专题·反电诈法 | 《反电信网络诈骗法》对互联网服务提供者合规要点的多重视角考察

发布时间:2022-11-22   来源:中国信息安全  浏览次数:159
9 月 2 日,《反电信网络诈骗法》(以下简称“反诈法”)正式表决通过。反诈法共七章五十条,体现出我国立法机关充分洞察电诈横跨多领域、多行业特点,意在构建全链条式综合治理格局,挖掉电诈犯罪之“根”。

反诈法第一章总则、第四章互联网治理、第五章综合措施,对互联网服务提供者等行业企业的责、权、利进行再次分配与平衡,赋予其风险防控特别义务,并规定相应法律责任。本文对互联网服务提供者的反诈义务与合规风险进行研讨,分析其与《网络安全法》《数据安全法》《个人信息保护法》之间的联系、衔接关系,以期帮助利益相关方更清晰地审视多法联动的反诈义务体系,提升合规的系统性、整体性、协同性,进一步推动制度落地。


一、从与《网络安全法》《数据安全法》《个人信息保护法》联动的角度审视

反诈法将互联网服务提供者的反诈风险防控义务与责任法定化。互联网服务提供者是网络空间中连接国家和用户的关键节点,是承担反诈风险防控义务与责任的核心主体。反诈法第一章总则、第四章互联网治理、第五章综合措施为互联网服务提供者等行业企业设定了明确的反诈风险防控义务。在原则性义务层面,反诈法总则第 6 条要求互联网服务提供者“承担风险防控责任,建立反电信网络诈骗内部控制机制和安全责任制度,加强新业务涉诈风险安全评估”。在具体性义务层面,第四章互联网治理与第五章综合措施规定了面向互联网服务提供者的实名管理义务、监测处置义务、登记备案义务、记录留存义务、披露报告义务、信息保护义务等。为进一步准确理解、适用反诈法相关义务规定,应以与《网络安全法》《数据安全法》《个人信息保护法》及其配套规定之间的联系、衔接关系为起点,构建起互联网服务提供者履行反诈风险防控义务的“体系基准”与“坐标认知”。

