银行卡业务中“帮信”风险分析及应对措施

作者：交通银行信用卡中心催收和反欺诈部反欺诈团队主管 胡晨 方颖

近年来，随着信息网络技术的快速发展，信息网络犯罪呈现犯罪人员去中心化、技术性强、犯罪活动跨境、犯罪人员众多等新态势。笔者在实际案例分析中发现，由于信息网络具有强渗透、快传播等特点，犯罪分子利用网络大肆散播兼职广告，将犯罪工具商品化、服务化，通过短时高薪诱骗很多原本不具备犯罪动机和犯罪条件的人员参与其中，使其成为犯罪“帮凶”，造成信息网络犯罪频发、屡禁不止，给银行预防和打击信息网络犯罪带来了巨大挑战。本文将从银行实务角度分析帮助信息网络犯罪活动（以下简称“帮信”）的表现形式和特征，以及该行为涉及的法律责任问题，着重探讨“帮信”行为给银行带来的风险和挑战，并提出针对性防范建议。

一、“帮信”表现形式和特征分析

“帮信”最大的特点在于“帮助行为”，结合银行实例，笔者将“帮助行为”分为非法买卖“两卡”、提供犯罪资金结算帮助和技术支持三类。

1. 非法买卖“两卡”

非法买卖“两卡”是指实施非法购买、出借、出租实名认证的电话卡、银行卡等违法犯罪活动。随着网络的快速发展，人们的生活日益数字化、信息化，不仅各个网站平台会留存个人信息，个人出售信息的情况也屡见不鲜，由信息泄露导致的盗刷、银行卡冒办等行为愈演愈烈。犯罪分子抓住信息网络犯罪“帮手”无稳定收入、法律意识淡薄但又急需用钱的特点，在网络上大肆散播高薪兼职广告，诱骗他们参与犯罪活动。随着非法买卖“两卡”逐步形成“开卡—收卡—团伙倒卖—实施犯罪”的全链条，犯罪团伙间的分工越来越精细，导致银行实际业务处理中经常出现“实名不实人”的情况，实名制难以锁定“幕后操盘手”，给银行预防和打击此类犯罪带来巨大困难。

2. 提供犯罪资金结算帮助

犯罪分子获取受害者资金后需要通过各种洗钱方式洗白资金，将犯罪所得变现。为了逃避监管，犯罪分子除了通过高价收购银行卡进行资金流转外，还会通过跑分平台、第四方支付方式等来洗钱，且在多个支付平台间跳转以掩盖资金流向。以跑分平台为例，犯罪分子利用互联网和微信群推广散布高薪兼职广告，诱使正常用户将自己的微信、支付宝收款码，银行卡甚至是虚拟货币交易账户交给跑分平台，接受平台系统发布的转账任务以获得佣金；或是诱使正常用户使用个人信息注册商户号，用虚假套现交易达到洗钱的目的。与非法买卖“两卡”不同，一般为网络犯罪提供支付结算帮助的“帮手”，其银行卡内还掺杂着正当的结算行为，会出现犯罪资金与个人正常使用资金相互交织的情况，因此，如何认定某笔交易异常一直是银行实务操作中的难点。

3. 提供技术支持

银行在处理电信网络诈骗案件的过程中经常会遇到客户反映手机无信号、遭到短信轰炸等情况，实际上，这是由于客户的手机受到了伪基站的干扰。信息网络犯罪是技术性犯罪，以电信网络诈骗案为例，一个完整的犯罪过程包括犯罪预备阶段（利用短信拦截、虚假网站非法获取客户个人信息）、犯罪实施阶段（利用GOIP设备虚拟拨号）、洗钱阶段（通过搭建跑分、虚拟货币等支付平台洗钱），每个环节都少不了技术支持。

为犯罪团伙服务的“帮手”不仅有掌握专业技能的大学生，还有一些专业领域人员，他们一方面受到利益驱使，被网上所谓的高薪工作所诱惑，而为犯罪分子设计虚假网站、App、木马程序，或提供通信传输、服务器维护等技术支持；另一方面由于法律意识淡薄，存在一定的侥幸心理，认为自己隐藏在互联网背后很难被发现，且并未直接参与犯罪，无需承担相应的法律责任，因此放任犯罪行为的发生。

