文│公安部第三研究所网络安全法律研究中心 王彩玉 长沙市公安局网络安全与技术侦察支队 曾铉
2022 年 9 月 2 日,第十三届全国人民代表大会常务委员会第三十六次会议通过《中华人民共和国反电信网络诈骗法》(以下简称“反诈法”),自 2022 年 12 月 1 日起施行。反诈法定位为系统综合、针对性强的专项法律,是贯彻落实党中央决策部署的重要举措,是坚持以人民为中心,统筹发展和安全的必然要求,是反诈工作实践的迫切需要。其中第四章“互联网治理”与第五章“综合措施”中针对互联网服务提供者的反诈风险防控义务规定颇具亮点,涵盖网络实名制、账户异常监测、App 治理、域名服务管理、涉诈业务合理注意、协助侦查办案、个人信息保护、电诈宣传劝阻等领域,拓展第三方参与共治电诈的深度与广度,有助于实现电诈惩治、预防和治理的有机统一,对净化网络生态空间、加强源头治理、清理网络黑灰产业、铲除犯罪土壤意义重大。
一、关注互联网服务提供者反诈风险防控义务是理论和实务的需要
电信诈骗在我国出现于 20 世纪 60 年代,进入 70 年代后迅速增长,2000 年后进入快速发展期。如今在互联网技术与大众生活日益融合背景下,电信网络诈骗持续高位运转,总体形势严峻。2021 年,全国共破获电信网络诈骗案件 39.4 万起,抓获犯罪嫌疑人 63.4 万名,同比分别上升 28.5% 和 76.6%。从地域分布看,诈骗案件主要分布在东部地区,中西部地区案件占比逐年上升;从诈骗手法看,诈骗集团紧跟社会热点,根据非法获取的个人信息精准诈骗,刷单返利、杀猪盘、贷款与代办信用卡、冒充客服、冒充公检法及政府机关为五大高发案件;从黑产技术看,诈骗集团利用 5G 网络、虚拟拨号(GOIP)、区块链、虚拟货币、人工智能(AI)等各种新技术新业态,不断更新犯罪工具,技术对抗走向更复杂领域。
电信网络诈骗并不是特定社会的单一问题,而是一个国家社会、文化、政治和经济状况的综合反映,亟需各方介入共同治理。正如德国刑法学家李斯特所述,最好的社会政策,也是最好的刑事政策。预防、遏制与惩治电信网络诈骗是一项系统性法治工程,在当下中国谈及电诈综合治理有着更为丰富的社会内涵和更为深刻的政策底蕴。2015 年 6 月,国务院批准建立打击治理电信网络新型违法犯罪工作部际联席会议制度;2022 年 4 月,中共中央办公厅、国务院办公厅印发《关于加强打击治理电信网络诈骗违法犯罪工作的意见》,要求建立行业风险监测机制,建立健全“行业主管部门、企业、用户三级责任制”,为加强源头治理、综合治理奠定基础;2022 年 10 月,党的二十大报告指出,要推进国家安全体系和能力现代化,完善社会治理体系,健全共建共治共享的社会治理制度,提升社会治理效能,建设社会治理共同体。
反诈法秉持“小切入立法”“急用先行”原则,加强对涉诈相关非法服务、设备、产业的治理,明确规定互联网服务提供者等主体的犯罪防治义务与责任,有助于推动形成全链条反诈、全行业阻诈、全社会防诈的打防管控格局,推动网络犯罪治理“中国式现代化”。将反诈防治延伸到网络空间,关注互联网服务提供者反诈风险防控义务,既是理论发展的需要,也是实务发展的迫切需要。
二、互联网服务提供者反诈风险防控义务的法律分析
反诈法是我国首部针对打击治理电诈的专门立法,是完善电诈法律制度体系的标志成果,为互联网服务提供者设定了愈发严密的一揽子反诈风险防控义务。
从内涵看,反诈风险防控义务着力于斩断支撑电诈的信息流、技术流、人员流,在总则中强调互联网服务提供者承担风险防控责任,建立反诈内控机制和安全责任制度,加强新业务涉诈风险安全评估,在分则中聚焦实名管理、记录留存等关键控制节点,为执法部门提供线索信息,预防、识别并阻却电诈违法犯罪是核心。
从性质看,反诈风险防控义务既包括个人信息保护、App 登记备案等行政法直接义务,也包括监测处置、披露报告、宣传劝阻等行政法第三方义务。此处“第三方”是相对于违法者和受害人而言,承担第三方义务的互联网服务提供者拥有技术、管理等优势,可更好地协助执法机关发现、遏制电诈活动发生或控制电诈行为、损失扩大化。
在此层面,互联网服务提供者参与共治电诈违法犯罪的方式将在很大程度上表现为其对反诈风险防控义务的履行——通过落实各项义务要求,控制电诈发生条件,强化综合情境预防,消解互联网服务生态中滋生电诈的结构性因素。需要注意的是,互联网服务提供者的反诈风险防控义务范围仅限于协助性、辅助性方面,其责任不可无限扩张。
