內鬼，一直是網貸行業的毒瘤。

　　無論是獨自作案，還是勾結羊毛黨、騙貸團伙及流量中介等，基本上涉案規模較大的風險案件，總少不了內鬼的身影，無他，致命的攻擊通常來自于內部。面對內鬼們的猖獗，網貸平臺多在內控層面加強事前防控，但由于缺乏具有威懾力的事后處罰手段，內鬼作案的違規成本非常低，行業毒瘤難以根除。

　　日前，深圳市上線全國首個“網絡借貸信息中介機構從業人員違規違紀信息共享平臺”，通過特定范圍內曝光違規員工（內鬼）名單，寄希望從制度層面促使網貸從業人員愛惜自己的羽毛。共享平臺的上線增加了內鬼作案的違規成本，具有一定的威懾力。但“不守規矩便曝光”的做法，又能在多大程度上緩解這一行業難題呢？

　　內鬼作案：花樣繁多、防不勝防

　　內部員工最熟悉平臺的規則與漏洞，所以內鬼作案其實可以基于不同的業務流程、不同的場景靈活“定制”作案手法，花樣繁多、防不勝防。接下來，本文主要挑選兩個典型的場景進行介紹。

　　內外勾結，騙貸沒商量

　　一個完整的信貸流程涉及到貸前、貸中、貸后等前中后臺，任何一個關鍵的環節被突破，都會大幅降低全面風控流程的有效性，為騙貸行為大開方便之門。從當前已經公開披露的一些案例來看，買通風控人員獲取風控模型的規則漏洞以及聯合營銷人員在貸款申請階段造假騙貸等成為最常見的內外勾結手法。先來看一個已經公開的案例。

　　2017年6月，某地警方接到一批“逾期”借款人報案，聲稱某平臺向他們催收貸款，問題是自己并未在該平臺借過錢。經過警方的偵查，揭開了一起內外勾結騙貸的騙局。

　　這則騙貸案由平臺業務人員自導自演，先是以每筆800-1000元的好處費為誘惑，“說服”申請人配合“演戲”，即這些申請人到平臺合作線下商家以買手機、買電腦的名義申請消費分期，在此場景下完成拍照片、填資料等貸款申請環節，若貸款獲批，借款人得到一筆好處費，商家老板也會有一筆好處費收入，而其他資金便被業務人員瓜分。

　　買通了申請人和線下商家，計劃得以順利實施，短短4個月內騙取公司貸款300余單，涉案價值高達150余萬元。而事情之所以爆出，在于業務人員不僅騙平臺，還騙了其合作伙伴——貪圖好處費的群眾。在這些申請人眼中，自己只是配合演戲，并得到保證不需要實質性還款，沒想到平臺最終以借款逾期的名義向自己催債，躲不過便只好報警，尋求一個“公道”，事情這才大白于天下。

　　其實，這個案例中的騙貸方法還非常初級，從一開始便埋下了“曝光”的種子。隨著平臺風控框架的日益完善，這種由業務端發起的欺詐風險案件比例大幅下降，而核心風控人員開始成為內部欺詐的主角。無他，抓賊的工具便是他們參與設計的，他們知道怎么成功騙過系統與機器，成功實施騙貸行為。

　　優質客戶信息泄露

　　網貸行業而言，數千家平臺同臺競技，產品高度同質化，考驗的便是獲客能力，優質客戶名單無疑成為平臺最寶貴的資產之一，誰掌握了更多的優質借款用戶，便掌握了在競爭中發展壯大的主動權。

　　為了獲取優質借款用戶，業務人員會認真對待各個渠道的用戶信息源，其中便包括黑產。有了需求端的供養，黑產得以發展壯大，而平臺的存量優質用戶成為黑產的重要攻擊目標。而站在平臺的角度，其核心用戶信息泄露主要出在兩方面原因，一是系統被黑客從外部攻破，二是被內鬼利用管理機制的漏洞從內部攻破。

　　對于大平臺而言，普遍開始重視自身IT系統的安全性防護，系統被黑客拖庫的概率大幅下降，而內鬼從內部竊取信息依舊防不勝防。同時，由于社會整體個人信息保護意識的缺失，很多人對于“信息泄露”缺乏足夠的敏感性，結果是很多“內鬼”其實并不知道自己的行為所面臨的法律后果，某種程度上使得黑產人員從平臺內部發掘一個參與泄露信息的“內鬼”相對容易，內鬼更是無處不在。

　　不妨從某公開案件中截取兩個片段，大家感受一下。

　　“我負責貸款業務，所以我是部門里唯一一個可以查詢征信系統的員工?！闭缒痴f，鄒某了解他的工作業務，就找到他幫忙查一些人的征信信息，“她說一個朋友是做小額貸款的，想讓幫忙查一些客戶的貸款情況，沒想到后來越查越多?！薄谀车官u信息案中被抓的銀行員工

