记者表示,从网页内容及网页域名前缀看,该网站来自光大银行。
除此之外,在该页面的下部,记者还发现,网站用标红字体显示《中国光大银行信用卡申请须知》、《中国光大银行信用卡使用合约》、《中国光大银行信用卡章程》及《芝麻信用服务协议及相关授权》的子链接,一一点开后,均为信用卡的法律条款和注意事项等。
一位银行内部人士表示,虽然有些信用卡额度号称最高达到8万、10万元,但一般情况只会给5000、1万、最多2万元的额度,要想进一步提升额度,需要带着房产证等有效资产证明到银行柜台办理,若有效资产优质,城商行、股份制银行的信用卡额度可提升到7万、8万元。
第一财经记者也对“中国平安最高额度50万的信用贷”进行了实测。
记者拨通中国平安短信中电话(4006085555)后,一名自称是“平安好贷”的客户经理接通了电话。该客户经理称,房贷、公积金、保险,三者具备其一就可以申请无担保、无抵押平安好贷,贷款额度为3万-50万元。
客户经理示意记者关注“平安好贷”官方微信,然后在右下方【客户服务】中选择【绑定客户经理】,在新的页面中输入“姓名、手机号、验证码”,点击提交。记者按照上述操作流程操作后,在“平安好贷”官微上收到一份《个人征信业务授权书》。由此确认,推荐短信来自中国平安,并非诈骗或恶意软件所为。
信用卡电销 “丢包”
“这些短信虽然来自不同银行,但像是一个模子刻出来的,单凭短信内容无法判断是否真的来自银行。”多位受访者对第一财经记者表示。一些受访者甚至误以为上述短信来自伪基站的电信诈骗。
那么,银行为何不使用官方短信服务平台,而是以“18位”复杂冗长的号码形式电销信用卡?第一财经采访多位接近股份行内部人士后发现了银行内部的“小算盘”。
事实上,银行都有自己官方认证的短信发送客服平台渠道,国有大行中,如工商银行(601398,股吧)官方客服电话为“95588”,建设银行(601939,股吧)官方客服电话95533及4008200588;股份制商业银行中,招商银行(600036,股吧)官方客服电话为“95555”,民生银行为“95568”,中信银行为“95558”等,认证都较为清晰。
除此之外,一些银行的信用卡中心及理财中心也有官方的短信发布号码平台。如中信银行信用卡为“106980095558”,招商银行理财中心的官方号码“106980095555”。这些号码同样具有较为明显的银行认证特征,例如,在华为手机上,上述渠道发送的短信直接被认证后显示银行官方标志头像。
像上述吴先生所遇到的银行电销行为,显然没有通过上述官方发布渠道。一位接近股份行了解内情的人士对第一财经记者表示,这些短信背后是银行信用卡中心、现金分期事业部、消费金融事业部等相关业务板块主动发起的营销行为。
他们一般找本行合作名单中的短信运营商一级代理商,生成虚拟号码后,基于本行客户人群“白名单”进行推送,这种行为被行业内称为“丢包”。
所谓“丢包”,即发送短信的内容为“模板信息+抄送链接”,短信发送后与客户不产生任何交互,客户如果回复“退订取消”,以后就不再接收到类似短信。
推送短信的内容都有固定的模板,只要将关键要素填入,一级代理商便可进行群发。这就不难理解为何这类“丢包”短信虽然来自不同银行,但“长得”都差不多。
一个“包”被丢出,在银行内部需要遵循以下流程:银行根据后台数据库对短信生成器的动态参数进行调整,参数包括:姓名、额度、卡别、时间等限制要素。触发器由银行掌控,银行内部业务发起人按照模板编制,根据“白名单”将数据导进系统自动触发。上述知情人士表示,银行内部有相关人士负责“丢包”的审核,并有上级主管负责批准。
为何银行不使用官方客服短信平台“丢包”? 一位银行业内人士表示,银行信息中心所掌控的官方短信服务平台并非什么短信都能发,需满足一定“触发”机制。
例如,当客户信用卡刷卡、月底结息、购买理财产品后,官方客服平台可根据客户行为触发反馈,此外的其他短信内容,官方客服平台需要遵循一定规则才可以发送信息。
