2023年4月1日�����,由中國人民大學法學院�����、中國人民大學未來法治研究院���、北京市海問律師事務所共同主辦����、最高人民檢察院第四檢察廳指導的“《反電信網絡詐騙法》視角下的數據合規”研討會在北京成功舉辦��。在第二階段主題發言中��,北京市海問律師事務所合伙人楊建媛律師發表題為“《反電信網絡詐騙法》背景下企業數據合規體系構建”的專題演講。楊律師結合典型案例及實踐經驗�����,自“立題-破題-解題”層層遞進����,展示其對于《反電信網絡詐騙法》下企業數據合規體系構建方式這道時代“難題”的“解題”思路���。她強調,《反電信網絡詐騙法》下的合規要求與現行數據合規體系存在緊密聯系�����,企業應關注電信網絡詐騙的特性并對現有合規體系進行針對性調整���。
在“立題篇”中����,楊律師提出,《反電信網絡詐騙法》與數據合規有著千絲萬縷的聯系����。
從主體來看�,反詐主體范圍廣泛�,其中以電信業務經營者、銀行業金融機構和非銀行支付機構��、互聯網服務提供者三類特殊主體為重點對象�,作為各項反電詐義務承擔主體,同時還延伸至一般意義上的個人信息處理者(重點在于防范個人信息被非法獲取以用于電信網絡詐騙)�,以及一般單位及個人(重點在于不得實施任何支持和幫助電詐的行為)�。從反電詐合規義務來看�,“事前防范-事中監控-事后協助”義務脈絡清晰:①事前防范義務。核心包括三點:A.明確風險防控責任,具體包括反詐內控機制及內部安全責任制度構建�,以及業務涉詐風險評估;其中�����,構建并完善個人信息保護機制,形成個人信息被用于電信網絡詐騙的防范機制,切斷個人信息非法獲取渠道���,對于落實上述責任至關重要;B.承擔賬戶/賬號管理責任,具體包括落實實名制要求��、做好核驗登記及日志記錄等�;C.落實反詐培訓與宣傳��,其中個人信息保護合規培訓系關鍵環節�。②事中監控義務��。滲透在監控����、響應流程中的諸多細節�,主要包括:A.涉詐異常賬號檢測識別、重新核驗與處置措施落地;B.重點監測并及時處置分發平臺以外途徑下載傳播的涉詐應用程序�;C.推進合規檢視�����,防止自身業務、產品�����、功能��、行為等被認定為“為他人實施電詐活動提供支持或幫助”�����;D.在涉詐活動、涉詐信息監測�、識別和處置過程中如涉及處理個人信息的�����,應遵循處理最小必要原則和目的限定原則,確保數據使用限定在反詐的范圍內;E.落實涉詐風險提示及勸阻工作�。③事后協助義務���。主要體現在三個方面:一是互聯網服務提供者應當為公安機關辦理詐騙案件依法調取證據提供技術支持和協助。二是在對涉詐信息���、活動進行監測時,若發現犯罪線索或風險信息�,互聯網服務提供者還應將有關線索或信息移交給公安機關或行業主管部門�����,此與個人信息保護安全事件上報義務緊密聯系。三是積極配合處置涉案資金�����、追贓挽損的同時,履行《個人信息保護法》的通知義務��,將個人信息泄露情況通知個人有助于防止受影響個人被詐騙����。
在“破題篇”中,楊律師通過展示電信網絡詐騙典型案例�,呈現常見企業數據合規體系的薄弱環節���,將問題源頭對準個人信息非法獲取�。
