吴先生最近有点苦恼，几天内就收到七八条银行邀请他办理信用卡或贷款的短信，他不敢回复退订，也不敢点击链接查询，因为他无法分辨这些短信是不是银行发来的。

这些短信都是以一长串数字“106”开头，共18位数字。短信内容例如“【上海银行】您记录良好，点击完善信息申请我行（白金）卡，最高授信额度8万元，用卡免年费，回复T取消”；“【中国平安】尊敬的客户，根据您的信用记录，为您开通10万至50万元授信额度，手续简便，资金当天到账，回复Y进行咨询办理，回复N取消”。

吴先生的遭遇并非孤例，多名手机用户向第一财经记者反映，自己在手机上收到过非银行官方客服推荐办理信用卡或消费金融贷款的短信。消费者“很困惑”，这些“18位”推荐短信到底是假基站为套取真实客户信息而发的虚假诈骗短信，还是真的是银行行为。

《第一财经日报》记者调查发现，这些短信是该行信用卡中心、现金分期事业部、消费金融事业部等相关业务部门发起的营销活动，即所谓的“丢包”。虽然“丢包”在银行内部经过了严格的审核，但仍涉嫌骚扰客户、侵犯客户隐私。

现有的法律都还未明确，谁来保护客户的隐私？

记者亲自测试了银行的做法

吴先生还收到了诸如：中信银行邀请客户申请白金信用卡；光大银行阳光金卡申请资格，授信额度10万元；民生银行白金卡，授信额度10万元，最快3秒审批；交通银行VISA金卡申请资格，授信额度5万元等银行短信。除了银行信用卡，还有消费贷、小贷公司的短信，比如中国平安邀请客户申请10万至50万元授信额度；360借条推荐贷款额度4万元，并附赠免息券等。

第一财经记者随机选取了中信银行、光大银行和中国平安三家银行，点击链接后发现，前两家是该银行信用卡中心的贷款，最后一家则是平安集团旗下小额无抵押信用贷款平台平安好贷的贷款。

以“中信银行”短信为例，记者首先选中推荐该银行信用卡申请的短信，点击链接后，页面跳转至“中信银行i白金信用卡申请”页面。（如下图）

从网站域名来看，与中信银行信用卡官网前缀相吻合。

申请须知显示，用户提交申请材料后，若申请材料不符合卡片等级要求，所申请的卡片等级将自动更改为合适的卡片等级。例如，申请白金卡的用户，若不符合白金卡要求，但符合金卡要求，银行将为其更改为金卡，以此类推。

随后，记者使用自己的身份信息在该链接上申请了上述中信银行i白金信用卡，仅用了半个小时就成功了。

随后，记者分别用手机和电脑网页登录中信银行信用卡中心官网，在“进度查询”栏输入身份证号、手机号等关键信息后，通过短信链接找到了自己刚刚申领的“中信银行i白金信用卡”，并转至快速办理页面。

本案中，吴先生收到的邀请其申领中信银行白金卡的短信，确为中信银行信用卡中心的官方行为，而非假基站诈骗或恶意软件为获取客户信息而采取的手段。

随后，第一财经记者点击光大银行信用卡申请链接，链接被重定向到“光大银行信用卡网上申请”界面。

该网页的域名为，而光大银行信用卡的官方域​​名为。一位专业人士向第一财经记者表示，从网页内容和域名前缀来看，该网站来自光大银行。

此外，在页面底部，记者还发现，网站以红色字体显示了“光大银行信用卡申请须知”“光大银行信用卡使用协议”“光大银行信用卡章程”“芝麻信用服务协议及相关授权”等子链接，逐一点击，均为该信用卡的法律条款和注意事项。

一位银行业内人士表示，虽然部分信用卡宣称最高额度可达8万、10万元，但一般只会给出5千、1万，或者最高2万元的额度。如果想进一步提高额度，需要携带房产证等有效资产证明到银行柜台办理。如果有效资产质量较高，城商行、股份制银行的信用卡额度可以提高到7万、8万元。

