寫在前麵
近年來�����,隨著大量被非法交易的手機卡����、物聯網卡���、網絡賬號成為實施電信網絡詐騙的重要工具���,電信網絡詐騙案件頻發���,大量公民財產遭受損失�����,引起社會廣泛關注。2017年至2021年����,全國法院一審審結電信網絡詐騙犯罪案件超過10.3萬件���,22.3萬多名被告人被判處刑罰。今年上半年�,全國法院一審審結電信網絡詐騙犯罪案件達到1.1萬件��,2.1萬名被告人被判處刑罰[1]。在此背景下�,作為對電信網絡詐騙猖獗亂象的有力回應��,《中華人民共和國反電信網絡詐騙法》(以下稱“《反電詐法》”)於今年9月正式頒布並於今年12月1日起施行。
《反電詐法》針對電信網絡詐騙規定了多種治理方式��,具有較強的實操性��,其中尤其強調源頭治理�,對涉及電信�����、金融���、互hu聯lian網wang領ling域yu的de相xiang關guan企qi業ye提ti出chu了le較jiao高gao的de風feng險xian防fang控kong要yao求qiu�����,並bing課ke以yi了le較jiao嚴yan格ge的de法fa律lv責ze任ren。天tian達da共gong和he數shu據ju合he規gui團tuan隊dui基ji於yu對dui數shu據ju安an全quan和he個ge人ren信xin息xi保bao護hu問wen題ti的de多duo年nian研yan究jiu��,通tong過guo本ben文wen從cong個人信息保護的角度對《反電詐法》進行解讀����,分析《反電詐法》涉she及ji的de責ze任ren主zhu體ti範fan圍wei�����,明ming確que相xiang關guan企qi業ye在zai哪na些xie情qing形xing下xia可ke能neng被bei認ren定ding為wei違wei反fan風feng險xian防fang控kong義yi務wu�,以yi及ji違wei反fan上shang述shu義yi務wu可ke能neng承cheng擔dan的de法fa律lv責ze任ren����,並bing就jiu企qi業ye可ke以yi采cai取qu的de合he規gui對dui策ce提ti供gong建jian議yi。
一����、責任主體的範圍
根據《反電詐法》第六條�,風險防控責任涉及的責任主體包括四類——電信業務經營者����、銀行業金融機構���、非銀行支付機構����、互聯網服務提供者(以下統稱“責任主體”)���,其業務涵蓋電信����、金融���、互聯網三個方麵。
鑒於《反電詐法》未直接規定上述四類主體的定義�,我們嚐試根據其他法律法規和監管要求厘清相應主體的內涵��,其中����,“電信業務經營者”指在中國境內從事電信活動或者與電信有關的活動的企業[2]�;“銀行業金融機構”指在中國境內設立的商業銀行��、農村信用合作社等吸收公眾存款的金融機構及政策性銀行[3]��;“非銀行支付機構”指在中國境內依法設立並取得支付業務許可證�����,從事儲值賬戶運營和/或支付交易處理的有限責任公司或者股份有限公司[4]���;“互聯網服務提供者”指向用戶提供互聯網接入服務���、互聯網數據中心服務���、互聯網信息服務和互聯網上網服務的單位[5]。
鑒於上述四類責任主體在業務運營過程中往往會掌握大量使用電信��、金融�、互聯網產品或服務用戶的個人信息����,其通常還會構成《個人信息保護法》(以下稱“《個保法》”)下進行個人信息處理活動的個人信息處理者[6]���,需要履行相應的個人信息保護義務。
二��、未盡到風險防控義務的情形
我們認為��,《反電詐法》是shi一yi部bu以yi電dian信xin網wang絡luo詐zha騙pian這zhe一yi特te殊shu場chang景jing為wei規gui製zhi對dui象xiang的de綜zong合he性xing法fa律lv����,從cong個ge人ren信xin息xi保bao護hu的de角jiao度du�,該gai法fa中zhong對dui適shi用yong於yu反fan電dian信xin網wang絡luo詐zha騙pian的de個ge人ren信xin息xi保bao護hu要yao求qiu�����,實shi際ji上shang是shi對dui於yu《個保法》及其配套製度�����、其他規範性文件中要求的細化�����,換言之��,是就反電信網絡詐騙這一具體場景提出的個人信息保護要求���,而非在《個保法》及其配套製度之外提出額外的個人信息保護要求。在此背景下�����,在防範電信網絡詐騙的事前和事中階段�,責任主體因未建立有效的個人信息保護機製(包括保障數據安全能力�、建立內部製度��、采取相關措施等)����,導致電信���、金融���、互聯網產品或服務用戶的個人信息有較高的泄露風險或以其他方式被非法利用�,或者責任主體未按要求落實相應實名製監管要求����、未按要求履行個人信息報送義務的��,均可能屬於未盡到《反電詐法》風險防控義務的情形。
