ICS 03.060 CCS A 11 中华人民共和国国家标准 GB/T 42929—2023 互联网金融智能风险防控技术要求 Technical requirements of intelligent risk prevention and control for Internet finance 2023-08-06发布 2023-12-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42929—2023 目 次 前言 引言 1 范围 2 规范性引用文件 3术语和定义 4 互联网金融业务与风险概述 5 智能风险防控技术框架 智能风险防控功能 6 6.1 概述 6.2 风险监测 6.3 风险识别与分析 6.4 风险评价 6.5 风险处置 7智能风险防控技术 7.1 风险防控规则与模型 7.2 智能分析与处理 8智能风险防控系统安全 8.1 基础安全 8.2 应用安全 8.3 数据安全 10 6 智能风险防控系统运行 9.1 日常运行 9.2 应急响应 附录A（资料性） 互联网金融典型业务及风险 13 A.1 互联网金融典型业务场景及通用风险 13 A.2 注册场景及安全风险 13 A.3 登录和密码找回场景及安全风险 14 A.4 交易场景及安全风险 A.5支付场景及安全风险 A.6 信贷场景及安全风险 15 附录B（资料性） 机器学习 17 B.1 有监督机器学习 17 B.2 半监督机器学 17 I GB/T42929—2023 B.3 无监督机器学习… B.4关系网络 B.5自动机器学习， 17 附录C（资料性）突发事件分类分级示例 18 C.1突发事件分类 18 C.2突发事件分级 18 参考文献 19 GB/T42929—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国金融标准化技术委员会（SAC/TC180）归口。 本文件起草单位：中国互联网金融协会、支付宝（中国）网络技术有限公司、中国工商银行股份有限 公司、中国建设银行股份有限公司、中国邮政储蓄银行股份有限公司、广东华兴银行股份有限公司、中国 农业银行股份有限公司，中国平安保险（集团）股份有限公司、农信银资金清算中心有限责任公司、京东 科技控股股份有限公司、第四范式（北京）技术有限公司、深圳市腾讯计算机系统有限公司、度小满科技 （北京）有限公司、上海淇毓信息科技有限公司、东方微银科技股份有限公司、简单汇信息科技（广州）有 限公司、百融云创科技股份有限公司、同盾科技有限公司。 本文件主要起草人：杨农、朱勇、辛路、单剑锋、于圆、张赫、彭普、陆碧波、王维强、金颖、孟宪哲、 王雪、何林芳、沈澍、杨春、梁嘉文、国枫、陈华、关晓辉、邹明明、张旭、何瑛、王明、赵成龙、张雨蒙、 许泽灏、陈鑫、沈、陈沛瑶、徐啸、邸宏鸣、杨晓文、张鸿林、刘军、陈贺巍、赵峰、董纪伟、 Ⅲ GB/T42929—2023 引言 随着互联网金融的不断发展，基于互联网金融的新型金融欺诈风险不断涌现，并呈现出专业化、产 业化、隐蔽化、跨区域等新特征，对传统的风险防控技术提出挑战。为此，互联网金融业务的从业机构提 出了智能风险防控技术，通过采用大数据、人工智能等技术实现智能风险防控，但在实际应用过程中存 在概念不清、技术迥异、效果参差不齐等问题。为加强开展互联网金融业务的金融机构和非银行支付机 构，以及提供智能风险防控技术服务的机构规范使用智能风险防控技术，保障个人及金融主体的合法权 益，制定本文件。 IV GB/T42929—2023 互联网金融智能风险防控技术要求 1范围 本文件规定了互联网金融场景下智能风险防控技术所需满足的技术框架、功能要求、技术要求、实 现的安全要求以及运行要求等。 本文件适用于开展互联网金融业务的组织机构，以及提供智能风险防控技术服务的机构建设、运行 和优化智能风险防控系统防控互联网金融风险。 