我叫林晚,二十七岁,市金融监管局稽查三处的主办科员。
不是主角光环加身的天才少女,也不是手握密钥的神秘黑客——我只是个会核对流水、比对合同、在凌晨三点反复听录音笔里那段含糊不清的语音,并把它逐字转录成证据链的普通人。
而我的故事,始于一个叫“速融通”的APP。
它曾出现在地铁广告屏上,是蓝白配色的极简界面,Slogan写着:“三秒授信,随借随还,信用即财富。”
当时我正挤在早高峰的二号线车厢里,手机弹出推送:“您有5万元预授信额度待激活”。我顺手划掉,没点开。
三个月后,我站在城西派出所调解室里,看着对面那个穿洗得发白牛仔外套的女孩,她叫陈小雨,二十二岁,刚从职校毕业,在奶茶店打工。她眼睛红肿,手指绞着衣角,指甲边缘泛着青白。
她说:“林老师,我真的没借过八万六……我连身份证复印件都没给过他们。”
我翻开卷宗第一页:借款人陈小雨,身份证号尾号XXXXXX,2023年11月7日通过“速融通”APP申请个人消费贷,授信额度86,000元,分36期,年化利率35.8%,签约电子合同编号SR--XXXXX。放款账户为陈小雨名下某农商行Ⅱ类账户(卡号尾号XXXX),资金于当日14:22到账,14:23即被全部转出至三个陌生个人账户,其中两笔合计79,200元,流向同一收款人——王振国,身份证号与我市某已注销的P2P平台法人高度重合。
可陈小雨坚称,自己从未下载过“速融通”,未进行人脸识别,未签署任何协议,甚至不知道自己名下那张农商行卡何时开通了网银功能。
我调取了她的手机云备份记录。2023年11月6日22:17,她手机曾短暂连接过一个名为“WiFi_888”的热点;11月7日13:59,其设备IP地址出现在城东“星悦公寓”B座302室——那是王振国登记的暂住地址。
而更微妙的是,在“速融通”后台风控日志中,该笔贷款的“活体检测通过时间”为11月7日14:01:03,误差±0.8秒;但陈小雨当天的微信运动步数显示,她13:45至14:10间步行约482步,全程位于距星悦公寓三公里外的“蜜语茶饮”门店——监控录像证实,她穿着浅灰围裙,正低头擦拭玻璃杯。
时间对不上。
人,不在场。
可电子签名、人脸比对、短信验证码、银行卡四要素验证……所有环节系统均标记为“通过”。
这不是漏洞。是设计好的通道。
我向处长提交了初步核查意见:“速融通”存在系统性伪造用户授权行为,涉嫌利用SDK嵌套、静默劫持、中间人代理等技术手段,绕过《个人信息保护法》第二十三条及《金融消费者权益保护实施办法》第二十八条关于明示同意与有效授权的核心要求。其所谓“智能风控”,实为“智能掩护”。
处长没立刻批复。他推了推眼镜,说:“晚晚,你知道‘速融通’的股东结构吗?”
我知道。
第一大股东是“恒信金科”,穿透后实控人为沈砚舟。
而沈砚舟,是我前男友。
分手那天,也是在稽查三处楼下。
那天下着冷雨,他撑一把黑伞站在我单位门口,西装袖口露出一截腕表,表盘是深海蓝珐琅,和他眼底的颜色一样沉。我没打伞,头发湿了半边,睫毛上挂着细小的水珠。他递来一份文件,封皮印着烫金logo——“恒信金科·合规共建倡议书”。
“晚晚,”他声音很轻,像怕惊扰什么,“我们想请监管局做第三方背书。不是走形式。是真想建一套经得起推敲的模型。”
我接过文件,指尖碰到他微凉的指节。三年同居,我熟悉他左手无名指内侧有一道浅疤,是研二时修电路板被烙铁烫的;知道他喝美式必加半份燕麦奶,不搅匀,等奶粒浮在表面再一口喝尽;更清楚他写代码时右眉会不自觉地跳动——那是他极度专注的信号。
可我也清楚,就在上个月,他主导上线的“速融通”V2.3版本,悄悄将“人脸识别活体检测”模块的置信阈值,从行业通行的0.92下调至0.76。
而0.76,意味着一张高清侧脸照+一段3秒眨眼视频,即可触发“认证通过”。
我翻到倡议书末页,签下名字。笔尖顿了顿,在“林晚”二字后,补了一行小字:“建议将活体检测置信阈值写入附件三《技术合规承诺书》第5.2条,并接受季度穿透式审计。”
他看着那行字,没说话,只把伞往我这边偏了偏。雨丝斜飞,打湿了他左肩。