第一财经日报记者还对中国平安“最高额度50万元信用贷”进行了实战测试。

记者拨打中国平安的短信号码后，一位自称“平安好贷”的客户经理接了电话，该客户经理称，只要满足房贷、公积金、保险三个条件之一，就可以申请平安好贷，无抵押、无担保，贷款额度在3万至50万元之间。

该账户经理要求记者关注平安好贷官方微信，然后在右下角【客服】中选择【绑定账户经理】，在新页面输入“姓名、手机号、验证码”，点击提交。按照上述操作流程操作后，记者在平安好贷官方微信上收到了一封《个人信贷业务授权书》。由此可以确认，该推荐短信来自中国平安，并非诈骗或恶意软件。

信用卡电话营销“丢包”

“虽然这些短信来自不同的银行，但看上去却像是同一个模子刻出来的，单从短信内容根本无法判断是否真的来自同一家银行。”多位受访者告诉第一财经记者，有受访者甚至误以为这些短信来自假基站，是电信诈骗的一部分。

那么，银行为什么不使用官方的短信服务平台，而是用复杂冗长的“18位”号码来推销信用卡呢？第一财经记者采访了多位接近股份制银行的人士，发现了银行内心的盘算。

其实，银行都有自己官方认证的短信客服平台渠道，大型国有银行中，工商银行官方客服电话为“”，建设银行官方客服电话为和；股份制商业银行中，招商银行官方客服电话为“”，民生银行为“”，中信银行为“”，认证都比较明确。

此外，部分银行信用卡中心、理财中心也有官方短信放号平台，如中信银行信用卡官方号码为“8”，招商银行理财中心官方号码为“5”。这些号码也带有明显的银行认证特征，如华为手机通过上述渠道发送的短信直接认证，并显示银行官方logo和头像。

而像吴先生遇到的这种银行电话营销活动，显然不是通过上述官方渠道发布的。一位接近股份制银行的知情人士向第一财经记者透露，这些短信都是该银行信用卡中心、现金分期事业部、消费金融事业部等相关业务部门主动发起的。

他们通常会在银行的合作名单上寻找某个短信运营商的一级代理，生成一个虚拟号码，然后根据银行的客户“白名单”进行消息推送，这种行为在业内被称为“丢包”。

所谓“丢包”，就是发送的短信内容为“模板信息+CC链接”，短信发出后，与客户没有任何互动，如果客户回复“退订取消”，以后就不会再收到类似的短信了。

推送短信的内容有固定的模板，只要填写关键要素，一级代理就可以批量发送，这就不难理解，为什么这些“丢失”的短信，虽然来自不同的银行，但看上去都差不多。

当发生“掉包”时，银行内部要经过以下流程：银行根据后台数据库调整短信生成器的动态参数，包括姓名、信用额度、卡类型、时间等限制因素。触发由银行控制，银行内部业务发起人根据模板编制，并根据“白名单”将数据导入系统，自动触发。上述知情人士称，银行内部有相关人员负责“掉包”的审核，上级负责审批。

银行为什么不利用官方客服短信平台“丢包”呢？一位银行业内人士表示，银行信息中心掌控的官方短信服务平台，本身不能发短信，必须满足一定的“触发”机制。

例如，当客户刷信用卡、月底结清利息、购买理财产品等行为时，官方客服平台可以根据客户的行为触发反馈；而对于其他短信内容，官方客服平台需要遵循一定的规则后才能发送信息。

由于银行官方客服号即“大账户”的审核审批机制较为严格，信用卡营销短信往往无法满足“大账户”推送短信的触发条件。加之银行内部上报流程繁琐、审批时间较长，银行信用卡、消费金融等业务部门一般不采用官方客服号“掉包”的方式。

