對網際網路服務提供者反詐風險防控義務的關注及思考

文│公安部第三研究所網絡安全法律研究中心 王彩玉 長沙市警察局網絡安全與技術偵察支隊 曾铉

2022 年 9 月 2 日，第十三屆全國人民代表大會常務委員會第三十六次會議通過《中華人民共和國反電信網絡詐騙法》（以下簡稱“反詐法”），自 2022 年 12 月 1 日起施行。反詐法定位為系統綜合、針對性強的專項法律，是貫徹落實黨中央決策部署的重要舉措，是堅持以人民為中心，統籌發展和安全的必然要求，是反詐工作實踐的迫切需要。其中第四章“網際網路治理”與第五章“綜合措施”中針對網際網路服務提供者的反詐風險防控義務規定頗具亮點，涵蓋網絡實名制、賬戶異常監測、App 治理、域名服務管理、涉詐業務合理注意、協助偵查辦案、個人資訊保護、電詐宣傳勸阻等領域，拓展第三方參與共治電詐的深度與廣度，有助于實作電詐懲治、預防和治理的有機統一，對淨化網絡生态空間、加強源頭治理、清理網絡黑灰産業、鏟除犯罪土壤意義重大。

一、關注網際網路服務提供者反詐風險防控義務是理論和實務的需要

電信詐騙在大陸出現于 20 世紀 60 年代，進入 70 年代後迅速增長，2000 年後進入快速發展期。如今在網際網路技術與大衆生活日益融合背景下，電信網絡詐騙持續高位運轉，總體形勢嚴峻。2021 年，全國共破獲電信網絡詐騙案件 39.4 萬起，抓獲犯罪嫌疑人 63.4 萬名，同比分别上升 28.5% 和 76.6%。從地域分布看，詐騙案件主要分布在東部地區，中西部地區案件占比逐年上升；從詐騙手法看，詐騙集團緊跟社會熱點，根據非法擷取的個人資訊精準詐騙，刷單返利、殺豬盤、貸款與代辦信用卡、冒充客服、冒充公檢法及政府機關為五大高發案件；從黑産技術看，詐騙集團利用 5G 網絡、虛拟撥号（GOIP）、區塊鍊、虛拟貨币、人工智能（AI）等各種新技術新業态，不斷更新犯罪工具，技術對抗走向更複雜領域。

電信網絡詐騙并不是特定社會的單一問題，而是一個國家社會、文化、政治和經濟狀況的綜合反映，亟需各方介入共同治理。正如德國刑法學家李斯特所述，最好的社會政策，也是最好的刑事政策。預防、遏制與懲治電信網絡詐騙是一項系統性法治工程，在當下中國談及電詐綜合治理有着更為豐富的社會内涵和更為深刻的政策底蘊。2015 年 6 月，國務院準許建立打擊治理電信網絡新型違法犯罪工作部際聯席會議制度；2022 年 4 月，中共中央辦公廳、國務院辦公廳印發《關于加強打擊治理電信網絡詐騙違法犯罪工作的意見》，要求建立行業風險監測機制，建立健全“行業主管部門、企業、使用者三級責任制”，為加強源頭治理、綜合治理奠定基礎；2022 年 10 月，黨的二十大報告指出，要推進國家安全體系和能力現代化，完善社會治理體系，健全共建共治共享的社會治理制度，提升社會治理效能，建設社會治理共同體。

反詐法秉持“小切入立法”“急用先行”原則，加強對涉詐相關非法服務、裝置、産業的治理，明确規定網際網路服務提供者等主體的犯罪防治義務與責任，有助于推動形成全鍊條反詐、全行業阻詐、全社會防詐的打防管控格局，推動網絡犯罪治理“中國式現代化”。将反詐防治延伸到網絡空間，關注網際網路服務提供者反詐風險防控義務，既是理論發展的需要，也是實務發展的迫切需要。