(一)实名管理义务
互联网“隐身匿名”的特性对监管工作提出严峻挑战,反诈实名管理旨在从源头上强化网络身份可识别性,构建网络空间真实身份与虚拟身份稳定连接点,斩断虚假账号注册等源头性电诈黑灰利益链条。
反诈法第 21 条“网络实名制”在现有法律法规基础上进一步明确必须落实网络实名制的重点领域、重点部位,涵盖四类互联网场景,包括:(1)最为基础性的“互联网接入服务”;(2)可能干扰网络实名制落实效果的“网络代理等网络地址转换服务”;(3)电诈犯罪技术支持中常用的“互联网域名注册、服务器托管、空间租用、云服务、内容分发服务”;(4)为电诈犯罪提供滋生蔓延土壤的“信息、软件发布服务”与“即时通讯、网络交易、网络游戏、网络直播发布、广告推广服务”。四类网络实名适用场景的强制性规定,是我国立法者根据互联网服务提供者的服务领域、类别、主体特性与涉诈利益关系实行“针对性、差异化”网络实名制的路径体现。反诈法第 23 条第 2 款“App 身份与功能核验”对 App 开发运营者也要求落实实名登记与核验,拓展网络实名制覆盖范围,弥补 App 领域监管缺漏。
从国际立法经验来看,美国、欧盟、英国、澳大利亚、日本等国家与地区均将实现网络身份有效管理作为未来发展工作重点,并制定网络身份管理战略。反诈法第 33 条在《网络安全法》“国家实施网络可信身份战略”与《个人信息保护法》“推进网络身份认证公共服务建设”基础上,细化反诈场景下网络身份认证公共服务的自愿性使用原则与相关规则,为互联网服务提供者履行实名管理义务提供支撑,使其可依托网络身份认证公共服务满足用户身份重新核验需求。“不实名则无服务”贯穿反诈法互联网治理始终,其背后蕴含的是互联网运行价值逻辑的变迁——从互联网野蛮生长时代到步入规范治理阶段,企业要在法律框架之下、在道德底线之上运行,履行法定义务,遵循“权、责、利”相统一法治原则。
(二)监测处置义务
反诈法第 22 条“网络账户异常监测”、第 23条第 3 款“涉诈 App 重点监测”、第 25 条第 2 款“涉诈业务合理注意”共同构成互联网服务提供者监测处置义务。我国立法者关注重心不仅是电诈实害结果,更包括涉诈异常账号、涉诈(高风险)电话卡所关联注册的互联网账号、分发平台以外途径下载传播的涉诈应用程序、利用提供互联网业务从事涉诈支持与帮助等因素。此外,反诈法第 32 条鼓励互联网服务提供者对电信网络诈骗反制技术的研发,用于监测识别、动态封堵和处置涉诈异常信息、活动,为反诈工作提供支撑——以技术措施应对技术发展带来的不断翻新的电信网络诈骗犯罪手段,契合我国涉诈风险治理需求与公众安全期待。
另一方面,我们应意识到对涉诈风险因素的监测与处置属于扩张性立法模式,互联网服务提供者在一定意义上代表并潜在构成国家权力的延伸,明确互联网服务提供者监测与处置权力边界、提升涉诈风险识别判断准确性、完善被处置对象申诉救济渠道至关重要。为此,相关部门要把反诈法第 32 条第 2 款要求的“加强涉诈用户信息交叉核验”、第 32 条第 3 款要求的“告知处置原因、救济渠道及需要提交的资料等事项”“建立完善申诉渠道,及时受理申诉并核查,核查通过的,应当即时解除有关措施”等规定做实做深。
(三)记录留存义务
网络行为真实性、可溯源性已成为遏制电诈犯罪的突出难题,反诈法第 24 条着眼于“实现对解析、跳转、转换记录的溯源”,为提供域名解析、域名跳转、网址链接转换服务的互联网服务提供者设定“核验、记录、留存”三项要求,加强域名管理。
本条规定与《公安机关互联网安全监督检查规定》第 11 条规定的“监督检查是否记录网络域名申请、变动信息,是否对违法域名依法采取处置措施”、《互联网域名管理办法》第 36 条要求的“依法记录并留存域名解析日志、维护日志和变更记录”等规定联动,意在实现对电诈相关域名解析、跳转、转换记录溯源治理。
(四)登记备案义务
以打击涉诈 App 为契机,反诈法进一步加强 App 备案管理,第 23 条第 1 款强调设立 App 应当按照国家有关规定向“电信主管部门”办理许可或者备案手续,与《互联网信息服务管理办法》第 4 条规定的工信部 ICP 许可备案制度联动。
