《《反电信网络诈骗法》要点梳理和解读.docx》由会员分享,可在线阅读,更多相关《《反电信网络诈骗法》要点梳理和解读.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、反电信网络诈骗法要点梳理和解读一、立法背景2022年9月2日,十三届全国人大常委会第三十六次会议表决通过了中华人民共和国 反电信网络诈骗法,自2022年12月1日起施行。回顾立法进程,反电信网络诈骗法历经三次审稿,从最初39条,到二审稿46条, 到正式稿50条,已围绕综合治理、源头治理和全链条治理重点,形成了以多部门各司其职并 协同打击治理电信网络诈骗活动为目的的相对完善全面的一部专门法律。 2021年10月19日,中华人民共和国反电信网络诈骗法(草案)提请十三届全 国人大常委会初次审议。初审稿明确了反电诈工作的基本原则,完善了各主体相关基础合规管 理制度,构建了初步的法律责任体系。 2022
2、年6月21日,中华人民共和国反电信网络诈骗法(草案二审稿)提请十三 届全国人大常委会第三十五次会议二次审议。草案二审稿在进一步总结反诈工作经验基础上, 着力加强预防性法律制度构建,强化压实各方面的主体责任和社会责任,并增加保密管理和隐 私保护等板块。 2022年8月30日,中华人民共和国反电信网络诈骗法(草案三审议稿)提请十 三届全国人大常委会第三十六次会议审议,草案三审稿对有关方面提出的“加大对电信网络诈 骗违法犯罪人员的惩戒力度”“充实完善宣传教育防范方面的规定”“加强宣传教育和相关信 息共享”等意见建议作出回应。从草案到正式稿出台,用时不到一年,这一立法速度体现了主管部门打击电信网络诈骗
3、行 动的坚决急迫态度。全国人大常委会法工委刑法室主任王爱立在答记者问时表示,反电信网 络诈骗法在立法技术上是“小快灵”,体现“小切口”,对关键环节、主要制度作出规定, 建起四梁八柱,条文数量不求太多,立法进程快,体现急用先行,将进一步丰富全国人大常委 会的立法形式。二、主要内容(一)治理对象反电信网络诈骗法第二条规定:”本法所称电信网络诈骗,是指以非法占有为目的, 利用电信网络技术手段,通过远程、非接触等方式,诈骗公私财物的行为”。该法第三条规定了打击范围,即以下三种情形: 境内诈骗行为; 中国公民在境外实施的诈骗行为;5 .加强反诈宣传,并结合人民银行相关指导意见,减少客户非必要开卡需要,以
4、服务便民 为基本原则,提供合理的解决方案。对于不合理的开卡需求,如未能满足身份核验的要求,应 当拒绝开户;6 .由于本法明确了银行金融机构未履行风险监测和相关处置义务的行政责任,因此商业银 行应对监测识别、风控措施的执行证据留痕和保存。同时商业银行也需要针对具体情况及时 与公安机关、监管部门进行沟通、汇报,并按照规定准确传输有关交易等信息;7 .在运营线上渠道产品、提供网络银行服务时,应当高度重视其作为互联网服务提供者时 可能存在的相关的风险,以及应当承担的反电信网络诈骗法第四章互联网治理相关主体的 责任。境外针对境内实施诈骗的行为:境外的组织、个人针对中华人民共和国境内实施电信 网络诈骗活动
5、的,或者为他人针对境内实施电信网络诈骗活动提供产品、服务等帮助的,依照 本法有关规定处理和追究责任。(二)治理主体明确电信、金融、网络机构为反诈主体。本部法律不仅涉及国务院公安部门、金融管理部 门、电信主管部门和国家网信部门等,也涉及公安机关、人民检察院、人民法院等单位,更涉 及电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者。共同反诈要求上 述部门和单位应从各自职能出发,在统筹协调、建立工作机制、风险防控等方面密切协作,实 现跨行业、跨地域协同配合、快速联动,加强专业队伍建设,有效打击治理电信网络诈骗活动。(三)合规要求反电信网络诈骗法共七章50条,包括总则、电信治理、金融治
