文/郭晓磊
网络安全法:遏制电信网络诈骗的法律屏障
文/郭晓磊
大数据时代个人信息存在严重安全隐患,大多数电信网络诈骗都与个人信息的泄露有关。网络安全法从个人信息保护、网络实名制、明确主体的法律责任等方面作出了专门规定,对防止个人信息泄露、遏制电信网络诈骗、保护公民合法权益起到了法律屏障的作用。
当前,电信网络诈骗日益呈现出精准化、职业化的特征,给人民群众的生命和财产造成了巨大的损失。其猖獗的主要原因在于个人信息泄露、实名制推行不力、法律责任不明确及处罚力度不够。2016年11月颁布的网络安全法从个人信息保护、网络实名制、相关主体的法律责任等方面作出了规定,能有效地防范和打击电信网络诈骗。
电信网络诈骗往往都是从个人的信息泄露开始,而随着信息通信技术水平的提高以及商业服务业的迅猛发展,互联网大数据时代更容易造成个人信息泄露,个人信息存在着严重的安全隐患。目前,电信网络诈骗犯罪分子获取公民个人信息的方式主要有:一是网络黑客通过技术手段窃取政府或企业存储的公民个人信息;二是通过招聘、婚介、办理会员、获取礼品等需要填写个人信息的渠道非法获取公民个人信息;三是利用钓鱼网站链接骗取公民个人信息;四是利用伪基站设备发送虚假链接方式窃取公民个人信息;五是网络运营商或其他组织内部工作人员利用工作便利非法窃取、收集和出售公民个人信息。个人信息的泄露和盗卖为不法分子实施精准的电信网络诈骗提供了信息支持,起到推波助澜的作用。
网络安全法用较大的篇幅专门规定了公民个人信息保护的基本法律制度。第一是网络运营者收集、使用个人信息必须符合合法、正当、必要原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。要让用户知道你在收集他的信息、凭什么收集他的信息、通过何种正常渠道收集的,并且需要用户的知情同意,禁止通过任何形式非法收集公民个人信息。
第二是网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,强调了收集个人信息的边界。比如,地图导航软件需要用户的物理位置,应当需要满足其需要收集的信息,但如果要求用户提供姓名和身份证号,就属于与服务无关的信息。
第三是个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息,发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正,网络运营者应当采取措施予以删除或者更正。这是借鉴了欧美法的经验,在一定程度上确定了“被遗忘权”,网络用户按照有关个人信息保护规则,有权要求网络运营者删除或更改自己相关的个人信息。
第四是网络运营者不得泄露、篡改、毁损其收集的个人信息,应当采取技术措施,防止信息泄露、毁损、丢失,确保收集的个人信息安全。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。这一条款赋予个人用户自我保护的权利,强化个人数据泄露通知制度,使当前个人信息泄露无法彻底杜绝的情况下,要求告知可能受到影响的用户,从而增强用户对相关诈骗行为的警惕性。
第五是未经用户同意,不得向他人提供个人信息,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。严禁公民个人信息的非法转卖、倒卖。目前,由于几乎没有门槛,贩卖个人信息的从业者越来越多,产业链也越来越庞大,对社会的危害也越来越严重。本条的规定结合其他法律制度可以严厉打击非法获取、提供、出售信息的违法犯罪活动。
第六是任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序。针对层出不穷的新型网络诈骗犯罪,这些规定不仅对实施网络诈骗的个人和组织起到震慑作用,也明确了互联网企业不可推卸的责任。
当前,电信网络诈骗案越来越趋向于精准化,不法分子能够准确及时地掌握受害者的个人信息从而能够控制受害者的心理和行为,造成受害者的经济损失。加强个人信息保护,可以有效切断不法分子利用个人信息实施电信网络诈骗犯罪的作案链条。
早在2010年,工业和信息化部就宣布实施手机用户实名登记制度,2012年12月全国人大常委会颁布了《关于加强网络信息保护的决定》,将公民个人电子信息保护和电话用户实名制纳入法律层面。2013年7月,工信部制定出台了《电信和互联网用户个人信息保护规定》和《电话用户真实身份信息登记规定》。2015年初,工信部、公安部、国家工商总局联合印发了《电话“黑卡”治理专项行动工作方案》,在全国范围内联合展开为期一年的“黑卡”治理专项行动。
尽管有关部门已经制定了相关的法律规定,但是基本都是规章,层级较低,缺乏统一的管理法律法规,相应的处罚力度不大,实际执行效果有限。有些企业在单位考核和利益的驱使下,并没有把实名制真正落实到位,为了抢占市场而发展用户普遍降低客户办理手机卡的门槛,特别是为了提升用户数量将大量的手机卡销售任务层层转包,代理渠道管理十分混乱;有的甚至出现放任用他人的身份证开户或冒用他人的身份证开户的现象。由于有关企业技术和管理上的缺陷,导致电话“实名制”的背后充其量只是“记名制”,“真名”的背后并不是使用者本人。