在宏观层面,反诈法与《网络安全法》《数据安全法》《个人信息保护法》关注的角度各有侧重,互相支撑,共同构建我国网络空间合规框架。《网络安全法》是我国网络安全领域基本法,给下位法及其他网安专门立法确立基本原则与制度,强化我国网络空间主权战略意义,总括性规定了网络运营者的网络信息安全义务。《数据安全法》以数据安全为核心,强调重要数据与国家核心数据保护,义务主体涵盖数据所有者、占有者、控制者与使用者,为打击治理危害数据安全的违法犯罪活动提供法律保障。《个人信息保护法》聚焦个人信息权益保护,对个人信息处理进行全生命周期监管,强化个人信息处理者在完善管理、合规审计、影响评估、应急处置等方面的保护义务。反诈法则是一部坚持问题导向与结果导向、立足反诈实践需求、急用先行的预防性法律,义务主体涵盖互联网服务提供者等行业企业,构建以行业监督检查、网络身份认证公共服务建设等为保障的综合治理格局,与《网络安全法》《数据安全法》《个人信息保护法》及其配套共同推进多元主体协同的网络综合治理模式。在微观层面,反诈法与《网络安全法》《数据安全法》《个人信息保护法》及其配套对重要义务作共性规定,监管的关联性、互动性明显增强。当前我国网络空间治理的顶层设计与总体框架构已然确立,伴随网络空间与现实世界融合持续深化,网络实名制、App 身份与功能核验、App 登记备案、个案协助与监测报告、域名管理、个人信息保护等反诈义务规定,在《网络安全法》《数据安全法》《个人信息保护法》及配套中均有体现,其相辅相成的关键是在法律衔接基础上发挥相互联动、保障效能,通过执行将静态制度体系转化为动态社会关系。对互联网服务提供者来说,反诈风险防控义务与网络信息安全义务、数据安全保护义务及个人信息安全保障义务等有交叉重合,应进行一体化、融合性、针对性的合规管理。 (一)网络实名制:反诈法构建的系统性“网络实名适用场景”比《网络安全法》有关规定更加全面具体在网络实名制环节,互联网服务提供者应当严格按照反诈法第 21 条确立的“网络实名适用场景”要求用户提供真实身份信息,尤其注重“网络代理”“服务器托管、空间租用、云服务、内容分发”“软件发布”“网络交易、网络游戏、网络直播发布”等新增场景。相较于《网络安全法》第 24 条第 1 款中“为用户办理网络接入、域名注册服务”“为用户提供信息发布、即时通讯等服务”零散单一的适用范围,反诈法第 21 条更全面、具体,系统性整合了《互联网直播服务管理规定》《互联网广告管理暂行办法》《关于防止未成年人沉迷网络游戏的通知》《网络交易监督管理办法》等相关规定中的实名制要求,与《网络信息内容生态治理规定》中账号规范管理实施细则及《互联网用户公众账号信息服务管理规定》中复合验证要求衔接。此外,互联网服务提供者应关注国家网信办会同工业和信息化部、公安部起草的《互联网信息服务管理办法(修订草案征求意见稿)》,其第 20 条设定网络实名信息保存期,要求在提供服务期间“同步保存”,在停止服务后也要保存“至少两年以上”。 (二)网络身份认证公共服务使用:反诈法沿袭《网络安全法》《个人信息保护法》有关规定,强化涉诈异常情形重新核验,进一步推动“实名认证”向“实人认证”落地作为落实实名管理的重要保障机制,《网络安全法》第 24 条第 2 款提出“国家实施网络可信身份战略”,《个人信息保护法》第 62 条提出“支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设”。反诈法从互联网服务提供者义务角度延续并完善上述规定——鉴于互联网服务提供者在能力、资源等方面的差异,难以有效查验用户提供身份信息的准确性,反诈法第 33 条则明确支持个人与企业“自愿使用”国家网络身份认证公共服务,细化涉诈异常情形下具体核验措施,将网络身份认证的“主动权”从用户提供转向国家网络身份认证公共服务基础设施提供,保障互联网治理从“实名认证”走向“实人认证”的可行性与安全性。这一机制也体现在国家互联网信息办公室发布的《网络数据安全管理条例(征求意见稿)》中,其第 50 条要求互联网平台运营者“支持并优先使用”国家网络身份认证公共服务。 (三)App 身份与功能核验:反诈法要求与《移动互联网应用程序信息服务管理规定》细化规则衔接,强调针对 App 功能及用途的实质性审查在 App 身份核验环节,反诈法第 23 条第 2 款要求 App 封装与分发平台“登记并核验”App 开发运营者的真实身份信息,在法律层面进一步拓展网络实名制的覆盖范围,与 2022 年 8 月 1 日起施行的《移动互联网应用程序信息服务管理规定》第 19 条规定形成衔接——对申请上架的 App 提供者采取“基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合”的复合验证措施。而在 App 功能核验环节,反诈法在《移动互联网应用程序信息服务管理规定》第 20 条“上架审核”与“日常管理”形式审查规定基础上,强化针对“App 功能与用途”的实质性核验,这意味着反诈法时代 App 封装与分发平台面临的合规要求进一步提升。 (四)App 备案管理:反诈法规定与《互联网信息服务管理办法》中 ICP 许可备案制度一脉相承,工信部门负责 App 设立许可备案针对我国 App 监管手段较为薄弱的现状,反诈法以打击涉诈 App 为契机,进一步强化 App 备案管理,第 23 条第 1 款强调设立 App 应当按照国家有关规定向“电信主管部门”办理许可或者备案手续,这与《互联网信息服务管理办法》第 4条规定的工信部 ICP 许可备案制度一脉相承——对经营性互联网信息服务实行“许可”,对非经营性互联网信息服务实行“备案”。在监管实践中,App 备案还包括公安备案,《计算机信息网络国际联网安全保护管理办法》(公安部令第 33 号)确立公安网上备案制度,互联网接入服务单位(ISP)、互联网数据中心(IDC)、互联网信息服务单位(ICP)和国际联网使用单位均应到公安机关办理备案手续。此外,针对通过分发平台以外途径下载传播的涉诈 App 泛滥问题,反诈法第 23  条第 3 款要求强化重点监测、及时处置。 (五)个案协助与监测报告:反诈法、数安法、网安法均关注网络安全合规领域企业的披露报告义务反诈法与《数据安全法》《网络安全法》及其配套对网络安全合规领域互联网服务提供者的披露报告义务均有所涉及和关注。在个案协助环节,《数据安全法》第25 条注重对调取证据的“配合”义务;《网络安全法》第 28 条强调对国家安全和侦查犯罪活动“提供技术支持和协助”;反诈法第 26 条第 1 款进一步明确互联网服务提供者在电诈领域为公安机关调查取证“及时提供技术支持和协助”的义务。在监测报告环节,《网络安全法》《互联网信息服务管理办法》《网络信息内容生态治理规定》要求网络运营者承担数据审查、数据披露等义务,反诈法第 25 条与第 26 条第 2 款进一步细化补充,要求互联网服务提供者在日常经营活动中对涉诈业务履行合理注意义务,对涉诈违法犯罪线索、风险信息“根据涉诈风险类型、程度情况”移送。 (六)域名管理:反诈法在《互联网域名管理办法》《公安机关互联网安全监督检查规定》基础上引入可溯源要求,并与《网络安全法》衔接在域名管理环节,反诈法第 24 条规定互联网域名服务提供者“核验”“规范”“记录留存”三大义务。工信部第 43 号令《互联网域名管理办法》对域名注册信息核验、不得为违法网络服务提供域名跳转、域名解析日志留存等义务及法律责任作明确规定,公安部第 151 号令《公安机关互联网安全监督检查规定》第 11 条对记录网络域名申请、变动信息作监督检查要求,反诈法在此基础上引入“可溯源”要求,强调要支持实现对解析、跳转、转换记录的溯源,在本质上是对“核验”“规范”“记录留存”义务履行质量的强化要求。同时,反诈法中“记录留存”义务与《网络安全法》第 21 条规定的“不少于六个月”的网络日志留存期衔接。 (七)个人信息保护:在四法中都具有重要地位,针对不同场景设置针对性保护要求