此外，第一财经记者还了解到，除了电话营销外，这类“个性化”号码短信还可以满足银行其他业务用途，比如针对银行根据黑白名单筛选出的逾期贷款客户进行短信催收等。

那么银行“丢包包”的合作方到底是谁呢？据《第一财经日报》记者调查，目前银行内部存在多种模式。比如，电话营销的“小账户”和官方客服的“大账户”，都是同一运营商的一级代理，但促销内容通过不同的号码推送。

更常见的模式是“1对N”的合作模式，“比如运营商给银行官方公众账号提供一个号码，给信用卡中心提供一个号码，给个人借记卡提供一个号码，而个人贵宾卡、信息服务互动、个人贷款等各有一个对应的号码等。”一位知情人士向第一财经记者透露。

“但目前运营商一级代理的‘短号’资源紧缺，无法提供充足的‘短号’资源。”一家国有大型银行技术部相关负责人向第一财经记者解释了银行为何不修复“丢失”的电销号码。

虽然“丢包”数量不固定，但银行对一级代理的准入制度比较严格，移动、电信、联通三家运营商的一级代理都是和大银行合作，合作方并非“基层”机构。

记者还了解到，银行消费金融子公司若要“投递包裹”，与其合作的运营商一级代理商也必须选择已列入母银行集团准入名单的代理商，对于长期合作的代理商，银行会评估代理商资质、信息安全保障、投递成功率等。

“99.5%的成功率和99.2%的成功率之间差距巨大，银行通常会和一级代理商谈成一个套餐价格，比如一年1亿片是一个价格，5000万到1亿片又是一个价格。采购一般都是从总行统一的采购目录上，但银行会按当时用量付费。”一位知情人士对记者表示。

“因此，没有银行的授权，代理商不会擅自发信息，但也不能100%保证代理商不会出问题。”上述知情人士说。

在北京工作的刘先生还有一个疑惑，他三年前就申请过民生银行信用卡，为什么银行会再次邀请他申请？难道银行不知道这件事吗？一位城商行人士告诉第一财经记者，这类信息属于第三方海量信息，只要用户在这个数据库中，就会不断收到这类信息，系统无法识别已经申请过的客户。

“群发短信的原因是为了节省成本，银行每次推销一张信用卡，要付四五百元的费用，而通过群发短信，银行的成本就大大降低了。”上述城商行人士说。

除了上述“丢包”现象，第一财经记者还了解到，业内助贷模式还存在“盲推”“群推”现象。如果说上述“丢包”只是银行铺天盖地的电话营销骚扰客户，那么“盲推”就极有可能涉及侵犯客户隐私。

一般来说，大型银行的存量客户较多，因此这种情况并不涉及太多信息交易等违法违规行为，更多的是盘活、深挖存量客户。但在部分中小金融机构，则会寻找外部数据供应商，联合合作伙伴做好初步客户画像，然后“投包”、线上分账，业内称之为“盲推”“海推”。

调查中，一位城商行人士告诉记者，一些中小银行与理财公司、互联网金融公司、分期消费公司等第三方合作，贷款资金来源于这些第三方公司或第三方公司与银行建立的资金池，双方互相引流。此时客户收到的短信，并不是银行发来的。具体来说，如果客户向银行申请信用贷款，银行只是充当渠道，资金来源于第三方公司，银行会收取利息收入的20%-40%作为渠道费。

但随着去年底《关于规范和规范“现金贷”业务的通知》（下称“141号文件”）发布，规定银行业金融机构在与第三方机构合作开展贷款业务时，不得将授信审核、风控等核心业务外包，贷帮贷模式将逐步退出。

缺乏法律定义

第一财经记者调查发现，客户收到的“丢包”短信中，来自股份制商业银行、中小银行的占多数，大型银行的相对少见。

“我们发送的提醒短信，都是使用标准号码发送，不会出现复杂冗长的号码发送格式。另外，我们也不会通过短信的方式给客户发送信用卡办理、信用额度提升申请等，我们会更多地通过工行APP服务群等方式与客户进行联系。”一位接近工商银行的业内人士向第一财经记者指出。

