俄羅斯設立金融數據“一窗口”模式

孫祁

根據2023年10月21日通過的俄羅斯第408號聯邦法律第2條規定，俄羅斯內務部的工作人員可以在未經客戶同意的情況下從俄央行FinCERT自動系統中迅速獲取交易數據。

據2023年全球反詐騙聯盟（Gasa）和數據服務公司ScamAdviser的一項聯合研究顯示：通過來自48個國家的數據收集，其測算得出，2021年和2022年全球詐騙案分別造成553億及953億美元的損失。此外，據俄羅斯塔斯社報道，在包括英國、俄羅斯和越南在內的許多國家，網絡詐騙已成為案發量最高的犯罪類型之一。受疫情影響，很多此前對互聯網不熟悉的人不得不將大量時間花在線上，因此發展中國家網絡詐騙案的數量也在增加。

據此，俄羅斯宣布，自2023年10月21日起，俄羅斯聯邦2022年10月20日頒布的第408號聯邦法律《關于聯邦“銀行法”第26條和“國家支付系統法”第27條的修正案》（以下簡稱“俄羅斯第408號聯邦法律”）正式生效。根據該修正案的內容，俄羅斯內務部的工作人員可以在未經客戶同意的情況下從俄央行FinCERT（信息安全部協同與響應中心：該部門在金融市場參與者、執法機構、通信服務提供商和運營商、防病毒軟件開發商以及其他從事信息安全領域工作的公司之間建立了信息交換系統；目前，該信息交換系統已吸引了超過1000個組織參與，其中包括所有的俄羅斯銀行）自動系統中迅速獲取交易數據。

根據俄羅斯第408號聯邦法律第2條規定：“信息交換的程序、各方提供的信息形式與清單，應由俄央行與俄聯邦內務部協議確定。”在受害者報案后，俄聯邦內務部的工作人員將有權直接請求獲取有關欺詐交易以及贓款接收人的相關數據。如果FinCERT的數據庫中沒有所需數據，那么俄央行將自行與其他金融機構聯系以進行確認與核實。當然，數據交換將遵守銀行保密規定。俄央行表示，通過該規定，將有利于相關部門在最短時間內獲得案件所需的信息；執法機關獲得的信息還將助力銀行防范欺詐交易。

新法旨在應對金融犯罪

根據俄央行此前發布的數據，2022—2023年俄羅斯詐騙案件數量明顯增加。其中僅次于2023年第一季度的網絡詐騙金額出現在2021年第4季度（44億盧布），2022年第四季度針對俄境內銀行客戶的網絡詐騙金額為41億盧布。

金融數據“一窗口”模式可不斷加強俄羅斯本土金融體系安全保障（圖為俄羅斯銀行）

俄羅斯當前金融領域犯罪行為呈現以下特征：

第一，俄羅斯境內詐騙數額增加。根據俄羅斯衛星通訊社莫斯科2023年6月1日信息，俄羅斯央行公布的材料顯示，2023年第一季度，網絡欺詐者從俄羅斯各家銀行客戶騙取了45億盧布（約合5129萬美元）。據俄羅斯衛星通訊社計算，這是迄今以來最大的單季度網絡詐騙金額。俄央行公告稱：“網絡詐騙者未經客戶授權進行25.21萬筆業務，總額45億盧布。其中通過網銀轉賬盜走的金額最大，這包括借貸款項。”根據俄央行數據顯示，2022年第一季度的網絡詐騙金額為33億盧布（約合3761萬美元）。