二、“帮信”法律责任分析

虽然信息网络犯罪行为具有多种多样的表现形式和特征，但总体而言，其本质都是通过信息网络的手段来获取非法利益。其中，“帮信”行为是信息网络犯罪的重要组成部分之一，具有严重的社会危害和后果。从信息网络安全保障的角度来看，“帮信”的法律责任涉及民事、行政、刑事等多个方面。

1. 民事责任

“帮信”行为涉及的民事责任主要是侵权责任和违约责任。《中华人民共和国民法典》（以下简称《民法典》）规定：行为人因过错侵害他人民事权益造成损害的，应当承担侵权责任。侵权责任包括停止侵害、消除危险、赔偿损失等。因此，当持卡人因为帮助犯罪分子实施银行卡诈骗而给他人造成损失时，被诈骗人可以依据《民法典》规定要求持卡人承担民事赔偿责任。例如，持卡人如果将自己的银行卡信息提供给犯罪分子进行非法转账或取款，导致他人银行卡资金被盗刷等，被诈骗人可以要求持卡人承担相应的经济赔偿责任。而银行若因未能充分履行风险管理职责（如未能及时通知持卡人卡片信息被泄露、未能采取有效措施防范银行卡被盗刷等）而致使持卡人遭受损失，持卡人可以依据《民法典》规定要求银行承担违约责任。

2. 行政责任

从行政责任的角度来看，“帮信”行为的责任主体为相关企业和个人。近年来，国家有关部门不断加大对互联网信息安全的监管力度，发布了一系列关于网络安全的法律法规。如果企业或个人违反相关规定，未履行网络安全保护义务，未及时发现和报告网络安全事件，违反法律法规提供虚假信息、传播违法信息、窃取个人信息等，从而为信息网络犯罪活动提供帮助，那么将承担相应的行政责任。对于银行来说，如果其未能严格审核开户人的真实身份信息，或者泄露、篡改、销售、非法收集用户个人信息，都可能因触犯相关法律法规而承担相应的行政责任。

3. 刑事责任

“帮信”行为涉及的刑事责任比较严重，一旦被认定为“帮助犯罪”，相关责任主体很可能面临严厉的刑事处罚。根据《中华人民共和国刑法》相关规定，如果持卡人明知他人使用银行卡进行诈骗、洗钱等违法犯罪行为，但仍然协助、纵容犯罪行为的实施，将被认定为“帮信”，属于刑法中的“帮助犯罪”行为，可能会被追究刑事责任；且根据犯罪情节的不同，可能面临拘役、有期徒刑等刑罚。例如，持卡人将自己的银行卡借给他人用于诈骗、洗钱等犯罪活动，或者提供他人的银行卡信息等，都可能构成“帮助犯罪”。同样，对于银行工作人员来说，如果其在工作过程中为涉及非法犯罪活动提供资金结算、清算等服务，或者泄露客户个人信息等，也会面临承担刑事责任的风险。

总之，“帮信”行为的责任问题涉及民事、行政和刑事等多个方面。在民事责任方面，参与“帮信”行为的个人或组织应当承担相应的赔偿责任。在行政责任方面，相关部门对“帮信”行为给予了严厉的处罚和管理。在刑事责任方面，对于“帮信”行为很可能涉及到的犯罪，相关法律法规也进行了明确的规定和处罚。因此，“帮信”行为人应当充分认识到“帮信”涉及的法律责任和引发的后果，以免触犯法律法规。

三、“帮信”给银行带来的风险和挑战

在信息化社会中，银行卡作为人们日常生活中广泛使用的支付工具，经常成为信息网络犯罪分子的攻击目标。在防范和打击“帮信”行为的过程中，银行面临着重重困难和挑战，具体体现在以下几个方面。

1. 技术支持不足，“帮信”行为难识别

“帮信”行为需要使用先进的技术手段来辨别，但随着犯罪技术的不断发展和改进，“帮信”行为的辨别对技术的要求越来越高，这给银行带来了更大的挑战。例如，某些“帮信”交易可能与普通交易具有相似的特征，难以区分；某些“帮信”交易对象可能是真实客户的亲属或朋友，增加了交易辨别的难度；某些“帮信”交易可能采用聚合支付及跨境交易等的结算方式，提高了反欺诈系统的识别复杂度。由于银行防控“帮信”风险的技术手段跟不上“帮信”技术的发展，因此难以完全识别所有的“帮信”行为。

