反电诈法下的企业合规建议

反电诈法下的企业合规建议

前言：2022年9月2日，十三届全国人大常委会第三十六次会议表决通过《中华人民共和国反电信网络诈骗法》，防范电信诈骗犯罪从此有专法可依。该法对电信、金融、互联网服务经营者在电信网络诈骗实施过程中可能涉及的应用场景提出了特殊要求，对依法追究刑事、行政责任和民事责任的情形作出衔接性规定，为相关行业治理及企业合规建设提供新的思路。

《中华人民共和国反电信网络诈骗法》将自2022年12月1日起施行。该法共七章50条，包括总则、电信治理、金融治理、互联网治理、综合措施、法律责任、附则等。其立法进程快，从起草到正式发布不到一年时间，是继“两高一部”2016年《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》和2021年《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见（二）》之后一部专为打击治理电信网络诈骗活动制定的“小切口”法律。

在电信网络诈骗打击的实践中，刑事司法打击往往存在一定滞后性。基于反诈工作经验，《反电信网络诈骗法》用独立篇章和较大篇幅对电信、金融、互联网等服务提供者提出具体的服务规范及监管标准，突出相关犯罪前段防范的必要性。同时，在第六章法律责任部分，明确赋予公安机关和相关主管部门相应的行政处罚权，形成“行政处罚+民事赔偿+刑事惩戒”闭环。对于电信、金融、互联网相关服务提供者而言，其经营管理和风险防范要求都将面临新的挑战：

一、完善电话卡、物联网卡、金融账户、互联网账号有关基础管理制度

（一）全面落实实名制，防范开立账户风险。

1.电信业务经营者、互联网服务提供者业务应全面落实实名制，履行电话卡、网络服务真实信息登记职责。2.银行业金融机构、非银行支付机构为客户开立银行账户、支付账户及提供支付结算服务，和与客户业务关系存续期间，应当建立客户尽职调查制度，依法识别受益所有人，采取相应风险管理措施，防范银行账户、支付账户等被用于电信网络诈骗活动。

（二）对开卡数量和异常办卡、开户情形进行限制，建立信息共享机制。

1.办理电话卡、开立银行账户、支付账户不得超出国家有关规定限制的数量。对经识别存在异常开户情形的，相关主体有权加强核查或者拒绝开户。2.电信主管部门组织建立电话用户开卡数量核验机制和风险信息共享机制，并为用户查询名下电话卡信息提供便捷渠道。3.金融、电信、市场监管、税务等有关部门建立开立企业账户相关信息共享查询系统，提供联网核查服务。市场主体登记机关应当依法对企业实名登记履行身份信息核验职责；依照规定对登记事项进行监督检查，对可能存在虚假登记、涉诈异常的企业重点监督检查，依法撤销登记的，依照前款的规定及时共享信息；为银行业金融机构、非银行支付机构进行客户尽职调查和依法识别受益所有人提供便利。

（三）有针对性地完善物联网卡销售、使用监测制度。

1.电信业务经营者应当建立风险评估制度，评估未通过的，不得向其销售物联网卡。2.严格登记物联网卡用户身份信息，单位用户从电信业务经营者购买物联网卡再将载有物联网卡的设备销售给其他用户的，应当核验和登记用户身份信息，并将销量、存量及用户实名信息传送给号码归属的电信业务经营者。3.采取有效技术措施限定物联网卡开通功能、使用场景和适用设备。4.电信业务经营者对物联网卡的使用建立监测预警机制。对存在异常使用情形的，应当采取暂停服务、重新核验身份和使用场景或者其他合同约定的处置措施。

（四）加强移动互联网应用程序设立、分发的监管。

1.设立移动互联网应用程序应当按照国家有关规定向电信主管部门办理许可或者备案手续。2.为应用程序提供封装、分发服务的，应当登记并核验应用程序开发运营者的真实身份信息，核验应用程序的功能、用途。3.公安、电信、网信等部门和电信业务经营者、互联网服务提供者应当加强对分发平台以外途径下载传播的涉诈应用程序重点监测、及时处置。