二、網際網路服務提供者反詐風險防控義務的法律分析

反詐法是大陸首部針對打擊治理電詐的專門立法，是完善電詐法律制度體系的标志成果，為網際網路服務提供者設定了愈發嚴密的一攬子反詐風險防控義務。

從内涵看，反詐風險防控義務着力于斬斷支撐電詐的資訊流、技術流、人員流，在總則中強調網際網路服務提供者承擔風險防控責任，建立反詐内控機制和安全責任制度，加強新業務涉詐風險安全評估，在分則中聚焦實名管理、記錄留存等關鍵控制節點，為執法部門提供線索資訊，預防、識别并阻卻電詐違法犯罪是核心。

從性質看，反詐風險防控義務既包括個人資訊保護、App 登記備案等行政法直接義務，也包括監測處置、披露報告、宣傳勸阻等行政法第三方義務。此處“第三方”是相對于違法者和受害人而言，承擔第三方義務的網際網路服務提供者擁有技術、管理等優勢，可更好地協助執法機關發現、遏制電詐活動發生或控制電詐行為、損失擴大化。

在此層面，網際網路服務提供者參與共治電詐違法犯罪的方式将在很大程度上表現為其對反詐風險防控義務的履行——通過落實各項義務要求，控制電詐發生條件，強化綜合情境預防，消解網際網路服務生态中滋生電詐的結構性因素。需要注意的是，網際網路服務提供者的反詐風險防控義務範圍僅限于協助性、輔助性方面，其責任不可無限擴張。

（一）實名管理義務

網際網路“隐身匿名”的特性對監管工作提出嚴峻挑戰，反詐實名管理旨在從源頭上強化網絡身份可識别性，建構網絡空間真實身份與虛拟身份穩定連接配接點，斬斷虛假賬号注冊等源頭性電詐黑灰利益鍊條。

反詐法第 21 條“網絡實名制”在現有法律法規基礎上進一步明确必須落實網絡實名制的重點領域、重點部位，涵蓋四類網際網路場景，包括：（1）最為基礎性的“網際網路接入服務”；（2）可能幹擾網絡實名制落實效果的“網絡代理等網絡位址轉換服務”；（3）電詐犯罪技術支援中常用的“網際網路域名注冊、伺服器托管、空間租用、雲服務、内容分發服務”；（4）為電詐犯罪提供滋生蔓延土壤的“資訊、軟體釋出服務”與“即時通訊、網絡交易、網絡遊戲、網絡直播釋出、廣告推廣服務”。四類網絡實名适用場景的強制性規定，是大陸立法者根據網際網路服務提供者的服務領域、類别、主體特性與涉詐利益關系實行“針對性、差異化”網絡實名制的路徑展現。反詐法第 23 條第 2 款“App 身份與功能核驗”對 App 開發營運者也要求落實實名登記與核驗，拓展網絡實名制覆寫範圍，彌補 App 領域監管缺漏。

從國際立法經驗來看，美國、歐盟、英國、澳洲、日本等國家與地區均将實作網絡身份有效管理作為未來發展工作重點，并制定網絡身份管理戰略。反詐法第 33 條在《網絡安全法》“國家實施網絡可信身份戰略”與《個人資訊保護法》“推進網絡身份認證公共服務建設”基礎上，細化反詐場景下網絡身份認證公共服務的自願性使用原則與相關規則，為網際網路服務提供者履行實名管理義務提供支撐，使其可依托網絡身份認證公共服務滿足使用者身份重新核驗需求。“不實名則無服務”貫穿反詐法網際網路治理始終，其背後蘊含的是網際網路運作價值邏輯的變遷——從網際網路野蠻生長時代到步入規範治理階段，企業要在法律架構之下、在道德底線之上運作，履行法定義務，遵循“權、責、利”相統一法治原則。

（二）監測處置義務

反詐法第 22 條“網絡賬戶異常監測”、第 23條第 3 款“涉詐 App 重點監測”、第 25 條第 2 款“涉詐業務合理注意”共同構成網際網路服務提供者監測處置義務。大陸立法者關注重心不僅是電詐實害結果，更包括涉詐異常賬号、涉詐（高風險）電話卡所關聯注冊的網際網路賬号、分發平台以外途徑下載下傳傳播的涉詐應用程式、利用提供網際網路業務從事涉詐支援與幫助等因素。此外，反詐法第 32 條鼓勵網際網路服務提供者對電信網絡詐騙反制技術的研發，用于監測識别、動态封堵和處置涉詐異常資訊、活動，為反詐工作提供支撐——以技術措施應對技術發展帶來的不斷翻新的電信網絡詐騙犯罪手段，契合大陸涉詐風險治理需求與公衆安全期待。