第二，境外對俄羅斯網絡銀行攻擊增加。據塔斯社2023年10月25日報道，俄羅斯聯邦儲蓄銀行（Sberbank）董事會副主席庫茲涅佐夫當天在接受“俄羅斯-24”電視臺采訪時表示，俄聯邦儲蓄銀行在今年10月初抵御了一次重大的分布式拒絕服務攻擊（簡稱“DDoS攻擊”），有超過10萬名黑客參與了此次網絡攻擊。庫茲涅佐夫此前指出，俄聯邦儲蓄銀行在2022年前三季度遭受約450起DDoS攻擊，超過了過去5年該銀行及其子公司系統遭受的網絡攻擊數量的總和。庫茲涅佐夫表示，根據俄羅斯聯邦儲蓄銀行的數據，自2022年初以來，針對該公司的網絡攻擊數量增加了14倍。另據2023年6月10日報道，俄羅斯外交部國際信息安全司司長克魯茨基赫（6月9日）說，俄方不會對西方針對俄的網絡攻擊行為置之不理。據俄外交部網站消息，克魯茨基赫在回答記者提問時表示，俄國家機構、基礎設施以及俄公民和在俄外國人的個人數據存儲等正在遭受網絡攻擊。

?“一窗口”模式有利于加強對網絡欺詐者的打擊

當前，數字時代的新特征之一是信息表征及其流通的虛擬性：一方面，數字時代人、事、物以各類虛擬形式呈現在網絡空間中，脫離了村、鄉鎮、縣域、市域等屬地范圍，極大地挑戰了地方政府屬地治理能力；另一方面，數字虛擬技術呈現的并非真實的人或物，它可以制造出諸多虛假形象與信息，對受害者開展感知控制，數字世界和實體世界分離使得真相難以辨識與追蹤。

概而言之，數字時代計算信息技術被金融詐騙組織用于各類偽造虛擬信息的技術手段：虛擬身份讓受騙者誤以為國家信用的在場與支持；虛擬貨幣等讓投資者產生虛擬資產就是真實資產的錯覺；虛擬社區讓受騙者被所謂的社會群體的情感交流、社會認可與支持所蒙蔽。因此，這一切活動發生在國家監管信息控制系統之外，即使投資者被詐騙之后向監管機關舉報，監管機構也難以對詐騙者開展追蹤和查處。

俄羅斯為了解決數字時代虛擬技術對金融安全影響等問題，將銀行等金融數據與內務部數據聯通，形成“一窗口”模式，可以說第408號聯邦法律是關于兩個部門信息交流互換的法律，該法律的生效將加強對俄羅斯境內網絡欺詐者的打擊。根據該法律，電子互動的程序由雙方之間的協議決定。根據其規定，在受害者上訴后，俄羅斯內政部的員工有權要求俄羅斯銀行提供有關欺詐交易的數據，包括被盜資金的接收者。如果它們不在其FinCERT數據庫中，監管機構將要求銀行澄清。

該法旨在維護金融體系安全?

值得注意的是，該法未生效前，俄羅斯內務部工作人員如果想提取自動化系統中金融交易數據必須要經過該系統用戶本人的同意，這是根據俄羅斯《聯邦數據安全法》《個人信息保護法》內容所規定的；但由于俄羅斯逐漸加強對本國金融體系安全的維護，在受害者起訴后，俄羅斯內務部的工作人員將能夠要求監管機構提供有關欺詐交易和被盜資金接收者的數據。如果信息不在FinCERT數據庫中，監管機構將直接與銀行聯系，銀行有義務向內務部提供相關數據，但數據交換將按照銀行保密與個人信息保護等規定進行。

值得注意的是，該修正案的內容是相互進行的，不僅僅是內務部可以向銀行獲取數據，銀行也有權利向執法機構要求提供最新的辦案數據與信息，以防止新的欺詐交易發生。截至2023年11月，在FinCERT的基礎上，俄羅斯金融市場參與者、執法機構、供應商和電信運營商、防病毒軟件開發人員及其他在信息安全領域工作的公司之間已經建立起了信息交換系統，包括所有俄羅斯銀行在內的1000多個組織參與了與該系統的信息交流，這一系統將徹底打通犯罪行為數據的共享與利用，以金融數據“一窗口”模式不斷加強俄羅斯本土金融體系安全保障。

編輯：黃靈? yeshzhwu@foxmail.com