21世紀經濟報道 見習記者鍾雨欣 北京報道

“今天接到了自稱京東金融客服的詐騙電話，對方知道我的名字，並稱我的校園認證需要關閉，還要清除之前開通的網貸信息，否則會影響徵信。讓我接入視頻會議，打開屏幕共享，按他們的指導來操作……”

“對方說自己是疾控中心的，並且準確地報出了我的身份證和手機號，後來誘導我下載所謂的安全軟件，要求我輸入銀行卡和密碼，我才意識到自己差點上當受騙了……”

如果在網絡上以“電信網絡詐騙”爲關鍵詞進行搜索，不難發現，在大量的相關案例中，不法分子利用精準掌握的個人信息，針對不同羣體“量體裁衣”，編造各種具有迷惑性的場景，獲取對方的信任。

近年來，我國電信網絡詐騙犯罪呈現多發高發態勢，打擊治理刻不容緩。今年9月2日，十三屆全國人大常委會第三十六次會議表決通過了《中華人民共和國反電信網絡詐騙法》，自12月1日起施行，爲反電信網絡詐騙工作提供有力法律支撐。

個人信息成爲電信網絡詐騙的“基礎物料”

據最高人民法院公佈的相關數據，2017年至2021年，全國法院一審審結電信網絡詐騙犯罪案件超過10萬件，22萬多名被告人被判處刑罰。今年上半年，全國法院一審審結電信網絡詐騙犯罪案件達到1.1萬件。

案件高發的背後，往往牽涉公民個人信息的泄露問題。非法獲取、提供公民個人信息等違法犯罪作爲電信網絡詐騙犯罪活動的上游犯罪及周邊黑灰產，爲詐騙犯罪分子實施精準詐騙提供了更加便利的條件，成爲電信網絡詐騙犯罪的催化劑和助推器。

北京市公安局朝陽分局反詐中心民警王佳告訴21世紀經濟報道記者，從近期接到的線索來看，冒充電商客服、冒充公檢法、虛假徵信等類型的騙局較爲突出，且與個人信息泄露有密切關聯。

“可能造成個人信息泄露的場景非常多，歸納起來主要包括自主和被動泄露。”王佳說，“比如網絡上經常出現的購物抽獎活動、福利紅包等等，要求詳細填寫姓名、聯繫方式、家庭住址等個人信息，如果貿然填寫，容易產生信息泄露風險。被動泄露方面，常見的有事主的網絡賬號被盜、企業系統被黑客入侵等等。” 

她建議，在生活中不要輕易打開來源不明的鏈接或隨意填寫個人信息，參加“抽獎”“領福利”等活動之前應仔細覈驗網站是否真實可靠。

今年4月，最高人民檢察院發佈10件打擊治理電信網絡詐騙及關聯犯罪典型案例，並指出，公民個人信息是犯罪分子實施電信網絡詐騙犯罪的“基礎物料”。特別是行業“內鬼”非法提供個人信息，危害尤爲嚴重。

在案例七“徐某等6人侵犯公民個人信息案”中，電信部門代理商和勞務公司內部人員相互勾結，利用工作便利，非法採集務工人員身份證、人臉識別信息激活手機卡，並被用於電信網絡詐騙犯罪。檢察機關以徐某等6人涉嫌侵犯公民個人信息罪提起公訴，同時提起刑事附帶民事公益訴訟。

在最高人民法院9月發佈的“人民法院依法懲治電信網絡詐騙犯罪及其關聯犯罪十大典型案例”中，“被告人陳凌等五人侵犯公民個人信息案”也與行業“內鬼”非法出售用戶的實名制手機號碼和驗證碼有關。

行業“內鬼”利用工作便利泄露個人信息的現象爲何頻頻發生？對外經貿大學數字經濟與法律創新研究中心主任許可表示，在過去傳統的紙質化辦公環境中，信息較難被大規模竊取和傳播。隨着社會生活及企業自身的數字化，信息以前所未有的速度集聚，但企業的風控技術、安全措施並沒有跟上發展趨勢，導致數據越來越多，但風險防範能力並沒有同步增長。

“在傳統工業時代，我們需要各種各樣的石油、燃料，但其本身就蘊含着一定風險，需要以特殊的方式存儲。在數字經濟時代，數據成爲了新‘石油’，企業應通過制度、技術、人員組織等加強風險內控，最大程度降低個人信息泄露風險。”許可說。

反電詐法以解決問題爲導向 對個人信息保護雙重發力

反電詐法即將實施，在立法上有何特點值得關注？

“反電詐法最大的特點在於突出問題導向，從內容規定來看，涉及到公安、金融、電信、網信、市場監管等多個部門，體現了協同共治的立法思路。”中國人民大學法學院教授、民商事法律科學研究中心執行主任石佳友表示。

“反電詐法是小切口法律，而不是以體系建構爲目標。整個立法是針對實踐性的問題而提出來的，因此在具體法條的適用上有很強的實操性。”此外，許可表示，本次立法秉持“急用先行”，推進的速度非常快。