2. 数据溯源困难，刑事打击难度大

除了技术支持不足外，银行在防控“帮信”风险时还面临着严格的监管要求，同时受到同业竞争关系的制约，以致数据溯源困难。具体来说，银行在追踪信息网络犯罪等违法资金的过程中，需要遵循相关的监管规定，以确保合规性。同时，银行间的竞争也增加了各银行在资金追踪和信息共享方面的难度，各行只能追踪本行的资金走向，如果涉及其他银行及支付结算机构的资金转移，就很难得到完整的资金流向信息。此外，信息网络犯罪分子通常会采取隐蔽的作案手段，如多次转账和利用虚假身份进行交易等，这使得银行卡资金走向的追踪工作更加困难。由于数据溯源困难，银行对于本行持卡人的主观恶意及社会危害性的认定取证存在片面性，难以将有效的犯罪线索交予警方，从而影响了刑事打击的力度。

3. 信息采集受限，法律责任风险高

对于银行来说，其面临着保护客户个人信息和搜集疑似违法嫌疑人的信息间如何平衡的挑战。一方面，银行需要履行的重要责任之一就是保护客户个人信息安全，如果未能妥善保护客户个人信息，可能引发客户信息被泄露、滥用等问题，对客户的合法权益造成侵害，对银行的声誉和信誉带来不良影响，甚至银行还会因此面临法律责任风险。另一方面，根据《中华人民共和国反电信网络诈骗法》规定，银行有义务对符合“帮信”行为特征的银行账户、可疑交易进行监测。在监测期间，银行会采集异常客户的互联网协议地址、网卡地址等客户个人信息，虽然法律明文规定，银行可将采集到的上述信息用于反电信网络诈骗，但未出具相关细则。因此，对于疑似“帮信”行为的卡片或客户个人信息，如果银行无直接证据证明客户存在“帮信”行为，根据《中华人民共和国个人信息保护法》相关规定，在未经客户授权的情况下，银行不能采集存储客户信息，更毋庸说将其交由警方研判。

四、相关风险应对措施

1. 银行内部

一是提高技术手段，利用人工智能、机器学习等先进技术提升对“帮信”行为的识别能力。这些技术可以助力银行从多个角度分析客户的行为、交易记录等信息，建立客户行为模型，对客户行为进行跟踪和分析，及时发现异常行为并进行风险评估，以有效地预防“帮信”行为的发生。

二是与其他金融机构合作，搭建同业信息共享平台，建立实时信息交流机制，及时共享关键信息。同时，银行也可以与当地公安机关、反洗钱部门等建立联系，通过警银合作的方式加强信息共享和协作，更好地预防和打击“帮信”行为犯罪。

三是提高合规意识，加强员工管理，确保员工遵守银行内部规章制度和行业法律法规。银行可以定期开展安全意识教育和培训，增强员工对客户个人信息保护和安全的认知，防范“帮信”风险的发生。此外，银行还可与监管部门保持密切联系，及时了解最新的监管要求和政策，积极配合监管部门的工作，落实各项监管要求，为保护客户合法权益和银行的声誉作出贡献。

2. 面向社会

近年来，政府部门、金融机构纷纷就防范电信网络诈骗进行了安全警示，但针对防范非法买卖“两卡”、提供犯罪资金结算帮助等“帮信”风险的普及却很少。笔者在实际案例中发现，为信息网络犯罪提供帮助的人大部分为初犯且无稳定收入，法律意识淡薄，但其主观恶意较轻。为了杜绝更多的人沦为信息网络犯罪“帮手”，同时做到宣传效果最大化，建议银行将青年、退休老人和无业人群等作为主要宣发对象，结合当下欺诈形式丰富防范“帮信”风险的宣传内容和形式；同时与社区和学校联动，走进社区和校园开展“金融知识进社区、进校园”活动，针对社区退休老年人和在校学生深入开展法制宣传，普及出售“两卡”、支付信息以及为犯罪团伙提供技术支持的危害，通过宣传教育提醒社会群众重视个人信息安全，不要因为贪图小利而沦为网络犯罪的帮凶。

本文刊于《中国信用卡》2023年第11期

声明：本文来自中国信用卡，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。