三天后,我们和平分手。没有争吵,没有质问,只有一条微信:“晚晚,你守你的线,我探我的界。若哪天我越了,你第一个来抓我。”
我没回。
但我在稽查三处的工位抽屉最底层,留着一枚U盘。里面存着沈砚舟三年前给我看过的“恒信金科底层风控架构图”原始稿——用铅笔手绘在A4纸上,边角有咖啡渍,右下角写着:“给晚晚的初版,别笑太糙。”
那时他刚回国,带着MIT金融工程博士文凭和一腔理想主义,说要“用算法重建信任”。
而如今,“速融通”注册用户破千万,投诉量月均1.7万起,其中63%指向“非本人借贷”“暴力催收”“阴阳合同”。市监局转来的线索里,有老人被诱导刷脸贷出救命钱买保健品;有大学生被冒用身份贷出“培训贷”,还款日未至,征信已黑;还有像陈小雨这样的女孩,在完全不知情的情况下,背上八万六的债务,被催收电话打到奶茶店老板娘怀疑她偷钱。
我们立案了。代号“清渠”。
不是针对沈砚舟,是针对“速融通”APP金融信贷业务中系统性、链条化的违规行为。
关键词很明确:APP金融信贷、违规惩治、个人业务案件、修正治理。
而“言情”,从来不是粉饰太平的糖霜,而是让规则有了温度、让惩治有了刻度的那根隐线。
——它藏在沈砚舟深夜发来的加密邮件里,附件是“速融通”最新版OCR识别模块的源码注释,其中一行写着:“此处预留审计接口,密钥为晚晚生日+‘清渠’拼音首字母。”
——它藏在我第三次突击检查“速融通”数据中心时,机房角落那台旧式温湿度记录仪旁,多出的一小盆绿萝。茎秆粗壮,叶片油亮,花盆底部贴着张便签:“上次你说,办公室缺生机。它比人好养,不闹情绪。”
——它更藏在2024年3月15日凌晨两点十七分,我伏在稽查三处临时指挥中心的折叠床上睡着,梦见大学时和他在图书馆通宵改毕设。醒来时,发现笔记本电脑屏幕还亮着,文档停留在《关于APP金融信贷业务中生物信息滥用行为的定性分析(征求意见稿)》第七章。光标在最后一句闪烁:“……技术无原罪,但当效率成为唯一尺度,人性便成了可优化的冗余参数。”
而文档右下角,多出一行编辑记录:
“修改者:SYZ|时间:2024-03-1502:16:44|修改内容:将‘冗余参数’改为‘校准基点’。”
我盯着那行字看了很久。窗外,城市尚未苏醒,只有远处高架桥上偶有车灯划过,像一道缓慢移动的星轨。
我打开加密通讯软件,输入一串十六位字符——他的生日加“清渠”拼音首字母。
解密成功。
附件是一份PDF,标题为《速融通用户授权链路全节点自检报告(内部灰度版)》,生成时间:2024年3月14日23:59。
报告第12页,赫然列出七个高危接口的调用异常记录,时间戳全部集中在陈小雨案发当日——11月7日13:58至14:05。其中,ID为“SR-FACE-PROXY-07”的接口,被标记为“已确认存在静默代理劫持行为”,责任模块指向“恒信金科”全资子公司“智瞳科技”。
报告末尾,有一段手写体批注,字迹我认得,是沈砚舟惯用的瘦金体:
“晚晚:
这七处,我亲手关的。
但关不等于不存在。
它们曾存在过,被使用过,伤害过人。
所以,该查的查,该罚的罚,该退的退。
我等你来‘修正治理’。
——不是以沈砚舟的身份,是以‘速融通’实际控制人的身份。
P.S.绿萝浇透水,别晒太阳。”
我合上电脑。
窗外,天光正一寸寸漫过楼宇的棱线。
这不是爱情故事的终章。
这是治理的起点。
——
真正开始深入调查,是在拿到那份自检报告后的第三天。
我们兵分三路:一组赴省通信管理局调取“速融通”全量API调用日志;二组进驻市农商行,核查涉案账户资金流水与权限开通轨迹;我带队直扑“智瞳科技”办公区。
他们很配合。
前台姑娘笑容标准,递来瓶矿泉水:“林科长,沈总说您今天会来,空调温度调到了26度,绿萝也挪到您惯坐的位置旁边了。”
我点头致谢,没接水。
会议室里,投影已打开。画面是“智瞳科技”人脸识别SDK的技术白皮书首页,右下角印着一行小字:“本模块已通过国家金融科技产品认证中心安全认证(证书编号:JRCP-2023-XXXXX)。”
我问:“认证所依据的测试样本,是否包含非合作式攻击样本?比如,仅提供静态照片+合成眨眼视频?”