个人信息保护的重要性历来受到立法者重视,反诈法与《网络安全法》《数据安全法》《个人信息保护法》均对此进行专门强调。反诈法第 29 条第 1 款规定个人信息处理者反诈防范义务,其内涵与《个人信息保护法》第 9 条、第 51 条规定的个人信息安全保障义务一脉相承。反诈法第 29 条第 2 款结合现实需求,要求对可能被电诈利用的“五类信息”实施重点保护,值得注意的是,其中“物流信息”可能包含公民行踪轨迹信息,“交易信息、贷款信息”可能包含公民金融账户信息,“医疗信息、婚介信息”可能包含公民医疗健康信息或生物识别信息,以上信息均构成《个人信息保护法》中规定的“敏感个人信息”,落实相应敏感个人信息处理规则有其必要性。


二、从互联网服务提供者合规风险与挑战的角度审视

反诈法中规定的反诈风险防控义务能否全面落实离不开法律责任的保障,但同时也给互联网服务提供者带来合规风险与挑战。鉴于利益相关方对反诈风险防控义务的不同理解,反诈法的实施效果有待未来实践检验。但毫无疑问的是,以反诈法的出台为契机,互联网服务提供者应在综合判断自身是否属于反诈义务主体的基础上,对违反相关规定将要承担的法律责任有更清晰的认知。此外,鉴于反诈义务履行情况很可能构成后续互联网服务提供者是否要承担行政责任、民事赔偿甚至是刑事责任的抗辩事由,反诈义务履行“留痕”至关重要。