网络安全法明确了网络实名制度。网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。同时,国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。本条对有效防范电信网络诈骗具有重要意义,因此需要严格电话卡实名制度。
第一是电话卡全部实行真实的实名制。电话卡实名制即使能达到99%,剩下1%的数量也很惊人,公安机关在查获诈骗团伙窝点时经常能搜出上千张的电话卡。因此,必须依照法律规定加快完成未实名电话存量用户身份信息补登记工作,严格做到100%的实名制。电信企业应当进行拉网式排查,尤其要清理历史遗留的实名登记者和使用者不一致的电话卡,保证登记者与使用者两者统一对应。对于长期异地使用的电话卡,且发送短信和拨打电话超出正常状态的电话卡,要通过技术手段实施监控分析。
第二是从严做好新入网电话用户实名登记。电信企业需采取有效的管理和技术手段,确保电话用户登记信息真实、准确、可溯源。为新用户办理入网手续时,要严格落实用户身份证件核查责任,采取二代身份证识别设备、联网核验等措施验证用户身份信息,并现场拍摄和留存办理用户照片。通过网络渠道发展新用户时,要采取在线视频实人认证等技术方式核验用户身份信息。对没有有效证件或者证件不是本人的,坚决杜绝放任办卡。原则上不接受电话卡委托办理业务,有特殊原因非要委托办理的,需要出具相关公证等材料,从严审核。
仅2016年8月一个月时间,360手机卫士就拦截了各类骚扰电话34.3亿次,平均每天拦截骚扰电话约1.11亿次。其中,共拦截诈骗电话4.45亿次,占到了当月骚扰电话拦截总量的13.0%,平均每天拦截诈骗电话约1435万次。
第三是严格电话卡转让制度。电话用户不能私自转让已经实名登记的手机卡,如果私下转让必须经过实名过户登记,否则一旦新的持卡人利用该手机卡从事违法行为,原持卡人将承担连带民事责任。持卡人如果手机被盗和遗失,应当及时按规定销号,不给不法分子以可乘之机。对于非法提供他人手机卡从事诈骗活动,构成犯罪的应当追究刑事责任。
第四是严格落实代理渠道电话实名制管理制度。进一步严格代理渠道准入,强化代理商资质审核,严格禁止代理渠道擅自委托下级代理。对出现不登记、虚假登记、批量开卡、“养卡”等违规行为的代理渠道,一经发现立即取消其代理资格,并从严追究相关部门和负责人责任。
第五是严格责任追究制度。对落实不力的责任单位和个人要责令限期整改,限期不整改的或已经造成当事人损失的必须依法追究有关单位和责任人的法律责任。
真实的网络实名制度,在发生电信网络诈骗案件时,公安机关可以在第一时间确定不法分子的真实身份,为尽快抓获犯罪分子、挽回受害人损失争取了时间。因此,为了遏制某些电信网络诈骗犯罪的发生,需要采取措施严格网络实名登记制度。
在电信网络诈骗犯罪中,由于相关法律制度的不完善,使得电信企业、第三方服务平台等相关主体的法律责任不明确,相互推诿责任,处罚力度弱,一定程度上纵容了电信网络诈骗的产生和蔓延。网络安全法通过法律规定厘清了各方的安全责任和义务,加大了违反安全责任的处罚力度,用法律来倒逼相关各方承担好维护个人信息安全的主体责任,履行应尽的法律义务。
网络安全法在法律责任一章对相关主体的法律责任作了明确而详细的规定。网络运营者违反网络安全法的规定,给他人造成损害的,该行为具有民事上的可诉性,应当依法承担民事责任,可以适用民法总则、侵权责任法等法律。构成违反治安管理行为的,依法给予治安管理处罚,可以适用治安管理处罚法。依法追究刑事责任的,可以适用刑法及相关的办理电信网络诈骗刑事案件的司法解释等规定。
网络安全法规定网络运营者违法行为的行政处罚的形式包括责令改正、警告、处以罚款,责令暂停相关业务、停业整顿、关闭网站、吊销网络运营者相关业务许可证或者吊销其营业执照等,违法行为还将可能被有关机关记录到信用档案,并予以公示,这对于相关主体具有较强的威慑力。
网络安全法还规定了职业禁入的制度,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,凡受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作,受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
网络不是法外之地,所有的参与者都要按照法律的要求来规范自己的行为,包括国家管理者、网络运营者、机构、公民等都要遵守法律的要求,任何为个人利益触碰法律底线的行为都将受到法律的制裁。网络安全法的颁布实施具有里程碑式的意义,对于防范和打击电信网络诈骗,切实保障人民群众的合法权益筑起了一道坚实的法律屏障。
(作者系南京邮电大学信息产业发展战略研究院副教授)