技术总监愣了一下,迅速翻出认证报告附录:“有……但测试标准采用的是GB/T-2020《信息安全技术基于生物特征识别的移动智能终端应用安全技术要求》中的‘基础级’。”
“基础级”,意味着允许在特定场景下降低活体检测强度。
我笑了:“那么,当‘速融通’将此SDK部署于纯信用贷场景,且放款金额超五万元时,是否仍适用‘基础级’?还是该执行‘增强级’,强制要求三维结构光或红外活体检测?”
他额头沁出细汗:“这个……需要法务确认。”
“不必麻烦法务。”我打开平板,调出《中国人民银行关于规范金融领域生物识别技术应用的通知》(银发〔2023〕142号)扫描件,翻到第三章第十条:“面向个人用户的信贷业务,单笔授信超过人民币三万元的,应采用增强级活体检测技术,确保生物特征采集过程具备不可替代性与不可复现性。”
我抬眼:“贵司SDK的‘基础级’认证,能否覆盖‘速融通’当前全部业务场景?”
他沉默。
十分钟后,我们带走了三台服务器硬盘、两份纸质运维日志,以及一份由沈砚舟亲笔签署的《情况说明》。
说明很短,只有两段:
“本人沈砚舟,系‘速融通’APP实际控制人。经查,2023年11月期间,‘智瞳科技’向‘速融通’提供的SDK版本(v3.2.1)存在配置缺陷,其活体检测模块在特定网络环境下可被绕过。该缺陷已于2023年12月1日通过热更新修复。
此前,本人授意技术团队对历史数据进行回溯筛查,共发现172笔疑似非本人操作贷款,涉及用户156人。相关名单、原始请求包、风控拦截日志,已加密上传至监管局指定FTP服务器,密钥为:WAN2024QINGQU。”
我站在“智瞳科技”落地窗前,俯瞰整座城市。阳光很好,照得玻璃幕墙一片刺目雪白。
手机震了一下。
是沈砚舟。
只有一句话:“晚晚,陈小雨的八万六,我私人垫付结清了。她名下征信已同步修复。凭证稍后发你。”
我没回。
但当晚,我去了趟城西派出所。
陈小雨还在那里。她换下了奶茶店围裙,穿着件淡蓝色毛衣,头发扎成干净的马尾。见我进来,她猛地站起来,椅子腿刮擦地面,发出刺耳声响。
“林科长!”她声音发颤,“我……我听说了!钱清了!我的征信……真的好了!”
我点点头,递给她一份《个人金融信息处理知情同意书》修订版。
“小雨,这份文件,以后所有正规金融机构都会让你签。它不是格式条款,是你对自己脸、指纹、声纹、位置信息的‘主权声明’。你看这里——”我指着第三条加粗部分,“‘本人明确知晓,人脸识别仅用于本次业务身份核验,不构成对其他业务、其他平台的概括授权。’”
她用力点头,眼圈又红了:“我懂了……以前他们让我点‘同意’,我就点,以为就是走个过场……”
“不是过场。”我轻轻说,“是边界。”
她忽然抬头,很认真地问我:“林科长,那个……沈总,他是不是坏人?”
我怔住。
窗外,一只白鸽掠过玻璃,翅膀扇动气流,发出细微的噗噗声。
我想起三年前,他带我去参观恒信金科的第一个实验室。墙上挂满专利证书,他指着其中一张,说:“晚晚,你看这个‘动态唇语校验算法’,能防录音回放攻击。但它现在成本太高,没法商用。”
我问他:“如果成本降不下来呢?”
他望着我,眼神很亮:“那就先不做。宁可慢一点,也不能把风险,转嫁给不会写代码的人。”
可后来,他做了。
为了跑通模式,为了资本期待的GMV,为了那张漂亮的融资路线图。
他没变坏。只是把“不能”换成了“暂时不能”,把“不”换成了“等等看”。
而“等等看”的间隙里,陈小雨们已经跌进了裂缝。
我蹲下来,平视她的眼睛:“小雨,他不是坏人。但他犯了错。很大的错。而修正它,不是靠一个人道歉,是靠一群人,把每一条规则钉进地里,让后来的人,再不敢轻易跨过去。”
她似懂非懂,却用力点头。
走出派出所时,夜风微凉。
我收到沈砚舟发来的凭证:一张电子回单,付款方为“沈砚舟”,收款方为“陈小雨”,金额:¥86,000.00,附言:“个人债务清偿,无息。”
我截图,存档,归入“清渠”案卷编号QH-2024-00172。
然后,我拨通了处长电话。
“张处,‘清渠’案核心证据链已闭环。建议今日启动行政处罚事先告知程序,对象为‘速融通’APP运营主体‘恒信智融(深圳)科技有限公司’,违法事实包括:一、违规采集、使用个人生物信息;二、未履行充分告知义务;三、放任合作方实施技术性欺诈;四、未建立有效的投诉响应与纠错机制……”
我语速平稳,公文用语精准,像一台设定好参数的机器。