(一)行政责任大幅提高行政处罚额度,监管执法震慑加强。反诈法强化互联网监管与治理,惩处对象不仅包括组织、策划、实施、参与电诈活动或者为电诈活动提供帮助的行为,也包括未履行反诈义务的不作为行为,较《网络安全法》相关规定,反诈法第 41 条不仅大幅提高违法行为罚款额度上限,还进一步丰富惩戒手段,沿袭“企业+个人”双罚机制,情节严重的,对互联网服务提供者处“五十万元以上五百万元以下”罚款,并可责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处“一万元以上二十万元以下”罚款。反诈义务落实存在难度,具体适用有待细化。反诈法第 41 条是针对互联网服务提供者六项不履行反诈义务行为设定行政处罚,包括:(1)未落实反诈内部控制机制的;(2)未履行网络服务实名制职责,或未对涉案、涉诈电话卡关联注册互联网账号进行核验的;(3)未核验域名注册、解析信息和互联网协议地址的真实性、准确性,规范域名跳转,或记录并留存所提供相应服务的日志信息的;(4)未登记核验 App 开发运营者的真实身份信息或者未核验 App 的功能、用途,为其提供封装、分发服务的;(5)未履行对涉诈互联网账号、App 及其他电诈信息、活动的监测识别和处置义务的;(6)拒不依法为查处电诈犯罪提供技术支持和协助,或未按规定移送有关违法犯罪线索、风险信息的。这些义务要求的内容仍存在一定的模糊性,需根据实践情况逐步探索。由于配套细则尚未出台,互联网服务提供者可能对自己所负的反诈义务履行程度与标准不能明确知晓,难以按照规定具体适用或在违法边缘徘徊,对其合规体系的完善构成极大挑战。多部门参与反诈执法监管,执行标准有待完善。反诈法第 6 条规定公安机关牵头负责反电信网络诈骗工作,第 28 条规定金融、电信、网信部门依照职责对银行业金融机构、非银行支付机构、电信业务经营者、互联网服务提供者落实本法规定情况进行监督检查,整体上呈现的是反诈多部门参与执法态势。这种相对分散的监管架构,可能会带来竞争执法、各有侧重、标准不一等执法不确定性风险。在互联网服务提供者之外,反诈法第 29 条对个人信息处理者也强化了反诈义务与责任——要规范个人信息处理,加强个人信息保护,建立个人信息被用于电诈的防范机制,若因防范机制不健全导致信息泄露或被犯罪分子利用,信息来源人员或单位也将被追究法律责任,这也从另一维度倒逼企业对个人信息来源合法性加强管控。此外,根据反诈法第 21 条规定,四类互联网服务提供者均要履行网络实名制义务,这意味其可能掌握身份证号等可识别特定自然人身份的信息,属个人信息处理者范畴,同时要遵守《个人信息保护法》框架下个人信息处理规则,而这会带来业务模式的深刻变化,相关企业要进一步评估反诈法带来的成本、投入与合规风险。 (二)民事责任电诈致害责任的归责风险。反诈法实行致人损害的民事责任承担制度,根据第 46 条第 2 款规定,互联网服务提供者等违反本法规定,造成他人损害的,依照《民法典》等法律规定承担民事责任。为此,互联网服务提供者实施消极的不作为,不履行法定反诈义务,还将面临致害责任的归责风险,涵盖违约责任、侵权责任等。公益诉讼带来的双重风险。反诈法第 47 条规定,人民检察院在履行反诈职责中,对侵害国家利益、社会公共利益的行为可提起公益诉讼,这在法律层面明确反诈公益诉讼制度。公益诉讼制度源于我国《民事诉讼法》第 55 条,而最高人民检察院印发的《关于积极稳妥拓展公益诉讼案件范围的指导意见》进一步将“网络侵害”列为重点范围。对互联网服务提供者来说,一是面临民事公益诉讼被诉风险,反诈法第 6 条关于互联网服务提供者承担风险防控责任的原则性规定为检察机关扩大反诈民事公益诉讼责任主体提供依据,企业涉诈风险安全评估情况将成为审查起诉重要内容;二是面临行政公益诉讼更高合规压力,反诈法第 28 条监督检查规定为检察机关拓展针对电诈上下游关联违法犯罪全链条打击的个人信息保护等行政公益诉讼提供空间,有关部门在检察机关督促下将进一步加强监管。 (三)刑事责任