1. 責任主體存在個人信息泄露風險
《反電詐法》強調從源頭治理電信網絡詐騙。從cong該gai法fa的de立li法fa目mu的de考kao慮lv��,如ru對dui電dian信xin網wang絡luo詐zha騙pian追zhui根gen溯su源yuan��,掌zhang握wo大da量liang個ge人ren信xin息xi的de企qi業ye發fa生sheng個ge人ren信xin息xi泄xie露lu�����,將jiang極ji有you可ke能neng成cheng為wei電dian信xin網wang絡luo詐zha騙pian的de潛qian在zai源yuan頭tou。《反電詐法》明確規定�����,“公安機關辦理電信網絡詐騙案件�,應當同時查證犯罪所利用的個人信息來源���,依法追究相關人員和單位責任”[7] ����,這實際上是通過立法方式����,將近年來公安機關在打擊電信網絡詐騙的執法過程中的“一案雙查”[8]機製確立為法定程序。北京市公安機關在“淨網2021”行動中����,除打擊電信網絡詐騙的犯罪行為外����,還相繼開展了網站安全監督檢查����、網站備案摸排整治����、安全評估等行動���,共清理違法有害信息408萬條�,關停違規賬號19萬個�,行政查處違法違規企業2775家次[9]。不難看出�,未落實網絡安全義務的互聯網企業(屬於《反電詐法》的責任主體)zaifandianxinwangluozhapianzhifahuodongzhongyibeishiweiguizhiduixiang。yinci���,duizerenzhutieryan����,ruguoweinengzaifangfandianxinwangluozhapiandeshiqianheshizhongjieduanzuohaoyuantouzhili��,daozhiqicunzaigerenxinxixieludefengxian��,jiukenengweifan《反電詐法》的風險防控義務。具體來看���,個人信息泄露的渠道主要包含如下三種:
其一�,內部控製不善導致員工泄露個人信息。在最高人民法院9月發布的“人民法院依法懲治電信網絡詐騙犯罪及其關聯犯罪十大典型案例”之八“被告人陳淩等五人侵犯公民個人信息案”中(zhong)����,被(bei)告(gao)人(ren)陳(chen)淩(ling)等(deng)人(ren)作(zuo)為(wei)通(tong)信(xin)企(qi)業(ye)從(cong)業(ye)人(ren)員(yuan)�,利(li)用(yong)職(zhi)務(wu)便(bian)利(li)�����,未(wei)經(jing)用(yong)戶(hu)同(tong)意(yi)���,擅(shan)自(zi)獲(huo)取(qu)用(yong)戶(hu)的(de)實(shi)名(ming)製(zhi)手(shou)機(ji)號(hao)碼(ma)和(he)驗(yan)證(zheng)碼(ma)����,非(fei)法(fa)出(chu)售(shou)給(gei)他(ta)人(ren)用(yong)於(yu)注(zhu)冊(ce)微(wei)信(xin)�����、抖音等賬號����,牟取非法利益����,涉案非法所得從20.1萬餘元至1.5萬餘元不等[10]。該案中行業“內鬼”之所以有可乘之機����,正是由於作為責任主體的相關通信企業存在內部控製製度不健全�,管理措施�、技術措施�����、人員培訓不到位等情況。
其二�,外部合作方管理不善導致合作方泄露個人信息。例如�����,2020年8月���,上海銀保監局對某銀行信用卡中心開出100萬元的罰單��,罰單中顯示“2019年5月�����、7月��,該中心對部分信用卡催收外包管理嚴重不審慎”[11]。在互聯網發展推動下���,新興催收平台紛紛成為各大銀行等金融機構的外包方�,利用人工智能��、yunjisuandengjishudaiyinxingshixiangaoxiaoanquandecuishou����,dancuishoupingtaiguanlibushanjiangjiyidaozhiyinxingxiangqitigongdedaliangmingangerenxinxixielu。zuoweizerenzhutideyinxingzaishangshuchufaanlizhongweiduizuoweiwaibaohezuofangdecuishougongsijinxingyouxiaodeguanlihejiandu�,shizaochenggerenxinxixieludegenbenyuanyin。
