写在前面
近年来,随着大量被非法交易的手机卡、物联网卡、网络账号成为实施电信网络诈骗的重要工具,电信网络诈骗案件频发,大量公民财产遭受损失,引起社会广泛关注。2017年至2021年,全国法院一审审结电信网络诈骗犯罪案件超过10.3万件,22.3万多名被告人被判处刑罚。今年上半年,全国法院一审审结电信网络诈骗犯罪案件达到1.1万件,2.1万名被告人被判处刑罚[1]。在此背景下,作为对电信网络诈骗猖獗乱象的有力回应,《中华人民共和国反电信网络诈骗法》(以下称“《反电诈法》”)于今年9月正式颁布并于今年12月1日起施行。
《反电诈法》针对电信网络诈骗规定了多种治理方式,具有较强的实操性,其中尤其强调源头治理,对涉及电信、金融、互联网领域的相关企业提出了较高的风险防控要求,并课以了较严格的法律责任。天达共和数据合规团队基于对数据安全和个人信息保护问题的多年研究,通过本文从个人信息保护的角度对《反电诈法》进行解读,分析《反电诈法》涉及的责任主体范围,明确相关企业在哪些情形下可能被认定为违反风险防控义务,以及违反上述义务可能承担的法律责任,并就企业可以采取的合规对策提供建议。
一、责任主体的范围
根据《反电诈法》第六条,风险防控责任涉及的责任主体包括四类——电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者(以下统称“责任主体”),其业务涵盖电信、金融、互联网三个方面。
鉴于《反电诈法》未直接规定上述四类主体的定义,我们尝试根据其他法律法规和监管要求厘清相应主体的内涵,其中,“电信业务经营者”指在中国境内从事电信活动或者与电信有关的活动的企业[2];“银行业金融机构”指在中国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构及政策性银行[3];“非银行支付机构”指在中国境内依法设立并取得支付业务许可证,从事储值账户运营和/或支付交易处理的有限责任公司或者股份有限公司[4];“互联网服务提供者”指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位[5]。
鉴于上述四类责任主体在业务运营过程中往往会掌握大量使用电信、金融、互联网产品或服务用户的个人信息,其通常还会构成《个人信息保护法》(以下称“《个保法》”)下进行个人信息处理活动的个人信息处理者[6],需要履行相应的个人信息保护义务。
二、未尽到风险防控义务的情形
我们认为,《反电诈法》是一部以电信网络诈骗这一特殊场景为规制对象的综合性法律,从个人信息保护的角度,该法中对适用于反电信网络诈骗的个人信息保护要求,实际上是对于《个保法》及其配套制度、其他规范性文件中要求的细化,换言之,是就反电信网络诈骗这一具体场景提出的个人信息保护要求,而非在《个保法》及其配套制度之外提出额外的个人信息保护要求。在此背景下,在防范电信网络诈骗的事前和事中阶段,责任主体因未建立有效的个人信息保护机制(包括保障数据安全能力、建立内部制度、采取相关措施等),导致电信、金融、互联网产品或服务用户的个人信息有较高的泄露风险或以其他方式被非法利用,或者责任主体未按要求落实相应实名制监管要求、未按要求履行个人信息报送义务的,均可能属于未尽到《反电诈法》风险防控义务的情形。
1. 责任主体存在个人信息泄露风险
《反电诈法》强调从源头治理电信网络诈骗。从该法的立法目的考虑,如对电信网络诈骗追根溯源,掌握大量个人信息的企业发生个人信息泄露,将极有可能成为电信网络诈骗的潜在源头。《反电诈法》明确规定,“公安机关办理电信网络诈骗案件,应当同时查证犯罪所利用的个人信息来源,依法追究相关人员和单位责任”[7] ,这实际上是通过立法方式,将近年来公安机关在打击电信网络诈骗的执法过程中的“一案双查”[8]机制确立为法定程序。北京市公安机关在“净网2021”行动中,除打击电信网络诈骗的犯罪行为外,还相继开展了网站安全监督检查、网站备案摸排整治、安全评估等行动,共清理违法有害信息408万条,关停违规账号19万个,行政查处违法违规企业2775家次[9]。不难看出,未落实网络安全义务的互联网企业(属于《反电诈法》的责任主体)在反电信网络诈骗执法活动中亦被视为规制对象。因此,对责任主体而言,如果未能在防范电信网络诈骗的事前和事中阶段做好源头治理,导致其存在个人信息泄露的风险,就可能违反《反电诈法》的风险防控义务。具体来看,个人信息泄露的渠道主要包含如下三种:
其一,内部控制不善导致员工泄露个人信息。在最高人民法院9月发布的“人民法院依法惩治电信网络诈骗犯罪及其关联犯罪十大典型案例”之八“被告人陈凌等五人侵犯公民个人信息案”中,被告人陈凌等人作为通信企业从业人员,利用职务便利,未经用户同意,擅自获取用户的实名制手机号码和验证码,非法出售给他人用于注册微信、抖音等账号,牟取非法利益,涉案非法所得从20.1万余元至1.5万余元不等[10]。该案中行业“内鬼”之所以有可乘之机,正是由于作为责任主体的相关通信企业存在内部控制制度不健全,管理措施、技术措施、人员培训不到位等情况。
其二,外部合作方管理不善导致合作方泄露个人信息。例如,2020年8月,上海银保监局对某银行信用卡中心开出100万元的罚单,罚单中显示“2019年5月、7月,该中心对部分信用卡催收外包管理严重不审慎”[11]。在互联网发展推动下,新兴催收平台纷纷成为各大银行等金融机构的外包方,利用人工智能、云计算等技术代银行实现高效安全的催收,但催收平台管理不善将极易导致银行向其提供的大量敏感个人信息泄露。作为责任主体的银行在上述处罚案例中未对作为外包合作方的催收公司进行有效的管理和监督,是造成个人信息泄露的根本原因。
其三,外部黑客袭击导致个人信息泄露。近年来,全球各地相继曝出大规模的黑客袭击导致个人信息泄露的事件,例如,去年10月,江苏无锡警方破获了一起侵犯公民个人信息案,犯罪嫌疑人通过黑客技术非法获取某大型社交网络账号关联的手机号码等公民个人信息数据,并通过非法网络平台以每条1000美元(约合人民币6384元)的价格出售,涉案的公民个人信息高达54亿余条[12]。这类案件为保有大量个人信息的企业敲响了警钟,数据安全保护能力不足、网络安全机制不健全、技术措施没有达到要求等,将直接导致黑客可以轻易突破防线、窃取大量个人信息。
2. 未落实相应实名制监管要求
《反电诈法》规定了责任主体实名制的各项要求,责任主体未落实实名制将违反风险防控义务。但需要注意的是,电信、金融、互联网领域的实名制规定并非《反电诈法》首次提出,在《反电诈法》前,由相应监管部门制定的多部规定中均明确了实名制要求,且对于不同类型的责任主体,对实名制的落实方式和要求也不尽相同。例如,在电信业务场景下,工信部于2013年制定的《电话用户真实身份信息登记规定》系统地规定了电信业务经营者为用户办理固定电话、移动电话入网手续及提供后续服务时的实名登记要求;在金融业务场景下,《反洗钱法》明确规定,金融机构应当按照规定建立客户身份识别制度,要求客户出示真实有效的身份证件或者其他身份证明文件,进行核对并登记,不得为身份不明的客户提供服务或者与其进行交易,不得为客户开立匿名账户或者假名账户[13];在互联网业务场景下,网信办制定并于今年更新的2022年版《移动互联网应用程序信息服务管理规定》要求运营App的互联网服务提供者需要结合手机号码、身份证号码或者统一社会信用代码完成实名登记[14];此外,国家新闻出版总署于2019年颁布并实施的《国家新闻出版署关于防止未成年人沉迷网络游戏的通知》亦明确规定,应实行网络游戏用户账号实名注册制度。
我们认为,《反电诈法》作为一部以解决特定场景问题为导向的法律,就电信网络诈骗这一特定场景,在既往立法和监管要求的基础上,进一步明确了各类责任主体为达到实名制要求应采取的具体措施,建议企业在关注《反电诈法》的同时,也应同步关注其他监管要求。
3. 未履行责任主体的个人信息报送义务
《反电诈法》规定,“国务院建立反电信网络诈骗工作机制,统筹协调打击治理工作[15]”,“有关部门、单位在反电信网络诈骗工作中密切协作,实现跨行业、跨地域协同配合、快速联动”[16]。上述规定确立了各主管部门协同联动的工作机制,在此机制下,《反电诈法》进一步明确了各主管部门的信息共享机制,要求各类责任主体分别向主管部门报送相应个人信息[17]。如责任主体未及时按照相关要求向主管部门报送上述个人信息,将违反《反电诈法》的风险防控义务。
三、未尽到风险防控义务的法律责任
《反电诈法》第六章规定了责任主体未尽到风险防控义务的法律责任。对于提供产品和服务的企业而言,如不存在故意组织、策划、实施、参与电信网络诈骗活动或者为电信网络诈骗活动提供相关帮助的,则无须承担刑事责任。但,鉴于《反电诈法》对责任主体的行政责任方面进行了较为详细的规定,我们建议企业对此予以重点关注。