6、理、互联网治理、综 合措施、法律责任、附则等。该法针对电信网络诈骗的各环节进行了针对性制度设计,特别是 要求电信企业、银行、支付机构、互联网企业等在反诈工作中要承担风险防控责任,建立内部 控制制度和安全责任制度。例如,银行要履行反洗钱、反诈职责,建立尽职调查制度,对涉诈 异常银行卡、可疑交易等进行监测处置;电信企业要对涉诈异常电话卡、改号电话、GOIP (虚 拟拨号设备)等非法设备等进行监测处置;互联网企业要对涉诈互联网账号、App、网络黑灰 产进行监测处置,要按照国家规定,履行合理注意义务,防范其相关业务被用于实施电信网络 诈骗等等。止匕外,该法区分主体进行了细致的合规义务规定,整体体现为“
7、3 + 1”格局(电信/金融/ 互联网+综合治理),如下表所示(本法为违反加粗标红部分的行为规定了严格的法律责任): 第二章电信治理【第九条】(实名登记) 电信业务经营者应当依法全面落实电话用户真实身份信息登 记制度。基础电信企业和移动通信转售企业应当承担对代理商落实电话用户实名制管理责任,在 协议中明确代理商实名制登记的责任和有关违约处置措施。【第十条】(开卡管控)办理电话卡不得超出国家有关规定限制的数量。对经识别存在异常办卡情形的,电信业务经营者有权加强核查或者拒绝办卡。具体识别办 法由国务院电信主管部门制定。国务院电信主管部门组织建立电话用户开卡数量核验机制和风险信息共享机制,并为用户
8、查询名下电话卡信息提供便捷渠道。【第十一条】(风险处置)电信业务经营者对监测识别的涉诈异常电话卡用户应当重新 进行实名核验,根据风险等级采取有区别的、相应的核验措施。对未按规定核验或者核验未通 过的,电信业务经营者可以限制、暂停有关电话卡功能。【第十二条】(物联网卡管理)电信业务经营者建立物联网卡用户风险评估制度,评估 未通过的,不得向其销售物联网卡;严格登记物联网卡用户身份信息;采取有效技术措施限定 物联网卡开通功能、使用场景和适用设备。单位用户从电信业务经营者购买物联网卡再将载有物联网卡的设备销售给其他用户的,应 当核验和登记用户身份信息,并将销量、存量及用户实名信息传送给号码归属的电信业
9、务经营 者。电信业务经营者对物联网卡的使用建立监测预警机制。对存在异常使用情形的,应当采取 暂停服务、重新核验身份和使用场景或者其他合同约定的处置措施。【第十三条】(加强管理)电信业务经营者应当规范真实主叫号码传送和电信线路出租, 对改号电话进行封堵拦截和溯源核查。电信业务经营者应当严格规范国际通信业务出入口局主叫号码传送,真实、准确向用户提 示来电号码所属国家或者地区,对网内和网间虚假主叫、不规范主叫进行识别、拦截。【第十四条】(非法设备处置) 任何单位和个人不得非法制造、买卖、提供或者使用下列设备、软件:(一)电话卡批量插入设备;(二)具有改变主叫号码、(二)具有改变主叫号码、拟拨号、互联
10、网电话违规接入公用电信网络等功能的设备、软件;(三)批量账号、网络地址自动切换系统,批量接收提供短信验证、语音验证的平台;(四)其他用于实施电信网络诈骗等违法犯罪的设备、软件。电信业务经营者、互联网服务提供者应当采取技术措施,及时识别、阻断前款规定的非法 设备、软件接入网络,并向公安机关和相关行业主管部门报告。第三章金融治理【第十五条】 银行业金融机构、非银行支付机构为客户开立银行账户、支付账户及提 供支付结算服务,和与客户业务关系存续期间,应当建立客户尽职调查制度,依法识别受益 所有人,采取相应风险管理措施,防范银行账户、支付账户等被用于电信网络诈骗活动。【第十六条】(账户管理)开立银行账户