在监管实际中,App 备案还包括公安备案,《计算机信息网络国际联网安全保护管理办法》确立公安网上备案制度,互联网接入服务单位、互联网数据中心、互联网信息服务单位和国际联网使用单位均应到公安机关办理备案手续。相较于《中华人民共和国反电信网络诈骗法(草案)》第 20 条提出的“网信、工信、公安等部门”共同健全 App 备案机制,反诈法规定由工信部门负责 App 设立许可备案。
(五)执法协助与信息共享义务
在反诈法中,互联网服务提供者所承担的执法协助与信息共享义务属于积极性作为义务,可分为两大类型:1)第 26 条第 1 款规定的“基于电诈个案的协助义务”,以被动响应、后端协助的方式实现,强调对公安机关调取证据提供技术支持、协助,属于传统侦查协助义务;2)第 26 条第 2 款规定的“基于风险监测的信息共享义务”,以主动防范、中端控制的方式实现,要求将涉诈违法犯罪线索、风险信息移送公安、金融、电信、网信等部门,意在构建防范为先、源头治理的电诈防治体系。
从国际立法经验来看,1996 年《欧盟理事会通信合法拦截决议》赋予互联网服务提供者在侦查活动中信息披露义务;2001 年《网络犯罪公约》详细规定互联网服务提供者在数据存储、数据披露义务;美国《1994 年通信协助执法法》《爱国者法》《关键基础设施信息保护法》等明确互联网服务提供者在侦查活动中的信息披露义务。
在我国法律框架中,互联网服务提供者电诈个案协助义务与相关立法的衔接,宏观上而言,《刑事诉讼法》第 52 条、《数据安全法》第 35 条、《网络安全法》第 28 条在原则上确立互联网服务提供者侦查协助主体地位;微观上而言,《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第 13 条、《公安机关办理刑事案件电子数据取证规则》第 41 条对公安机关向互联网服务提供者调取电子数据的程序作出详细规定。此外,《互联网信息服务管理办法(修订草案征求意见稿)》第 22 条进一步明确,“技术支持和协助的具体要求,由公安机关、国家安全机关会同电信主管部门等有关部门另行制定”。值得关注的是,反诈法第 26 条第 2 款相比草案二审稿,新增“根据涉诈风险类型、程度情况移送”“有关部门应当建立完善反馈机制”要求,体现立法者对加强互联网服务提供者和有关部门对涉诈违法犯罪线索、风险信息共享与反馈的重视。
(六)个人信息保护义务
从反诈工作实践来看,个人信息保护构成电诈源头治理重中之重,非法获取、提供个人信息作为电诈上游犯罪及周边黑产为精准施诈提供条件,而网络实名制推行也必以个人信息安全得到有效保障为前提。
从我国立法来看,对收集到的个人信息保密,不得向他人泄露、出售或者非法提供一直是互联网服务提供者个人信息保护义务的核心内容。2012 年全国人大常务委员会《关于加强网络信息保护的决定》第 3 条、2013 年工业和信息化部《电信和互联网用户个人信息保护规定》第 10 条、2016 年《网络安全法》第 42 条均规定网络服务提供者对于收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。2017 年全国信息安全标准化技术委员会《信息安全技术个人信息安全规范》9.4 条款又进一步规定个人信息原则上不予公开披露,需要公开披露时必须经法律授权或具备合理事由。2021 年 8 月,《个人信息保护法》颁布实施,标志着我国个人信息保护法统一立法的形成,强化超大型互联网平台个人信息保护义务。
反诈法强调对个人信息保护“多重发力”,既从前端阻断电诈信息源、后端强化“一案双查”,也全流程防范反诈工作中个人信息二次泄露:1)第 29 条第 1 款与《个人信息保护法》衔接,推动个人信息处理者“建立个人信息被用于电信网络诈骗的防范机制”;2)第 29 条第 2 款要求履行个人信息保护职责的部门单位对“物流信息、交易信息、贷款信息、医疗信息、婚介信息”重点保护,公安机关办理电诈案“同时查证犯罪所利用的个人信息来源,依法追究相关人员和单位责任”;3)第 5 条第 2 款对“在反电信网络诈骗工作过程中知悉的国家秘密、商业秘密和个人隐私、个人信息予以保密”作出原则性规定。
(七)宣传劝阻义务