其三��,外部黑客襲擊導致個人信息泄露。近年來���,全球各地相繼曝出大規模的黑客襲擊導致個人信息泄露的事件�,例如�����,去年10月yue���,江jiang蘇su無wu錫xi警jing方fang破po獲huo了le一yi起qi侵qin犯fan公gong民min個ge人ren信xin息xi案an�����,犯fan罪zui嫌xian疑yi人ren通tong過guo黑hei客ke技ji術shu非fei法fa獲huo取qu某mou大da型xing社she交jiao網wang絡luo賬zhang號hao關guan聯lian的de手shou機ji號hao碼ma等deng公gong民min個ge人ren信xin息xi數shu據ju��,並bing通tong過guo非fei法fa網wang絡luo平ping台tai以yi每mei條tiao1000美元(約合人民幣6384元)的價格出售��,涉案的公民個人信息高達54億餘條[12]。這類案件為保有大量個人信息的企業敲響了警鍾�����,數據安全保護能力不足����、網絡安全機製不健全���、技術措施沒有達到要求等����,將直接導致黑客可以輕易突破防線��、竊取大量個人信息。
2. 未落實相應實名製監管要求
《反電詐法》規定了責任主體實名製的各項要求��,責任主體未落實實名製將違反風險防控義務。但需要注意的是�,電信���、金融���、互聯網領域的實名製規定並非《反電詐法》首次提出�����,在《反電詐法》前�,由相應監管部門製定的多部規定中均明確了實名製要求�����,且對於不同類型的責任主體��,對實名製的落實方式和要求也不盡相同。例如��,在電信業務場景下��,工信部於2013年製定的《電話用戶真實身份信息登記規定》係統地規定了電信業務經營者為用戶辦理固定電話����、移動電話入網手續及提供後續服務時的實名登記要求�����;在金融業務場景下�,《反洗錢法》明ming確que規gui定ding�,金jin融rong機ji構gou應ying當dang按an照zhao規gui定ding建jian立li客ke戶hu身shen份fen識shi別bie製zhi度du�����,要yao求qiu客ke戶hu出chu示shi真zhen實shi有you效xiao的de身shen份fen證zheng件jian或huo者zhe其qi他ta身shen份fen證zheng明ming文wen件jian�����,進jin行xing核he對dui並bing登deng記ji���,不bu得de為wei身shen份fen不bu明ming的de客ke戶hu提ti供gong服fu務wu或huo者zhe與yu其qi進jin行xing交jiao易yi����,不bu得de為wei客ke戶hu開kai立li匿ni名ming賬zhang戶hu或huo者zhe假jia名ming賬zhang戶hu[13]����;在互聯網業務場景下�,網信辦製定並於今年更新的2022年版《移動互聯網應用程序信息服務管理規定》要求運營App的互聯網服務提供者需要結合手機號碼�����、身份證號碼或者統一社會信用代碼完成實名登記[14]�;此外����,國家新聞出版總署於2019年頒布並實施的《國家新聞出版署關於防止未成年人沉迷網絡遊戲的通知》亦明確規定���,應實行網絡遊戲用戶賬號實名注冊製度。
我們認為�����,《反電詐法》作(zuo)為(wei)一(yi)部(bu)以(yi)解(jie)決(jue)特(te)定(ding)場(chang)景(jing)問(wen)題(ti)為(wei)導(dao)向(xiang)的(de)法(fa)律(lv)����,就(jiu)電(dian)信(xin)網(wang)絡(luo)詐(zha)騙(pian)這(zhe)一(yi)特(te)定(ding)場(chang)景(jing)���,在(zai)既(ji)往(wang)立(li)法(fa)和(he)監(jian)管(guan)要(yao)求(qiu)的(de)基(ji)礎(chu)上(shang)�����,進(jin)一(yi)步(bu)明(ming)確(que)了(le)各(ge)類(lei)責(ze)任(ren)主(zhu)體(ti)為(wei)達(da)到(dao)實(shi)名(ming)製(zhi)要(yao)求(qiu)應(ying)采(cai)取(qu)的(de)具(ju)體(ti)措(cuo)施(shi)���,建(jian)議(yi)企(qi)業(ye)在(zai)關(guan)注(zhu)《反電詐法》的同時����,也應同步關注其他監管要求。
