《反电信网络诈骗法》今日起正式实施，专家解读看这里！

编者注：作为一部关切多部门密切合作、多领域联合治理、多措施综合规制的新法，不仅关乎着电信行业治理，更关乎我们每个人的切身利益。鉴于微信篇幅局限，下述我们摘录的第二条（电信网络诈骗定义）及第二十九条（反电信诈骗守门人）仅作示例参阅之需，如需引用，敬请以纸质图书为准。

第二条【电信网络诈骗定义】本法所称电信网络诈骗,是指以非法占有为目的,利用电信网络技术手段,通过远程、非接触等方式,诈骗公私财物的行为。

本条是关于电信网络诈骗定义的规定。

本法是专门规制电信网络诈骗的法律,因此有必要对电信网络诈骗作出定义,明确范围,从而确定本法适用的对象。从表面上看,电信网络诈骗是否定义似乎并不重要,其范围也似乎可以轻易确定,但实际上并非如此。科学确定电信网络诈骗定义,需要考虑和处理好以下关系:

一是电信网络诈骗与诈骗罪的关系。本法规定针对的是电信网络诈骗,而不是对所有诈骗犯罪。传统的“一对一”、接触式的诈骗罪的发案范围、治理特点和治理需要与电信网络诈骗具有很大不同,对其进行打击治理并不需要专门法律作出另外安排。因此,作出定义时需要准确区分电信网络诈骗与诈骗罪的关系,确定有关要素时要体现普通诈骗和电信网络诈骗的区别,合理划定本法规范边界。

二是电信网络诈骗与其他关联犯罪的区分。电信网络诈骗过程中会有其他关联犯罪。例如,电信网络诈骗分子往往利用非法获取的公民个人信息进行精准诈骗,其中伴随的侵害公民个人信息犯罪,属于重要的关联犯罪。又如,电信网络诈骗通常需要利用各种手法洗钱以达到非法占有诈骗资金的目的,因此洗钱犯罪也是重要的关联犯罪。再如,为电信网络诈骗提供各类“黑灰产”支持帮助的行为,也都是重要的关联犯罪。在定义电信网络诈骗时,需要处理好与这些电信网络诈骗伴生的关联犯罪问题。

本条规定电信网络诈骗定义的主要考虑:

一是为确定本法的调整对象,划定法律调整事项范围,明确本法是规制电信网络诈骗的“小切口”专项法律,不涉及其他违法犯罪事项。

二是电信网络诈骗的界定是适用本法有关制度措施、施加权利义务和责任的前提。例如,本法对金融、电信、互联网企业规定了防范、监测电信网络诈骗的责任,电信网络诈骗的定义就直接关系到企业需要防范、监测的违法犯罪的范围。又如,本法对有关涉电信网络诈骗的违法犯罪人员采取限制办卡、限制出境,以及进行惩戒等措施,电信网络诈骗界定的范围决定了上述措施适用的人群范围,因此,对电信网络诈骗作出清晰定义是具有重要意义的。

三是本法确定的电信网络诈骗定义对《刑法》等其他法律的适用也具有重要意义。对电信网络诈骗的入罪门槛作了不同于普通诈骗罪的规定,属于电信网络诈骗还是普通诈骗就决定了一些情形下是否构成犯罪并追究刑事责任。

从反电信网络诈骗实践看,当前常见的电信网络诈骗手段主要有贷款、代办信用卡类,刷单返利类,“杀猪盘”类(网络交友赌博投资类诈骗),冒充电商物流客服类,虚假购物、服务类,冒充领导、熟人类。上述六类案件共占全国电信网络诈骗犯罪发案数和损失数的八成以上。受害人最多的电信网络诈骗犯罪类型为刷单返利类,诈骗金额最多、损失最大的为“杀猪盘”类。在“杀猪盘”案件中,不少受害人自杀身亡。“杀猪盘”类已成为危害最突出的电信网络诈骗犯罪类型。总结这些常见的电信网络诈骗手段是对电信网络诈骗作出科学定义的基础。

本条包含以下三方面的内容:

第一,电信网络诈骗必须是“以非法占有为目的”“诈骗公私财物”的行为。这体现的是电信网络诈骗中“诈骗”的要素。电信网络诈骗本质上是诈骗的一种,电信网络诈骗犯罪必须符合诈骗犯罪的构成要件。诈骗罪具有完整的构成要件和过程,本条定义中没有规定的其他构成要件也应当按照诈骗罪的构成要件补充完整。《刑法》中规定了诈骗罪,并没有对诈骗定义作出明确规定,法学理论和实践中对于诈骗罪的构成要件和过程一般表述为“以非法占有为目的—虚构事实或者隐瞒真相—使他人产生错误认识—他人基于错误认识处分财产—行为人取得财产—被害人遭受财产损失”。这些要件过程对于电信网络诈骗的构成过程同样适用。因此,本条定义中虽然没有明确规定虚构事实、设置骗局、使他人产生错误认识等条件,但这些条件同样应当具备,要按照诈骗罪的要件予以确认。本条的定义主要是将电信网络诈骗的突出特点规定出来,其他要素还需要结合普通诈骗综合认定。“诈骗公私财物”包括骗取公民个人财物,也包括骗取单位财物。

第二,“利用电信网络技术手段”,这是电信网络诈骗在手段方式上区别普通诈骗的一个重要特征,也是称其为“电信网络诈骗”的原因。电信网络技术手段包括电信手段、网络手段或者电信网络手段的结合,实际上电信和网络也存在交叉融合。国务院《电信条例》第2条第2款规定:“本条例所称电信,是指利用有线、无线的电磁系统或者光电系统,传送、发射或者接收语音、文字、数据、图像以及其他任何形式信息的活动。”《网络安全法》第76条第1项规定“网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。本法主要是针对电信网络诈骗进行打击治理,不涉及电信网络的范围界定和部门管理职责划分。从实践看,电信网络诈骗利用电信网络技术的手段通常包括:

实际上单纯利用一种方式的电信网络诈骗比较少,多是综合利用电信网络各类手段。电信网络诈骗已由电话诈骗逐渐发展为以网络端诈骗为主,并逐渐融合。另外,本条在定义中并没有对电信网络诈骗的洗钱手段作出描述,实践中电信网络诈骗犯罪除了利用电信网络技术手段进行诈骗以外,在诈骗链条中的资金转移链条中通常会采取利用银行、支付机构、POS机等系统转移资金,以及利用贸易对冲、虚拟货币等方式洗钱,这些新型洗钱手段也是与电信网络诈骗伴生的,这一点也是电信网络诈骗区别于普通诈骗的一个重要特征。

第三,“通过远程、非接触等方式”实施诈骗。电信网络诈骗通常是针对不特定人,按照事先设计好的诈骗脚本,利用掌握的一些公民个人信息,采取广撒网方式在线上实施诈骗活动。一开始对象是不确定的,电信网络诈骗的这种涉众型、不特定对象的方式,通常表现为通过远程、非接触的方式进行诈骗活动。之所以强调电信网络诈骗的远程、非接触方式,是因为这是电信网络诈骗的一个主要特征,实践中也多是这种形态,而且线下的、接触式的诈骗可归于普通诈骗,在案件查办、防范治理等方面并不需要采取本法规定的有关制度、措施,其危害性并不会拓展为广泛的社会危害行为。但是,也不能一概将存在线下接触的诈骗都排除在电信网络诈骗之外,从而不适用本法规定。例如,在“杀猪盘”诈骗中,以电信网络技术手段为主实施诈骗,为联系“感情”而见面的,也可适用本法规定。因此,本条在“远程、非接触式”后增加了“等”字,对这种多种手段、方式融合的情况,以及随着实践发展可能出现的其他新情况,在立法适用上保留了余地。

实践中,需要注意传统的诈骗不适用本法规定。传统诈骗虽也可能采取打电话等方式,但主要是基于线下场景或者在熟人之间实施,这类诈骗往往有迹可循,对其进行治理不需要采取本法规定的金融、电信、互联网等特定防范措施,对普通诈骗人员也不能采取本法规定的有关惩戒、行政处罚以及限制出境等措施,违反其他法律规定的,依法给予相应处罚。