在行政责任方面,《反电诈法》沿袭了《个保法》《数据安全法》《网络安全法》“企业+个人”的双罚机制,并细化了违法行为的表现形式,处罚金额也有所提高,体现了强监管的立法和执法趋势。根据《反电诈法》,如责任主体未尽到风险防控义务,最高可被处以高达五百万元的罚款(如有违法所得,最高可处以违法所得十倍的罚款),且可由有关主管部门关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员最高可处以二十万元罚款[18]。
此外,根据《反电诈法》,责任主体如违反规定造成他人损害的,还应当承担民事责任[19]。
四、合规对策
为预防个人信息泄露、遭受非法利用导致的电信网络诈骗造成公民财产损失的风险,同时避免自身违反《反电诈法》而承担相应的法律责任,责任主体应及时按照《反电诈法》的要求落实风险防控责任,“建立内部控制机制和安全责任制度,加强新业务涉诈风险安全评估”,在发生电信网络诈骗的事前和事中阶段即从源头化解个人信息泄露的风险。
《反电诈法》规定,“个人信息处理者应当依照《个人信息保护法》等法律规定,规范个人信息处理,加强个人信息保护,建立个人信息被用于电信网络诈骗的防范机制”[20]。结合上文的分析,我们建议企业首先应当落实一般的个人信息保护要求,这类要求体现在《个保法》及其配套制度以及其他的规范性文件中,在此基础上,责任主体应进一步根据《反电诈法》中就电信网络诈骗场景提出的更有针对性的个人信息保护要求予以落实,以期达到《反电诈法》对个人信息保护的合规要求,如后续《反电诈法》的配套规定对责任主体的风险控制义务作出进一步细化,也建议责任主体及时关注并更新自身的合规策略,具体可从以下三个角度执行:
1. 加强防范个人信息泄露
总体而言,责任主体应当按照《个保法》及其相关配套制度的要求,在处理个人信息前进行个人信息保护影响评估,并建立个人信息保护的组织架构,按照法律法规的要求设立个人信息负责人,完善与个人信息保护相关的内部控制制度,采取相应的技术措施和管理措施,此外,还应制定个人信息安全事件应急预案并开展相应的演练。
为防止内部员工泄露个人信息,责任主体还应完善针对个人信息使用的管理措施和技术措施(包括但不限于对个人信息进行去标识化或匿名化处理,严格控制个人信息的访问权限等),定期组织对员工的培训,提升员工的个人信息保护意识和能力,同时加强对特定岗位人员的管理,确保责任到人。
为防止外部合作方泄露个人信息,责任主体还应加强对合作方个人信息处理活动的管理和监督,包括但不限于与合作方签署安全保密协议、与合作方的员工签订安全保密承诺书,详细约定保密义务及相应责任;使用技术手段检测合作方的网络和信息系统,排查可能的安全漏洞等。在金融领域,去年年底银保监会专门出台了《银行保险机构信息科技外包风险监管办法》,旨在促进银行保险机构提升信息科技外包风险管控能力。该规定明确了银行保险机构在信息科技外包合同或协议中应当约定的内容[21],以及金融机构在信息科技外包活动中应当履行的其他义务。该办法对非金融领域的责任主体企业亦有一定的借鉴和参考价值。
为防止黑客攻击导致的个人信息泄露,责任主体还应按照《网络安全法》《数据安全法》等法律法规和国家标准等规范性文件对网络安全等级保护制度的要求,进行网络安全保护等级备案和测评,并根据测评结果,对照上述规范性文件的要求,采取相应的技术措施进行网络安全建设,履行安全保护义务,提升网络安全和数据保护水平。
特别地,《反电诈法》专门规定了履行个人信息保护职责的部门和单位应对可能被电信网络诈骗利用的“五类信息”——物流信息、交易信息、贷款信息、医疗信息、婚介信息——实施重点保护[22]。鉴于这五类信息都极有可能属于《个保法》规定的敏感个人信息,责任主体应落实《个保法》及其配套制度中关于敏感个人信息的处理规则,在建立和完善个人信息分级分类制度的基础上,合理地对不同类型、不同敏感等级的信息制定和落实不同的保护策略。
2. 落实实名制要求
处于不同行业的责任主体应在遵守行业主管部门制定的规范性文件,履行实名制法定义务的基础上,还进一步按照《反电诈法》的要求,增加实名制核验措施,以防范“实名不实人”的风险。