另一方面，我們應意識到對涉詐風險因素的監測與處置屬于擴張性立法模式，網際網路服務提供者在一定意義上代表并潛在構成國家權力的延伸，明确網際網路服務提供者監測與處置權力邊界、提升涉詐風險識别判斷準确性、完善被處置對象申訴救濟管道至關重要。為此，相關部門要把反詐法第 32 條第 2 款要求的“加強涉詐使用者資訊交叉核驗”、第 32 條第 3 款要求的“告知處置原因、救濟管道及需要送出的資料等事項”“建立完善申訴管道，及時受理申訴并核查，核查通過的，應當即時解除有關措施”等規定做實做深。

（三）記錄留存義務

網絡行為真實性、可溯源性已成為遏制電詐犯罪的突出難題，反詐法第 24 條着眼于“實作對解析、跳轉、轉換記錄的溯源”，為提供域名解析、域名跳轉、網址連結轉換服務的網際網路服務提供者設定“核驗、記錄、留存”三項要求，加強域名管理。

本條規定與《公安機關網際網路安全監督檢查規定》第 11 條規定的“監督檢查是否記錄網絡域名申請、變動資訊，是否對違法域名依法采取處置措施”、《網際網路域名管理辦法》第 36 條要求的“依法記錄并留存域名解析日志、維護日志和變更記錄”等規定關聯，意在實作對電詐相關域名解析、跳轉、轉換記錄溯源治理。

（四）登記備案義務

以打擊涉詐 App 為契機，反詐法進一步加強 App 備案管理，第 23 條第 1 款強調設立 App 應當按照國家有關規定向“電信主管部門”辦理許可或者備案手續，與《網際網路資訊服務管理辦法》第 4 條規定的工信部 ICP 許可備案制度關聯。

在監管實際中，App 備案還包括公安備案，《計算機資訊網絡國際聯網安全保護管理辦法》确立公安網上備案制度，網際網路接入服務機關、網際網路資料中心、網際網路資訊服務機關和國際聯網使用機關均應到公安機關辦理備案手續。相較于《中華人民共和國反電信網絡詐騙法（草案）》第 20 條提出的“網信、工信、公安等部門”共同健全 App 備案機制，反詐法規定由工信部門負責 App 設立許可備案。

（五）執法協助與資訊共享義務

在反詐法中，網際網路服務提供者所承擔的執法協助與資訊共享義務屬于積極性作為義務，可分為兩大類型：1）第 26 條第 1 款規定的“基于電詐個案的協助義務”，以被動響應、後端協助的方式實作，強調對公安機關調驗證據提供技術支援、協助，屬于傳統偵查協助義務；2）第 26 條第 2 款規定的“基于風險監測的資訊共享義務”，以主動防範、中端控制的方式實作，要求将涉詐違法犯罪線索、風險資訊移送公安、金融、電信、網信等部門，意在建構防範為先、源頭治理的電詐防治體系。

從國際立法經驗來看，1996 年《歐盟理事會通信合法攔截決議》賦予網際網路服務提供者在偵查活動中資訊披露義務；2001 年《網絡犯罪公約》詳細規定網際網路服務提供者在資料存儲、資料披露義務；美國《1994 年通信協助執法法》《愛國者法》《關鍵基礎設施資訊保護法》等明确網際網路服務提供者在偵查活動中的資訊披露義務。

