又被簡訊邀請辦銀行卡了,誰偷窺了我的隱私

宋易康 陳洪傑

吳先生最近有些苦惱，在幾天裡收到七八條銀行邀請辦信用卡或貸款的簡訊後，他既不敢回復退訂，也不敢點開連結諮詢，因為他分不清這些簡訊是否真的來自銀行。

這些簡訊都是以一長串「106」開頭的號碼，一共有18位。簡訊內容例如，「【上海銀行】您的記錄良好，點擊http://t.cn/RBxFotx完善信息即可申請我行（白金）卡，額度最高8萬，刷卡免年費，退訂回T」；「【中國平安】尊敬的客戶，根據您的信譽記錄，已獲得10-50萬信用額度，手續簡單，當天到帳。諮詢辦理回復Y，退訂回N」。

吳先生上述經歷並非個案，多位手機用戶向第一財經記者反映，曾經在手機上接收過非銀行官方客服發出的申辦信用卡或消費金融貸款推薦簡訊。這些「18位」推薦辦卡簡訊，究竟是來自偽基站的山寨詐騙簡訊，用來套取客戶真實信息，還是真的屬於銀行行為，令消費者「傻傻分不清」。

第一財經記者調查發現，這些簡訊背後是銀行信用卡中心、現金分期事業部、消費金融事業部等相關業務板塊主動發起的業務營銷行為，即所謂「丟包」。「丟包」在銀行內部遵循了嚴格的審核流程，但仍然涉嫌對客戶造成騷擾以及侵犯客戶隱私。

現有法律尚待明確界定，客戶隱私又由誰來保護？

記者親測銀行所為

吳先生收到的銀行簡訊還包括：中信銀行邀請辦白金信用卡；光大銀行陽光金卡申領資格，額度達10萬；民生銀行白金卡，額度10萬，最快3秒批卡；交通銀行VISA金卡申領資格，額度5萬，等等。除了銀行信用卡，還有消費貸和小貸公司的簡訊。例如，中國平安邀請客戶申請10-50萬信用額度；360借條推薦4萬借款額度與免息券。

第一財經記者隨機選取了中信銀行、光大銀行與中國平安，點開連結後發現，前兩條均為銀行信用卡中心所為，最後一條來自平安好貸，為平安集團旗下小額無抵押信用貸款平臺。

以「中信銀行」簡訊為例，記者首先選取推薦辦理該行信用卡的簡訊，連結點開後，頁面跳轉至「中信銀行i白金信用卡申請」頁面。（如下圖）

從網站域名看，https://creditcard.ecitic.com/h5/shenqing/ibaijin_p.html?sid=SJUNNSH9，與中信銀行信用卡官方網站https://creditcard.ecitic.com前綴重合。

申請說明中顯示，用戶在提交申請資料後，如果遇到審核資料未達到該卡等級要求的情況，申請的卡等級會自動更換為適合的卡等級。如申請白金卡用戶，不符合白金卡要求，符合金卡，銀行會給用戶更換為金卡，以此類推。

隨後，記者用自己的身份信息在該連結上申請了上述中信銀行i白金信用卡,顯示成功，僅用了半小時。

之後，記者又分別用手機和電腦網頁登錄中信銀行信用卡中心官網，在「進度查詢」一欄中輸入身份證號、手機號等關鍵信息後，查到了自己剛剛通過簡訊連結轉入快速辦理頁面申請辦理的「中信銀行i白金信用卡」。

如此，吳先生收到的簡訊邀請辦理中信銀行白金卡，的確為中信銀行信用卡中心的官方行為，而非來自偽基站詐騙或惡意軟體套取客戶信息。

隨後，第一財經記者又點開光大銀行邀請辦信用卡的連結，連結被轉至「中國光大銀行信用卡在線申請」界面。

該網頁的域名為https://xyk.cebbank.com/cebmms/apply/ps/card-index.htm?req_card_id=3142&pro_code=FHTG067632SA0396CYJR&c2c_recom_flag=，而光大銀行信用卡官方網域名為https://xyk.cebbank.com，有專業人士對第一財經記者表示，從網頁內容及網頁域名前綴看，該網站來自光大銀行。