3. 未履行責任主體的個人信息報送義務
《反電詐法》規定�����,“國務院建立反電信網絡詐騙工作機製�,統籌協調打擊治理工作[15]”����,“有關部門����、單位在反電信網絡詐騙工作中密切協作����,實現跨行業����、跨地域協同配合���、快速聯動”[16]。上述規定確立了各主管部門協同聯動的工作機製�����,在此機製下����,《反電詐法》進一步明確了各主管部門的信息共享機製����,要求各類責任主體分別向主管部門報送相應個人信息[17]。如責任主體未及時按照相關要求向主管部門報送上述個人信息���,將違反《反電詐法》的風險防控義務。
三�����、未盡到風險防控義務的法律責任
《反電詐法》第六章規定了責任主體未盡到風險防控義務的法律責任。對於提供產品和服務的企業而言�����,如不存在故意組織�、策劃���、實施��、參與電信網絡詐騙活動或者為電信網絡詐騙活動提供相關幫助的�����,則無須承擔刑事責任。但�����,鑒於《反電詐法》對責任主體的行政責任方麵進行了較為詳細的規定�,我們建議企業對此予以重點關注。
在行政責任方麵���,《反電詐法》沿襲了《個保法》《數據安全法》《網絡安全法》“企業+個人”的雙罰機製���,並細化了違法行為的表現形式����,處罰金額也有所提高���,體現了強監管的立法和執法趨勢。根據《反電詐法》�����,如責任主體未盡到風險防控義務����,最高可被處以高達五百萬元的罰款(如有違法所得����,最高可處以違法所得十倍的罰款)�,且可由有關主管部門關閉網站或者應用程序����、吊銷相關業務許可證或者吊銷營業執照�;對直接負責的主管人員和其他直接責任人員最高可處以二十萬元罰款[18]。
此外���,根據《反電詐法》����,責任主體如違反規定造成他人損害的��,還應當承擔民事責任[19]。
四�、合規對策
為預防個人信息泄露��、遭受非法利用導致的電信網絡詐騙造成公民財產損失的風險��,同時避免自身違反《反電詐法》而承擔相應的法律責任��,責任主體應及時按照《反電詐法》的要求落實風險防控責任�,“建立內部控製機製和安全責任製度��,加強新業務涉詐風險安全評估”�,在發生電信網絡詐騙的事前和事中階段即從源頭化解個人信息泄露的風險。
《反電詐法》規定��,“個人信息處理者應當依照《個人信息保護法》等法律規定����,規範個人信息處理���,加強個人信息保護��,建立個人信息被用於電信網絡詐騙的防範機製”[20]。結合上文的分析���,我們建議企業首先應當落實一般的個人信息保護要求����,這類要求體現在《個保法》及其配套製度以及其他的規範性文件中����,在此基礎上�����,責任主體應進一步根據《反電詐法》中就電信網絡詐騙場景提出的更有針對性的個人信息保護要求予以落實�,以期達到《反電詐法》對個人信息保護的合規要求���,如後續《反電詐法》的配套規定對責任主體的風險控製義務作出進一步細化��,也建議責任主體及時關注並更新自身的合規策略����,具體可從以下三個角度執行:
1. 加強防範個人信息泄露
總體而言����,責任主體應當按照《個保法》及ji其qi相xiang關guan配pei套tao製zhi度du的de要yao求qiu����,在zai處chu理li個ge人ren信xin息xi前qian進jin行xing個ge人ren信xin息xi保bao護hu影ying響xiang評ping估gu����,並bing建jian立li個ge人ren信xin息xi保bao護hu的de組zu織zhi架jia構gou�,按an照zhao法fa律lv法fa規gui的de要yao求qiu設she立li個ge人ren信xin息xi負fu責ze人ren�����,完wan善shan與yu個ge人ren信xin息xi保bao護hu相xiang關guan的de內nei部bu控kong製zhi製zhi度du���,采cai取qu相xiang應ying的de技ji術shu措cuo施shi和he管guan理li措cuo施shi��,此ci外wai�����,還hai應ying製zhi定ding個ge人ren信xin息xi安an全quan事shi件jian應ying急ji預yu案an並bing開kai展zhan相xiang應ying的de演yan練lian。