第二十九条【个人信息保护】个人信息处理者应当依照《中华人民共和国个人信息保护法》等法律规定,规范个人信息处理,加强个人信息保护,建立个人信息被用于电信网络诈骗的防范机制。

履行个人信息保护职责的部门、单位对可能被电信网络诈骗利用的物流信息、交易信息、贷款信息、医疗信息、婚介信息等实施重点保护。公安机关办理电信网络诈骗案件,应当同时查证犯罪所利用的个人信息来源,依法追究相关人员和单位责任。

本条是关于反电信网络诈骗工作中个人信息保护的规定。

加强个人信息保护工作是反电信网络诈骗的一个重要环节。电信网络诈骗的背后是互联网时代个人信息泄露问题日益突出,很多电信网络诈骗案件之所以难以防范,其中一个重要原因是实施诈骗的人有精准目标,能够精准施骗。

在反电信网络诈骗预防和治理过程中,对于涉及个人信息保护方面的工作,应适用《个人信息保护法》等相关法律的规定。同时,根据反电信网络诈骗的需要,结合其特点,本法在本条中作出指引性规定。

本条共分两款：

第1款是关于适用《个人信息保护法》等法律严格个人信息保护、建立防范制度的规定。根据本款规定,个人信息处理者应当依照《个人信息保护法》等法律规定,规范个人信息处理,加强个人信息保护,建立个人信息被用于电信网络诈骗的防范机制。

本款包含以下几个方面的内容:

一是个人信息处理者应当依照法律规定规范个人信息处理、加强个人信息保护。《个人信息保护法》坚持保护人民群众个人信息权益的立法定位,聚焦个人信息保护领域的突出问题和人民群众的重大关切,在有关法律的基础上,进一步细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制。从具体内容上看,《个人信息保护法》以严密的制度、严格的标准、严厉的责任构建了权责明确、保护有效、利用规范的个人信息处理和保护制度规则;确立了个人信息保护原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的,并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等;构建了以“告知—同意”为核心的个人信息处理规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意。

个人信息处理者是个人信息保护的第一责任人。《个人信息保护法》第73条规定,“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。个人信息处理者有义务采取必要的措施,确保其个人信息处理活动符合有关法律法规的规定,并保障个人信息安全,切实保护个人信息权益。这里的“处理”,不仅仅指对个人信息的加工,而是包括从个人信息的收集到最终删除的全生命周期中的各个环节。《个人信息保护法》通过专章规定了个人信息处理者的义务,强调个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全;明确了个人信息处理者的合规管理和保障个人信息安全等义务,要求个人信息处理者按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,指定负责人对其个人信息处理活动进行监督,定期对其个人信息活动进行合规审计,对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估,履行个人信息泄露补救和通知义务;赋予了大型网络平台个人信息保护特别义务,提高大型互联网平台经营业务的透明度,完善平台治理,强化外部监督,形成全社会共同参与的个人信息保护机制。根据本法和《个人信息保护法》的规定,个人信息处理者应当严格按照法律规定,不断提升个人信息保护法治意识。

除《个人信息保护法》外,《网络安全法》《民法典》《消费者权益保护法》《广告法》《刑法》《电子商务法》等也对个人信息保护的有关问题作了规定。另外,有关机关也出台了一系列配套法规、规章、标准和司法解释。个人信息处理者在执行中应当依照上述规定开展个人信息处理活动。

二是建立个人信息被用于电信网络诈骗的防范机制。为了更加有效地保护公民的个人信息权益,个人信息处理者应当在建立健全个人信息保护制度的基础上,采取措施监测、预警个人信息保护面临的突出问题和风险,建立个人信息被用于电信网络诈骗的防范机制;有针对性地改进个人信息保护工作举措,有效预防侵犯个人信息权益行为的发生。