二、建立风险监测识别预警制度，明确处置规范

（一）规范异常账户、可疑交易监测与处置。

1.电信服务提供者对监测识别的涉诈异常电话卡用户应当重新进行实名核验，根据风险等级采取有区别的、相应的核验措施。对未按规定核验或者核验未通过的，电信业务经营者可以限制、暂停有关电话卡功能。2.对监测识别的异常账户和可疑交易，银行业金融机构、非银行支付机构应当根据风险情况，采取核实交易情况、重新核验身份、延迟支付结算、限制或者中止有关业务等必要的防范措施。3.互联网服务提供者对监测识别的涉诈异常账号应当重新核验，根据国家有关规定采取限制功能、暂停服务等处置措施，对涉案电话卡、涉诈异常电话卡所关联注册的有关互联网账号进行核验，根据风险情况，采取限期改正、限制功能、暂停使用、关闭账号、禁止重新注册等处置措施。

（二）对涉诈相关非法服务、设备的识别、阻断和报告。

在电信治理模块：1.规制主叫号码传送和电信线路出租服务，对改号电话进行封堵拦截和溯源核查，严格规范国际通信业务出入口局主叫号码传送，真实、准确向用户提示来电号码所属国家或者地区，对网内和网间虚假主叫、不规范主叫进行识别、拦截。2.禁止非法制造、买卖或提供电话卡批量插入设备，具有改变主叫号码、虚拟拨号、互联网电话违规接入公用电信网络等功能的设备、软件，批量账号、网络地址自动切换系统，批量接收提供短信验证、语音验证的平台等。3.电信业务经营者、互联网服务提供者应当采取技术措施，及时识别、阻断前款规定的非法设备、软件接入网络，并向公安机关和相关行业主管部门报告。

在金融治理模块：1.银行业金融机构、非银行支付机构应当按照国家有关规定，完整、准确传输直接提供商品或者服务的商户名称、收付款客户名称及账号等交易信息，保证交易信息的真实、完整和支付全流程中的一致性。2.开展异常账户和可疑交易监测时，可以收集异常客户互联网协议地址、网卡地址、支付受理终端信息等必要的交易信息、设备位置信息。3.对公安机关依法决定采取涉及电信网络诈骗涉案资金即时查询、紧急止付、快速冻结、及时解冻和资金返还措施的，银行业金融机构、非银行支付机构应当予以配合。

在互联网治理领域：1.提供域名解析、域名跳转、网址链接转换服务的，应当核验域名注册、解析信息和互联网协议地址的真实性、准确性，规范域名跳转，记录并留存所提供相应服务的日志信息，支持实现对解析、跳转、转换记录的溯源。2.对利用互联网接入、服务器托管、网络存储、通讯传输、线路出租、域名解析等网络资源服务，信息发布或者搜索、广告推广、引流推广等网络推广服务，应用程序、网站等网络技术、产品的制作、维护服务，以及支付结算服务的电信网络诈骗犯罪支持和帮助活动进行监测识别和处置。

（三）明确互联网服务提供者协助义务。

公安机关办理电信网络诈骗案件依法调取证据的，互联网服务提供者应当及时提供技术支持和协助。互联网服务提供者依照本法规定对有关涉诈信息、活动进行监测时，发现涉诈违法犯罪线索、风险信息的，应当依照国家有关规定，根据涉诈风险类型、程度情况移送公安、金融、电信、网信等部门。有关部门应当建立完善反馈机制，将相关情况及时告知移送单位。

三、建立反电信诈骗内部控制机制成为法定义务，未履行将予以行政处罚

（一）建立内部控制机制成为具有强制性的法定义务。

内部控制本是舶来词汇，常见于财务、审计等领域，作为一项管理工具被引入我国。2006年国务院国资委印发的《中央企业全面风险管理指引》首次提出中央企业应当建立内部控制系统。2008年以来，财政部、证监会、审计署、银监会、保监会五部委相继出台《企业内部控制基本规范》（财会〔2008〕7 号）及其配套指引，对中央企业、上市公司建立健全实施有效的内部控制体系作出要求。证监会、银保监会等监管部门亦陆续出台了针对银行、保险公司、证券公司具体业务经营和执业活动的内部控制指引。