為防止內部員工泄露個人信息�,責任主體還應完善針對個人信息使用的管理措施和技術措施(包括但不限於對個人信息進行去標識化或匿名化處理��,嚴格控製個人信息的訪問權限等)���,定期組織對員工的培訓��,提升員工的個人信息保護意識和能力��,同時加強對特定崗位人員的管理���,確保責任到人。
為防止外部合作方泄露個人信息��,責任主體還應加強對合作方個人信息處理活動的管理和監督����,包括但不限於與合作方簽署安全保密協議�、與合作方的員工簽訂安全保密承諾書�,詳細約定保密義務及相應責任�����;使用技術手段檢測合作方的網絡和信息係統����,排查可能的安全漏洞等。在金融領域�,去年年底銀保監會專門出台了《銀行保險機構信息科技外包風險監管辦法》��,旨在促進銀行保險機構提升信息科技外包風險管控能力。該規定明確了銀行保險機構在信息科技外包合同或協議中應當約定的內容[21]�����,以及金融機構在信息科技外包活動中應當履行的其他義務。該辦法對非金融領域的責任主體企業亦有一定的借鑒和參考價值。
為防止黑客攻擊導致的個人信息泄露��,責任主體還應按照《網絡安全法》《數據安全法》dengfalvfaguiheguojiabiaozhundengguifanxingwenjianduiwangluoanquandengjibaohuzhidudeyaoqiu�,jinxingwangluoanquanbaohudengjibeianheceping�,binggenjucepingjieguo����,duizhaoshangshuguifanxingwenjiandeyaoqiu����,caiquxiangyingdejishucuoshijinxingwangluoanquanjianshe�,lvxinganquanbaohuyiwu�,tishengwangluoanquanheshujubaohushuiping。
特別地���,《反電詐法》專門規定了履行個人信息保護職責的部門和單位應對可能被電信網絡詐騙利用的“五類信息”——物流信息�、交易信息�����、貸款信息�����、醫療信息�����、婚介信息——實施重點保護[22]。鑒於這五類信息都極有可能屬於《個保法》規定的敏感個人信息�����,責任主體應落實《個保法》及其配套製度中關於敏感個人信息的處理規則��,在建立和完善個人信息分級分類製度的基礎上����,合理地對不同類型����、不同敏感等級的信息製定和落實不同的保護策略。
2. 落實實名製要求
處於不同行業的責任主體應在遵守行業主管部門製定的規範性文件���,履行實名製法定義務的基礎上��,還進一步按照《反電詐法》的要求����,增加實名製核驗措施���,以防範“實名不實人”的風險。
此外���,在落實實名製要求的過程中���,可能涉及到對人臉信息的使用。從技術角度考慮�����,通過人臉識別進行的身份驗證���,是對原有的身份證����、手機號碼認證的一種加強����,更有利於達到《反電詐法》“從實名到實人”的目的。但目前我們未見相關法律法規或監管要求明確支持必須使用人臉識別技術進行身份驗證�����,故����,在現階段���,在商業場景下收集人臉信息進行身份驗證的合法基礎通常仍僅限於取得用戶的單獨同意。同時����,從最高人民法院出台的司法解釋《最高人民法院關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若幹問題的規定》�、今年10月剛剛頒布的國家標準《信息安全技術 人臉識別數據安全要求》(GB/T 41819-2022)��,並結合去年發布的《網絡數據安全管理條例(征求意見稿)》的規定來看�����,使用人臉識別技術收集人臉信息�����,需要進行必要性論證��,在非必要的情況下��,如果用戶不同意使用人臉識別技術�,則應當為其提供其他替代方案進行身份驗證[23]。故��,對於責任主體而言��,我們建議盡量做到非必要不收集和存儲人臉信息(例如���,僅在設備終端進行比對����,不將人臉信息上傳至後台或雲端)����,ruguoqueyoubiyaoshoujihuocunchurenlianxinxi���,zeyingzaizuohaogerenxinxifenjifenleidejichushang�����,anzhaomingangerenxinxidebaohuyaoqiu�,duirenlianxinxishishigengjiayangedebaohucuoshi。
3. 履行個人信息報送義務