在大陸法律架構中，網際網路服務提供者電詐個案協助義務與相關立法的銜接，宏觀上而言，《刑事訴訟法》第 52 條、《資料安全法》第 35 條、《網絡安全法》第 28 條在原則上确立網際網路服務提供者偵查協助主體地位；微觀上而言，《最高人民法院、最高人民檢察院、公安部關于辦理刑事案件收集提取和審查判斷電子資料若幹問題的規定》第 13 條、《公安機關辦理刑事案件電子資料驗證規則》第 41 條對公安機關向網際網路服務提供者調取電子資料的程式作出詳細規定。此外，《網際網路資訊服務管理辦法（修訂草案征求意見稿）》第 22 條進一步明确，“技術支援和協助的具體要求，由公安機關、國家安全機關會同電信主管部門等有關部門另行制定”。值得關注的是，反詐法第 26 條第 2 款相比草案二審稿，新增“根據涉詐風險類型、程度情況移送”“有關部門應當建立完善回報機制”要求，展現立法者對加強網際網路服務提供者和有關部門對涉詐違法犯罪線索、風險資訊共享與回報的重視。

（六）個人資訊保護義務

從反詐工作實踐來看，個人資訊保護構成電詐源頭治理重中之重，非法擷取、提供個人資訊作為電詐上遊犯罪及周邊黑産為精準施詐提供條件，而網絡實名制推行也必以個人資訊安全得到有效保障為前提。

從大陸立法來看，對收集到的個人資訊保密，不得向他人洩露、出售或者非法提供一直是網際網路服務提供者個人資訊保護義務的核心内容。2012 年全國人大常務委員會《關于加強網絡資訊保護的決定》第 3 條、2013 年工業和資訊化部《電信和網際網路使用者個人資訊保護規定》第 10 條、2016 年《網絡安全法》第 42 條均規定網絡服務提供者對于收集的公民個人資訊必須嚴格保密，不得洩露、篡改、毀損，不得出售或者非法向他人提供。2017 年全國資訊安全标準化技術委員會《資訊安全技術個人資訊安全規範》9.4 條款又進一步規定個人資訊原則上不予公開披露，需要公開披露時必須經法律授權或具備合理事由。2021 年 8 月，《個人資訊保護法》頒布實施，标志着大陸個人資訊保護法統一立法的形成，強化超大型網際網路平台個人資訊保護義務。

反詐法強調對個人資訊保護“多重發力”，既從前端阻斷電詐資訊源、後端強化“一案雙查”，也全流程防範反詐工作中個人資訊二次洩露：1）第 29 條第 1 款與《個人資訊保護法》銜接，推動個人資訊處理者“建立個人資訊被用于電信網絡詐騙的防範機制”；2）第 29 條第 2 款要求履行個人資訊保護職責的部門機關對“物流資訊、交易資訊、貸款資訊、醫療資訊、婚介資訊”重點保護，公安機關辦理電詐案“同時查證犯罪所利用的個人資訊來源，依法追究相關人員和機關責任”；3）第 5 條第 2 款對“在反電信網絡詐騙工作過程中知悉的國家秘密、商業秘密和個人隐私、個人資訊予以保密”作出原則性規定。

（七）宣傳勸阻義務

網際網路服務提供者所承擔的宣傳勸阻義務主要展現在反詐法第 30 條規定的宣傳警示以及第 34 條規定的預警勸阻。其中，網際網路服務提供者所承擔的宣傳勸阻義務，增強針對潛在被害人進行業務防騙提示、電詐手段提醒與勸阻的精準性；同時，通過對“非法買賣、出租、出借本人有關卡、賬戶、賬号”法律責任的警示，進一步強化針對潛在犯罪人的法律威懾效應。基于犯罪人與被害人互動理論，犯罪與被害是一個互相作用過程，而電詐是被害人與犯罪人社會性互動最為密切的犯罪之一，其中詐騙話術是“實施心理控制、誘發被害反應”工具，作為制衡詐騙話術的預警勸阻系統，在設計建立時有必要以潛在被害人為中心，“嵌入心理幹預”，針對其被騙受容性提供預防對策與心理指導。

三、網際網路服務提供者反詐風險防控義務幾個核心問題的探讨

反詐法以預防和治理電詐為宗旨，确立反詐工作齊抓共管、打防結合、源頭治理和綜合治理的原則，将目前打擊治理電詐工作中遇到的現實難題在基本法層面予以解決，在網際網路服務提供者反詐風險防控義務等方面做出明确規定和積極探索，有必要進一步深入研讨。