除此之外，在該頁面的下部，記者還發現，網站用標紅字體顯示《中國光大銀行信用卡申請須知》、《中國光大銀行信用卡使用合約》、《中國光大銀行信用卡章程》及《芝麻信用服務協議及相關授權》的子連結，一一點開後，均為信用卡的法律條款和注意事項等。

一位銀行內部人士表示，雖然有些信用卡額度號稱最高達到8萬、10萬元，但一般情況只會給5000、1萬、最多2萬元的額度，要想進一步提升額度，需要帶著房產證等有效資產證明到銀行櫃檯辦理，若有效資產優質，城商行、股份制銀行的信用卡額度可提升到7萬、8萬元。

第一財經記者也對「中國平安最高額度50萬的信用貸」進行了實測。

記者撥通中國平安簡訊中電話（4006085555）後，一名自稱是「平安好貸」的客戶經理接通了電話。該客戶經理稱，房貸、公積金、保險，三者具備其一就可以申請無擔保、無抵押平安好貸，貸款額度為3萬-50萬元。

客戶經理示意記者關注「平安好貸」官方微信，然後在右下方【客戶服務】中選擇【綁定客戶經理】，在新的頁面中輸入「姓名、手機號、驗證碼」，點擊提交。記者按照上述操作流程操作後，在「平安好貸」官微上收到一份《個人徵信業務授權書》。由此確認，推薦簡訊來自中國平安，並非詐騙或惡意軟體所為。

信用卡電銷 「丟包」

「這些簡訊雖然來自不同銀行，但像是一個模子刻出來的，單憑簡訊內容無法判斷是否真的來自銀行。」多位受訪者對第一財經記者表示。一些受訪者甚至誤以為上述簡訊來自偽基站的電信詐騙。

那麼，銀行為何不使用官方簡訊服務平臺，而是以「18位」複雜冗長的號碼形式電銷信用卡？第一財經採訪多位接近股份行內部人士後發現了銀行內部的「小算盤」。

事實上，銀行都有自己官方認證的簡訊發送客服平臺渠道，國有大行中，如工商銀行官方客服電話為「95588」，建設銀行官方客服電話95533及4008200588；股份制商業銀行中，招商銀行官方客服電話為「95555」，民生銀行為「95568」，中信銀行為「95558」等，認證都較為清晰。

除此之外，一些銀行的信用卡中心及理財中心也有官方的簡訊發布號碼平臺。如中信銀行信用卡為「106980095558」，招商銀行理財中心的官方號碼「106980095555」。這些號碼同樣具有較為明顯的銀行認證特徵，例如，在華為手機上，上述渠道發送的簡訊直接被認證後顯示銀行官方標誌頭像。

像上述吳先生所遇到的銀行電銷行為，顯然沒有通過上述官方發布渠道。一位接近股份行了解內情的人士對第一財經記者表示，這些簡訊背後是銀行信用卡中心、現金分期事業部、消費金融事業部等相關業務板塊主動發起的營銷行為。

他們一般找本行合作名單中的簡訊運營商一級代理商，生成虛擬號碼後，基於本行客戶人群「白名單」進行推送，這種行為被行業內稱為「丟包」。

所謂「丟包」，即發送簡訊的內容為「模板信息+抄送連結」，簡訊發送後與客戶不產生任何交互，客戶如果回復「退訂取消」，以後就不再接收到類似簡訊。

推送簡訊的內容都有固定的模板，只要將關鍵要素填入，一級代理商便可進行群發。這就不難理解為何這類「丟包」簡訊雖然來自不同銀行，但「長得」都差不多。

一個「包」被丟出，在銀行內部需要遵循以下流程：銀行根據後臺資料庫對簡訊生成器的動態參數進行調整，參數包括：姓名、額度、卡別、時間等限制要素。觸發器由銀行掌控，銀行內部業務發起人按照模板編制，根據「白名單」將數據導進系統自動觸發。上述知情人士表示，銀行內部有相關人士負責「丟包」的審核，並有上級主管負責批准。

