做風控這么長時間，接觸了行業內形形色色的黑色產業鏈、違規違法案件，來自黑產、競爭對手的打擊對一個互聯網企業尤其是電商行業的副作用不言而喻，大家都苦不堪言。

所謂風控，無外乎就是在一大堆看似正常的用戶中將一小撮不正常的用戶提出來，這當中就會有“求真取偽”的問題。風控包含的范圍太廣了，很幸運的做過電商行業基本所有的風控場景。這里想談談支付風控的那些事兒，畢竟這是一件痛苦并快樂的事情。

一個背鍋俠的序言

做支付風控的人是世間最單純的，恩，因為我們的對手每天撈到的收入說不定比我們一個月的工資還多，道魔互博，熟悉黑產鏈的我們面對著誘惑依然拿著微薄的收入。做支付風控的人也是最苦逼的，因為，我們是最好的背鍋俠：老板要看止損收益，可是騙子遲遲不來；騙子突然來了一大波，然后又有規則被繞過了~~excuse me，求我們的心理陰影面積

雖然我們心驚膽戰的面對著每一天的支付風控運營報告，但是作為維護互聯網電商生態安全的俠客（背鍋），我們站在用戶感知不到的層面保護每一筆交易支付的安全，內心的成就感滿滿。

來自一個背鍋俠的內心OS：

這是個最壞的時代，也是個最好的時代

隨著電商規模的不斷發展，電商平臺的GMV也呈現爆發式的增長。但是與之而來的是，日益猖獗的偽卡、盜卡交易在電商平臺大肆橫行。對于這種非面對面的高并發量的線上行為，產生損失的金額與概率遠遠會比線下交易高很多。雖然支付寶等第三方支付渠道采用了包賠的解決方案，但是其產生的高額交易手續費增加了平臺的運營費用，一個天秤座的電商平臺表示自己很糾結。對于一個風控零門檻的電商平臺來說，每天幾十萬的資損都異常輕松。

面對著這么壞的一個時代，一些好的現象也在發生。如一直被詬病的手機號碼問題國家工信部正在推進解決，雖然這個進度也被人詬??；行業內外的數據共通機制也在由點及面的形成；越來越精細的設備指紋服務對于靠刷機、模擬器等作案的團伙是一個打擊；芯片卡的推行、偽基站的打擊、媒體的廣泛傳播，讓盜號團伙愈發困難……一切都開始變得那么有情調~

有一天，我突然在想：會不會有一天我就那么失業了？

但是，我使勁的掐了掐大腿，提醒自己別做夢了。就目前互聯網上的數據泄露情況與個人敏感信息的保存門檻之低，我們還是有存在的意義的。

所以，我要繼續開始做風控系統了~~

支付風控三要素：數據、規則和人

面對如此嚴峻的盜刷態勢，市面上的第三方風控公司雨后春筍般起來，一般的模式有兩種：云模式或者本地部署。當然也有很多公司選擇自建風控系統，當然二者的優劣不言而喻，前者建設周期短、項目成功率高，但是系統昂貴，就我接觸的系統x盾、x盛、x安來看，也更容易與公司的業務產生水土不服的情況，迭代更新協調的成本反而會更高。所以在公司有專門做風控的產品或者技術的前提下，選擇自建的效果遠遠會比購買要好，七位數的系統購買費用夠養活一個團隊我們這些單純的背鍋俠了，我們很容易養活的~

但是無論是外部購買系統還是內部自建系統，做支付風控的三要素無外乎是數據、規則和人

風控系統：寶寶餓了，快給我喂數據

數據自不用言明。數據的使用也是采購外部風控系統最大的痛點之一：如果是云模式，電商平臺需要擔心敏感信息外露的情況，如銀行卡號、身份證號；如果是本地部署，對于這些標準化的系統產品而言，他們的數據接收方式也許不能適應公司自身的數據結構，這其中的改造成本也是非常巨大的。當然這些問題也是我所遇到過的

對于支付風控而言，需要喂給風控系統的數據包括該筆實時交易數據以及歷史數據，當然對于歷史數據的采集，為了保證系統實時性，一般都需要根據規則采用預處理的模式。

對于數據的種類、來源、存儲等，各大電商平臺因為自身業務特點可能大相徑庭，但是不管采集過程如何，在支付風控系統內部，規則引擎至少要包括如下種類的數據。涉及保密，具體字段暫不詳表

對于特定的支付業務場景，比如話費充值等，還有專門特定的數據需求，此處暫不贅述

喂了數據之后我要消化呀——規則

不言而喻，往風控系統輸入大規模的數據之后，系統需要對這些數據做一個反饋，是欺詐或者高?；蛘哒?，對外界而言，風控系統只是一個黑盒，而在這個風控系統內部，是非常復雜的規則邏輯。這里的規則專門用來消化數據使用的。

支付將支付環節的數據推送到風控系統，與此同時，系統內部抓取該用戶、該訂單、該銀行卡、該手機號等維度下的所有信息，跑大批的風控規則，進而輸出結果，這樣的邏輯很簡單，但是真正在運營過程中才會發現一套規則體系的不易。

規則是在道魔相抗衡的過程中逐漸形成的，這也就是說每一條規則都是血淋淋的欺詐案例積累出來的。而一套規則體系的誕生往往伴隨的是規則有效性的評估，這里也是需要長期的經驗積累的。比如一條新增規則是否能夠在盡可能少的誤殺情況下抓住最多的案例，這是一個策略制定者最頭疼的問題。

