治理电信网络诈骗,仍需细则指引
“
《反电信网络诈骗法》将接受实践的检验,并不断完善,一些法律中的原则性规定,接下来需出台更完善的配套细则。
本文字数3101,阅读时长约11分钟
文|财经E法 樊瑞
编辑|郭丽琴
已经正式实施四个多月的《反电信网络诈骗法》(下简称《反诈法》)依然有诸多有待厘清的问题:实施过程中是否实现了之前的治理意图?未来还有哪些法条需要进行动态调整?
为了预防、遏制和惩治电信网络诈骗活动,保护公民和组织的合法权益,维护社会稳定和国家安全,2022年9月2日,十三届全国人大常委会第三十六次会议表决通过了《反诈法》,自2022年12月1日起施行。
在本月初的一次研讨会上,全国人大常委会法工委刑法室处长张义健指出,《反诈法》将接受实践的检验,并不断完善,一些法律中的原则性规定,接下来需出台更完善的配套细则。此外,公安部五局处长杜一超等与会代表认为,若不能有效保护公民个人信息,就很难从根本上遏制利用个人信息实施的电信网络诈骗活动。
01
不是“打击性法律”
4月1日,“反电信网络诈骗法视角下的数据合规研讨会”在北京举行。该研讨会由最高人民检察院第四检察厅指导,中国人民大学法学院、中国人民大学未来法治研究院和北京市海问律师事务所联合举办。
电信诈骗是利用电信网络技术手段实施的新型犯罪,最早开始于20世纪末的台湾地区,随后蔓延至福建等沿海省市。
据杜一超介绍,2010年前后犯罪手法发展变异逐渐形成电信诈骗“七大门派”:广东茂名冒充熟人诈骗、海南儋州机票改签诈骗、江西余干重金求子诈骗、广西宾阳的QQ诈骗、湖南双峰PS诈骗、河北丰宁冒充黑社会诈骗、福建新罗的网络购物诈骗。
在各地持续打击整治下,这些地区的犯罪行为得到有效遏制,“但随后犯罪分子溃散蔓至全国各地,近年来又纷纷出境设立窝点作案,并不断变换衍生新的犯罪手法。”杜一超总结。
杜一超指出,近年来,随着信息社会快速发展,犯罪结构发生重大变化,传统犯罪持续下降,以电信网络诈骗为代表的新型网络犯罪已经成为主流犯罪。由于电信诈骗犯罪具有门槛低、风险小、获益高的特点,传统犯罪团伙纷纷向新型犯罪团伙转型,很多传统的犯罪分子弃赌、弃毒、弃盗为诈,这一特点在近年来公安机关侦破的许多大要案件都有所体现。
最高人民检察院第四检察厅厅长张晓津指出,《反诈法》突出了行业治理,针对电信、金融、互联网三个重点行业分章加强制度设计,压实行业企业合规要求。
《反诈法》中,将电信、金融、互联网三大行业单独列出,明确其风险防控责任,要求建立内部控制制度和安全责任制度。
张义健介绍,上述三大行业是公民、企业生产生活和经济社会发展的重要方面,电信网络诈骗分子也利用金融、通信和互联网服务实施诈骗活动。
张义健指出,如何既精准有效识别、有力打击涉诈活动,又避免影响公民、企业正常生产经营活动,避免对公民合法权益造成损害,是立法中面临的重要挑战。立法始终坚持统筹发展和安全,坚持精准防治和精准发力,既赋予有关执法部门、行业主管部门充分执法管理手段,但也避免出台成本收益不匹配的措施。
北京大学法学院教授、法治与发展研究院执行院长王锡锌提醒,《反诈法》设置了严厉的责任条款,出发点是好的,但在实施中需要警惕和防止将治理的责任全部转嫁给企业。因为这意味着反电诈治理或将面临双重困境,要么可能造成 “象征性”执法,要么导致治理的“责任转嫁”。
张义健强调,《反诈法》是应对信息网络犯罪、探索数字安全治理的一部新兴领域立法。该法并不是打击性法律,而是侧重防范性制度建设,在强化行业治理和加强企业责任上表现尤为明显。“法律规定将接受实践的检验,并不断完善。”张义健说。
02
还需细则指引
张晓津表示,《反诈法》统筹发展和安全,立足依法治理、源头治理、综合治理,加强预防性法律制度建设,为打击治理电信网络诈骗提供重要法治支撑,也为加强数字安全领域立法提供重要实践探索。
