反电信网络诈骗法视角下的数据合规研讨会在京举行
发布日期:2023-04-07 来源:法治日报 作者:蒋安杰

4月1日,由最高人民检察院第四检察厅指导,中国人民大学法学院、中国人民大学未来法治研究院、北京市海问律师事务所联合举办的“反电信网络诈骗法视角下的数据合规研讨会”在京举行。中国人民大学法学院副院长程雷教授主持,最高人民检察院第四检察厅厅长张晓津、中国人民大学法学院党委书记杜焕芳、北京市海问律师事务所主任张继平分别致辞。
  最高人民检察院第四检察厅检察官赵玮,北京大学法学院教授、北京大学法治与发展研究院执行院长王锡锌,中国人民大学法学院教授、刑事法律科学研究中心主任时延安,中国社会科学院大学副校长、教授林维,北京市海问律师事务所合伙人杨建媛,蚂蚁集团首席隐私官聂正军等专家学者出席会议。
  习近平总书记对打击治理电信网络诈骗犯罪工作作出重要指示强调,坚持以人民为中心,全面落实打防管控措施,坚决遏制电信网络诈骗犯罪多发高发态势。
  张晓津表示,当前,电信网络诈骗多发高发,与之相关联的网络黑产犯罪滋生蔓延,已经成为严重影响人民群众安全感的犯罪之一。全国人大法工委、公安部等部门牵头调研论证,各部门建言献策,反电信网络诈骗法于去年9月2日表决通过,并于12月1日正式施行。这部法律坚持以人民为中心,统筹发展和安全,立足依法治理、源头治理、综合治理,加强预防性法律制度建设,为打击治理电信网络诈骗提供重要法治支撑,也为加强数字安全领域立法提供重要实践探索。
  杜焕芳介绍,在数字经济时代数据合规成了最重要的专项合规领域,特别是对于如何去保障数字经济的健康发展意义重大,为强化这方面的立法保障,我国先后出台了三部支柱性的法律,网络安全法、数据安全法、个人信息保护法,对数据合规提出了更新的要求,从这个视角来讨论数据合规价值和意义非常重大。
  张继平认为,与会嘉宾分享打击治理反电信网络诈骗的真知灼见,将推动探索更加全面的解决方案,为新时代反诈工作建设和谐社会作出更大的贡献。
  反电信网络诈骗法的实施与企业责任
  赵玮从四个方面探讨了反电信网络诈骗法的实施与企业数据刑事合规建设:一是强化企业刑事合规责任;二是分析企业涉数据的两大刑事风险,即平台业务风险和企业反诈相关责任;三是构建适应反电信网络诈骗要求的合规体系;四是明确检察机关责任定位,发挥检察机关法律监督的撬动效应。
  王锡锌从个人信息保护的视角谈到了反电信网络诈骗法的落实。他认为,反电信网络诈骗法作为一部新型的治理型监管法,在实施过程中可能面临双重危险,即形式化象征性的治理和责任转嫁风险。电信网络诈骗活动的源头是个人信息的泄露或者是安全性导致的风险,面对个人信息在社会治理、国家管理活动中弥散性分布的现状,要加强源头治理,保护个人信息隐私安全和信息技术上的安全。
  时延安围绕“电信网络诈骗源头预防和溯源治理”作主题发言。他认为,反电信网络诈骗法将电信网络诈骗发生的平台和工具联系在一起治理,有很明显的犯罪预防规制之处。该法为电信等相关行业主体设立了综合性义务,强化了犯罪性的、行政性的、预防性的规制。同时,该法强调行业参与犯罪治理要符合治理的观念,运用更多元化的治理方式实现源头治理,促使整个社会治理结构和效能的转变,大量粉丝主体参与公共治理成为发展趋势。
  林维就反电信网络诈骗法对企业提出的要求以及企业落实中存在的问题、可能的解决方式等分享了自己的看法。他认为,反电信网络诈骗法对企业提出的要求,是法律业务的增长点,具有可塑性和可追责性。反诈的风险防控义务和网络信息安全义务、数据安全保护义务以及个人信息安全保障义务等都有交叉重合,应当做一体化、融合性的合规管理。未来,立法机构需要进一步细化反诈义务的具体规定,出台配套细则,融通机制建设,采取一体化的合规视角。
  杨建媛围绕“反电信网络诈骗法背景下企业数据合规体系构建”作主题发言。她认为,反电信网络诈骗法和数据合规有着千丝万缕的联系,要完善个人信息保护体制,反诈主体也要提升监控能力。由于反诈模型需要用到大量个人信息,为了将数据使用限定在反诈范围内,个人信息保护法中的最小化原则和目的限定原则可资借鉴。同时,反诈数据合规体系需要做好以下三件事:一是加强自我管理,具体分为组织措施、技术措施、对于用户的管理;二是加强第三方管理;三是建立及时应对问题和止损机制。
  聂正军就反电信网络诈骗中个人信息保护的问题谈了自己的思考。他认为,基于电信诈骗犯罪活动的特征,只有借助技术和数据驱动,合理扩大数据使用范围,才能有效提升反诈能力。对此,蚂蚁集团进行了相关机制探索,以实现对整个诈骗活动的早感知、快识别、广防御,比如履行异常账户核验义务等。他建议,政府有关部门可以鼓励、引导数据安全和合规的产品服务的产业化,从而让数据安全和隐私保护的合规产品从奢侈品变为中小企业的日用品。
反电信网络诈骗领域公益诉讼
