作者:周杨 梁天翔

一、立法背景

2022年9月2日,十三届全国人大常委会第三十六次会议表决通过了《中华人民共和国反电信网络诈骗法》,自2022年12月1日起施行。

回顾立法进程,《反电信网络诈骗法》历经三次审稿,从最初39条,到二审稿46条,到正式稿50条,已围绕综合治理、源头治理和全链条治理重点,形成了以多部门各司其职并协同打击治理电信网络诈骗活动为目的的相对完善全面的一部专门法律。

● 2021年10月19日,《中华人民共和国反电信网络诈骗法(草案)》提请十三届全国人大常委会初次审议。初审稿明确了反电诈工作的基本原则,完善了各主体相关基础合规管理制度,构建了初步的法律责任体系

● 2022年6月21日,《中华人民共和国反电信网络诈骗法(草案二审稿)》提请十三届全国人大常委会第三十五次会议二次审议。草案二审稿在进一步总结反诈工作经验基础上,着力加强预防性法律制度构建,强化压实各方面的主体责任和社会责任,并增加保密管理和隐私保护等板块

● 2022年8月30日,《中华人民共和国反电信网络诈骗法(草案三审议稿)》提请十三届全国人大常委会第三十六次会议审议,草案三审稿对有关方面提出的“加大对电信网络诈骗违法犯罪人员的惩戒力度”“充实完善宣传教育防范方面的规定”“加强宣传教育和相关信息共享”等意见建议作出回应。

从草案到正式稿出台,用时不到一年,这一立法速度体现了主管部门打击电信网络诈骗行动的坚决急迫态度。全国人大常委会法工委刑法室主任王爱立在答记者问时表示,《反电信网络诈骗法》在立法技术上是“小快灵”,体现“小切口”,对关键环节、主要制度作出规定,建起四梁八柱,条文数量不求太多,立法进程快,体现急用先行,将进一步丰富全国人大常委会的立法形式。

二、主要内容

(一)治理对象

《反电信网络诈骗法》第二条规定:“本法所称电信网络诈骗,是指以非法占有为目的,利用电信网络技术手段,通过远程、非接触等方式,诈骗公私财物的行为”。

该法第三条规定了打击范围,即以下三种情形:

境内诈骗行为;

中国公民在境外实施的诈骗行为;

境外针对境内实施诈骗的行为:境外的组织、个人针对中华人民共和国境内实施电信网络诈骗活动的,或者为他人针对境内实施电信网络诈骗活动提供产品、服务等帮助的,依照本法有关规定处理和追究责任。

(二)治理主体

明确电信、金融、网络机构为反诈主体。本部法律不仅涉及国务院公安部门、金融管理部门、电信主管部门和国家网信部门等,也涉及公安机关、人民检察院、人民法院等单位,更涉及电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者。共同反诈要求上述部门和单位应从各自职能出发,在统筹协调、建立工作机制、风险防控等方面密切协作,实现跨行业、跨地域协同配合、快速联动,加强专业队伍建设,有效打击治理电信网络诈骗活动。

(三)合规要求

《反电信网络诈骗法》共七章50条,包括总则、电信治理、金融治理、互联网治理、综合措施、法律责任、附则等。该法针对电信网络诈骗的各环节进行了针对性制度设计,特别是要求电信企业、银行、支付机构、互联网企业等在反诈工作中要承担风险防控责任,建立内部控制制度和安全责任制度。例如,银行要履行反洗钱、反诈职责,建立尽职调查制度,对涉诈异常银行卡、可疑交易等进行监测处置;电信企业要对涉诈异常电话卡、改号电话、GOIP(虚拟拨号设备)等非法设备等进行监测处置;互联网企业要对涉诈互联网账号、App、网络黑灰产进行监测处置,要按照国家规定,履行合理注意义务,防范其相关业务被用于实施电信网络诈骗等等。

此外,该法区分主体进行了细致的合规义务规定,整体体现为“3+1”格局(电信/金融/互联网+综合治理),如下表所示(本法为违反加粗标红部分的行为规定了严格的法律责任):