互联网服务提供者等主体不履行反诈义务可能构成拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪等犯罪。《刑法》第 286 条之一规定拒不履行信息网络安全管理义务罪,根据《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》,互联网服务提供者不履行法定义务,经监管部门责令改正而拒不改正,致使“诈骗信息大量传播”或“用户信息泄露造成严重后果”的,以拒不履行信息网络安全管理义务罪追究刑责——核心是把握“不作为犯罪的责任边界”。若在主观方面能够认定互联网服务提供者具有帮助行为人实施电诈的故意,即明知行为人正在实施电诈,却不主动采取措施加以阻止,则可能构成《刑法》第 287 条规定的非法利用信息网络罪、帮助信息网络犯罪活动罪,《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》就明确被公安机关明确告知交易对象涉嫌电诈但仍与其继续交易的,以帮助信息网络犯罪活动罪追究刑责。然而,在电诈中互联网服务提供者的刑事风险不止于此,还有可能构成诈骗罪的共犯、洗钱罪、非法经营罪、侵犯公民个人信息罪以及提供侵入、非法控制计算机信息系统程序、工具罪等。


三、结语:做好《反电信网络诈骗法》下一体化合规管理

法治是国家治理能力现代化的基础。反诈法为互联网服务提供者设定反诈义务与责任,推动我国电诈治理从事后打击到前端防范,与《网络安全法》《数据安全法》《个人信息保护法》及其配套共同构成多法联动的网络空间合规架构,呈现体系化、全方位、严监管态势。其中,“安全”是整体的而非割裂的,是共同的而非孤立的。在本质上,网络安全、数据安全、个人信息保护与反诈风险防控四者之间存在深刻的联系,对“安全”认识与解释的演变也不断影响着我国网络法治的前进方向与执法趋势。

互联网服务提供者应以反诈法的通过与施行为起点,坚持发展和安全并重,深刻理解安全内涵与监管逻辑,厘清自身反诈整体义务,做好一体化合规管理,共筑反诈安全防线。战略层面合规要优化顶层设计,完善反诈内控机制,关注重点领域四法联动,协调网络安全、数据安全、个人信息保护与反诈风险防控管理,构建具有融合性、针对性的一体化合规体系。管理层面合规要健全安全责任制度,落实各项反诈责任到人,对业务合规进行穿透式管理。意识层面合规要做好人员反诈宣传,与主管部门保持密切联系,积极跟进配套细则指引出台。执行层面合规要严格落实网络实名制,优化涉诈监测识别机制与处理方案,将涉诈风险安全评估嵌入产品全生命周期管理,探索由专业机构出具涉诈风险评估报告并针对风险采取措施。技术层面合规要对现有业务系统模块调整更新,推进反诈技术研发,适应多法联动反诈新规。(基金支持:公安理论及软科学计划“网络社会综合治理政策法律法规研究”(2021LL60)阶段性成果;国家社会科学基金项目“网络安全新业态视角下的关键技术风险分析及防控对策研究”(20AZD114)子课题“个人隐私及大数据安全风险及策略研究”阶段性成果)

(本文刊登于《中国信息安全》杂志2022年第10期)