此外,在落实实名制要求的过程中,可能涉及到对人脸信息的使用。从技术角度考虑,通过人脸识别进行的身份验证,是对原有的身份证、手机号码认证的一种加强,更有利于达到《反电诈法》“从实名到实人”的目的。但目前我们未见相关法律法规或监管要求明确支持必须使用人脸识别技术进行身份验证,故,在现阶段,在商业场景下收集人脸信息进行身份验证的合法基础通常仍仅限于取得用户的单独同意。同时,从最高人民法院出台的司法解释《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》、今年10月刚刚颁布的国家标准《信息安全技术 人脸识别数据安全要求》(GB/T 41819-2022),并结合去年发布的《网络数据安全管理条例(征求意见稿)》的规定来看,使用人脸识别技术收集人脸信息,需要进行必要性论证,在非必要的情况下,如果用户不同意使用人脸识别技术,则应当为其提供其他替代方案进行身份验证[23]。故,对于责任主体而言,我们建议尽量做到非必要不收集和存储人脸信息(例如,仅在设备终端进行比对,不将人脸信息上传至后台或云端),如果确有必要收集或存储人脸信息,则应在做好个人信息分级分类的基础上,按照敏感个人信息的保护要求,对人脸信息实施更加严格的保护措施。
3. 履行个人信息报送义务
责任主体应当按照《反电诈法》的规定和相应主管部门的要求,及时向主管部门报送相应个人信息,对于互联网服务提供者,还应注意记录并留存所提供相应服务的日志信息[24]。
4. 关于个人信息保护的其他提示
根据《反电诈法》的规定,在某些场景下,责任主体为履行风险防控义务可以收集、使用、报送相关个人信息。例如,为落实实名制要求,责任主体需要收集、核实相关个人的身份信息;又如,根据《反电诈法》第18条第4款,银行业金融机构、非银行支付机构开展异常账户和可疑交易监测时,可以收集异常客户互联网协议地址、网卡地址、支付受理终端信息等必要的交易信息、设备位置信息。对于此类情形下涉及的个人信息处理活动,尽管责任主体可以依据《个保法》,以履行《反电诈法》的法定义务作为合法基础,而无须取得客户同意[25],但需要注意的是,首先,以履行法定义务作为处理个人信息的合法基础不免除责任主体告知义务的履行,责任主体仍应就处理此类个人信息的规则向个人进行披露;其次,此类个人信不得用于反电信网络诈骗以外的其他用途,如果需要超出该用途使用,责任主体仍需要按照《个保法》的规定取得同意或具备其他适用的合法基础。
结语
《反电诈法》的颁布和实施无疑反映了近年来我国对于个人信息保护的逐步重视,其对企业提出的要求与《数据安全法》《网络安全法》《个保法》及其配套制度中关于个人信息的保护要求具有紧密联系。在个人信息保护方面,我们认为,《反电诈法》并未对企业提出额外的合规要求,而是在反电信网络诈骗这一特殊场景下对相应的个人信息保护提出了有针对性的要求。进入强监管时代后,包括《反电诈法》在内的各类法律法规,均在落实实名制、防范个人信息泄露等方面对企业提出了新的挑战,倒逼企业尽快落实个人信息保护相关要求。企业应及时完善内控制度,提高自身的数据保护水平,以期远离合规红线,在多变的市场和监管环境中把握机遇。
注释:
[1] 最高人民法院:《人民法院依法惩治电信网络诈骗犯罪工作情况暨典型案例新闻发布会》,2022年9月6日,https://www.court.gov.cn/zixun-xiangqing-371111.html。
[2] 《中华人民共和国电信条例》第2条,其中根据该第2款,该条例所称电信,是指利用有线、无线的电磁系统或者光电系统,传送、发射或者接收语音、文字、数据、图像以及其他任何形式信息的活动。
[3] 《银行业金融机构从业人员行为管理指引》第2条。
[4] 《非银行支付机构条例(征求意见稿)》第2条,涉及关于储值账户运营和支付交易处理的详细内容。
[5] 《互联网安全保护技术措施规定》第18条第1款。
[6] 《个人信息保护法》第73条第(一)项:“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”第4条第2款:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”
[7] 《反电信网络诈骗法》第29条第2款。
[8] 2018年起,针对网络乱象,公安机关开始实行“一案双查”制度,即在对网络违法犯罪案件开展侦查调查工作时,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。
