2022年9月2日，十三屆全國人大常委會第三十六次會議表決通過了《中華人民共和國反電信網絡詐騙法》，自2022年12月1日起施行。

　　回顧立法進程，《反電信網絡詐騙法》歷經三次審稿，從最初39條，到二審稿46條，到正式稿50條，已圍繞綜合治理、源頭治理和全鏈條治理重點，形成了以多部門各司其職并協(xié)同打擊治理電信網絡詐騙活動為目的的相對完善全面的一部專門法律。

　　● 2021年10月19日，《中華人民共和國反電信網絡詐騙法（草案）》提請十三屆全國人大常委會初次審議。初審稿明確了反電詐工作的基本原則，完善了各主體相關基礎合規(guī)管理制度，構建了初步的法律責任體系。

　　● 2022年6月21日，《中華人民共和國反電信網絡詐騙法（草案二審稿）》提請十三屆全國人大常委會第三十五次會議二次審議。草案二審稿在進一步總結反詐工作經驗基礎上，著力加強預防性法律制度構建，強化壓實各方面的主體責任和社會責任，并增加保密管理和隱私保護等板塊。

　　● 2022年8月30日，《中華人民共和國反電信網絡詐騙法（草案三審議稿）》提請十三屆全國人大常委會第三十六次會議審議，草案三審稿對有關方面提出的“加大對電信網絡詐騙違法犯罪人員的懲戒力度”“充實完善宣傳教育防范方面的規(guī)定”“加強宣傳教育和相關信息共享”等意見建議作出回應。

　　從草案到正式稿出臺，用時不到一年，這一立法速度體現(xiàn)了主管部門打擊電信網絡詐騙行動的堅決急迫態(tài)度。全國人大常委會法工委刑法室主任王愛立在答記者問時表示，《反電信網絡詐騙法》在立法技術上是“小快靈”，體現(xiàn)“小切口”，對關鍵環(huán)節(jié)、主要制度作出規(guī)定，建起四梁八柱，條文數量不求太多，立法進程快，體現(xiàn)急用先行，將進一步豐富全國人大常委會的立法形式。

　　《反電信網絡詐騙法》第二條規(guī)定：“本法所稱電信網絡詐騙，是指以非法占有為目的，利用電信網絡技術手段，通過遠程、非接觸等方式，詐騙公私財物的行為”。

　　● 境外針對境內實施詐騙的行為：境外的組織、個人針對中華人民共和國境內實施電信網絡詐騙活動的，或者為他人針對境內實施電信網絡詐騙活動提供產品、服務等幫助的，依照本法有關規(guī)定處理和追究責任。

　　明確電信、金融、網絡機構為反詐主體。本部法律不僅涉及國務院公安部門、金融管理部門、電信主管部門和國家網信部門等，也涉及公安機關、人民檢察院、人民法院等單位，更涉及電信業(yè)務經營者、銀行業(yè)金融機構、非銀行支付機構、互聯(lián)網服務提供者。共同反詐要求上述部門和單位應從各自職能出發(fā)，在統(tǒng)籌協(xié)調、建立工作機制、風險防控等方面密切協(xié)作，實現(xiàn)跨行業(yè)、跨地域協(xié)同配合、快速聯(lián)動，加強專業(yè)隊伍建設，有效打擊治理電信網絡詐騙活動。

　　《反電信網絡詐騙法》共七章50條，包括總則、電信治理、金融治理、互聯(lián)網治理、綜合措施、法律責任、附則等。該法針對電信網絡詐騙的各環(huán)節(jié)進行了針對性制度設計，特別是要求電信企業(yè)、銀行、支付機構、互聯(lián)網企業(yè)等在反詐工作中要承擔風險防控責任，建立內部控制制度和安全責任制度。例如，銀行要履行反洗錢、反詐職責，建立盡職調查制度，對涉詐異常銀行卡、可疑交易等進行監(jiān)測處置；電信企業(yè)要對涉詐異常電話卡、改號電話、GOIP（虛擬撥號設備）等非法設備等進行監(jiān)測處置；互聯(lián)網企業(yè)要對涉詐互聯(lián)網賬號、App、網絡黑灰產進行監(jiān)測處置，要按照國家規(guī)定，履行合理注意義務，防范其相關業(yè)務被用于實施電信網絡詐騙等等。

　　此外，該法區(qū)分主體進行了細致的合規(guī)義務規(guī)定，整體體現(xiàn)為“3+1”格局（電信/金融/互聯(lián)網+綜合治理），如下表所示（本法為違反加粗標紅部分的行為規(guī)定了嚴格的法律責任）：

　　《反電信網絡詐騙法》在第六章“法律責任”部分就行政處罰作出專門規(guī)定，并進一步明確承擔民事責任和納入信用記錄。該法對從事電信網絡詐騙違法犯罪人員和關聯(lián)犯罪的人員從嚴懲處，并對未能履行風險防控責任和合規(guī)義務的電信業(yè)務經營者、互聯(lián)網服務提供者等主體規(guī)定了嚴格的行政處罰，設置了企業(yè)罰款最高五百萬，以及直接負責的主管人員和其他直接責任人最高罰款二十萬元的處罰基準。綜合整部法規(guī)而言，相關的處罰措施還包括：