某大型国有银行人士表示，由于营销压力大，一些中小银行在拓展客户、发卡等方面往往会采取较为“灵活”的营销方式。但上述方式犹如一把“双刃剑”，在促进业务推广的同时，也为隐私保护、短信诈骗埋下了隐患。要从根本上改变这一现状，需要监管部门出台强有力的法规和政策要求，否则很难改变。

银行上述行为是否骚扰客户？甚至侵犯客户隐私？一位律师事务所合伙人向第一财经记者表示，银行“放水”是否违法、违规，主要看公民个人信息的来源。如果银行通过非法交易、交换等方式从其他银行或其他渠道获取客户信息，然后“放水”，则可能涉嫌违法。

如果银行在工作或者提供服务过程中获取公民个人信息，将其出售或者非法提供给第三方，则可能涉嫌刑法第二百五十三条规定：“国家机关或者金融、电信、交通运输、教育、医疗卫生等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获取的公民个人信息，出售或者非法提供给他人的，处三年以下有期徒刑或者拘役，情节严重的，处三年以下有期徒刑，并处或者单处罚金。”刑法修正案将犯罪主体从国家机关或者金融、电信、交通运输、教育、医疗卫生等单位及其工作人员扩大到一般主体和单位，即凡达到法定刑事责任年龄的个人和任何单位，都可能因该罪追究刑事责任。

但如果信息来源是银行本身，那就要看公民的授权范围了，如果银行被授权使用这些信息，就很难认定银行违法了。

中国人民大学法学院副院长杨东对第一财经记者表示，银行上述情况，未取得客户同意，涉嫌违反《网络安全法》《消费者权益保护法》，监管部门应当给予警告、处罚。

一位股份制商业银行内部人士表示，在股份制银行，各行内部的法律与合规部门会对“丢包”短信的模板内容、措辞及各项要素进行审查，确保其不违反现有法律和监管要求。

但对于向客户推送短信的行为，以及可以推送多少条短信，“目前法律上并没有明确规定，所以业内大家都在这么做”，上述股份制银行人士表示。

对于助贷、“海推”，苏宁金融研究院互联网金融中心总监薛红燕表示，目前银行与互助金融机构等第三方机构的合作十分普遍。银行自己留住优质客户，部分银行会将资质稍差的客户分流给第三方公司，进行撮合，赚取一定介绍费。只要第三方机构具备放贷资质，年化利率不超过36%，就是合规的。

中国互联网经济研究院副院长欧阳日辉表示，这种做法属于边界做法，银行涉嫌为第三方机构背书。第三方机构需要披露信息，银行也有提供投资提示的义务。此外，欧阳日辉还表示，虽然目前国家没有明确禁止数据买卖的规定，但根据现有的法律法规，银行和第三方公司进行短信轰炸，侵犯了个人隐私权。

根据消费者保护法第二十九条规定，经营者收集、使用消费者个人信息，必须明示收集、使用信息的目的、方式和范围，并经消费者同意；经营者收集、使用消费者个人信息，必须公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息；经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供；未经消费者同意或者要求，或者消费者明确表示拒绝，经营者不得向消费者发送商业性信息。

中央民族大学法学院教授邓建鹏表示，未经当事人许可，银行不能将个人信息授权给代理人使用，即使获得用户许可，也应事先告知当事人个人信息的使用范围和领域。个人信息使用的重要原则之一是“考虑客户的权利”。他表示，目前银行为了推销某种产品，高频率地发送纯广告短信，涉嫌骚扰客户。

对于银行将客户引流到助贷公司的现象，邓建鹏表示，很多客户倾向于信任银行，在这种导流模式中，银行可能起到信用背书的作用。另外，如果助贷公司出现风险或者存在欺诈行为，银行要承担一定的连带责任。