(四)法律责任

《反电信网络诈骗法》在第六章“法律责任”部分就行政处罚作出专门规定,并进一步明确承担民事责任和纳入信用记录。该法对从事电信网络诈骗违法犯罪人员和关联犯罪的人员从严惩处,并对未能履行风险防控责任和合规义务的电信业务经营者、互联网服务提供者等主体规定了严格的行政处罚,设置了企业罚款最高五百万,以及直接负责的主管人员和其他直接责任人最高罚款二十万元的处罚基准。综合整部法规而言,相关的处罚措施还包括:

● 在刑法规定刑事责任的基础上,对尚不构成犯罪的,规定了专门的行政处罚,没收违法所得、罚款和十五日以下拘留

● 对从事电信网络诈骗犯罪和关联犯罪的人员,可以按照国家有关规定记入信用记录,并规定了有关惩戒措施;

● 从事电信网络诈骗违法犯罪人员,除依法承担刑事责任、行政责任以外,造成他人损害的,还要依法承担民事责任

限制出境措施。对前往电信网络诈骗活动严重地区且出境活动存在重大涉诈活动嫌疑的,以及从事电信网络诈骗活动受过刑事处罚的人员,可以限制出境;

● 对从事各类涉诈黑灰产活动进行处罚;

企业违法行为需承担的行政责任包括:责令改正、警告、通报批评、罚款、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照、关闭网站或者应用程序。

三、 个人信息保护要点理解

除开法条文义本身,《反电信网络诈骗法》也对其出台前的个人信息保护的现有规定整合了新的规则和适用挑战,我们试讨论如下:

监管主导建设风险信息共享工作机制:《反电信网络诈骗法》明确国务院电信主管部门将组织建立电话用户开卡数量核验机制和风险信息共享机制,对异常办卡情形进行识别核验。该条内容与第十六条金融治理方面建立跨机构开户数量核验机制风险信息共享机制极为类似。在此之前,风险信息共享一直是机构间的核心诉求,《反电信网络诈骗法》建立了法定的个人信息对外提供场景,企业可以按照有关规定向工信部/人行银保监会清算机构提供开卡/开户情况和有关风险信息,解决企业本身的风险信息共享诉求

新增个人信息收集的合法理由:第十八条明确“银行业金融机构、非银行支付机构开展异常账户和可疑交易监测时,可以收集异常客户互联网协议地址、网卡地址、支付受理终端信息等必要的交易信息、设备位置信息”。需要注意的是,此前公布并于2022年11月1日实施的《信息安全技术移动互联网应用程序(APP)收集个人信息基本要求》中明确规定“APP不应收集不可变更的唯一设备识别码”,而网卡地址(不可变更MAC地址)显然属于此列。虽然存在合规要求的冲突,但鉴于《反电信网络诈骗法》作为法律的更高效力,企业仍可以出于反诈监测的目的收集该类信息。此外,企业还应注意,未经客户授权,不得将上述信息用于反电信网络诈骗以外的其他用途

部分个人信息类别可能受到加集安全保护:要求履行个人信息保护职责的部门、单位对可能被电信网络诈骗利用的物流信息、交易信息、贷款信息、医疗信息、婚介信息等实施重点保护。此前国家邮政局、公安部、国家网信办三部门已实施了为期半年的邮政快递领域个人信息安全治理专项行动,而海南省也于今年3月开展 “婚恋相亲类”移动应用程序违法违规收集使用个人信息专项治理工作。我们认为,随着《反电信网络诈骗法》的宣传和落地,上述五类个人信息安全的专项治理将成为近期监管重点领域

个人信息来源合法性需加强合规管控:第二十九条规定,公安机关办理电信网络诈骗案件时应当同时查证犯罪所利用的个人信息来源。若涉诈活动所使用的个人信息来源不合法,则上游信息供应方明知他人利用信息网络实施诈骗,为其犯罪行为提供非法获取的个人信息的,同时涉及帮助信息网络犯罪活动罪和侵害公民个人信息罪;而涉诈犯罪人员使用非法获取的公民个人信息实施电信网络诈骗犯罪,依据《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》,依法数罪并罚

四、针对银行业金融机构的合规建议

因为电信网络诈骗的资金离不开银行账户,银行作为“金融守门人”防范利用金融系统非法转移资金是反电信网络诈骗工作的重要环节,就此《反电信网络诈骗法》针对银行业金融机构提出了一系列合规要求。为落实风险防控责任避免法律风险,银行业企业需要做到:

1.及时完善相应的内部风险控制措施,及时与监管部门沟通、跟进完善风控系统,确定风险控制等级和对应措施。同时,强化网点业务对客户身份核实、尽职调查的主体责任,严格落实监管要求;

2.新业务涉诈风险安全评估:该项评估应落实在业务上线前的审核流程中,新业务实施必须要前置涉诈风险安全评估,未通过风险评估的新业务不得实施。

3.开展异常账户和可疑交易监测时,可以收集异常客户互联网协议地址、网卡地址、支付受理终端信息等必要的交易信息、设备位置信息,但不得将上述信息用于其他目的,同时应做好充分的安全保障措施;

4.完善对金融消费者、企业的开卡流程,在开卡全流程中向客户明示相关风险,明确监管与法律要求,在申领协议、银行卡使用合同条款拟定过程中以违约条款、风险告知书或承诺书的形式(如对于涉诈账户,银行有权采取相应的管控措施,由此造成的损失由行为人自行承担),增加相应的反诈风控措施作为合同违约方需要承担的民事责任,厘清持卡人的法定责任和义务,尽可能避免因采取风险措施而引发的投诉或争议;

5.加强反诈宣传,并结合人民银行相关指导意见,减少客户非必要开卡需要,以服务便民为基本原则,提供合理的解决方案。对于不合理的开卡需求,如未能满足身份核验的要求,应当拒绝开户;

6.由于本法明确了银行金融机构未履行风险监测和相关处置义务的行政责任,因此商业银行应对监测识别、风控措施的执行证据留痕和保存。同时,商业银行也需要针对具体情况及时与公安机关、监管部门进行沟通、汇报,并按照规定准确传输有关交易等信息;

7.在运营线上渠道产品、提供网络银行服务时,应当高度重视其作为互联网服务提供者时可能存在的相关的风险,以及应当承担的《反电信网络诈骗法》第四章互联网治理相关主体的责任。

注释

[1] 风险等级划分机制的建立成为普遍要求:《反电信网络诈骗法》在各主体的监测和处置义务部分都规定了“根据风险情况/等级,进行相应防范和处置措施”。我们理解要遵循该类合规要求,企业应完善反电信网络诈骗内部控制机制,在构建涉诈监测识别机制的同时建立配套的风险等级划分机制(至少包括涉诈风险类型、程度)和与各风险等级相映射的应对机制;

[2] 限制开卡数量:《反电信网络诈骗法》第十条规定“办理电话卡不得超出国家有关规定限制的数量”。对于该限制数量,人行、工信部等六部门于2016年联合发布的《关于防范和打击电信网络诈骗犯罪的通告》进行了明确:“电信企业立即开展一证多卡用户的清理,对同一用户在同一家基础电信企业或同一移动转售企业办理有效使用的电话卡达到5张的,该企业不得为其开办新的电话卡”,即全国范围内同一运营商的用户只能办理五张手机卡。

作者介绍

周杨律师于2014年开始聚焦于网络安全、数据合规和电子商务领域,受托处理了包括银行、保险、房地产、能源、游戏、电子商务和车联网在内诸多行业领域的数据合规专项法律服务,在数据资产及流动情况的摸排及合规差异诊断、数据分类分级、数据跨境合规、集团数据共享合规、儿童数据保护合规、GDPR和CCPA专项合规、赴港上市数据安全专项合规等服务项目中,周律师为客户提供了高效且贴合实际的解决方案。

周律师参与了TC260主导的《信息安全技术 互联网平台及产品服务隐私协议要求》标准编纂工作,并参与编撰中国网络空间安全协会主编的《关键信息基础设施安全保护通识》《全球个人信息保护报告》等文件。

目前,周律师是北京市律师协会科技与大数据委员会委员,中南财经政法大学数字经济研究院、金融科技研究院高级研究院研究员;中国通信学会第一届网络空间安全战略与法律委员会委员;并已经通过国际Certified Data Privacy Solutions Engineer (CDPSE)认证。

声明:本文来自北京市竞天公诚律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。