俄罗斯设立金融数据“一窗口”模式

孙祁

根据2023年10月21日通过的俄罗斯第408号联邦法律第2条规定，俄罗斯内务部的工作人员可以在未经客户同意的情况下从俄央行FinCERT自动系统中迅速获取交易数据。

据2023年全球反诈骗联盟（Gasa）和数据服务公司ScamAdviser的一项联合研究显示：通过来自48个国家的数据收集，其测算得出，2021年和2022年全球诈骗案分别造成553亿及953亿美元的损失。此外，据俄罗斯塔斯社报道，在包括英国、俄罗斯和越南在内的许多国家，网络诈骗已成为案发量最高的犯罪类型之一。受疫情影响，很多此前对互联网不熟悉的人不得不将大量时间花在线上，因此发展中国家网络诈骗案的数量也在增加。

据此，俄罗斯宣布，自2023年10月21日起，俄罗斯联邦2022年10月20日颁布的第408号联邦法律《关于联邦“银行法”第26条和“国家支付系统法”第27条的修正案》（以下简称“俄罗斯第408号联邦法律”）正式生效。根据该修正案的内容，俄罗斯内务部的工作人员可以在未经客户同意的情况下从俄央行FinCERT（信息安全部协同与响应中心：该部门在金融市场参与者、执法机构、通信服务提供商和运营商、防病毒软件开发商以及其他从事信息安全领域工作的公司之间建立了信息交换系统；目前，该信息交换系统已吸引了超过1000个组织参与，其中包括所有的俄罗斯银行）自动系统中迅速获取交易数据。

根据俄罗斯第408号联邦法律第2条规定：“信息交换的程序、各方提供的信息形式与清单，应由俄央行与俄联邦内务部协议确定。”在受害者报案后，俄联邦内务部的工作人员将有权直接请求获取有关欺诈交易以及赃款接收人的相关数据。如果FinCERT的数据库中没有所需数据，那么俄央行将自行与其他金融机构联系以进行确认与核实。当然，数据交换将遵守银行保密规定。俄央行表示，通过该规定，将有利于相关部门在最短时间内获得案件所需的信息；执法机关获得的信息还将助力银行防范欺诈交易。

新法旨在应对金融犯罪

根据俄央行此前发布的数据，2022—2023年俄罗斯诈骗案件数量明显增加。其中仅次于2023年第一季度的网络诈骗金额出现在2021年第4季度（44亿卢布），2022年第四季度针对俄境内银行客户的网络诈骗金额为41亿卢布。

金融数据“一窗口”模式可不断加强俄罗斯本土金融体系安全保障（图为俄罗斯银行）

俄罗斯当前金融领域犯罪行为呈现以下特征：

第一，俄罗斯境内诈骗数额增加。根据俄罗斯卫星通讯社莫斯科2023年6月1日信息，俄罗斯央行公布的材料显示，2023年第一季度，网络欺诈者从俄罗斯各家银行客户骗取了45亿卢布（约合5129万美元）。据俄罗斯卫星通讯社计算，这是迄今以来最大的单季度网络诈骗金额。俄央行公告称：“网络诈骗者未经客户授权进行25.21万笔业务，总额45亿卢布。其中通过网银转账盗走的金额最大，这包括借贷款项。”根据俄央行数据显示，2022年第一季度的网络诈骗金额为33亿卢布（约合3761万美元）。

第二，境外对俄罗斯网络银行攻击增加。据塔斯社2023年10月25日报道，俄罗斯联邦储蓄银行（Sberbank）董事会副主席库兹涅佐夫当天在接受“俄罗斯-24”电视台采访时表示，俄联邦储蓄银行在今年10月初抵御了一次重大的分布式拒绝服务攻击（简称“DDoS攻击”），有超过10万名黑客参与了此次网络攻击。库兹涅佐夫此前指出，俄联邦储蓄银行在2022年前三季度遭受约450起DDoS攻击，超过了过去5年该银行及其子公司系统遭受的网络攻击数量的总和。库兹涅佐夫表示，根据俄罗斯联邦储蓄银行的数据，自2022年初以来，针对该公司的网络攻击数量增加了14倍。另据2023年6月10日报道，俄罗斯外交部国际信息安全司司长克鲁茨基赫（6月9日）说，俄方不会对西方针对俄的网络攻击行为置之不理。据俄外交部网站消息，克鲁茨基赫在回答记者提问时表示，俄国家机构、基础设施以及俄公民和在俄外国人的个人数据存储等正在遭受网络攻击。

 “一窗口”模式有利于加強对网络欺诈者的打击

当前，数字时代的新特征之一是信息表征及其流通的虚拟性：一方面，数字时代人、事、物以各类虚拟形式呈现在网络空间中，脱离了村、乡镇、县域、市域等属地范围，极大地挑战了地方政府属地治理能力；另一方面，数字虚拟技术呈现的并非真实的人或物，它可以制造出诸多虚假形象与信息，对受害者开展感知控制，数字世界和实体世界分离使得真相难以辨识与追踪。

概而言之，数字时代计算信息技术被金融诈骗组织用于各类伪造虚拟信息的技术手段：虚拟身份让受骗者误以为国家信用的在场与支持；虚拟货币等让投资者产生虚拟资产就是真实资产的错觉；虚拟社区让受骗者被所谓的社会群体的情感交流、社会认可与支持所蒙蔽。因此，这一切活动发生在国家监管信息控制系统之外，即使投资者被诈骗之后向监管机关举报，监管机构也难以对诈骗者开展追踪和查处。

俄罗斯为了解决数字时代虚拟技术对金融安全影响等问题，将银行等金融数据与内务部数据联通，形成“一窗口”模式，可以说第408号联邦法律是关于两个部门信息交流互换的法律，该法律的生效将加强对俄罗斯境内网络欺诈者的打击。根据该法律，电子互动的程序由双方之间的协议决定。根据其规定，在受害者上诉后，俄罗斯内政部的员工有权要求俄罗斯银行提供有关欺诈交易的数据，包括被盗资金的接收者。如果它们不在其FinCERT数据库中，监管机构将要求银行澄清。

该法旨在维护金融体系安全 

值得注意的是，该法未生效前，俄罗斯内务部工作人员如果想提取自动化系统中金融交易数据必须要经过该系统用户本人的同意，这是根据俄罗斯《联邦数据安全法》《个人信息保护法》内容所规定的；但由于俄罗斯逐渐加强对本国金融体系安全的维护，在受害者起诉后，俄罗斯内务部的工作人员将能够要求监管机构提供有关欺诈交易和被盗资金接收者的数据。如果信息不在FinCERT数据库中，监管机构将直接与银行联系，银行有义务向内务部提供相关数据，但数据交换将按照银行保密与个人信息保护等规定进行。

值得注意的是，该修正案的内容是相互进行的，不仅仅是内务部可以向银行获取数据，银行也有权利向执法机构要求提供最新的办案数据与信息，以防止新的欺诈交易发生。截至2023年11月，在FinCERT的基础上，俄罗斯金融市场参与者、执法机构、供应商和电信运营商、防病毒软件开发人员及其他在信息安全领域工作的公司之间已经建立起了信息交换系统，包括所有俄罗斯银行在内的1000多个组织参与了与该系统的信息交流，这一系统将彻底打通犯罪行为数据的共享与利用，以金融数据“一窗口”模式不断加强俄罗斯本土金融体系安全保障。

编辑：黄灵  yeshzhwu@foxmail.com