文|杨春白雪 信通院互联网法律研究中心研究员
《反电信网络诈骗法》是推进中国特色社会主义法治体系建设的重大时代课题,在制度设计层面参考了世界主要国家和地区的先进经验。为预防和治理电信网络诈骗,外国电信法及相关立法中设置了一系列专门条款,其中以美国、欧盟、韩国的规定相对完善和详细。近年来,国外在电信网络诈骗治理方面的立法重点主要集中在四大领域。
一是电信业务办理实名制和用户真实身份核验要求,确保主叫身份真实性。美国《1934年通信法》(1992年修订本)对用户实名制提出两方面要求。一是提供语音服务(包括VOIP)的电信运营商应当使用STIR/shaked认证框架或其他认证体系进行用户身份验证,电信运营商因未通过身份认证而拦截通话等行为可以部分或全部免责;二是FCC应当对号码资源的用户身份进行检查。韩国《电信事业法》对用户身份核验进行了规定。办理电信业务时,电信经营企业可以要求用户提供使用人的真实信息;监管部门应当构建身份核验系统,并可通过行政信息共享机制要求其他行政部门进行用户身份核验;电信业务运营企业还负有业务办理、变更等短信提醒义务。日本《移动话音通信业者确认用户身份及防止移动话音通信服务不当利用法》中规定了实名制身份验证。移动语音通信服务运营商应当要求用户提供身份信息,对身份真实性进行验证,并保存身份验证记录;未按照规定进行真实身份验证的,移动语音通信服务运营商可拒绝提供服务。与此同时,为确保用户的真实身份,一些国家还对电信号码资源、电信设备的转让进行规范。如韩国禁止私下交易电信号码,监管部门可要求对私下交易的电话号码采取服务隔离或信息显示限制;日本规定转让终端设备应当取得移动语音通信运营商同意或进行受让人身份验证。
二是完善金融账户监管和反洗钱制度建设,针对薄弱环节加强综合治理。美国1970年颁布《银行保密法》(也称《货币和外国交易报告法》),通过要求银行等金融机构提交报告和保存记录的方式来识别用户犯罪、恐怖主义、偷税漏税等非法活动的资金,为执法部门提供审计线索;在反洗钱制度方面,美国先后通过《银行保密法》《爱国者法》,以及《1986年洗钱控制法》《1992年Annunzio-Wylie反洗钱法》《1994年反洗钱法》《1998年反洗钱和金融犯罪策略法》《2004年情报改革和防恐法》《2017年打击洗钱、恐怖主义融资和造假法》等一系列法律规范,保障反洗钱工作有效开展。欧盟也高度重视反洗钱工作,先后发布了五个反洗钱指令,并通过刑事立法加大对洗钱犯罪的惩处力度。1991年,欧盟理事会制定并发布了第一个反洗钱指令,即《关于防止利用金融系统进行洗钱活动的指令》,明确了洗钱罪的上游犯罪和指令的适用范围;2001年反洗钱二号指令将洗钱罪的上游犯罪从毒品犯罪扩大到所有严重犯罪,同时拓展了履行反洗钱义务的机构适用范围;2005年反洗钱三号指令对适用机构应履行的客户尽职调查义务进行了更为详尽的规定;2015年反洗钱四号指令进一步明确了法律适用和执行细节;2018年反洗钱五号指令强化了对高风险国家的尽职调查义务,丰富了执法工具。英国于1993年制定《反洗钱条例》,并根据欧盟反洗钱的立法进展进行了多轮修改。2002年英国颁布《犯罪收益法》,融刑事、民事、行政、财税、破产等不同性质的法律规范于一身,具有较强的综合性。澳大利亚通过《金融交易报告法》,建立了金融交易信息报告体系和制度。澳大利亚仿照美国建立了金融交易信息报告制度体系,并于1988年制定《金融交易报告法》,明确了交易报告的种类、程序、法律责任、与账户有关的规定、报告信息的保密、金融情报机构的职责、对案件的调查等内容。俄罗斯通过2001年《俄罗斯联邦刑法典》修正案和2004年《反洗钱和恐怖融资法》规制反洗钱活动。日本政府严格按照国际“反洗钱金融行动特别工作组”(FATF)的规定进行立法并遵照执行,严厉打击恐怖主义融资、黑社会等地下钱庄,制定了完善的反洗钱法律法规,重点打击证券地下融资。韩国的反洗钱法律制度由两个主要部分构成,一是以洗钱犯罪的犯罪构成为出发点的《犯罪所得法》,二是以防止利用金融系统、金融交易进行洗钱为出发点的《金融交易报告法》。