11、、支付账户不得超出国家有关规定限制的数量。对经识别存在异常开户情形的,银行业金融机构、非银行支付机构有权加强核查或者拒绝 开户。中国人民银行、国务院银行业监督管理机构组织有关清算机构建立跨机构开户数量核验机 制和风险信息共享机制,并为客户提供查询名下银行账户、支付账户的便捷渠道。银行业金融机构、非银行支付机构应当按照国家有关规定提供开户情况和有关风险信息。相关信息不得用 于反电信网络诈骗以外的其他用途。【第十七条】银行业金融机构、非银行支付机构应当建立开立企业账户异常情形的风险 防控机制。金融、电信、市场监管、税务等有关部门建立开立企业账户相关信息共享查询系 统,提供联网核查服务。市场主体登记
12、机关应当依法对企业实名登记履行身份信息核验职责;依照规定对登记事项 进行监督检查,对可能存在虚假登记、涉诈异常的企业重点监督检查,依法撤销登记的,依照 前款的规定及时共享信息;为银行业金融机构、非银行支付机构进行客户尽职调查和依法识别 受益所有人提供便利。【第十八条】 银行业金融机构、非银行支付机构应当对银行账户、支付账户及支付结算 服务加强监测,建立完善符合电信网络诈骗活动特征的异常账户和可疑交易监测机制。中国人民银行统筹建立跨银行业金融机构、非银行支付机构的反洗钱统一监测系统,会同 国务院公安部门完善与电信网络诈骗犯罪资金流转特点相适应的反洗钱可疑交易报告制度。对监测识别的异常账户和可疑交
13、易,银行业金融机构、非银行支付机构应当根据风险情况, 采取核实交易情况、重新核验身份、延迟支付结算、限制或者中止有关业务等必要的防范措施。银行业金融机构、非银行支付机构依照第一款规定开展异常账户和可疑交易监测时,可以 收集异常客户互联网协议地址、网卡地址、支付受理终端信息等必要的交易信息、设备位置信 息。上述信息未经客户授权,不得用于反电信网络诈骗以外的其他用途。【第十九条】(配合义务) 银行业金融机构、非银行支付机构应当按照国家有关规定,完整、准确传输直接提供商品或者服务的商户名称、收付款客户名称及账号等交易信息,保证 交易信息的真实、完整和支付全流程中的一致性。【第二十条】国务院公安部门会
14、同有关部门建立完善电信网络诈骗涉案资金即时查询、 紧急止付、快速冻结、及时解冻和资金返还制度,明确有关条件、程序和救济措施。公安机关依法决定采取上述措施的,银行业金融机构、非银行支付机构应当予以配合。第四章互联网治理【第二十一条】(实名制) 电信业务经营者、互联网服务提供者为用户提供下列服务, 在与用户签订协议或者确认提供服务时,应当依法要求用户提供真实身份信息,用户不提供真 实身份信息的,不得提供服务:(一)提供互联网接入服务;(二)提供网络代理等网络地址转换服务;(三)提供互联网域名注册、服务器托管、空间租用、云服务、内容分发服务;(四)提供信息、软件发布服务,或者提供即时通讯、网络交易、
15、网络游戏、网络直播 发布、广告推广服务。【第二十二条】(异常账户处置)互联网服务提供者对监测识别的涉诈异常账号应当重 新核验,根据国家有关规定采取限制功能、暂停服务等处置措施。互联网服务提供者应当根据公安机关、电信主管部门要求,对涉案电话卡、涉诈异常电话 卡所关联注册的有关互联网账号进行核验,根据风险情况,采取限期改正、限制功能、暂停使 用、关闭账号、禁止重新注册等处置措施。【第二十三条】(APP管理)设立移动互联网应用程序应当按照国家有关规定向电信主 管部门办理许可或者备案手续。为应用程序提供封装、分发服务的,应当登记并核验应用程序开发运营者的真实身份信息, 核验应用程序的功能、用途。公安、