由于银行官方客服号即 “大号”审核与审批机制较为严格,信用卡电销短信往往都达不到“大号”推送短信的触发条件,此外由于在银行内部申报流程繁琐,审批时间较长,所以银行信用卡、消费金融等业务部门一般都不使用官方客服电销“丢包”。
此外,第一财经记者也了解到,除了电销,这种“个性化”号码短信也可满足银行其他业务目的,例如对银行根据黑白名单筛选出来的逾期贷款客户,进行短信催收等。
那么谁是银行“丢包”的合作方?第一财经记者调查了解到,目前在银行内部有多种模式。例如,电销“小号”与官方客服“大号”同为一家运营商一级代理商,只是换了一个号码推送推销内容。
较为普遍的模式如“1托N”合作模式,“例如运营商为银行的官方公号提供一个号码,为信用卡中心提供一个号码,个人借记卡一个号码,个人贵宾卡、信息服务交互与个贷分别对应专门的号码等。”知情人士向第一财经记者透露。
“不过目前运营商一级代理商的‘短号’资源供不应求,无法提供足量的‘短号’资源。”某国有大行科技部门相关负责人向第一财经记者解释了,为何银行不将“丢包”的电销号码固定下来的原因。
“丢包”号码虽然不固定,但银行挑选一级代理商有较为严格的准入制度,与大银行合作的都是中国移动、中国电信、中国联通(600050,股吧)三家运营商的一级代理商,合作方并非“草根”机构。
记者同时了解到,如果涉及银行的消费金融子公司要“丢包”,与之合作的运营商一级代理商也必须挑选已经纳入母行集团准入名单的对象。对于长期合作的对象,银行会对代理商资质、信息安全保护、发送成功率等指标进行考核。
“99.5%的成功率和99.2%成功率差距很大,银行一般是与一级代理商谈一个打包价格,例如一年1亿条是一个价格,5000万-1亿条是一个价格。一般都在总行统一采购目录中进行采购,但用多少,银行到时候付费。”知情人士对记者表示。
“所以在没有银行授权的情况下,代理商不会擅自发送信息,但也不能100%保证代理商不会出现问题。”上述知情人士称。
在北京工作的刘先生产生了另外一个困惑,三年前他已经办理了民生银行信用卡,为什么银行还邀请他去办理?银行难道不知情?一位城商行人士对第一财经记者指出,这种信息属于第三方信息群发,只要在这个数据库里面的用户都会不断的收到这类信息,系统无法识别已经办理过的客户。
“短信群发背后的原因是节省成本。业务员推销办理出一张信用卡,银行支付400元-500元的费用,但通过群发信息的方式,银行的成本就大大降低了。”上述城商行人士表示。
除了上述“丢包”,第一财经记者还了解到,业内还有助贷模式的“盲推”与“海推”,如果上述“丢包”只是银行铺天盖地的电销对客户造成了骚扰,那么“盲推”则极有可能涉及侵犯客户隐私。
一般情况下,大行存量客户较多,这种情况不会涉及太多信息买卖等违法违规行为,更多是存量客户的激活和深度挖掘。但在一些中小金融机构,他们会找到外围数据供应商,联合合作伙伴做初步的客户画像后,进行“丢包”,在线上进行分款,在业内称为“盲推”与“海推”。
调查中,一位城商行人士对记者称,一些中小银行与财富管理公司、互联网金融公司、分期消费公司等第三方合作,贷款资金来自这些第三方公司或者第三方公司和银行成立的资金池,双方相互导流。这时候,客户收到的短信就并非来自银行。具体而言,若客户向银行申请信用贷,银行只做通道,资金来自第三方公司,而银行会收取20%-40%的利息收入作为通道费。
不过,随着去年底《关于规范整顿“现金贷”业务的通知》(下称“141号文”)规定银行业金融机构与第三方机构合作开展贷款业务时不得将授信审查、风险控制等核心业务外包,导致助贷模式会逐渐退出。
缺乏法律界定
第一财经记者调查发现,在客户收到的“丢包”短信中,以股份制商业银行与中小银行为主,大行则比较少见。