[9] 北京市公安局:《北京警方“净网2021”,破获各类网络案件3114起》,2021年12月21日,http://gaj.beijing.gov.cn/xxfb/jwbd/202112/t20211231_2581080.html。
[10] 央视网:《人民法院依法惩治电信网络诈骗犯罪及其关联犯罪典型案例》,2022年9月6日,https://news.cctv.com/2022/09/06/ARTIlGXFc3PIBGz0WtY9YnD1220906.shtml。
[11] 沪银保监银罚决字〔2020〕8号。
[12] 网易新闻:《国内最大个人信息泄露案,54亿条数据泄露》,2021年10月26日,https://c.m.163.com/news/a/GN7SH1880511BI8B.html。
[13] 《反洗钱法》第16条。
[14] 《移动互联网应用程序信息服务管理规定(2022)》第2条:“应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证”。
[15] 《反电信网络诈骗法》第6条。
[16] 《反电信网络诈骗法》第7条。
[17] 《反电信网络诈骗法》第10条:“国务院电信主管部门组织建立电话用户开卡数量核验机制和风险信息共享机制”。第16条:“中国人民银行、国务院银行业监督管理机构组织有关清算机构建立跨机构开户数量核验机制和风险信息共享机制”“银行业金融机构、非银行支付机构应当按照国家有关规定提供开户情况和有关风险信息”。第26条第2款:“互联网服务提供者依照本法规定对有关涉诈信息、活动进行监测时,发现涉诈违法犯罪线索、风险信息的,应当依照国家有关规定,根据涉诈风险类型、程度情况移送公安、金融、电信、网信等部门”。
[18] 《反电信网络诈骗法》第39条至第44条。
[19] 《反电信网络诈骗法》第46条第2款。
[20] 《反电信网络诈骗法》第29条第1款。
[21] 《银行保险机构信息科技外包风险监管办法》第21条:“银行保险机构在信息科技外包合同或协议中应当明确以下内容,包括但不限于:(一)服务范围、服务内容、服务要求、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件,服务质量考核评价约定。(二)合规、内控及风险管理要求,对法律法规及银行保险机构内部管理制度的遵守要求,监管政策的通报贯彻机制。(三)服务持续性要求,服务提供商的服务持续性管理目标应当满足银行保险机构业务连续性目标要求。(四)银行保险机构对服务提供商进行风险评估、监测、检查和审计的权利,及服务提供商承诺接受银保监会对其所承担的银行保险机构外包服务的监督检查。(五)合同变更或终止的触发条件,合同变更或终止的过渡安排。(六)外包活动中相关信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求。”
[22] 《反电信网络诈骗法》第29条第2款。
[23] 《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条:“信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:……(八)违反合法、正当、必要原则处理人脸信息的其他情形。”第4条:“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;……”参考其第10条第1款:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”
《信息安全技术 人脸识别数据安全要求》(GB/T 41819-2022)第5条b项:“应仅在人脸识别方式比非人脸识别方式更具安全性或便捷性时,采用人脸识别方式进行身份识别;应同时提供人脸识别方式和非人脸识别方式,并由自然人选择使用。”
《网络数据安全管理条例(征求意见稿)》第25条:“数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。”
[24] 《反电信网络诈骗法》第24条。
[25] 《个人信息保护法》第13条。