責任主體應當按照《反電詐法》的de規gui定ding和he相xiang應ying主zhu管guan部bu門men的de要yao求qiu��,及ji時shi向xiang主zhu管guan部bu門men報bao送song相xiang應ying個ge人ren信xin息xi���,對dui於yu互hu聯lian網wang服fu務wu提ti供gong者zhe��,還hai應ying注zhu意yi記ji錄lu並bing留liu存cun所suo提ti供gong相xiang應ying服fu務wu的de日ri誌zhi信xin息xi[24]。
4. 關於個人信息保護的其他提示
根據《反電詐法》的規定�,在某些場景下���,責任主體為履行風險防控義務可以收集�、使用�、報送相關個人信息。例如���,為落實實名製要求�,責任主體需要收集�����、核實相關個人的身份信息���;又如���,根據《反電詐法》第18條第4款����,銀行業金融機構��、非銀行支付機構開展異常賬戶和可疑交易監測時����,可以收集異常客戶互聯網協議地址����、網卡地址�����、支付受理終端信息等必要的交易信息���、設備位置信息。對於此類情形下涉及的個人信息處理活動�,盡管責任主體可以依據《個保法》�����,以履行《反電詐法》的法定義務作為合法基礎����,而無須取得客戶同意[25]��,但需要注意的是����,首先�,以履行法定義務作為處理個人信息的合法基礎不免除責任主體告知義務的履行����,責任主體仍應就處理此類個人信息的規則向個人進行披露�����;其次�,此類個人信不得用於反電信網絡詐騙以外的其他用途����,如果需要超出該用途使用�����,責任主體仍需要按照《個保法》的規定取得同意或具備其他適用的合法基礎。
結語
《反電詐法》的頒布和實施無疑反映了近年來我國對於個人信息保護的逐步重視�,其對企業提出的要求與《數據安全法》《網絡安全法》《個保法》及其配套製度中關於個人信息的保護要求具有緊密聯係。在個人信息保護方麵��,我們認為���,《反電詐法》並未對企業提出額外的合規要求��,而是在反電信網絡詐騙這一特殊場景下對相應的個人信息保護提出了有針對性的要求。進入強監管時代後�����,包括《反電詐法》在內的各類法律法規����,均在落實實名製��、防範個人信息泄露等方麵對企業提出了新的挑戰����,倒逼企業盡快落實個人信息保護相關要求。企業應及時完善內控製度��,提高自身的數據保護水平���,以期遠離合規紅線�����,在多變的市場和監管環境中把握機遇。
注釋:
[1] 最高人民法院:《人民法院依法懲治電信網絡詐騙犯罪工作情況暨典型案例新聞發布會》����,2022年9月6日���,https://www.court.gov.cn/zixun-xiangqing-371111.html。
[2] 《中華人民共和國電信條例》第2條��,其中根據該第2款����,該條例所稱電信�,是指利用有線���、無線的電磁係統或者光電係統����,傳送��、發射或者接收語音�、文字���、數據���、圖像以及其他任何形式信息的活動。
[3] 《銀行業金融機構從業人員行為管理指引》第2條。
[4] 《非銀行支付機構條例(征求意見稿)》第2條�����,涉及關於儲值賬戶運營和支付交易處理的詳細內容。
[5] 《互聯網安全保護技術措施規定》第18條第1款。
[6] 《個人信息保護法》第73條第(一)項:“個人信息處理者�,是指在個人信息處理活動中自主決定處理目的��、處理方式的組織�、個人。”第4條第2款:“個人信息的處理包括個人信息的收集�、存儲����、使用�����、加工�����、傳輸��、提供����、公開��、刪除等。”
[7] 《反電信網絡詐騙法》第29條第2款。
[8] 2018年起����,針對網絡亂象�,公安機關開始實行“一案雙查”製度�,即在對網絡違法犯罪案件開展偵查調查工作時����,同步啟動對涉案網絡服務提供者法定網絡安全義務履行情況的監督檢查。
[9] 北京市公安局:《北京警方“淨網2021”�����,破獲各類網絡案件3114起》�����,2021年12月21日�,http://gaj.beijing.gov.cn/xxfb/jwbd/202112/t20211231_2581080.html。
[10] 央視網:《人民法院依法懲治電信網絡詐騙犯罪及其關聯犯罪典型案例》��,2022年9月6日�,https://news.cctv.com/2022/09/06/ARTIlGXFc3PIBGz0WtY9YnD1220906.shtml。
[11] 滬銀保監銀罰決字〔2020〕8號。
[12] 網易新聞:《國內最大個人信息泄露案���,54億條數據泄露》����,2021年10月26日�,https://c.m.163.com/news/a/GN7SH1880511BI8B.html。
