近年来,电信网络诈骗犯罪案件呈现高发趋势,案件高发背后,公民个人信息的泄露是网络犯罪链条中的关键环节。根据中国司法大数据研究院于2022年8月1日发布的《涉信息网络犯罪特点和趋势(2017.01-2021.12)司法大数据专题报告》,6.32%的网络诈骗案件是获取公民个人信息后有针对性地实施诈骗犯罪。此外,根据中国信通院于2020年12月15日发布的《新形势下电信网络诈骗治理研究报告(2020年)》,超过7成的电信网络诈骗与个人信息泄漏或被窃取有关,且该比例呈现持续提升趋势。可见,公民个人信息的保护对于防范网络诈骗具有重要作用。
2022年9月2日,《中华人民共和国反电信网络诈骗法》(以下简称“《反电信网络诈骗法》”)经审议通过,并将于2022年12月1日起正式实施。《反电信网络诈骗法》从反电信网络诈骗的“小切口”出发,衔接《个人信息保护法》等的规则,对源头的个人信息保护问题进行规范,起到防范网络诈骗的目的。
01 强化身份核验要求,为履行法定义务处理个人信息提供依据
实践中,电信诈骗活动往往伴随着个人身份的冒用,因此加强个人身份核验是防范电信诈骗活动的关键环节。《反电信网络诈骗法》在电信治理、金融治理、互联网治理等方面均提出真实身份登记的要求:
1)在电信治理上,要求电信业务经营者落实电话用户真实身份信息登记制度,基础电信企业和移动通信转售企业还应当承担对代理商落实电话用户实名制管理责任,电信业务经营者需要严格登记物联网卡用户身份信息等;
2)在金融治理上,要求银行业金融机构及非银行支付机构建立客户尽职调查制度,依法识别受益所有人;市场主体登记机关应当依法对企业实名登记履行身份信息核验职责等;
3)在互联网治理上,要求电信业务经营者、互联网服务提供者履行网络实名制的义务等。
具体到网络实名制,《网络安全法》规定了需要实施网络实名制的业务范围,包括但不限于网络接入、域名注册服务,办理固定电话、移动电话等入网手续或者为用户提供信息发布、即时通讯等服务。《反电信网络诈骗法》在《网络安全法》规定的基础上,进一步细化需要实施网络实名制的业务活动范围,将与网络直播等相关的规范性文件¹的要求上升为法律的要求。具体如下:
《反电信网络诈骗法》 | 《网络安全法》 |
互联网接入服务 | 网络接入 |
网络代理等网络地址转换服务 | / |
互联网域名注册、服务器托管、空间租用、云服务、内容分发服务 | 域名注册服务 |
信息、软件发布服务,或者提供即时通讯、网络交易、网络游戏、网络直播发布、广告推广服务 | 信息发布、即时通讯等服务 |
电话 | 固定电话、移动电话等入网手续 |
由于《反电信网络诈骗法》明确规定用户提供真实身份的要求,根据《个人信息保护法》第十三条规定,该等场景下履行网络实名制的义务主体可以基于履行法定义务所必需处理个人信息,而无需再取得个人的同意。不过,即使豁免同意义务,电信业务经营者、互联网服务提供者仍需履行《个人信息保护法》项下的告知义务,在处理个人信息前,应以显著的方式、清晰易懂的语言、准确、完整地向个人告知个人信息处理的事项。
¹例如,《关于加强网络直播服务管理工作的通知》提出各网络直播服务提供者应按照要求落实用户实名制度等。
02 将“出售、提供个人信息”的源头问题纳入规制范围
个人信息泄露是很多电信诈骗活动的实施前提以及关键环节,因此《反电信网络诈骗法》将“出售、提供个人信息”规定为支持和帮助实施电信网络诈骗活动的行为方式之一,明确了电信网络诈骗场景下“出售、提供个人信息”的违法性。
由于“出售或者提供个人信息”本身属于高风险的数据处理场景,如果未按照《个人信息保护法》《刑法》的要求进行处理,也面临违反上述法律的风险。根据《个人信息保护法》,对外提供个人信息应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;根据《刑法》第二百五十三条之一第一款²,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,存在被认定构成侵犯公民个人信息罪的法律风险。因此,《反电信网络诈骗法》也提出“一案双查”要求,公安机关办理电信网络诈骗案件,应当同时查证犯罪所利用的个人信息来源,依法追究相关人员和单位责任。
综上,可以看出,《反电信网络诈骗法》进一步完善反电信网络诈骗领域在出售或提供个人信息保护的要求。对于“出售、提供个人信息”行为本身,也将同时受到《个人信息保护法》《刑法》等法律法规的规制。
²《刑法》第二百五十三条之一第一款,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
03 要求个人信息处理者建立防范机制
《反电信网络诈骗法》第二十九条第一款规定,个人信息处理者应当依照《中华人民共和国个人信息保护法》等法律规定,规范个人信息处理,加强个人信息保护,建立个人信息被用于电信网络诈骗的防范机制。该条对个人信息处理者施加了一项建立防范机制的义务。
《个人信息保护法》已对个人信息处理者施加了各类义务,包括(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案等。《反电信网络诈骗法》在此基础上又为个人信息处理者增加了建立个人信息被用于电信网络诈骗的防范机制的义务。
由于《反电信网络诈骗法》尚未正式生效,对于防范机制的内容、具体要求等尚未有明确的配套机制。我们认为,该等防范机制的目的是避免个人信息处理者收集到的信息被用于电信诈骗,因此该机制的内容可以包括:(1)数据安全保障机制,避免未经授权的访问或数据泄露,避免用户信息流出后被电信网络诈骗利用;(2)用户身份鉴别机制,相关义务主体建立履行网络实名制或者其他身份验证的内部管理机制;(3)个人信息溯源保护机制,通过建立该等机制有利于及时发现风险,打击相关犯罪行为。
04 对可能被电信网络诈骗利用信息实施重点保护
《反电信网络诈骗法》第二十九条第二款规定,履行个人信息保护职责的部门、单位对可能被电信网络诈骗利用的物流信息、交易信息、贷款信息、医疗信息、婚介信息等实施重点保护。
上述列举的物流信息、交易信息、贷款信息、医疗信息、婚介信息都与人身、财产关联较大,是个人信息中最容易被违法犯罪活动所利用的信息,因此需要对此类信息进行重点监管和保护。
《个人信息保护法》也对敏感个人信息进行重点保护,敏感个人信息是一旦泄露或者非法利用,容易导致自然人的人格尊严受到侵害,或者人身、财产安全受到危害的个人信息。
《反电信网络诈骗法》中“重点保护”的信息范围与敏感个人信息有重合的部分。例如,金融账户信息、医疗健康信息、物流信息中的收件人地址信等都属于敏感个人信息。由此可以看出,《个人信息保护法》侧重于从个人信息处理者角度加强对敏感个人信息的保护,而《反电信网络诈骗法》进一步完善履行个人信息保护职责的部门、单位方面的保护要求。
05 结语
《反电信网络诈骗法》从“反电信网络诈骗”的切口入手,对源头的个人信息保护问题进行规范,起到防范网络诈骗的目的。《反电信网络诈骗法》也与《个人信息保护法》等相关立法相衔接,从“小切口”出发对个人信息进行专门保护。我们相信,未来立法可能还会有从具体领域入手的专门数据合规要求,企业除满足基本数据合规立法的要求外,也应满足相关专门立法的数据合规要求。
(本文作者:世辉律师事务所 王新锐 王嘉瑛)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。