4月1日,由最高人民檢察院第四檢察廳指導,中國人民大學法學院、中國人民大學未來法治研究院、北京市海問律師事務所聯合舉辦的“反電信網絡詐騙法視角下的數據合規研討會”在京舉行。中國人民大學法學院副院長程雷教授主持,最高人民檢察院第四檢察廳廳長張曉津、中國人民大學法學院黨委書記杜煥芳、北京市海問律師事務所主任張繼平分別致辭。
最高人民檢察院第四檢察廳檢察官趙瑋,北京大學法學院教授、北京大學法治與發展研究院執行院長王錫鋅,中國人民大學法學院教授、刑事法律科學研究中心主任時延安,中國社會科學院大學副校長、教授林維,北京市海問律師事務所合伙人楊建媛,螞蟻集團首席隱私官聶正軍等專家學者出席會議。
習近平總書記對打擊治理電信網絡詐騙犯罪工作作出重要指示強調,堅持以人民為中心,全面落實打防管控措施,堅決遏制電信網絡詐騙犯罪多發高發態勢。
張曉津表示,當前,電信網絡詐騙多發高發,與之相關聯的網絡黑產犯罪滋生蔓延,已經成為嚴重影響人民群眾安全感的犯罪之一。全國人大法工委、公安部等部門牽頭調研論證,各部門建言獻策,反電信網絡詐騙法于去年9月2日表決通過,并于12月1日正式施行。這部法律堅持以人民為中心,統籌發展和安全,立足依法治理、源頭治理、綜合治理,加強預防性法律制度建設,為打擊治理電信網絡詐騙提供重要法治支撐,也為加強數字安全領域立法提供重要實踐探索。
杜煥芳介紹,在數字經濟時代數據合規成了最重要的專項合規領域,特別是對于如何去保障數字經濟的健康發展意義重大,為強化這方面的立法保障,我國先后出臺了三部支柱性的法律,網絡安全法、數據安全法、個人信息保護法,對數據合規提出了更新的要求,從這個視角來討論數據合規價值和意義非常重大。
張繼平認為,與會嘉賓分享打擊治理反電信網絡詐騙的真知灼見,將推動探索更加全面的解決方案,為新時代反詐工作建設和諧社會作出更大的貢獻。
反電信網絡詐騙法的實施與企業責任
趙瑋從四個方面探討了反電信網絡詐騙法的實施與企業數據刑事合規建設:一是強化企業刑事合規責任;二是分析企業涉數據的兩大刑事風險,即平臺業務風險和企業反詐相關責任;三是構建適應反電信網絡詐騙要求的合規體系;四是明確檢察機關責任定位,發揮檢察機關法律監督的撬動效應。
王錫鋅從個人信息保護的視角談到了反電信網絡詐騙法的落實。他認為,反電信網絡詐騙法作為一部新型的治理型監管法,在實施過程中可能面臨雙重危險,即形式化象征性的治理和責任轉嫁風險。電信網絡詐騙活動的源頭是個人信息的泄露或者是安全性導致的風險,面對個人信息在社會治理、國家管理活動中彌散性分布的現狀,要加強源頭治理,保護個人信息隱私安全和信息技術上的安全。
時延安圍繞“電信網絡詐騙源頭預防和溯源治理”作主題發言。他認為,反電信網絡詐騙法將電信網絡詐騙發生的平臺和工具聯系在一起治理,有很明顯的犯罪預防規制之處。該法為電信等相關行業主體設立了綜合性義務,強化了犯罪性的、行政性的、預防性的規制。同時,該法強調行業參與犯罪治理要符合治理的觀念,運用更多元化的治理方式實現源頭治理,促使整個社會治理結構和效能的轉變,大量粉絲主體參與公共治理成為發展趨勢。
林維就反電信網絡詐騙法對企業提出的要求以及企業落實中存在的問題、可能的解決方式等分享了自己的看法。他認為,反電信網絡詐騙法對企業提出的要求,是法律業務的增長點,具有可塑性和可追責性。反詐的風險防控義務和網絡信息安全義務、數據安全保護義務以及個人信息安全保障義務等都有交叉重合,應當做一體化、融合性的合規管理。未來,立法機構需要進一步細化反詐義務的具體規定,出臺配套細則,融通機制建設,采取一體化的合規視角。
楊建媛圍繞“反電信網絡詐騙法背景下企業數據合規體系構建”作主題發言。她認為,反電信網絡詐騙法和數據合規有著千絲萬縷的聯系,要完善個人信息保護體制,反詐主體也要提升監控能力。由于反詐模型需要用到大量個人信息,為了將數據使用限定在反詐范圍內,個人信息保護法中的最小化原則和目的限定原則可資借鑒。同時,反詐數據合規體系需要做好以下三件事:一是加強自我管理,具體分為組織措施、技術措施、對于用戶的管理;二是加強第三方管理;三是建立及時應對問題和止損機制。
聶正軍就反電信網絡詐騙中個人信息保護的問題談了自己的思考。他認為,基于電信詐騙犯罪活動的特征,只有借助技術和數據驅動,合理擴大數據使用范圍,才能有效提升反詐能力。對此,螞蟻集團進行了相關機制探索,以實現對整個詐騙活動的早感知、快識別、廣防御,比如履行異常賬戶核驗義務等。他建議,政府有關部門可以鼓勵、引導數據安全和合規的產品服務的產業化,從而讓數據安全和隱私保護的合規產品從奢侈品變為中小企業的日用品。
反電信網絡詐騙領域公益訴訟