　　“一個叫牛牛的從朋友那知道我后加我，他說要找老賴，給我手機號讓我幫忙查快遞地址，每條給我30塊錢?！蓖跄辰衲?5歲，原是某快遞上海站的倉庫管理員。王某說，“他已經在快遞行業干了五六年，知道給別人查快遞信息違反公司規定，但并不知道這么做違法?！薄吃谀车官u信息案中被抓的快遞公司員工

　　數據顯示，2016年4月公安部曾部署開展了打擊整治網絡侵犯公民個人信息犯罪專項行動，全國公安機關共偵辦各類侵犯公民個人信息案件1886起，抓獲犯罪嫌疑人4261名，其中，銀行、教育、工商、電信、快遞、證券、電商網站等行業內部人員391人、黑客98人；共偵辦實施拒絕服務攻擊、非法入侵控制網站等各類黑客犯罪案件828起，抓獲犯罪嫌疑人1747名。

　　其實，除了上述兩類典型的內鬼作案之外，市場部運營人員與流量中介及羊毛黨的內外勾結、理財顧問的飛單銷售（即拿著公司的工資向客戶推介其他平臺的產品）、銷售人員私設資金池進行非法集資、財務人員利用職務之便卷款跑路等等，也都不乏先例。

　　網貸平臺缺乏核心“威懾手段”

　　內部欺詐風險的防控，不外乎事前防控和事后處置兩個方面，前者重在完善內控制度、減少漏洞，后者重在威懾，從而確保各項制度的落地執行。

　　在事前防范中，P2P平臺大可借鑒銀行業的做法。在銀行業全面風險管理框架中，對內部欺詐的防控力度并不弱于信用風險，在上百年的經營實踐中，銀行業發明的諸如科學的考核指標設計、強制輪崗、審貸分離、績效延期發放、分級授權、常規內控檢查等制度規范，對于防范內部欺詐風險起到很好的效果。

　　實踐中，已經有很多P2P平臺實施拿來主義政策，并結合行業特點做了一些改進和創新。比如，不少平臺不僅會考核客戶經理的放貸金額，還要考核其發放貸款的逾期率，從而降低客戶經理一味做大業績而參與聯合騙貸的概率；一些平臺則會區分業務員的工作年限，對年限長的員工實施分紅，增強其主人翁意識；一些平臺則會著重考核存量貸款余額，為穩定踏實的員工提供長期激勵，減少員工流動性，降低“一錘子買賣”心態下的短期行為。

　　而在事后處置等方面，除了個別影響惡劣案件訴諸法律手段之外，P2P平臺還缺乏有效的措施。

　　一方面，從平臺聲譽的角度考慮，為避免事情鬧大對品牌帶來負面影響，對于一些內部違規行為，P2P平臺多選擇適當追回損失并將涉事員工內部辭退并，不愿作過多追究，使得員工實施內部欺詐的成本很低；另一方面，在P2P行業層面，尚未構建有效、透明的內外部問責機制，使得涉事員工被離職后依舊可以活躍在行業內部，繼續“禍害”其他平臺。

　　反觀銀行業，則已經初步建立了一套包括內部問責、監管問責和司法問責在內的違規行為問責體系，可以對潛在的違規行為形成有效威懾。

　　舉例來講，在監管層面，銀監會出臺了《銀行業金融機構案件問責工作管理暫行辦法》、《銀行業金融機構從業人員處罰信息管理辦法》等一系列制度，從問責手段、標準、程序以及違規信息報送等方面作為全面部署，一些地方銀監局還建立了銀行從業人員處罰信息管理系統，為監管部門準入審核和銀行招錄把關提供信息查詢服務，杜絕銀行業員工的“帶病”流動。

　　信息共享會是終極殺招嗎？

　　在此背景下，P2P網貸從業人員違規違紀信息共享系統出現了。對于進一步防范“內鬼”，該系統會發揮怎樣的作用呢？

　　應該說，威懾力是有的，畢竟，從無到有，是個重要的進步。不過，鑒于接入平臺數量有限，該共享系統能發揮的作用也著實有限。既便隨著接入平臺越來越多，其威懾力的增加也存在明顯的天花板，畢竟，網貸行業之外，還有各種各樣的消費分期和現金貸平臺，既便不能在網貸就業，這些從業者依舊可以輕松地“帶病”流入其他借貸類機構。

　　所以，信息共享系統只是第一步罷了，只是實現了防范“內鬼”的籬笆從無到有，接下來還需要越筑越高、越筑越密。

　　不過，籬笆高到和密到一定程度，業務流程將變得非常復雜繁瑣，此時機構會主動放緩修建籬笆的腳步，以便在用戶體驗和管理成本等方面取得一個綜合的平衡。

　　作者：薛洪言，蘇寧金融研究院互聯網金融中心主任

　　微信公眾號：洪言微語

責任編輯：王超