当前,电信网络诈骗方式和手法不断翻新,诈骗活动呈现从电话诈骗向互联网诈骗、从全国分布向重点边境地区集聚、从“短平快”诈骗向长线套路诈骗转变等趋势特点,技术对抗性日益加大,需要针对不同类型的电信网络诈骗犯罪的特点,规范个人信息处理活动,加强个人信息保护,充分运用大数据推进构建长效机制,为行业防范治理工作提供更加有力的数据支撑和能力支撑。对此,个人信息处理者要围绕技术平台、监管能力、工作机制,明确具体工作任务,持续提升大数据技术管控水平,强化行业源头治理,健全创新事前防范、责任落实、成效评价、信用管理等制度,持续优化跨政企、跨行业、跨部门的联防联控工作机制,充分释放大数据在防范治理电信网络诈骗方面的强大效能,以形成责任明确、快速响应、密切配合、齐抓共管的工作格局,切实减少电信诈骗犯罪案件的发生。

第2款是关于履行个人信息保护职责的部门、单位对可能被电信网络诈骗利用的个人信息等实施重点保护,以及公安机关办理电信网络诈骗案件,应当同时查证个人信息来源,依法追究相关人员和单位责任的规定。

本款包括两层含义：

一是履行个人信息保护职责的部门、单位对可能被电信网络诈骗利用的物流信息、交易信息、贷款信息、医疗信息、婚介信息等实施重点保护。“物流信息、交易信息、贷款信息、医疗信息、婚介信息等”涉及公民个人的住址、财产、健康、婚姻等情况,这些信息一旦被电信网络诈骗分子获取,容易被利用实施“精准诈骗”,且被害人往往难以防范。之所以规定这几类信息,是因为当前电信网络诈骗违法犯罪的主要类型有购物退款诈骗、兼职刷单诈骗、网络贷款诈骗、“杀猪盘”诈骗、网络交友诈骗等,在各类电信网络诈骗犯罪类型中,个人信息的泄露都是电信网络诈骗行为实施的关键环节,因此有必要对这些信息重点保护;履行个人信息保护职责的部门、单位,应当加强对此类信息的保护,防止泄露。“履行个人信息保护职责的部门”,是指根据本法和其他相关法律规定依法负有个人信息保护职责的部门。《个人信息保护法》第6章专章对履行个人信息保护职责的部门的职责、义务等作了规定。该法第60条规定:“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。”第61条规定:“履行个人信息保护职责的部门履行下列个人信息保护职责:(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;(二)接受、处理与个人信息保护有关的投诉、举报;(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;(四)调查、处理违法个人信息处理活动;(五)法律、行政法规规定的其他职责。”《反电信网络诈骗法》第29条第2款中“履行个人信息保护职责的……单位”,是指对上述信息负有保护职责的单位,如物流企业、电商企业、婚介企业等。

二是明确公安机关在办理电信网络诈骗案件中应当倒查个人信息来源,依法处理相关单位、人员泄露、提供个人信息责任。基本上所有的电信网络诈骗案件背后,都存在个人信息泄露问题。因此,公安机关应当在办理电信网络诈骗案件的同时,查证个人信息来源,追查个人信息泄露源头,对于其中涉及窃取、贩卖公民个人信息的违法犯罪行为,应当依法追究相关人员和单位责任。这样一方面可以铲除电信网络诈骗赖以实施的土壤,从源头上预防新的电信网络诈骗行为发生;另一方面也可以有力震慑潜在的个人信息泄露者。

实践中需要注意的是,由于个人信息处理的主体、处理的个人信息种类以及处理活动存在较大差异,根据个人信息保护的实践需要,我国相关法律、行政法规等对有关部门的个人信息保护职责作了规定,主要有:国家网信部门根据《网络安全法》等法律和有关规定,负责承担互联网信息服务等领域的个人信息保护职责;市场监管部门根据《消费者权益保护法》等法律的规定,承担消费者个人信息保护的相关职责;金融监管部门根据《商业银行法》《证券法》《保险法》等法律的规定,承担金融消费者、投资者个人信息保护的相关职责;公安部门根据《刑法》《网络安全法》等法律的规定,承担打击侵害个人信息的违法犯罪的职责;工业和信息化部、教育、医疗等有关主管部门按照相关法律和有关规定,承担指导、监督本行业、本领域个人信息保护的职责。