該單元由最高人民檢察院第八檢察廳副廳長邱景輝主持。中國政法大學檢察公益訴訟研究基地執行主任劉藝認為,在刑事領域引入公益訴訟,具有目的的適恰性、利益的適恰性、機制上的適恰性,反電詐公益訴訟是具有適恰性的。反電詐公益訴訟完全可以做實,公益訴訟一個重要職能是犯罪預防,通過辦理刑事案件,發現管理漏洞,以社會治理的方式制發檢察建議,而對于不履行網絡安全義務的,可以提起行政公益訴訟。
工業和信息化部網絡安全管理局反詐專班負責人、信息通信研究院主任常雯表示,為了與詐騙分子對抗,應采取一系列管理措施,組織全行業提升技術手段建設,加強標準制定,引導企業不斷提升技術能力。反電信網絡詐騙法中有一條是履行合理注意義務,強化了企業主體責任,企業如果做不到,就要承擔一定的法律責任。
頤信科技有限公司董事長、全國信息安全標準化技術委員會委員、國家網絡安全獎勵基金管委會委員黃勁認為,電信網絡詐騙已經成為嚴重的社會問題,詐騙手法具有隱蔽性、專業性,使老百姓防不勝防。打擊電信詐騙犯罪要做好前期防范工作,避免數據泄露。對于數據濫采濫用問題,檢察機關應當加強監管。
平臺采集處理數據的責任邊界
該單元由中國人民大學法學院副教授鄧矜婷主持。中國社會科學院大學互聯網法治研究中心執行主任劉曉春認為,反電信網絡詐騙法探索從不同行業、不同措施出發進行綜合治理,治理模式具有普遍性。互聯網服務提供商、電信業務經營者要盡到合理注意義務。在數據搜集意義上,平臺是管理者、治理者角色,既要保護平臺利益、也要管理好用戶,明確數據搜集的邊界。
中央黨校(國家行政學院)政治和法律教研部教授張效羽表示,由于防控電信詐騙的前端和中端效率不高,社會成本大而收益又很有限,建議將反電信詐騙重點是放在后端,在公民信息泄露以后,對潛在受害者履行通知義務,包括平臺如何采集數據。
中國電子技術標準化研究院網安中心測評實驗室副主任何延哲認為,由于電信詐騙沒有突破金融系統的安全邊界,因此可以采取技術方面的措施改變現狀,明確平臺責任邊界,包括以下三種類型的平臺責任:一是電信運營商平臺;二是擁有大量用戶的平臺;三是手機廠商平臺。
中國人民公安大學法學院教授蘇宇表示,目前來說,“數據湖”安全問題沒有特別成熟的解決方案。“數據湖”可以滿足重要的數據處理的需要,但會導致數據安全合規方面的問題。對湖端的治理遠未成熟,大部分問題出在管理上,比如“內鬼”。
反詐背景下企業數據合規升級應對
該單元由中國信息通信研究院安全研究所數據安全事業部主任陳湉主持。海問律師事務所合伙人付鵬認為,反電信網絡詐騙要壓實平臺責任,平臺要盡到合理注意義務,這是數據合規義務上的定位。反電信網絡詐騙法是典型的小切口的專門立法,具有三個特點:強匯集性、強定制性、強連接性。同時,要加強源頭治理,對涉詐線索更好地進行識別和標識。
抖音集團數據及隱私法務負責人田申認為,應更好發揮現有法律框架制度下的銜接,將反電詐法和個保法兩部法律進行充分銜接。在數據搜集環節,要符合最小必要原則。在數據使用環節,要符合目的限制原則。在數據流轉環節,要保證數據的安全,比如隱私保護技術等。
百度集團高級法律顧問丁健琮表示,反電信網絡詐騙法要求平臺對涉詐的賬號和正在進行的涉詐行為進行監控和識別,并要求對潛在的受害者和易受害群體進行監測,這種行為在本質上就是偵查行為,他歸結為偵查權。為了保證治理的權利和責任得到良好行使,就需要通過程序性的立法進行規范。
快手集團數據隱私法務專家趙洋從微觀視角介紹了一些相對實用的數據合規方法。一是體系搭建,總的原則是對法律法規和政策逐步拆解梳理和細化,落地成為執行的內部制度流程和表單;二是風險識別,有針對性地做好分析、案例以及培訓;三是善用各種管理工具,及時進行知識回顧、積累經驗;四是模板構建,提高數據合規效率;五是專項培訓,加固數據合規網絡,提高內部合規意識。
反電信網絡詐騙法實施與網絡犯罪罪名適用檢視
該單元由中國人民大學法學院副教授、未來法治研究院副院長王瑩主持。清華大學法學院教授黎宏認為,反電信網絡詐騙法體現在刑法中的罪名,是刑法第二百八十六條之一的“拒不履行信息網絡安全管理義務罪”,它看起來是不作為犯罪,但實際上可以轉化為作為犯罪。
映客集團副總裁梁山認為,一方面,反詐工作具有攻防不對稱性的特點,犯罪團伙是一條龍的有機整體,而監管是碎片化的。另一方面,詐騙和反詐本質上都是高技術對抗,而監管處于弱勢。
騰訊安全法律部高級專家陳磊認為,從技術角度來說,對抗“黑產”是一場嚴重的不對稱戰斗,法律法規應當持續予以規制,對此,網信辦已經出臺人工智能深度偽造技術的規范,但是,網絡治理是一個全球性問題,僅依靠一國規范這些內容是遠遠不夠的,治理難度比較大。