“我们发送的提示短信都是以95588作为标准的号码,不会有复杂冗长的发送号码形式。此外不会通过短信方式给客户发送信用卡办理和提额申请,更多是通过工行APP服务群等方式与客户联系。”一位接近工商银行内部人士对第一财经记者指出。
某国有大行人士表示,一些中小银行由于营销压力大,为了拓展客户与发卡,往往会采取更加“灵活”的营销手段,但上述手段如同“双刃剑”,在推进业务推广的同时,也给隐私保护以及短信欺诈埋下隐患。要在根源上改变这一现状,需要监管部门强有力的法规和政策要求,否则很难改变。
银行上述行为是否对客户造成了骚扰?甚至侵犯客户隐私?某律师事务所合伙人对第一财经记者指出,界定银行“丢包”是否违法或违规,主要看公民个人信息的来源,如果银行通过非法的买卖和交换获取其他行或其他渠道的客户信息进行“丢包”,则可能涉嫌违法。
而银行如果是通过工作或提供服务获取,又出售或非法提供给第三方,则可能涉嫌《刑法》第253条之一,即“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金。”而《刑法修正案》将犯罪主体原仅限于国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员扩大为一般主体及单位,即凡是达到法定刑事责任年龄的个人及任何单位均能以本罪追究刑事责任。
但如果信息来源就是本行,那么要看公民的授权范围,如果授权银行使用,则很难判定银行违法。
中国人民大学法学院副院长杨东对第一财经记者表示,银行上述情况,在没有征得客户同意的情况下,涉嫌触犯《网络安全法》、《消费者权益保护法》,监管应当给予警告与处罚。
一位股份制商业银行内部人士表示,在股份行,各银行内部的法律合规部会对“丢包”发送短信的模板内容、说法和各个要素进行审核,确保不违反现有法律及监管规定。
但向客户推送短信这种行为本身,以及可以推送多少条短信,“目前法律上没有明确界定,所以业内都在做。”上述股份行人士说。
而对于助贷与“海推”,苏宁金融研究院互联网金融中心主任薛洪言表示,当前,银行和互金机构等第三机构合作非常普遍。优质的客户,银行自己留下来,资质稍差的客户,一些银行会引流到第三方公司,从中撮合,赚取一定的推荐费,只要是第三方机构有放贷资质,且年化利率不超过36%,是合规的。
中国互联网经济研究院副院长欧阳日辉则表示,这是一个擦边球的打法,银行有为第三方机构背书的嫌疑。第三方机构需信息披露,银行也有投资提示的义务。此外,欧阳日辉还表示,国家虽然对数据的买卖目前没有明确禁止的规定。但是依据现有的法律法规,银行联合第三方公司的短信轰炸,侵犯了个人隐私权。
根据《消费者权益保护法》第29条规定,经营者收集、使用消费者个人信息,应当明示收集、使用信息的目的、方式和范围,并经消费者同意;经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息;经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供;经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
中央民族大学法学院邓建鹏教授表示,若没有当事人的许可,银行是不可以把个人信息授权给代理商的。即便银行得到用户的许可,也应该在事先将个人信息适用范围、领域预先告知当事人。个人信息使用的重要原则之一是“为客户的权利着想”。他称,当下银行只为推销某个产品,就高频次发送纯广告性质的短信,存在骚扰客户的嫌疑。
而对于银行向助贷公司导流这一现象,邓建鹏表示,不少客户较容易信任银行,在这种导流模式下,银行可能会起着信用背书的作用。另外,若助贷公司出现风险或者欺诈行为,银行要承担一定连带责任。
本文首发于微信公众号:第一财经。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。