16、电信、网信等部门和电信业务经营者、互联网服务提供者应当加强对分发平台以外 途径下载传播的涉诈应用程序重点监测、及时处置。【第二十四条】(域名管理) 提供域名解析、域名跳转、网址链接转换服务的,应当按 照国家有关规定,核验域名注册、解析信息和互联网协议地址的真实性、准确性,规范域名跳 转,记录并留存所提供相应服务的日志信息,支持实现对解析、跳转、转换记录的溯源。【第二十五条】(禁止性规定)任何单位和个人不得为他人实施电信网络诈骗活动提供 下列支持或者帮助:(一)出售、提供个人信息;(二)帮助他人通过虚拟货币交易等方式洗钱;(三)其他为电信网络诈骗活动提供支持或者帮助的行为。电信业务经营者、互联网
17、服务提供者应当依照国家有关规定,履行合理注意义务,对利用 下列业务从事涉诈支持、帮助活动进行监测识别和处置:(一)提供互联网接入、服务器托管、网络存储、通讯传输、线路出租、域名解析等网 络资源服务;(二)提供信息发布或者搜索、广告推广、引流推广等网络推广服务;(三)提供应用程序、网站等网络技术、产品的制作、维护服务;(四)提供支付结算服务。【第二十六条】(配合义务)公安机关办理电信网络诈骗案件依法调取证据的,互联网 服务提供者应当及时提供技术支持和协助。互联网服务提供者依照本法规定对有关涉诈信息、活动进行监测时,发现涉诈违法犯罪线 索、风险信息的,应当依照国家有关规定,根据涉诈风险类型、程度情
18、况移送公安、金融、电 信、网信等部门。有关部门应当建立完善反馈机制,将相关情况及时告知移送单位。第五章综合措施【第二十七条】公安机关应当建立完善打击治理电信网络诈骗工作机制,加强专门队伍 和专业技术建设,各警种、各地公安机关应当密切配合,依法有效惩处电信网络诈骗活动。公安机关接到电信网络诈骗活动的报案或者发现电信网络诈骗活动,应当依照中华人民 共和国刑事诉讼法的规定立案侦查。【第二十八条】 金融、电信、网信部门依照职责对银行业金融机构、非银行支付机构、 电信业务经营者、互联网服务提供者落实本法规定情况进行监督检查。有关监督检查活动应当 依法规范开展。【第二十九条】(个人信息保护) 个人信息处理
19、者应当依照中华人民共和国个人信息 保护法等法律规定,规范个人信息处理,加强个人信息保护,建立个人信息被用于电信网络 诈骗的防范机制。履行个人信息保护职责的部门、单位对可能被电信网络诈骗利用的物流信息、交易信息、 贷款信息、医疗信息、婚介信息等实施重点保护。公安机关办理电信网络诈骗案件,应当同时 查证犯罪所利用的个人信息来源,依法追究相关人员和单位责任。【第三十条】(反诈骗宣传) 电信业务经营者、银行业金融机构、非银行支付机构、互 联网服务提供者应当对从业人员和用户开展反电信网络诈骗宣传,在有关业务活动中对防范电 信网络诈骗作出提示,对本领域新出现的电信网络诈骗手段及时向用户作出提醒,对非法买卖
20、、 出租、出借本人有关卡、账户、账号等被用于电信网络诈骗的法律责任作出警示。新闻、广播、电视、文化、互联网信息服务等单位,应当面向社会有针对性地开展反电信 网络诈骗宣传教育。任何单位和个人有权举报电信网络诈骗活动,有关部门应当依法及时处理,对提供有效信 息的举报人依照规定给予奖励和保护。【第三十一条】(短卡断号) 任何单位和个人不得非法买卖、出租、出借电话卡、物联 网卡、电信线路、短信端口、银行账户、支付账户、互联网账号等,不得提供实名核验帮助; 不得假冒他人身份或者虚构代理关系开立上述卡、账户、账号等。对经设区的市级以上公安机关认定的实施前款行为的单位、个人和相关组织者,以及因从 事电信网络
21、诈骗活动或者关联犯罪受过刑事处罚的人员,可以按照国家有关规定记入信用记 录,采取限制其有关卡、账户、账号等功能和停止非柜面业务、暂停新业务、限制入网等措施。 对上述认定和措施有异议的,可以提出申诉,有关部门应当建立健全申诉渠道、信用修复和救 济制度。具体办法由国务院公安部门会同有关主管部门规定。【第三十二条】(救济渠道) 国家支持电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者研究开发有关电信网络诈骗反制技术,用于监测识别、动态封堵和处 置涉诈异常信息、活动。国务院公安部门、金融管理部门、电信主管部门和国家网信部门等应当统筹负责本行业领 域反制技术措施建设,推进涉电信网络诈骗样