一般來說，規則策略的制定無外乎包括以下幾類規則：

而一條規則的組成需要上述幾大類規則之間的組合，基于我們歷史發生的欺詐案件，提煉出非常明顯的欺詐特征，這樣才能組合成一條較為有效的規則。

規則的邊際有效性遞減

當然，這里的較為有效只是相對的，規則的總體有效率說出來可能會讓大家震驚。因為隨著欺詐水平的越來越高，欺詐團伙也開始通過諸多手段途徑嘗試繞過電商平臺的風控引擎，因此這些欺詐行為也越來越跟正常人的行為一樣。我們想在如海一般的數據里撈出我們需要的數據并且根據蛛絲馬跡來找尋可疑訂單是非常不易的，這也是為什么風控做到最后規則有效性會越來越低的原因，經濟學上對這種現象有一種較為合理的解釋，邊際有效性遞減：即隨著風控系統的不斷深入，想多抓住一條新的欺詐訂單就需要抓住更多的正常訂單才可以。

一套規則體系行之有效的規則準確率可能只有個位數的百分點。以發展多年的美國銀行的信用卡反欺詐規則體系為例，其規則的有效性人工核查之后不到三十分之一，而一般來說，甚至有的規則有效性會更低，但是這樣的規則還是要放在規則體系內的，因為這條規則以前發生過未攔截到的欺詐案例。

對于這種有效性不斷遞減的反欺詐規則，僅僅依靠系統直接拒絕已然不能滿足繁復的業務需求，因為正常訂單被誤判后的客戶體驗太差了，因此為了解決這種問題，交易中的人工監控需要被引進來，即人工來判斷該筆訂單是否有欺詐，如果有則拒絕支付，如果沒有則支付成功。這里需要根據事前支付與事后支付的特點，及公司的業務特征，來構建合理的系統交互流程，以及更重要的人工運營流程。

進一步的，在支付中如果想降低運營負擔，提升客戶支付體驗的話，那么在客人跳轉收銀臺的時候如果能夠提前預知風險，那么在收銀臺渲染的過程中則將高危渠道關閉，那么這不失為一個好的選擇，目前業內已經有多家公司有這樣的措施，如攜程、蘇寧易購等。當然還有一些其他的優化措施，這些優化的方向需要再開一篇描述更詳細的文檔、輔助以流程圖說明等。

刀劍出鞘，俠客所指——人

如果簡單點說把數據+規則+計算引擎=風控系統的話，其實這也僅僅是一把武器而已，但是這對于一個公司的互聯網風控體系而言則遠遠不夠，體系=體制+系統，那么能把這把刀劍用好的最大的因素來源于人，來源于風控人員及更多交互部門運營人員的配合機制。

其實對于運營機制，很多互聯網企業對此并不是特別在意，尤其是沒有配備風控專業崗位人員的公司，認為只要購買了一套成熟的系統之后則一勞永逸，但是事實上，缺了人和體制的作用，那么這把刀劍也是一把未開鋒的劍。

具體而言，在一個公司的風控體系中，需要涉及到的“人”主要包括以下：

打刀劍的“打鐵匠”們

所謂打鐵匠，則不言而喻，指的就是風控系統的產品和開發團隊，他們是打造整個風控系統最為核心的環節，將業務的需求轉化為系統的實現過程。對于支付的欺詐案件，需要作出的防范規則是多樣性的，這需要鐵匠們能夠實現各種各樣的規則。需要以開發的語言準確表達風控運營對于欺詐案件的描述，這是一個需要經驗積累的過程。

用刀劍的“俠客”們

整個支付風控系統最不可或缺的就是風控的運營們，利用風控系統能夠準確識別盜刷欺詐案件；根據盜刷欺詐案件不斷反哺規則體系和系統功能迭代；當然，在系統之外，還有更多運營層面的東西，如對支付的渠道的CB問題、公司內部的交互體系，這些都是整個風控體系的核心。

俠客們的酒肉朋友

風控的運營想要發揮作用，光光依靠自身的力量是不足的，所以他們還有屬于他們的酒肉朋友。在公司外部，有諸多的同行，及時分享新型支付欺詐案件特征，共享欺詐案件數據，學習欺詐案件的防控心得，這些都需要這些酒肉朋友的支撐；對內，財務、業務部門、客服部門、市場地推人員都是支付風控的小伙伴們，沒有他們的支撐很難做到及時的止損，風控的作用就難以發揮出來。

總結

如以上分析，想要做好支付風控，以上三要素不可或缺。當然，在這過程中，還有諸多細枝末節的東西需要去把控，如對欺詐案件敏銳的嗅覺、支付欺詐案件清晰的追溯邏輯等等，這些都是需要真正做過風控的人才能夠有經驗去掌控的。所以也許外行人看起來很簡單，但是其實在這每個模塊的跟進中，想要去不斷完善只能去不斷的做好迭代，運營在這其中的作用不可或缺。風控一定是以業務為導向的，運營體系的擴充與完善需要很大的篇幅去描述，而決定風控發展方向的一定是一個懂業務的產品經理或者技術經理。

總之，支付風控對于電商企業而言是整個風控體系中最重要的一環，做好支付風控對于其他環節的風控手段總是大有裨益的，因為支付風控的運營體系、規則體系在整個風控環節中都是最困難的，做好支付風控再去做反作弊、反惡意等其他模塊都會非常容易。

一只一只在做風控的背鍋俠，恨并愛著這個行業~

作者：獨孤qiu敗，微信公眾號：互聯網風控那些事兒（anti_fraud_share），互聯網行業風控產品經理，互聯網風控系統設計和策略制定經驗

本文由 @獨孤qiu敗 原創發布于人人都是產品經理。未經許可，禁止轉載。