反电诈法对个人信息保护双重发力 从源头斩断诈骗链条

21世纪经济报道 见习记者钟雨欣 北京报道

“今天接到了自称京东金融客服的诈骗电话，对方知道我的名字，并称我的校园认证需要关闭，还要清除之前开通的网贷信息，否则会影响征信。让我接入视频会议，打开屏幕共享，按他们的指导来操作……”

“对方说自己是疾控中心的，并且准确地报出了我的身份证和手机号，后来诱导我下载所谓的安全软件，要求我输入银行卡和密码，我才意识到自己差点上当受骗了……”

如果在网络上以“电信网络诈骗”为关键词进行搜索，不难发现，在大量的相关案例中，不法分子利用精准掌握的个人信息，针对不同群体“量体裁衣”，编造各种具有迷惑性的场景，获取对方的信任。

近年来，我国电信网络诈骗犯罪呈现多发高发态势，打击治理刻不容缓。今年9月2日，十三届全国人大常委会第三十六次会议表决通过了《中华人民共和国反电信网络诈骗法》，自12月1日起施行，为反电信网络诈骗工作提供有力法律支撑。

个人信息成为电信网络诈骗的“基础物料”

据最高人民法院公布的相关数据，2017年至2021年，全国法院一审审结电信网络诈骗犯罪案件超过10万件，22万多名被告人被判处刑罚。今年上半年，全国法院一审审结电信网络诈骗犯罪案件达到1.1万件。

案件高发的背后，往往牵涉公民个人信息的泄露问题。非法获取、提供公民个人信息等违法犯罪作为电信网络诈骗犯罪活动的上游犯罪及周边黑灰产，为诈骗犯罪分子实施精准诈骗提供了更加便利的条件，成为电信网络诈骗犯罪的催化剂和助推器。

北京市公安局朝阳分局反诈中心民警王佳告诉21世纪经济报道记者，从近期接到的线索来看，冒充电商客服、冒充公检法、虚假征信等类型的骗局较为突出，且与个人信息泄露有密切关联。

“可能造成个人信息泄露的场景非常多，归纳起来主要包括自主和被动泄露。”王佳说，“比如网络上经常出现的购物抽奖活动、福利红包等等，要求详细填写姓名、联系方式、家庭住址等个人信息，如果贸然填写，容易产生信息泄露风险。被动泄露方面，常见的有事主的网络账号被盗、企业系统被黑客入侵等等。” 

她建议，在生活中不要轻易打开来源不明的链接或随意填写个人信息，参加“抽奖”“领福利”等活动之前应仔细核验网站是否真实可靠。

今年4月，最高人民检察院发布10件打击治理电信网络诈骗及关联犯罪典型案例，并指出，公民个人信息是犯罪分子实施电信网络诈骗犯罪的“基础物料”。特别是行业“内鬼”非法提供个人信息，危害尤为严重。

在案例七“徐某等6人侵犯公民个人信息案”中，电信部门代理商和劳务公司内部人员相互勾结，利用工作便利，非法采集务工人员身份证、人脸识别信息激活手机卡，并被用于电信网络诈骗犯罪。检察机关以徐某等6人涉嫌侵犯公民个人信息罪提起公诉，同时提起刑事附带民事公益诉讼。

在最高人民法院9月发布的“人民法院依法惩治电信网络诈骗犯罪及其关联犯罪十大典型案例”中，“被告人陈凌等五人侵犯公民个人信息案”也与行业“内鬼”非法出售用户的实名制手机号码和验证码有关。

行业“内鬼”利用工作便利泄露个人信息的现象为何频频发生？对外经贸大学数字经济与法律创新研究中心主任许可表示，在过去传统的纸质化办公环境中，信息较难被大规模窃取和传播。随着社会生活及企业自身的数字化，信息以前所未有的速度集聚，但企业的风控技术、安全措施并没有跟上发展趋势，导致数据越来越多，但风险防范能力并没有同步增长。

“在传统工业时代，我们需要各种各样的石油、燃料，但其本身就蕴含着一定风险，需要以特殊的方式存储。在数字经济时代，数据成为了新‘石油’，企业应通过制度、技术、人员组织等加强风险内控，最大程度降低个人信息泄露风险。”许可说。

反电诈法以解决问题为导向 对个人信息保护双重发力

反电诈法即将实施，在立法上有何特点值得关注？

“反电诈法最大的特点在于突出问题导向，从内容规定来看，涉及到公安、金融、电信、网信、市场监管等多个部门，体现了协同共治的立法思路。”中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友表示。

“反电诈法是小切口法律，而不是以体系建构为目标。整个立法是针对实践性的问题而提出来的，因此在具体法条的适用上有很强的实操性。”此外，许可表示，本次立法秉持“急用先行”，推进的速度非常快。