2 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T35273信息安全技术个人信息安全规范 GB/T35274信息安全技术大数据服务安全能力要求 GB/T37721 信息技术大数据分析系统功能要求 GB/T 37722 信息技术大数据存储与处理系统功能要求 GB/T37961 信息技术服务服务基本要求 3术语和定义 下列术语和定义适用于本文件。 3.1 风险防控 Erisk prevention and control 为有效控制或减少风险事件发生可能性、降低风险事件发生时造成损失而采取的措施和方法。 3.2 风险识别riskidentification 注1：风险识别包括对风险源、事件及其原因和潜在后果的识别。 注2：风险识别可能涉及历史数据、理论分析、专家意见以及利益相关者的需求。 ［来源：GB/T42339—2023，4.3.9，有修改］ 3.3 风险评价riskevaluation 在风险识别和风险计量的基础上，结合其他因素对风险发生的概率、损失程度进行全面考虑，评估 发生风险的可能性及其危害程度，并与公认的安全指标相比较，以衡量风险的程度，并决定是否需要采 取相应措施的过程。 ［来源：GB/T42339—2023,4.3.14] 3.4 风险监测 』risk monitoring 跟踪已识别风险的发展变化情况、风险产生的条件和导致的结果变化，根据风险的变化情况及时调 1 GB/T42929—2023 整风险应对计划，对已发生的风险及其产生的遗留风险和新增风险进行识别和分析。 L来源：GB/T423392023，4.3.15 3.5 风险处置risktreatment 风险分析与评价后对风险进行的降低风险、转移风险、规避风险等一系列处理活动。 3.6 风险防控规则riskpreventionandcontrolrule 按照一定的业务逻辑制定的风险事件判定指标。 3.7 风险防控模型riskpreventionandcontrolmodel 为描述、评价风险定义的一组特性及特性间的关系。 注1：采用风险防控模型的方式实现风险的分析与识别，无须单独针对风险类型或特征制定相应的规则，通过模型 的自反馈特性不断完善对风险判定的准确度。 注2：在风险分析和识别过程中，风险防控规则和风险防控模型通常组合使用。 3.8 智能风险防控intelligentriskpreventionandcontrol 在传统风险防控基础上，基于大数据计算能力，结合机器学习、人工智能、规则与模型等技术进行的 风险控制。 4互联网金融业务与风险概述 在互联网支付、互联网贷款、互联网基金销售、互联网保险、互联网信托等互联网金融业务中，风险 防控的核心是业务场景的安全风险，属于GB/T41462金融风险分类中的操作风险。例如，在用户注 险。常见的互联网金融典型业务及风险见附录A，相关场景风险包括但不限于： a）交易场景：账户盗用、洗钱套现、涉赌涉诈、虚假开户等； b) 营销场景：垃圾注册、渠道刷量、代下单套利、刷单套现、羊毛、恶意占库存等； c）信贷场景：伪冒身份、虚假身份、中介代办、团伙欺诈、信用伪造等。 根据不同的主体对象，需要从交易维度、账户维度、商户维度、客户维度设计并实施风险防控策 略，建立“点、线、面、体”的跨场景、跨渠道的全生命周期风险防控体系。 5智能风险防控技术框架 互联网金融智能风险防控的目标是防控互联网金融业务风险。互联网金融智能风险防控能基于业 务场景等上下文信息动态，智能地选择、使用和优化风险控制策略，通过智能风险防控系统来实现风险 防控目标。智能风险防控系统主要包含以下四个部分，其技术框架见图1。 a）智能风险防控功能，是在风险监测、风险识别与分析、风险评价和风险处置的风险防控核心流 程中的风险防控功能实现。 b） 智能风险防控技术，通过风险防控规则与模型、智能分析与处理为核心流程提供判定规则和动 态调整等能力支撑。 智能风险防控系统安全，保障其自身的基础安全、应用安全、数据安全，支撑智能风险防控 系统。 2