保護個人信息對反電信網絡詐騙的重要性不言而喻。在全國人大常委會法工委9月5日舉行的集體採訪中，法工委刑法室處長張義健強調反電詐法對個人信息保護雙重發力，“既要從上游阻斷信息源，也要防止在反電信網絡詐騙工作中個人信息的二次泄露。”

具體而言：一是與個人信息保護法銜接，規定個人信息處理者要建立個人信息被用於電信網絡詐騙的防範機制。特別是對與實施電信網絡詐騙密切相關的物流信息、貸款信息、交易信息、婚介信息等要予以重點保護。二是規定公安機關在辦理電信網絡詐騙案件時要“一案雙查”，對犯罪所利用的個人信息的來源進行查證溯源，並依法予以追責。三是對於出售、提供個人信息，爲實施電信網絡詐騙提供支持幫助的黑灰產行爲明確禁止，規定了嚴厲處罰，構成犯罪的，依法追究刑事責任。四是強調在反詐工作中對個人信息的保護。

《個人信息保護法》已實施一年有餘。從個人信息保護的特點來看，兩部法律各有何側重？

“個人信息保護法和反電詐法兩者類似於一般法與特別法的關係，在涉及到個人信息處理方面，個人信息保護法是全面系統和一般性的規定，而反電詐法則側重於防範利用個人信息實施電信網絡詐騙。”石佳友表示。

“個人信息保護法是個人信息保護領域的綜合性立法，更強調對於公民人格的保護，它既包括了消極保護，也包括積極保護，強調個人在個人信息處理活動中的權利。”許可指出，反電詐法規定對婚介、物流等信息重點保護，在個人信息保護法列舉的敏感個人信息以外，增加了新的重點保護內容，更強調對公民財產的保護，側重防範因個人信息泄露和濫用而帶來的財產性損失。

從源頭斬斷詐騙鏈條 明確企業安全防範責任

反電詐法出臺後，將對相關企業帶來哪些實務影響？

“反電詐法並不是在網絡安全法、數據安全法、個人信息保護法之外另起爐竈，而是一部綜合性的法律。”許可指出，對於相關企業而言，履行反詐風險防控義務、網絡安全義務、數據安全保護義務及個人信息安全保障義務存在一定交叉重合，在實踐中需要進行綜合性、一體化的合規體系建設。

反電詐法與多部法律聯動，共同推進多元主體協同的網絡綜合治理模式，同時也對相關企業提出了更高的要求。特別是對於組織、技術等相對薄弱的中小企業而言，如何答好“合規”考卷尤爲關鍵。

“從實踐來看，中小企業確實存在信息安全技術能力較弱的情況，但作爲個人信息處理者，不能只從信息處理的過程中獲取利益，而不承擔責任義務、不採取相關措施防範信息泄露風險。”石佳友認爲，從企業的長遠發展來看，履行合規義務能夠倒逼其改善經營管理，應轉變思維，以積極主動的心態擁抱合規要求。

許可表示，中小企業面臨着“規模不經濟”的難題，對於它們而言，合規不僅是成本問題，而往往與生存息息相關。除了要求它們自身提升安全保障措施外，還可以提供一些外部助力。“比如採取雲服務等技術手段，由第三方的專業機構通過外包託管的方式來幫助中小企業解決合規問題。此外，安全風險事件對於中小企業而言往往是難以承受之重，可以通過引入網絡安全保險等方式爲它們分擔一定的壓力。”

開展用戶身份認證覈驗是相關企業履行反詐風險防控義務的關鍵環節之一，也是落實網絡實名制的重要保障。

在網絡身份認證方面，網絡安全法、個人信息保護法都作出了相關要求，反電詐法進一步明確，國家推進網絡身份認證公共服務建設，支持個人、企業自願使用，電信業務經營者、銀行業金融機構、非銀行支付機構、互聯網服務提供者對存在涉詐異常的電話卡、銀行賬戶、支付賬戶、互聯網賬號，可以通過國家網絡身份認證公共服務對用戶身份重新進行覈驗。 

不同的企業在人員、技術、制度等方面有所差異，開展身份覈驗的效率和準確度也容易受此影響。國家網絡身份認證公共服務作爲一種基礎設施面向個人和企業提供，有利於保障“實名認證”走向“實人認證”。

“加強網絡身份認證公共服務具有重要意義，可以通過加密、暗紋等技術手段來落實實名制，平衡個人身份精準識別與個人信息保護之間的關係，避免因身份覈驗而帶來額外的風險。”許可表示，企業自身也要強化風險意識，避免“業務跑得快，風險防範跑得慢”。

接下來，有哪些重要抓手推動反電詐法落地？“首先，相關部門、新聞媒體等要加大宣傳力度，提升公衆自我保護意識，另外，鼓勵相關企業先行先試，形成良好的行業實踐，積極開發運用科技手段來反制電信網絡詐騙，增強對異常行爲的監測預警，比如實時攔截可疑電話、阻止異常呼出等等，從源頭阻斷詐騙鏈條。”石佳友說。

（作者：鍾雨欣 編輯：李玉敏）