虽然在我国已有十多年的发展基础，但其适用对象主要是有较高财务审计标准的企业及行政事业单位，且多应用于监管评价或是作为特定行政许可事项的申请条件，总体来说仍是一套管理的评价指标，属于“倡导性规范”，用以引导相关单位规范发展，引入法律条文并不常见，仅《反洗钱法》有建立反洗钱内部控制机制的规定。

（二）强调措施有效性，违规法律后果严重。

《反电信网络诈骗法》第六条第五款规定，电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者承担风险防控责任，建立反电信网络诈骗内部控制机制和安全责任制度，加强新业务涉诈风险安全评估。并在第六章法律责任部分明确规定未落实国家有关规定确定的反电信网络诈骗内部控制机制的将予以行政处罚，“由有关主管部门责令改正，情节较轻的，给予警告、通报批评，或者处五万元以上五十万元以下罚款；情节严重的，处五十万元以上五百万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对其直接负责的主管人员和其他直接责任人员，处一万元以上二十万元以下罚款”等法律后果。意味着内部控制机制已经跃升为具有惩罚性的“强制性规范”，不仅要“建”，更要“有效”。

四、与个人信息保护相关要求的衔接与落实

（一）建立个人信息被用于电信网络诈骗的防范机制。

电信、金融、互联网等企业涉及大量个人信息的处理，如缺乏有效治理，将会助长电信诈骗犯罪的发展蔓延。基于此，《反电信网络诈骗法》第二十九条规定：个人信息处理者应当依照《个人信息保护法》等法律规定，规范个人信息处理，加强个人信息保护，建立个人信息被用于电信网络诈骗的防范机制。履行个人信息保护职责的部门、单位对可能被电信网络诈骗利用的物流信息、交易信息、贷款信息、医疗信息、婚介信息等实施重点保护。公安机关办理电信网络诈骗案件，应当同时查证犯罪所利用的个人信息来源，依法追究相关人员和单位责任。另外，《反电信网络诈骗法》第四十六条也有关于电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者等违反本法规定，造成他人损害的应承担民事责任的要求。

（二）反电信网络诈骗信息共享与个人信息权益保护的权衡。

反电信网络诈骗义务的履行不但事关社会和个人财产安全，而且攸关个人信息权益保护。根据《个人信息保护法》第十三条第（三）项，在《反电信网络诈骗法》实施后，电信、金融、互联网等企业可基于履行法定职责或义务事由处理个人信息，不须取得个人同意。但实施过程中如何与《个人信息保护法》相关具体衔接，信息收集和处理的合理性边界如何界定？

法纳君认为，可以从以下三点考虑：

一是强化目的性限制。电信网络诈骗犯罪中涉及的多为敏感个人信息，应当只在具有特定的目的和充分的必要性，并采取严格保护措施的情形下方可处理。目前《反电信网络诈骗法》已明确银行业金融机构、非银行支付机构提供开户情况和有关风险信息时，“相关信息不得用于反电信网络诈骗以外的其他用途”。

二是建立风险等级划分制度。电信、互联网服务过程中大量使用技术手段，若管控失效，很可能沦为犯罪分子实施电信网络诈骗的空间和场景。电信业经营者和互联网服务提供者承担着涉诈风险动态监测识别、预警和处置的职责，树立不同客户和业务形态设置具体的风险等级标准是实现前端精准防范的重要前提。

三是适当统一用户信息及交易记录的保存、处理及共享标准。《反电信网络诈骗法》体现急用先行，但相关监管政策和配套措施还需要加快制定，建议先解决共性问题，真正实现协同配合、快速联动。

排版 | Torsion

校对 | Torsion

审核 | Jane