互联网服务提供者所承担的宣传劝阻义务主要体现在反诈法第 30 条规定的宣传警示以及第 34 条规定的预警劝阻。其中,互联网服务提供者所承担的宣传劝阻义务,增强针对潜在被害人进行业务防骗提示、电诈手段提醒与劝阻的精准性;同时,通过对“非法买卖、出租、出借本人有关卡、账户、账号”法律责任的警示,进一步强化针对潜在犯罪人的法律威慑效应。基于犯罪人与被害人互动理论,犯罪与被害是一个相互作用过程,而电诈是被害人与犯罪人社会性交互最为密切的犯罪之一,其中诈骗话术是“实施心理控制、诱发被害反应”工具,作为制衡诈骗话术的预警劝阻系统,在设计建立时有必要以潜在被害人为中心,“嵌入心理干预”,针对其被骗受容性提供预防对策与心理指导。
三、互联网服务提供者反诈风险防控义务几个核心问题的探讨
反诈法以预防和治理电诈为宗旨,确立反诈工作齐抓共管、打防结合、源头治理和综合治理的原则,将当前打击治理电诈工作中遇到的现实难题在基本法层面予以解决,在互联网服务提供者反诈风险防控义务等方面做出明确规定和积极探索,有必要进一步深入研讨。
(一)关于互联网服务提供者反诈风险防控义务的认识与适用
与美、英、德、日等在电诈防范治理方面立法路径模式不同,我国反诈法一大特色与先进之处是采取统一式反诈风险防控义务立法的构建模式——基于互联网服务提供者对电诈活动关键控制点的义务和措施进行系统梳理、统筹规范,
与《网络安全法》《数据安全法》《个人信息保护法》及其配套联动、衔接紧密;
为确保互联网服务提供者反诈义务得以有效履行,设置了推进网络身份认证公共服务建设、支持电诈反制技术研发、建立完善报告反馈机制等由内而外履行过程保障机制;同时充分考虑公民权利受限的救济,确立相应申诉渠道、信用修复和救济制度;最后,通过行政责任、民事责任、刑事责任相结合的方式,明确互联网服务提供者违反特定反诈义务所应负的法律责任,与《刑法》及相关电诈司法解释构成行刑衔接。
通过以上多层面的制度构建,我国反诈法针对互联网服务提供者形成整体化、系统化的反诈风险防控义务体系,一方面,要注重实名管理义务、个人信息保护义务、披露报告义务等各项反诈义务之间协调联动,遵从比例原则;另一方面,要运用体系性思维,跳出就反诈法谈反诈义务的窠臼,区分不同的法律关系,对反诈风险防控义务、网络信息安全义务、数据安全保护义务及个人信息安全保障义务等进行体系性认知、解释与适用,推动互联网服务提供者反诈风险防控义务全面落实。
(二)关于互联网服务提供者反诈风险防控义务的边界厘清
反诈法秉持“急用先行”“小切入立法”原则,对实践中迫切需要的制度安排做出规定,但是整体规定较为原则性,在互联网服务提供者反诈风险防控义务范围、协作机制、技术支持等具体要求方面亟需细化,可在此基础上推进配套制度和政策文件制定工作。一是探寻和厘清互联网服务提供者承担反诈风险防控义务的合理范围,精细化其不履行反诈风险防控义务的认定标准,明确对其施加不作为刑事责任的合理边界。二是完善电诈等网络犯罪执法协作机制,区别案件类型,严格内部审批程序,在确定合法性、必要性前提下,划定互联网服务提供者协助等级,完善披露报告、技术支持范围与方式,增补保障措施,进一步提升新时代依法管网、依法治网能力水平。尤其是在开展电诈预测性警务过程中,互联网服务提供者对公安立案前经营线索、初步调查的数据调取范围与技术协助具体要求有待进一步明晰。
(三)关于互联网服务提供者履行反诈风险防控义务情况的监管
反诈法为我国公安“牵头”下行业治理齐抓共管、合力挤压电诈犯罪空间提供法律支撑,明确各部门依照职责监督检查互联网服务提供者反诈义务落实等情况。
在反诈法贯彻执行过程中,要坚持以习近平法治思想为指引,树立正确的执法理念,坚持以人民为中心,统筹发展和安全,在严格规范执法基础上,探索互联网经济背景下柔性执法模式,宽严相济、协调互补,准确把握执法的法律效果、社会效果与政治效果,提升反诈监管的力度、精度,为新技术、新应用、新业态创造宽严适度的发展环境。同时,要强化合规指引与激励,让互联网服务提供者合规整改服务于有效电诈防治,督促其建立依法经营的公司文化,同时推进责任清单、合规不起诉、尽职免责等机制在反诈领域的探索。针对可能出现的多部门反诈执法尺度不统一、执法争权等问题,有必要在现实格局下,逐步加强反诈监管治理工作整体性与协同性,完善跨平台、跨行业责任落实和督导机制,推动统一的认定及裁量标准形成。
(本文刊登于《中国信息安全》杂志2022年第10期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。