為何銀行不使用官方客服簡訊平臺「丟包」？ 一位銀行業內人士表示，銀行信息中心所掌控的官方簡訊服務平臺並非什麼簡訊都能發，需滿足一定「觸發」機制。

例如，當客戶信用卡刷卡、月底結息、購買理財產品後，官方客服平臺可根據客戶行為觸發反饋，此外的其他簡訊內容，官方客服平臺需要遵循一定規則才可以發送信息。

由於銀行官方客服號即 「大號」審核與審批機制較為嚴格，信用卡電銷簡訊往往都達不到「大號」推送簡訊的觸發條件，此外由於在銀行內部申報流程繁瑣，審批時間較長，所以銀行信用卡、消費金融等業務部門一般都不使用官方客服電銷「丟包」。

此外，第一財經記者也了解到，除了電銷，這種「個性化」號碼簡訊也可滿足銀行其他業務目的，例如對銀行根據黑白名單篩選出來的逾期貸款客戶，進行簡訊催收等。

那麼誰是銀行「丟包」的合作方？第一財經記者調查了解到，目前在銀行內部有多種模式。例如，電銷「小號」與官方客服「大號」同為一家運營商一級代理商，只是換了一個號碼推送推銷內容。

較為普遍的模式如「1託N」合作模式，「例如運營商為銀行的官方公號提供一個號碼，為信用卡中心提供一個號碼，個人借記卡一個號碼，個人貴賓卡、信息服務交互與個貸分別對應專門的號碼等。」知情人士向第一財經記者透露。

「不過目前運營商一級代理商的『短號』資源供不應求，無法提供足量的『短號』資源。」某國有大行科技部門相關負責人向第一財經記者解釋了，為何銀行不將「丟包」的電銷號碼固定下來的原因。

「丟包」號碼雖然不固定，但銀行挑選一級代理商有較為嚴格的準入制度，與大銀行合作的都是中國移動、中國電信、中國聯通三家運營商的一級代理商，合作方並非「草根」機構。

記者同時了解到，如果涉及銀行的消費金融子公司要「丟包」，與之合作的運營商一級代理商也必須挑選已經納入母行集團準入名單的對象。對於長期合作的對象，銀行會對代理商資質、信息安全保護、發送成功率等指標進行考核。

「99.5%的成功率和99.2%成功率差距很大，銀行一般是與一級代理商談一個打包價格，例如一年1億條是一個價格，5000萬-1億條是一個價格。一般都在總行統一採購目錄中進行採購，但用多少，銀行到時候付費。」知情人士對記者表示。

「所以在沒有銀行授權的情況下，代理商不會擅自發送信息，但也不能100%保證代理商不會出現問題。」上述知情人士稱。

在北京工作的劉先生產生了另外一個困惑，三年前他已經辦理了民生銀行信用卡，為什麼銀行還邀請他去辦理？銀行難道不知情？一位城商行人士對第一財經記者指出，這種信息屬於第三方信息群發，只要在這個資料庫裡面的用戶都會不斷的收到這類信息，系統無法識別已經辦理過的客戶。

「簡訊群發背後的原因是節省成本。業務員推銷辦理出一張信用卡，銀行支付400元-500元的費用，但通過群發信息的方式，銀行的成本就大大降低了。」上述城商行人士表示。

除了上述「丟包」，第一財經記者還了解到，業內還有助貸模式的「盲推」與「海推」，如果上述「丟包」只是銀行鋪天蓋地的電銷對客戶造成了騷擾，那麼「盲推」則極有可能涉及侵犯客戶隱私。

一般情況下，大行存量客戶較多，這種情況不會涉及太多信息買賣等違法違規行為，更多是存量客戶的激活和深度挖掘。但在一些中小金融機構，他們會找到外圍數據供應商，聯合合作夥伴做初步的客戶畫像後，進行「丟包」，在線上進行分款，在業內稱為「盲推」與「海推」。

調查中，一位城商行人士對記者稱，一些中小銀行與財富管理公司、網際網路金融公司、分期消費公司等第三方合作，貸款資金來自這些第三方公司或者第三方公司和銀行成立的資金池，雙方相互導流。這時候，客戶收到的簡訊就並非來自銀行。具體而言，若客戶向銀行申請信用貸，銀行只做通道，資金來自第三方公司，而銀行會收取20%-40%的利息收入作為通道費。

不過，隨著去年底《關於規範整頓「現金貸」業務的通知》（下稱「141號文」）規定銀行業金融機構與第三方機構合作開展貸款業務時不得將授信審查、風險控制等核心業務外包，導致助貸模式會逐漸退出。