实际上,《反诈法》中作出的原则性规定,具体执行还需出台配套细则。
例如,《反诈法》总则部分要求加强新业务涉诈风险安全评估。但张义健指出,企业推出新业务的时候如何进行评估、评估的标准什么,这些责任制度需要进一步明晰。
《反诈法》第24条对“提供域名解析、域名跳转、网址链接转换服务的”提出了合规要求。对此,张义健指出,本法并未具体规定“跳转多少次”“如何跳转”,区分正常跳转行为和涉诈跳转行为就需要由有关国家规定具体确定。
《反诈法》中多处提出了“实名制责任”的要求。张义健表示,《反诈法》根据反诈工作需要,将互联网领域的实名制进行拓展,要求对涉诈异常账号采取动态核验。但他强调,这部法律没有对实名制认证方式作出具体规定,实名制的具体认证方式是责任落实中较为重要的问题,实践中应当基于不同行业、场景和涉诈风险防控的需要合理确定验证方式,其他法律法规或者监管有明确规定的,应当依照其规定,对此后续还需要进行深入研究。
此外,《反诈法》还规定反诈内部控制机制、涉诈违法犯罪线索风险信息的移送反馈机制、申诉救济的程序和机制等。张义健指出,应当在总结实践经验的基础上,出台更完善的配套细则,指引企业更好地落实责任。
03
“个人信息保护”是关键
近年电信诈骗引发广泛关注的的一个背景是,互联网上买卖公民个人信息的犯罪已经形成巨大黑色产业链,不仅滋生出电信诈骗和网络诈骗,还引发敲诈勒索、非法讨债等违法犯罪行为,对社会带来极大危害。
杜一超介绍,由于当前电信网络保护存在不足,受市场利益的驱动,贩卖个人信息形成了产业。产业链上游是有条件获取个人信息的从业人员和网络黑客,中游是以互联网为中介的数据交易平台,下游是利用个人信息进行的各类犯罪活动。
据介绍,投资理财、婚恋交友等主要电信诈骗的流程是,犯罪团伙利用非法获取的公民个人信息,精准识别公民个人喜好、心理、财产、行踪等特征,之后通过专门设计的剧本话术,因为掌握被害人的精准画像,一步步使被害人产生错误的认识,最终被骗。
“若不能有效保护公民个人信息,就很难从根本上遏制利用个人信息实施的电信网络诈骗活动”,杜一超强调,要规范个人信息处理者处理个人信息的方式,建立防范电信网络诈骗的机制,明确履行个人信息保护职能的部门和单位重点保护特定领域的个人信息。
《反诈法》已对个人信息保护提出了新要求。第29条规定,个人信息处理者依照《个人信息保护法》等法律规定,规范个人信息处理,加强个人信息保护,建立个人信息被用于电信网络诈骗的防范机制。同时还要求,职能部门对可能产生信息利用的物流信息、医疗信息等等相关的信息给予保护。
王锡锌也认为,网络电信诈骗的泛滥首先源于个人信息泄漏。他表示,随着人工智能技术不断迭代更新,通过个人信息特别是个人“重要”和“敏感”信息,可以对个人实施精准数据画像,进而为电信网络诈骗活动供料。
王锡锌提到,个人信息在社会治理、国家管理活动中已经呈现弥散性的分布,源头非常分散。王锡锌举例说,自己去年曾多次收到电信诈骗信息,主要利用其身份证上照片进行合成。
王锡锌指出,此前,中国公民的个人信息主要存储在国家机关的系统中,相对安全。但过去三年中,疫情使得个人关键敏感信息存在较大泄露风险。
王锡锌以疫情期间的全员核酸为例指出,核酸检测采集身份证信息时存在诸多不合规之处。比如,一些地方临时招募的工作人员直接用手机对身份证进行拍照,但目前难以确定收集过程是否安全,操作员工是否有保护个人信息的意识,以及这些信息都归集到了何处。
“这些大规模的身份证照信息的安全风险,可能会在未来逐渐显露。” 王锡锌认为。
但中国社会科学院大学副校长林维补充,《反诈法》出台后,企业处理个人信息的难度和风险都在增加。林维建议,应当坚持发展数字经济的原则,避免过度监管、多头监管,对企业发展带来不利影响。