对外经贸大学数字经济与法律创新研究中心主任许可
个人信息安全问题日益受到广泛关注。不法分子在精准掌握用户个人信息的前提下,编造出迷惑性更高的诈骗场景,对公众实施欺诈。个人信息泄露成为诈骗实施的关键因素。
反电信网络诈骗法如何明确企业防范责任?有何立法特点?南都记者专访对外经贸大学数字经济与法律创新研究中心主任许可。他表示,反电诈法是一部以解决问题为导向的立法,强调针对一个特殊问题融合多种治理方式进行综合治理。同时,反电诈法更关注对公民财产的保护,强调对个人信息泄露导致财产丧失的风险预防。
立法特点
一部以解决问题为导向的立法
南都:长期以来,非法贩卖电话卡、银行卡,导致手机卡、银行卡“实名不实人”,是电信网络诈骗案件持续高发的重要根源。此次反电诈法立法完善了电话卡、物联网卡、金融账户、互联网账号有关基础管理制度,您认为立法层面专门规定“断卡”有何意义?
许可:“断卡”是个技术治理环节的问题。因为法律的规定都很清楚,要求公众购买电话卡和银行卡必须实名制,但问题在于有没有落实这些法律法规的手段。反电诈法吸收了很多治理电信诈骗的经验,通过技术治理的方式来解决“实名不实人”这个问题。比如,除规定两卡实名制之外,还专门规定了实名制的核验措施,要求对改号号码进行封堵拦截、溯源核查等。这些都是很技术性质的规定,要求全流程技术的介入,这是很典型的一种多元共治的思路,通过建立技术上的安全保障措施来落实法律上的要求。
由此可见,反电诈法对电信诈骗的治理思路变了。法律的治理强调的是一种责任承担和事后的追究,技术治理则要将把解决问题放在前端,在事前和事中环节就用技术的手段进行风险化解。
南都:这反映出反电诈法怎样的特点?
许可:这反映出反电诈法的一个立法特征,就是针对一个特殊问题融合多种治理方式进行综合治理,也可以看出该法是一部以解决问题为导向的立法,并不是以建构一套体系为导向的立法。它的立法目的就是要解决问题,不像民法典或者是个人信息保护法,是以建构一套体系制度为目的,所以它要求特别强的实操性。
信息泄露
P2P企业破产环节信息泄露易被忽视
南都:个人信息泄露是诈骗实施的关键因素。在精准掌握用户个人信息后,不法分子编造场景对公众实施欺诈。请问哪些环节容易导致公民个人信息泄露?
许可:环节太多了。我们都知道公民个人信息实际上可以分为线下收集和线上收集两个环节。从生活经验也可以得知,当我们进行很多线下交易的时候,容易遭遇个人信息泄露。比如,我们买了房子就会接到装修公司的电话,这是很常见的线下的泄露的环节。公民个人信息泄露通常是企业员工或者经纪人导致的。
线上主要是企业端的泄露。一种是所谓的黑客攻击,第三方通过进入企业的数据库拿到这些数据。企业端泄露还有一种就是企业内部人“监守自盗”,把企业内部的公民个人信息拷贝出去卖掉。还有的企业专门从事黑灰产,也就是我们通常所说的非法企业,以个人信息贩卖黑灰产为业。
南都:此外还有哪些容易忽视的个人信息泄露环节?
许可:有一种目前很严重但还未引起重视的,就是企业破产环节的个人信息泄露。比如对P2P企业进行大清理整顿后,很多P2P企业都关停了。但P2P公司实际上又掌握着大量精准的有价值的个人信息,像公民支付信息、财务信息。随着企业破产,电脑、服务器被处理变 卖的时候,被当做简单的有形资产,而没有考虑上面负载着无形的个人信息。这些信息很容易被第三方获取,导致公民个人信息泄露,这些信息也很有可能被滥用。
南都:此前“徐玉玉案”中,黑客通过攻击教育系统网站,获取考生信息之后实施了精准电信诈骗。政府端有哪些个人信息泄露风险?
许可:政府端也是个人信息泄露的风险源之一。有些政府机关特别是事业单位没有人财物进行信息安全保障,就容易被黑客攻击系统,导致公民个人信息泄露。
此外,还有一些政府的电子政务平台在建过程中进行“第三方外包”。第三方掌握了公民大量的个人信息,也存在着将这些信息泄露的或者买卖的风险。所以我们看到从线上到线下,不管是企业、国家机关、事业单位都是个人信息泄露的风险源头。
企业防范
建议政府给予个人信息托管机构政策扶持
南都:近日,“多家电商平台个人信息被公开售卖”的消息引发关注。此次反电诈法立法专门规定,任何单位和个人不得以出售、提供个人信息的方式为他人实施电信网络诈骗提供支持或者帮助。个人信息被售卖为何屡禁不绝?
许可:“内鬼”泄露不仅恰恰说明解决个人信息泄露的问题根本在于对人的管理,它不完全是个技术问题。再好的技术、再好的制度如果不落实不执行,也没有办法真正发挥作用。怎么去解决这个问题?核心就是要把企业的组织责任强化,企业不能因为“内鬼”作案就不承担责任。要强化企业作为整个生产经营组织、安全保障义务承担者对内部人员、规程和制度实施的组织管理责任,从而最大程度降低个人信息泄露的风险。
南都:一直以来,房产中介、装修公司泄露个人信息引发的电信网络诈骗也持续高发。据您了解,形成这一现象的原因是什么?
许可:这些行业都存在大量线下收集公民个人信息问题。线下收集的个人信息很难管理,也更容易泄露。要解决这一问题,公民应该提升个人信息保护的意识。比如疫情防控期间很多公共场所实行线下登记,要求公民登记身份证、手机号等个人信息,但公民完全可以拒绝这些不合理的信息收集方式。此外,企业还应该尽可能将个人信息收集线上化,杜绝纸质的线下收集方式。
南都:反电诈法也明确了企业的防范责任,但很多小企业没有能力进行用户个人信息保障,这种情况该怎么处理?
许可:即使是看起来不起眼的小企业,可能都掌握了大量公民个人信息。所以我觉得增加组织责任对于大企业没问题,但是对于小企业进行用户信息保护成本过高,是“非不为也,实不能也”。因此对于小企业,我们不能仅强调要提升他们的安全保障水平,还需要给他们提供外部助力。有一种方案就是所谓的个人信息的托管,即当企业个人信息相关数据很多,但企业又没有能力管理时,能不能找第三方专业管理机构帮助管理。建议国家应当对第三方个人信息托管机构给予政策扶持,给小企业以财税上激励,让他们也能够进行用户个人信息保护。
建议国家应当对第三方个人信息托管机构给予政策扶持,给小企业以财税上激励,让他们也能够进行用户个人信息保护。
——对外经贸大学数字经济与法律创新研究中心主任许可
采写:南都记者 刘嫚 发自北京