（一）關于網際網路服務提供者反詐風險防控義務的認識與适用

與美、英、德、日等在電詐防範治理方面立法路徑模式不同，大陸反詐法一大特色與先進之處是采取統一式反詐風險防控義務立法的構模組化式——基于網際網路服務提供者對電詐活動關鍵控制點的義務和措施進行系統梳理、統籌規範，

與《網絡安全法》《資料安全法》《個人資訊保護法》及其配套關聯、銜接緊密；

為確定網際網路服務提供者反詐義務得以有效履行，設定了推進網絡身份認證公共服務建設、支援電詐反制技術研發、建立完善報告回報機制等由内而外履行過程保障機制；同時充分考慮公民權利受限的救濟，确立相應申訴管道、信用修複和救濟制度；最後，通過行政責任、民事責任、刑事責任相結合的方式，明确網際網路服務提供者違反特定反詐義務所應負的法律責任，與《刑法》及相關電詐司法解釋構成行刑銜接。

通過以上多層面的制度建構，大陸反詐法針對網際網路服務提供者形成整體化、系統化的反詐風險防控義務體系，一方面，要注重實名管理義務、個人資訊保護義務、披露報告義務等各項反詐義務之間協調關聯，遵從比例原則；另一方面，要運用體系性思維，跳出就反詐法談反詐義務的窠臼，區分不同的法律關系，對反詐風險防控義務、網絡資訊安全義務、資料安全保護義務及個人資訊安全保障義務等進行體系性認知、解釋與适用，推動網際網路服務提供者反詐風險防控義務全面落實。

（二）關于網際網路服務提供者反詐風險防控義務的邊界厘清

反詐法秉持“急用先行”“小切入立法”原則，對實踐中迫切需要的制度安排做出規定，但是整體規定較為原則性，在網際網路服務提供者反詐風險防控義務範圍、協作機制、技術支援等具體要求方面亟需細化，可在此基礎上推進配套制度和政策檔案制定工作。一是探尋和厘清網際網路服務提供者承擔反詐風險防控義務的合理範圍，精細化其不履行反詐風險防控義務的認定标準，明确對其施加不作為刑事責任的合理邊界。二是完善電詐等網絡犯罪執法協作機制，差別案件類型，嚴格内部審批程式，在确定合法性、必要性前提下，劃定網際網路服務提供者協助等級，完善披露報告、技術支援範圍與方式，增補保障措施，進一步提升新時代依法管網、依法治網能力水準。尤其是在開展電詐預測性警務過程中，網際網路服務提供者對公安立案前經營線索、初步調查的資料調取範圍與技術協助具體要求有待進一步明晰。

（三）關于網際網路服務提供者履行反詐風險防控義務情況的監管

反詐法為大陸公安“牽頭”下行業治理齊抓共管、合力擠壓電詐犯罪空間提供法律支撐，明确各部門依照職責監督檢查網際網路服務提供者反詐義務落實等情況。

在反詐法貫徹執行過程中，要堅持以習近平法治思想為指引，樹立正确的執法理念，堅持以人民為中心，統籌發展和安全，在嚴格規範執法基礎上，探索網際網路經濟背景下柔性執法模式，寬嚴相濟、協調互補，準确把握執法的法律效果、社會效果與政治效果，提升反詐監管的力度、精度，為新技術、新應用、新業态創造寬嚴适度的發展環境。同時，要強化合規指引與激勵，讓網際網路服務提供者合規整改服務于有效電詐防治，督促其建立依法經營的公司文化，同時推進責任清單、合規不起訴、盡職免責等機制在反詐領域的探索。針對可能出現的多部門反詐執法尺度不統一、執法争權等問題，有必要在現實格局下，逐漸加強反詐監管治理工作整體性與協同性，完善跨平台、跨行業責任落實和督導機制，推動統一的認定及裁量标準形成。

（本文刊登于《中國資訊安全》雜志2022年第10期）