22、本信息数据共享,加强涉诈用户信息交叉核验, 建立有关涉诈异常信息、活动的监测识别、动态封堵和处置机制。依据本法【第十一条】、【第十二条】、【第十八条】、【第二十二条】和前款规定,对 涉诈异常情形采取限制、暂停服务等处置措施的,应当告知处置原因、救济渠道及需要提交 的资料等事项,被处置对象可以向作出决定或者采取措施的部门、单位提出申诉。作出决定 的部门、单位应当建立完善申诉渠道,及时受理申诉并核查,核查通过的,应当即时解除有 关措施。【第三十三条】(二次实名核验)国家推进网络身份认证公共服务建设,支持个人、企 业自愿使用,电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者对存在 涉
23、诈异常的电话卡、银行账户、支付账户、互联网账号,可以通过国家网络身份认证公共服务 对用户身份重新进行核验。【第三十四条】(劝阻返还) 公安机关应当会同金融、电信、网信部门组织银行业金融机构、非银行支付机构、电信业务经营者、互联网服务提供者等建立预警劝阻系统,对预警发 现的潜在被害人,根据情况及时采取相应劝阻措施。对电信网络诈骗案件应当加强追赃挽损, 完善涉案资金处置制度,及时返还被害人的合法财产。对遭受重大生活困难的被害人,符合国 家有关救助条件的,有关方面依照规定给予救助。【第三十五条】 经国务院反电信网络诈骗工作机制决定或者批准,公安、金融、电信等 部门对电信网络诈骗活动严重的特定地区,可
24、以依照国家有关规定采取必要的临时风险防范措 施。【第三十六条】对前往电信网络诈骗活动严重地区的人员,出境活动存在重大涉电信网 络诈骗活动嫌疑的,移民管理机构可以决定不准其出境。因从事电信网络诈骗活动受过刑事处罚的人员,设区的市级以上公安机关可以根据犯罪情 况和预防再犯罪的需要,决定自处罚完毕之日起六个月至三年以内不准其出境,并通知移民管 理机构执行。【第三十七条】 国务院公安部门等会同外交部门加强国际执法司法合作,与有关国家、 地区、国际组织建立有效合作机制,通过开展国际警务合作等方式,提升在信息交流、调查取 证、侦查抓捕、追赃挽损等方面的合作水平,有效打击遏制跨境电信网络诈骗活动。(四)法律
25、责任反电信网络诈骗法在第六章“法律责任”部分就行政处罚作出专门规定,并进一步明 确承担民事责任和纳入信用记录。该法对从事电信网络诈骗违法犯罪人员和关联犯罪的人员从 严惩处,并对未能履行风险防控责任和合规义务的电信业务经营者、互联网服务提供者等主体 规定了严格的行政处罚,设置了企业罚款最高五百万,以及直接负责的主管人员和其他直接责 任人最高罚款二十万元的处罚基准。综合整部法规而言,相关的处罚措施还包括: 在刑法规定刑事责任的基础上,对尚不构成犯罪的,规定了专门的行政处罚,没收违 法所得、罚款和十五日以下拘留; 对从事电信网络诈骗犯罪和关联犯罪的人员,可以按照国家有关规定记入信用记录, 并规定了有
26、关惩戒措施; 从事电信网络诈骗违法犯罪人员,除依法承担刑事责任、行政责任以外,造成他人损 害的,还要依法承担民事责任; 限制出境措施。对前往电信网络诈骗活动严重地区且出境活动存在重大涉诈活动嫌疑 的,以及从事电信网络诈骗活动受过刑事处罚的人员,可以限制出境; 对从事各类涉诈黑灰产活动进行处罚;企业违法行为需承担的行政责任包括:责令改正、警告、通报批评、罚款、暂停相关 业务、停业整顿、吊销相关业务许可证或者吊销营业执照、关闭网站或者应用程序。三、个人信息保护要点理解除开法条文义本身,反电信网络诈骗法也对其出台前的个人信息保护的现有规定整合 了新的规则和适用挑战,我们试讨论如下:监管主导建设风险信