[13] 《反洗錢法》第16條。
[14] 《移動互聯網應用程序信息服務管理規定(2022)》第2條:“應用程序提供者為用戶提供信息發布�����、即時通訊等服務的�,應當對申請注冊的用戶進行基於移動電話號碼�����、身份證件號碼或者統一社會信用代碼等方式的真實身份信息認證”。
[15] 《反電信網絡詐騙法》第6條。
[16] 《反電信網絡詐騙法》第7條。
[17] 《反電信網絡詐騙法》第10條:“國務院電信主管部門組織建立電話用戶開卡數量核驗機製和風險信息共享機製”。第16條:“中國人民銀行����、國務院銀行業監督管理機構組織有關清算機構建立跨機構開戶數量核驗機製和風險信息共享機製”“銀行業金融機構�����、非銀行支付機構應當按照國家有關規定提供開戶情況和有關風險信息”。第26條第2款:“互聯網服務提供者依照本法規定對有關涉詐信息����、活動進行監測時����,發現涉詐違法犯罪線索�、風險信息的�,應當依照國家有關規定����,根據涉詐風險類型���、程度情況移送公安����、金融����、電信�����、網信等部門”。
[18] 《反電信網絡詐騙法》第39條至第44條。
[19] 《反電信網絡詐騙法》第46條第2款。
[20] 《反電信網絡詐騙法》第29條第1款。
[21] 《銀行保險機構信息科技外包風險監管辦法》第21條:“銀行保險機構在信息科技外包合同或協議中應當明確以下內容�����,包括但不限於:(一)服務範圍���、服務內容�、服務要求���、工作時限及安排���、責任分配���、交付物要求以及後續合作中的相關限定條件�����,服務質量考核評價約定。(二)合規�����、內控及風險管理要求���,對法律法規及銀行保險機構內部管理製度的遵守要求����,監管政策的通報貫徹機製。(三)服務持續性要求��,服務提供商的服務持續性管理目標應當滿足銀行保險機構業務連續性目標要求。(四)銀行保險機構對服務提供商進行風險評估�、監測���、檢查和審計的權利�����,及服務提供商承諾接受銀保監會對其所承擔的銀行保險機構外包服務的監督檢查。(五)合同變更或終止的觸發條件��,合同變更或終止的過渡安排。(六)外包活動中相關信息和知識產權的歸屬權以及允許服務提供商使用的內容及範圍����,對服務提供商使用合法軟����、硬件產品的要求。”
[22] 《反電信網絡詐騙法》第29條第2款。
[23] 《最高人民法院關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若幹問題的規定》第2條:“信息處理者處理人臉信息有下列情形之一的��,人民法院應當認定屬於侵害自然人人格權益的行為:……(八)違反合法����、正當�����、必要原則處理人臉信息的其他情形。”第4條:“有下列情形之一��,信息處理者以已征得自然人或者其監護人同意為由抗辯的�����,人民法院不予支持:(一)信息處理者要求自然人同意處理其人臉信息才提供產品或者服務的�����,但是處理人臉信息屬於提供產品或者服務所必需的除外�;……”參考其第10條第1款:“物wu業ye服fu務wu企qi業ye或huo者zhe其qi他ta建jian築zhu物wu管guan理li人ren以yi人ren臉lian識shi別bie作zuo為wei業ye主zhu或huo者zhe物wu業ye使shi用yong人ren出chu入ru物wu業ye服fu務wu區qu域yu的de唯wei一yi驗yan證zheng方fang式shi�,不bu同tong意yi的de業ye主zhu或huo者zhe物wu業ye使shi用yong人ren請qing求qiu其qi提ti供gong其qi他ta合he理li驗yan證zheng方fang式shi的de�,人ren民min法fa院yuan依yi法fa予yu以yi支zhi持chi。”
《信息安全技術 人臉識別數據安全要求》(GB/T 41819-2022)第5條b項:“應僅在人臉識別方式比非人臉識別方式更具安全性或便捷性時���,采用人臉識別方式進行身份識別��;應同時提供人臉識別方式和非人臉識別方式���,並由自然人選擇使用。”
《網絡數據安全管理條例(征求意見稿)》第25條:“數據處理者利用生物特征進行個人身份認證的����,應當對必要性�����、安全性進行風險評估���,不得將人臉��、步態�����、指紋�����、虹膜����、聲紋等生物特征作為唯一的個人身份認證方式����,以強製個人同意收集其個人生物特征信息。”
[24] 《反電信網絡詐騙法》第24條。
[25] 《個人信息保護法》第13條。