三是逐渐重视互联网和网络平台治理,拓展政企合作加强技术防范。在实名制方面,基于公民言论自由等基本权利的考量,鲜有国家旗帜鲜明地推行互联网实名制。以韩国为代表的政府推动模式和以美国为代表的企业推动模式,是全球立法及实践中推行互联网实名制的典型代表。韩国的网络实名制与社会民意联系紧密,经历了兴起、顶峰到低潮三个阶段,并于2012年以裁定违反宪法告终。美国尚无制度层面的网络实名要求,但作为大型国际性互联网企业的集中地,众多互联网巨头通过用户协议等方式推行各自平台上的网络账号实名制政策。在使用管理方面,欧盟对于互联网平台的监管义务经历了由轻到重的转变。起初期待各互联网企业通过行为自律的方式治理各自平台上的违法犯罪内容,但收 效甚微;立法机构从2018年起逐渐摒弃原有的 “轻触式监管”思路,为互联网企业施加强制性义务,引起了广泛争议。2020年,欧盟颁布《数字服务法》和《数字市场法》,从网络内容治理和互联网经济秩序维持两个基本点出发,全面加强互联网和网络平台治理,将欧洲数字发展失衡问题根源直指大型互联网平台等“守门人”,着力规范互联网平台对在线内容强化监管的守门人义务。2021年,欧洲议会正式通过《在线恐怖主义内容法》,就互联网恐怖主义内容规制问题向互联网平台提出监管要求。与欧洲逐渐意识到言论自由应有边界不同,美国仍坚持较为绝对的言论自由主义,倾向于放松互联网用户管理,围绕《电信法》第230条的讨论是互联网平台管理责任的核心。该条规定概括性地免除了互联网平台对用户信息内容应承担的责任,包括刑事、知识产权、通信隐私以及其他法律的违规风险。但随着互联网平台算法的兴起,近年来主张废除第230条,让互联网平台承担更多责任的呼声愈渐高涨。
四是强化企业责任和风险管理,压实企业主体在电信网络诈骗治理方面的义务。总体来看,各国都在逐渐强调电信运营商、互联网服务提供者、金融机构等在打击电信网络诈骗犯罪方面的义务,主要领域包括个人信息保护、公平合理收费、诈骗通信拦截、执法调查协助、网络内容管理、关闭冻结账户等。在个人信息保护方面,欧盟GDPR明确了组织机构在个人数据保护方面的义务,涉及用户主体权利、违规通知义务、影响评估机制等。德国于2021年5月通过了《电信和电信媒体数据隐私保护法》(TTDSG),对TMG和TKG的数据保护条款加以整合并纳入新法,确保了法律的清晰性和适用性。TTDSG明确了大范围的监管对象,首次将OTT服务明确纳入监管范围,还规定对“个人信息管理系统”(PIMS)的具体要求。在协助执法调查方面,美国1994年通过的《通信执法协助法》确立的机制可以用于管控电信诈骗,执法机构可以要求电信运营商提供关于诈骗电话的相关信息。欧盟《电信通信规则》(EECC)明确了服务提供商在有正当理由时及时终止通信和数字服务的相关要求。英国2016年通过《调查权利法案》对众多服务提供商提出了要求,包括任何“提供沟通功能的电信运营商”,仅排除了只提供与银行、保险、投资或其他金融服务有关的公共电信服务商的拦截义务。在网络内容管理方面,美国因《电信法》第230条“网络中立”原则受到制约,其他国家的管理要求都相对严格。2018年3月,欧盟委员会先前《关于处理网上非法内容的沟通》为基础,发布了《关于有效打击网上非法内容措施的建议》,将对通信内容的政治要求转化为法律,明确了网络平台的相关责任。
总体而言,全球主要国家和地区普遍通过立法、行政监管等方式构建起了覆盖事前、事中、事后环节的电信网络诈骗治理体系,为我国通过《反电信网络诈骗法》构建完善电信网络诈骗规则体系提供了重要参考。
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。