保护个人信息对反电信网络诈骗的重要性不言而喻。在全国人大常委会法工委9月5日举行的集体采访中，法工委刑法室处长张义健强调反电诈法对个人信息保护双重发力，“既要从上游阻断信息源，也要防止在反电信网络诈骗工作中个人信息的二次泄露。”

具体而言：一是与个人信息保护法衔接，规定个人信息处理者要建立个人信息被用于电信网络诈骗的防范机制。特别是对与实施电信网络诈骗密切相关的物流信息、贷款信息、交易信息、婚介信息等要予以重点保护。二是规定公安机关在办理电信网络诈骗案件时要“一案双查”，对犯罪所利用的个人信息的来源进行查证溯源，并依法予以追责。三是对于出售、提供个人信息，为实施电信网络诈骗提供支持帮助的黑灰产行为明确禁止，规定了严厉处罚，构成犯罪的，依法追究刑事责任。四是强调在反诈工作中对个人信息的保护。

《个人信息保护法》已实施一年有余。从个人信息保护的特点来看，两部法律各有何侧重？

“个人信息保护法和反电诈法两者类似于一般法与特别法的关系，在涉及到个人信息处理方面，个人信息保护法是全面系统和一般性的规定，而反电诈法则侧重于防范利用个人信息实施电信网络诈骗。”石佳友表示。

“个人信息保护法是个人信息保护领域的综合性立法，更强调对于公民人格的保护，它既包括了消极保护，也包括积极保护，强调个人在个人信息处理活动中的权利。”许可指出，反电诈法规定对婚介、物流等信息重点保护，在个人信息保护法列举的敏感个人信息以外，增加了新的重点保护内容，更强调对公民财产的保护，侧重防范因个人信息泄露和滥用而带来的财产性损失。

从源头斩断诈骗链条 明确企业安全防范责任

反电诈法出台后，将对相关企业带来哪些实务影响？

“反电诈法并不是在网络安全法、数据安全法、个人信息保护法之外另起炉灶，而是一部综合性的法律。”许可指出，对于相关企业而言，履行反诈风险防控义务、网络安全义务、数据安全保护义务及个人信息安全保障义务存在一定交叉重合，在实践中需要进行综合性、一体化的合规体系建设。

反电诈法与多部法律联动，共同推进多元主体协同的网络综合治理模式，同时也对相关企业提出了更高的要求。特别是对于组织、技术等相对薄弱的中小企业而言，如何答好“合规”考卷尤为关键。

“从实践来看，中小企业确实存在信息安全技术能力较弱的情况，但作为个人信息处理者，不能只从信息处理的过程中获取利益，而不承担责任义务、不采取相关措施防范信息泄露风险。”石佳友认为，从企业的长远发展来看，履行合规义务能够倒逼其改善经营管理，应转变思维，以积极主动的心态拥抱合规要求。

许可表示，中小企业面临着“规模不经济”的难题，对于它们而言，合规不仅是成本问题，而往往与生存息息相关。除了要求它们自身提升安全保障措施外，还可以提供一些外部助力。“比如采取云服务等技术手段，由第三方的专业机构通过外包托管的方式来帮助中小企业解决合规问题。此外，安全风险事件对于中小企业而言往往是难以承受之重，可以通过引入网络安全保险等方式为它们分担一定的压力。”

开展用户身份认证核验是相关企业履行反诈风险防控义务的关键环节之一，也是落实网络实名制的重要保障。

在网络身份认证方面，网络安全法、个人信息保护法都作出了相关要求，反电诈法进一步明确，国家推进网络身份认证公共服务建设，支持个人、企业自愿使用，电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者对存在涉诈异常的电话卡、银行账户、支付账户、互联网账号，可以通过国家网络身份认证公共服务对用户身份重新进行核验。 

不同的企业在人员、技术、制度等方面有所差异，开展身份核验的效率和准确度也容易受此影响。国家网络身份认证公共服务作为一种基础设施面向个人和企业提供，有利于保障“实名认证”走向“实人认证”。

“加强网络身份认证公共服务具有重要意义，可以通过加密、暗纹等技术手段来落实实名制，平衡个人身份精准识别与个人信息保护之间的关系，避免因身份核验而带来额外的风险。”许可表示，企业自身也要强化风险意识，避免“业务跑得快，风险防范跑得慢”。

接下来，有哪些重要抓手推动反电诈法落地？“首先，相关部门、新闻媒体等要加大宣传力度，提升公众自我保护意识，另外，鼓励相关企业先行先试，形成良好的行业实践，积极开发运用科技手段来反制电信网络诈骗，增强对异常行为的监测预警，比如实时拦截可疑电话、阻止异常呼出等等，从源头阻断诈骗链条。”石佳友说。