缺乏法律界定

第一財經記者調查發現，在客戶收到的「丟包」簡訊中，以股份制商業銀行與中小銀行為主，大行則比較少見。

「我們發送的提示簡訊都是以95588作為標準的號碼，不會有複雜冗長的發送號碼形式。此外不會通過簡訊方式給客戶發送信用卡辦理和提額申請，更多是通過工行APP服務群等方式與客戶聯繫。」一位接近工商銀行內部人士對第一財經記者指出。

某國有大行人士表示，一些中小銀行由於營銷壓力大，為了拓展客戶與發卡，往往會採取更加「靈活」的營銷手段，但上述手段如同「雙刃劍」，在推進業務推廣的同時，也給隱私保護以及簡訊欺詐埋下隱患。要在根源上改變這一現狀，需要監管部門強有力的法規和政策要求，否則很難改變。

銀行上述行為是否對客戶造成了騷擾？甚至侵犯客戶隱私?某律師事務所合伙人對第一財經記者指出，界定銀行「丟包」是否違法或違規，主要看公民個人信息的來源，如果銀行通過非法的買賣和交換獲取其他行或其他渠道的客戶信息進行「丟包」，則可能涉嫌違法。

而銀行如果是通過工作或提供服務獲取，又出售或非法提供給第三方，則可能涉嫌《刑法》第253條之一，即「國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處3年以下有期徒刑或者拘役，並處或者單處罰金。」而《刑法修正案》將犯罪主體原僅限於國家機關或者金融、電信、交通、教育、醫療等單位及其工作人員擴大為一般主體及單位，即凡是達到法定刑事責任年齡的個人及任何單位均能以本罪追究刑事責任。

但如果信息來源就是本行，那麼要看公民的授權範圍，如果授權銀行使用，則很難判定銀行違法。

中國人民大學法學院副院長楊東對第一財經記者表示，銀行上述情況，在沒有徵得客戶同意的情況下，涉嫌觸犯《網絡安全法》、《消費者權益保護法》，監管應當給予警告與處罰。

一位股份制商業銀行內部人士表示，在股份行，各銀行內部的法律合規部會對「丟包」發送簡訊的模板內容、說法和各個要素進行審核，確保不違反現有法律及監管規定。

但向客戶推送簡訊這種行為本身，以及可以推送多少條簡訊，「目前法律上沒有明確界定，所以業內都在做。」上述股份行人士說。

而對於助貸與「海推」，蘇寧金融研究院網際網路金融中心主任薛洪言表示，當前，銀行和互金機構等第三機構合作非常普遍。優質的客戶，銀行自己留下來，資質稍差的客戶，一些銀行會引流到第三方公司，從中撮合，賺取一定的推薦費，只要是第三方機構有放貸資質，且年化利率不超過36%，是合規的。

中國網際網路經濟研究院副院長歐陽日輝則表示，這是一個擦邊球的打法，銀行有為第三方機構背書的嫌疑。第三方機構需信息披露，銀行也有投資提示的義務。此外，歐陽日輝還表示，國家雖然對數據的買賣目前沒有明確禁止的規定。但是依據現有的法律法規，銀行聯合第三方公司的簡訊轟炸，侵犯了個人隱私權。

根據《消費者權益保護法》第29條規定，經營者收集、使用消費者個人信息，應當明示收集、使用信息的目的、方式和範圍，並經消費者同意；經營者收集、使用消費者個人信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息；經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得洩露、出售或者非法向他人提供；經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息。

中央民族大學法學院鄧建鵬教授表示，若沒有當事人的許可，銀行是不可以把個人信息授權給代理商的。即便銀行得到用戶的許可，也應該在事先將個人信息適用範圍、領域預先告知當事人。個人信息使用的重要原則之一是「為客戶的權利著想」。他稱，當下銀行只為推銷某個產品，就高頻次發送純廣告性質的簡訊，存在騷擾客戶的嫌疑。

而對於銀行向助貸公司導流這一現象，鄧建鵬表示，不少客戶較容易信任銀行，在這種導流模式下，銀行可能會起著信用背書的作用。另外，若助貸公司出現風險或者欺詐行為，銀行要承擔一定連帶責任。