27、息共享工作机制:反电信网络诈骗法明确国务院电信主管部 门将组织建立电话用户开卡数量核验机制和风险信息共享机制,对异常办卡情形进行识别核验。 该条内容与第十六条金融治理方面建立跨机构开户数量核验机制和风险信息共享机制极为类 似。在此之前,风险信息共享一直是机构间的核心诉求,反电信网络诈骗法建立了法定的 个人信息对外提供场景,企业可以按照有关规定向工信部/人行银保监会清算机构提供开卡/ 开户情况和有关风险信息,解决企业本身的风险信息共享诉求;新增个人信息收集的合法理由:第十八条明确“银行业金融机构、非银行支付机构开 展异常账户和可疑交易监测时,可以收集异常客户互联网协议地址、网卡地址、支付受理终端
28、 信息等必要的交易信息、设备位置信息”。需要注意的是,此前公布并于2022年11月1日 实施的信息安全技术移动互联网应用程序(APP)收集个人信息基本要求中明确规定“APP 不应收集不可变更的唯一设备识别码”,而网卡地址(不可变更MAC地址)显然属于此列。 虽然存在合规要求的冲突,但鉴于反电信网络诈骗法作为法律的更高效力,企业仍可以出 于反诈监测的目的收集该类信息。此外,企业还应注意,未经客户授权,不得将上述信息用于 反电信网络诈骗以外的其他用途。部分个人信息类别可能受到加集安全保护:要求履行个人信息保护职责的部门、单位 对可能被电信网络诈骗利用的物流信息、交易信息、贷款信息、医疗信息、婚介信
29、息等实施重 点保护。此前国家邮政局、公安部、国家网信办三部门已实施了为期半年的邮政快递领域个人 信息安全治理专项行动,而海南省也于今年3月开展“婚恋相亲类”移动应用程序违法违规 收集使用个人信息专项治理工作。我们认为,随着反电信网络诈骗法的宣传和落地,上述 五类个人信息安全的专项治理将成为近期监管重点领域。个人信息来源合法性需加强合规管控:第二十九条规定,公安机关办理电信网络诈骗 案件时应当同时查证犯罪所利用的个人信息来源。若涉诈活动所使用的个人信息来源不合法, 则上游信息供应方明知他人利用信息网络实施诈骗,为其犯罪行为提供非法获取的个人信息的, 同时涉及帮助信息网络犯罪活动罪和侵害公民个人信
30、息罪;而涉诈犯罪人员使用非法获取的公 民个人信息实施电信网络诈骗犯罪,依据关于办理电信网络诈骗等刑事案件适用法律若干问 题的意见,依法数罪并罚。四、针对银行业金融机构的合规建议因为电信网络诈骗的资金离不开银行账户,银行作为“金融守门人”防范利用金融系统非 法转移资金是反电信网络诈骗工作的重要环节,就此反电信网络诈骗法针对银行业金融机 构提出了一系列合规要求。为落实风险防控责任避免法律风险,银行业企业需要做到:1 .及时完善相应的内部风险控制措施,及时与监管部门沟通、跟进完善风控系统,确定风 险控制等级和对应措施。同时,强化网点业务对客户身份核实、尽职调查的主体责任,严格落 实监管要求;2 .新
31、业务涉诈风险安全评估:该项评估应落实在业务上线前的审核流程中,新业务实施必 须要前置涉诈风险安全评估,未通过风险评估的新业务不得实施。3 .开展异常账户和可疑交易监测时,可以收集异常客户互联网协议地址、网卡地址、支付 受理终端信息等必要的交易信息、设备位置信息,但不得将上述信息用于其他目的,同时应做 好充分的安全保障措施;4 .完善对金融消费者、企业的开卡流程,在开卡全流程中向客户明示相关风险,明确监管 与法律要求,在申领协议、银行卡使用合同条款拟定过程中以违约条款、风险告知书或承诺书 的形式(如对于涉诈账户,银行有权采取相应的管控措施,由此造成的损失由行为人自行承担), 增加相应的反诈风控措施作为合同违约方需要承担的民事责任,厘清持卡人的法定责任和义务, 尽可能避免因采取风险措施而引发的投诉或争议;