《反电信网络诈骗法》通过，整治网络黑灰产的又一记重拳

　　近日，《反电信网络诈骗法》获得审议通过，并将于2022年12月1日起正式实施。

　　《反电信网络诈骗法》共有七章50条，统筹发展和安全，立足各环节、全链条防范治理电信网络诈骗，精准发力，为预防、遏制和惩治电信网络诈骗活动，加强反电信网络诈骗工作，保护公民和组织的合法权益，维护社会稳定和国家安全提供有力法律支撑。

　　《反电信网络诈骗法》：立法快、定位准、重视结果

　　《反电信网络诈骗法》对电信网络诈骗进行了明确定义：

　　电信网络诈骗是指以非法占有为目的，利用电信网络技术手段，通过远程、非接触等方式，诈骗公私财物的行为。

　　顶象防御云业务安全情报中心认为，该部法律立法快、定位准、重视结果。

　　立法速度快。从2021年10月19日《反电信网络诈骗法》草案提请十三届全国人大常委会初次审议，到2022年9月2日正式表决通过，不到一年的时间。相关负责人表示，《反电信网络诈骗法》在立法技术上是“小快灵”，体现“小切口”，对关键环节、主要制度作出规定，建起四梁八柱，条文数量不求太多，立法进程快，体现急用先行，将进一步丰富全国人大常委会的立法形式。

　　目标精准。电信网络诈骗分子实施诈骗活动，离不开金融、通信、互联网等业务，他们利用这些技术和服务实施骗术、转移资金等，钻行业管理漏洞，采取各种包装手法逃避打击。《反电信网络诈骗法》对通信、互联网、金融有详细的治理规定，通过加强对电话卡、银行卡、互联网账号管理，覆盖电信网络诈骗发生的信息链、资金链、技术链、人员链，从源头上防范电信网络诈骗。

　　重视结果。作为一部专项急需立法，《反电信网络诈骗法》立足实践需要，坚持问题导向和结果导向，各项条款精细，责任明确清晰。例如，进一步明确和提出实名制要求，特别是为保证对涉诈异常电话卡、账号在使用环节的“实人实操”，规定可以重新实名核验，并根据风险情况采取相应限制、暂停服务等措施；对办理电话卡、金融账户的数量进行合理限制，有针对性地完善物联网卡销售、使用监测制度等。

　　推动企业高效建立业务反欺诈体系

　　《反电信网络诈骗法》对电信企业、银行、支付机构、互联网企业等在反诈工作中要承担风险防控责任，建立内部控制制度和安全责任制度，并规定了企业对各类涉诈信息、活动的监测处置责任。

　　第十五条　银行业金融机构、非银行支付机构为客户开立银行账户、支付账户及提供支付结算服务，和与客户业务关系存续期间，应当建立客户尽职调查制度，依法识别受益所有人，采取相应风险管理措施，防范银行账户、支付账户等被用于电信网络诈骗活动。

　　第十八条　银行业金融机构、非银行支付机构应当对银行账户、支付账户及支付结算服务加强监测，建立完善符合电信网络诈骗活动特征的异常账户和可疑交易监测机制。

　　第二十二条　互联网服务提供者对监测识别的涉诈异常账号应当重新核验，根据国家有关规定采取限制功能、暂停服务等处置措施。

　　第三十一条　任何单位和个人不得非法买卖、出租、出借电话卡、物联网卡、电信线路、短信端口、银行账户、支付账户、互联网账号等，不得提供实名核验帮助；不得假冒他人身份或者虚构代理关系开立上述卡、账户、账号等。

　　银行要履行反洗钱、反诈职责，建立尽职调查制度，对涉诈异常银行卡、可疑交易等进行监测处置；电信企业要对涉诈异常电话卡、改号电话、GOIP等非法设备等进行监测处置；互联网企业要对涉诈互联网账号、App、网络黑灰产进行监测处置，要按照国家规定，履行合理注意义务，防范其相关业务被用于实施电信网络诈骗等；App、域名解析、域名跳转等网络资源规范管理，强化各行业涉诈违法犯罪线索、风险信息、黑样本数据信息共享。

　　顶象防御云基于多年实战经验和技术产品，拥有丰富的技术工具、数万个安全策略及数百个业务场景解决方案，具有情报、感知、分析、防护、处置的能力，提供模块化配置和弹性扩容，助企业快速、高效、低成本构建自主可控的业务安全体系，帮助企业有效防范各类业务风险，抵御黑灰产的欺诈威胁，解决业务环节的安全问题，为业务的稳定、安全运行保驾护航。

　　打击网络黑灰产，护航数字业务安全

　　针对互联网领域存在的网络黑灰产，机械工业出版社出版的《攻守道-企业数字业务安全风险与防范》一书中有详细的分析：

　　网络黑灰产彼此分工明确、合作紧密、协同作案，每一环节都有不同的牟利和运作方式，形成一条完整的产业链。以大规模牟利为目的网络黑灰产，熟悉业务流程以及防护逻辑，能够熟练运用自动化、智能化的新兴技术，不断开发和优化各类攻击工具，不断发起各类欺诈攻击。

　　近年来，在公安机关严厉打击之下，一批批不法分子被绳之以法。

　　顶象防御云业务安全情报中心认为，《反电信网络诈骗法》将加强网络黑产的整治力度，不断压缩此类违法犯罪空间，有效遏制网络黑灰产持续上升的势头，护航数字业务安全。

　　推动《个人信息保护法》普及，保障个人信息安全

　　加强政府和监管部门职责是建立完善反电信网络诈骗工作责任体系的重要组成部分。《反电信网络诈骗法》对电信、金融、互联网具体规定了有关部门的监督管理和防范职责，并强调部门工作人员在反电信网络诈骗工作中滥用职权、玩忽职守的法律责任。

　　第二十九条 个人信息处理者应当依照《中华人民共和国个人信息保护法》等法律规定，规范个人信息处理，加强个人信息保护，建立个人信息被用于电信网络诈骗的防范机制。履行个人信息保护职责的部门、单位对可能被电信网络诈骗利用的物流信息、交易信息、贷款信息、医疗信息、婚介信息等实施重点保护。公安机关办理电信网络诈骗案件，应当同时查证犯罪所利用的个人信息来源，依法追究相关人员和单位责任。

　　《个人信息保护法》已实施10个多月（2021年11月1日实施），这部可以比肩欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR；2018年5月实施）的法律，并没引发全社会的足够重视。时至今日，依旧不断曝出“内鬼”盗取快递用户信息、人脸图像遭任意采集和肆意利用、多地健康码信息被无节制地滥用、疫情防控中个人敏感信息被随意扩散到各类社群中。希望《反电信网络诈骗法》能够成为《个人信息保护法》普及落地的有效手段，维护法律的尊严与权威。