①電信網絡詐騙對個人信息的分析利用“穩準狠”�。通過展示以殘疾人(弱勢群體代表)、高考生(近期有特殊關切的人群)為詐騙對象的兩則案例���,說明在綜合詐騙難易度及效益獲取因素上,特殊群體易成為電信網絡詐騙的侵害對象�����,對此企業應將反詐工作資源更多傾斜于保護弱勢群體上����,包括加大對此部分群體個人信息安全保護措施的投入�����。②超范圍收集個人信息可能間接助力精準詐騙���。通過展示某在線問診APP大量收集與問診無關的個人信息的案例����,說明收集非必要信息行為不僅缺乏必要目的��,還會間接助力電信網絡精準詐騙��。③基本的個人信息保護手段即可制約相當數量的詐騙行為。一些詐騙的手段(例如假冒賬號��、發送釣魚鏈接等)并不“高大上”�����,基本的個人信息保護手段(例如構建賬號注冊登錄認證機制��、異常郵件識別及排查等)就可以預防較大數量的問題。④防范外部攻擊入侵的同時更要警惕內鬼�。公開及海問團隊處理過的真實案例包括:詐騙分子利用公司防火墻未正確打開的漏洞非法訪問服務器�;通過在公司電腦植入遠程控制程序并在離職后繼續使用員工賬號登錄系統��,實現對系統內數據獲?�。患用酥频目爝f公司由網點自行分配權限�,內部泄露風險高�����。加強內部系統及人員管理,做好冗余權限及過期賬號注銷��,尤為關鍵����。⑤獨善其身遠遠不夠�,合規要求需傳導輻射。此主要強調對可能接觸個人信息的第三方的合規管理要求。以實踐中常見的委托第三方日常運營系統場景為例��,第三方相較于本公司能更直接���、深入��、全面接觸���、使用系統內數據�����,由第三方非法獲取個人信息的風險較高���。對此��,從協議約束、權限管控、實質監督等方面加強第三方管理,系數據合規乃至反電詐義務落實的重點工作�����。
在“解題篇”中����,楊律師提出,反電信詐騙措施并未超出現有數據合規體系的要求�����,但需進行針對性���、精準化的調整��,建議從以下三個角度適配已有數據合規體系:
①從企業自身管理出發:完善企業自身的合規體系,包括組織措施�、技術措施����、對于C端用戶的管理�����。組織措施包括三個方面:一是落實數據分類分級工作,其中適當提升對老人�����、孕婦����、殘疾人�、低保人群等電詐常見侵害對象的個人信息的定級�;二是規范業務流程���,梳理關鍵崗位,落實責任到人�;三是設置反電信網絡詐騙內控機制��,包括管理組織體系及制度建設�����。
技術措施包括三個方面:一是加強身份認證機制建設�,強化權限管控�����,防止內部泄露;二是落實數據加密��,尤其是特殊群體個人信息及關鍵個人信息�;三是落實日志記錄,有助于事后追查���。
C端用戶管理:一方面是在高風險賬戶識別方面�,在履行最小必要和目的限定原則的基礎上允許企業通過大數據分析建立風控模型���;另一方面,通過隱私政策設置及行權響應機制建設,實現涉詐信息處理標準化。
②從第三方管理出發:加強第三方合規管理����,包括實質合規審查及外部數據交互管理���。形式合規承諾:通過制定并加入數據交互責任條款方式��,明確第三方在數據交互場景下的數據合規責任,包括承諾數據來源合法合規(第三方作為數據提供方)����;將數據處理目的場景控制在協議約束范圍內(第三方作為數據接收方)等��。
實質合規審查:在與第三方開展數據交互合作前,應對第三方數據安全能力及本項目開展的合規風險予以評估�。
③從危機管理出發:做好數據安全事件應對�����,積極配合執法調查��。應對數據安全事件:及時響應并做好影響評估及止損處置����,同時積極落實監管部門上報�、數據主體通知義務��。
配合反詐執法調查:積極配合執法調查��,協助對涉詐用戶�、涉詐資金及時�、合理處置�����。
唯有切題,方可解題。探尋“反電詐”背景下企業數據合規體系構建的“解題之道”,關鍵系透析《反電信網絡詐騙法》在數據安全方面之合規要義�,聚焦當下電信網絡詐騙針對數據保護鏈條之突破缺口���,在企業現有數據合規體系基礎上吸納、兼容反電詐義務之重點抓手����。