  该单元由最高人民检察院第八检察厅副厅长邱景辉主持。中国政法大学检察公益诉讼研究基地执行主任刘艺认为,在刑事领域引入公益诉讼,具有目的的适恰性、利益的适恰性、机制上的适恰性,反电诈公益诉讼是具有适恰性的。反电诈公益诉讼完全可以做实,公益诉讼一个重要职能是犯罪预防,通过办理刑事案件,发现管理漏洞,以社会治理的方式制发检察建议,而对于不履行网络安全义务的,可以提起行政公益诉讼。
  工业和信息化部网络安全管理局反诈专班负责人、信息通信研究院主任常雯表示,为了与诈骗分子对抗,应采取一系列管理措施,组织全行业提升技术手段建设,加强标准制定,引导企业不断提升技术能力。反电信网络诈骗法中有一条是履行合理注意义务,强化了企业主体责任,企业如果做不到,就要承担一定的法律责任。
  颐信科技有限公司董事长、全国信息安全标准化技术委员会委员、国家网络安全奖励基金管委会委员黄劲认为,电信网络诈骗已经成为严重的社会问题,诈骗手法具有隐蔽性、专业性,使老百姓防不胜防。打击电信诈骗犯罪要做好前期防范工作,避免数据泄露。对于数据滥采滥用问题,检察机关应当加强监管。
平台采集处理数据的责任边界
  该单元由中国人民大学法学院副教授邓矜婷主持。中国社会科学院大学互联网法治研究中心执行主任刘晓春认为,反电信网络诈骗法探索从不同行业、不同措施出发进行综合治理,治理模式具有普遍性。互联网服务提供商、电信业务经营者要尽到合理注意义务。在数据搜集意义上,平台是管理者、治理者角色,既要保护平台利益、也要管理好用户,明确数据搜集的边界。
  中央党校(国家行政学院)政治和法律教研部教授张效羽表示,由于防控电信诈骗的前端和中端效率不高,社会成本大而收益又很有限,建议将反电信诈骗重点是放在后端,在公民信息泄露以后,对潜在受害者履行通知义务,包括平台如何采集数据。
  中国电子技术标准化研究院网安中心测评实验室副主任何延哲认为,由于电信诈骗没有突破金融系统的安全边界,因此可以采取技术方面的措施改变现状,明确平台责任边界,包括以下三种类型的平台责任:一是电信运营商平台;二是拥有大量用户的平台;三是手机厂商平台。
  中国人民公安大学法学院教授苏宇表示,目前来说,“数据湖”安全问题没有特别成熟的解决方案。“数据湖”可以满足重要的数据处理的需要,但会导致数据安全合规方面的问题。对湖端的治理远未成熟,大部分问题出在管理上,比如“内鬼”。
反诈背景下企业数据合规升级应对
  该单元由中国信息通信研究院安全研究所数据安全事业部主任陈湉主持。海问律师事务所合伙人付鹏认为,反电信网络诈骗要压实平台责任,平台要尽到合理注意义务,这是数据合规义务上的定位。反电信网络诈骗法是典型的小切口的专门立法,具有三个特点:强汇集性、强定制性、强连接性。同时,要加强源头治理,对涉诈线索更好地进行识别和标识。
  抖音集团数据及隐私法务负责人田申认为,应更好发挥现有法律框架制度下的衔接,将反电诈法和个保法两部法律进行充分衔接。在数据搜集环节,要符合最小必要原则。在数据使用环节,要符合目的限制原则。在数据流转环节,要保证数据的安全,比如隐私保护技术等。
  百度集团高级法律顾问丁健琮表示,反电信网络诈骗法要求平台对涉诈的账号和正在进行的涉诈行为进行监控和识别,并要求对潜在的受害者和易受害群体进行监测,这种行为在本质上就是侦查行为,他归结为侦查权。为了保证治理的权利和责任得到良好行使,就需要通过程序性的立法进行规范。
  快手集团数据隐私法务专家赵洋从微观视角介绍了一些相对实用的数据合规方法。一是体系搭建,总的原则是对法律法规和政策逐步拆解梳理和细化,落地成为执行的内部制度流程和表单;二是风险识别,有针对性地做好分析、案例以及培训;三是善用各种管理工具,及时进行知识回顾、积累经验;四是模板构建,提高数据合规效率;五是专项培训,加固数据合规网络,提高内部合规意识。
  反电信网络诈骗法实施与网络犯罪罪名适用检视
  该单元由中国人民大学法学院副教授、未来法治研究院副院长王莹主持。清华大学法学院教授黎宏认为,反电信网络诈骗法体现在刑法中的罪名,是刑法第二百八十六条之一的“拒不履行信息网络安全管理义务罪”,它看起来是不作为犯罪,但实际上可以转化为作为犯罪。
  映客集团副总裁梁山认为,一方面,反诈工作具有攻防不对称性的特点,犯罪团伙是一条龙的有机整体,而监管是碎片化的。另一方面,诈骗和反诈本质上都是高技术对抗,而监管处于弱势。
  腾讯安全法律部高级专家陈磊认为,从技术角度来说,对抗“黑产”是一场严重的不对称战斗,法律法规应当持续予以规制,对此,网信办已经出台人工智能深度伪造技术的规范,但是,网络治理是一个全球性问题,仅依靠一国规范这些内容是远远不够的,治理难度比较大。

责任编辑:谭则章
本站系非盈利性学术网站,所有文章均为学术研究用途,如有任何权利问题请与我们联系。
^