　　● 在刑法規(guī)定刑事責任的基礎上，對尚不構成犯罪的，規(guī)定了專門的行政處罰，沒收違法所得、罰款和十五日以下拘留；

　　● 對從事電信網絡詐騙犯罪和關聯(lián)犯罪的人員，可以按照國家有關規(guī)定記入信用記錄，并規(guī)定了有關懲戒措施；

　　● 從事電信網絡詐騙違法犯罪人員，除依法承擔刑事責任、行政責任以外，造成他人損害的，還要依法承擔民事責任；

　　● 限制出境措施。對前往電信網絡詐騙活動嚴重地區(qū)且出境活動存在重大涉詐活動嫌疑的，以及從事電信網絡詐騙活動受過刑事處罰的人員，可以限制出境；

　　● 企業(yè)違法行為需承擔的行政責任包括：責令改正、警告、通報批評、罰款、暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照、關閉網站或者應用程序。

　　除開法條文義本身，《反電信網絡詐騙法》也對其出臺前的個人信息保護的現(xiàn)有規(guī)定整合了新的規(guī)則和適用挑戰(zhàn)，我們試討論如下：

　　● 監(jiān)管主導建設風險信息共享工作機制：《反電信網絡詐騙法》明確國務院電信主管部門將組織建立電話用戶開卡數量核驗機制和風險信息共享機制，對異常辦卡情形進行識別核驗。該條內容與第十六條金融治理方面建立跨機構開戶數量核驗機制和風險信息共享機制極為類似。在此之前，風險信息共享一直是機構間的核心訴求，《反電信網絡詐騙法》建立了法定的個人信息對外提供場景，企業(yè)可以按照有關規(guī)定向工信部/人行銀保監(jiān)會清算機構提供開卡/開戶情況和有關風險信息，解決企業(yè)本身的風險信息共享訴求；

　　● 新增個人信息收集的合法理由：第十八條明確“銀行業(yè)金融機構、非銀行支付機構開展異常賬戶和可疑交易監(jiān)測時，可以收集異常客戶互聯(lián)網協(xié)議地址、網卡地址、支付受理終端信息等必要的交易信息、設備位置信息”。需要注意的是，此前公布并于2022年11月1日實施的《信息安全技術移動互聯(lián)網應用程序（APP）收集個人信息基本要求》中明確規(guī)定“APP不應收集不可變更的唯一設備識別碼”，而網卡地址（不可變更MAC地址）顯然屬于此列。雖然存在合規(guī)要求的沖突，但鑒于《反電信網絡詐騙法》作為法律的更高效力，企業(yè)仍可以出于反詐監(jiān)測的目的收集該類信息。此外，企業(yè)還應注意，未經客戶授權，不得將上述信息用于反電信網絡詐騙以外的其他用途。

　　● 部分個人信息類別可能受到加集安全保護：要求履行個人信息保護職責的部門、單位對可能被電信網絡詐騙利用的物流信息、交易信息、貸款信息、醫(yī)療信息、婚介信息等實施重點保護。此前國家郵政局、公安部、國家網信辦三部門已實施了為期半年的郵政快遞領域個人信息安全治理專項行動，而海南省也于今年3月開展 “婚戀相親類”移動應用程序違法違規(guī)收集使用個人信息專項治理工作。我們認為，隨著《反電信網絡詐騙法》的宣傳和落地，上述五類個人信息安全的專項治理將成為近期監(jiān)管重點領域。

　　● 個人信息來源合法性需加強合規(guī)管控：第二十九條規(guī)定，公安機關辦理電信網絡詐騙案件時應當同時查證犯罪所利用的個人信息來源。若涉詐活動所使用的個人信息來源不合法，則上游信息供應方明知他人利用信息網絡實施詐騙，為其犯罪行為提供非法獲取的個人信息的，同時涉及幫助信息網絡犯罪活動罪和侵害公民個人信息罪；而涉詐犯罪人員使用非法獲取的公民個人信息實施電信網絡詐騙犯罪，依據《關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見》，依法數罪并罰。

　　因為電信網絡詐騙的資金離不開銀行賬戶，銀行作為“金融守門人”防范利用金融系統(tǒng)非法轉移資金是反電信網絡詐騙工作的重要環(huán)節(jié)，就此《反電信網絡詐騙法》針對銀行業(yè)金融機構提出了一系列合規(guī)要求。為落實風險防控責任避免法律風險，銀行業(yè)企業(yè)需要做到：

　　1.及時完善相應的內部風險控制措施，及時與監(jiān)管部門溝通、跟進完善風控系統(tǒng)，確定風險控制等級和對應措施。同時，強化網點業(yè)務對客戶身份核實、盡職調查的主體責任，嚴格落實監(jiān)管要求；

　　2.新業(yè)務涉詐風險安全評估：該項評估應落實在業(yè)務上線前的審核流程中，新業(yè)務實施必須要前置涉詐風險安全評估，未通過風險評估的新業(yè)務不得實施。

　　3.開展異常賬戶和可疑交易監(jiān)測時，可以收集異常客戶互聯(lián)網協(xié)議地址、網卡地址、支付受理終端信息等必要的交易信息、設備位置信息，但不得將上述信息用于其他目的，同時應做好充分的安全保障措施；

　　4.完善對金融消費者、企業(yè)的開卡流程，在開卡全流程中向客戶明示相關風險，明確監(jiān)管與法律要求，在申領協(xié)議、銀行卡使用合同條款擬定過程中以違約條款、風險告知書或承諾書的形式（如對于涉詐賬戶，銀行有權采取相應的管控措施,由此造成的損失由行為人自行承擔），增加相應的反詐風控措施作為合同違約方需要承擔的民事責任，厘清持卡人的法定責任和義務，盡可能避免因采取風險措施而引發(fā)的投訴或爭議；

　　5.加強反詐宣傳，并結合人民銀行相關指導意見，減少客戶非必要開卡需要，以服務便民為基本原則，提供合理的解決方案。對于不合理的開卡需求，如未能滿足身份核驗的要求，應當拒絕開戶；

　　6.由于本法明確了銀行金融機構未履行風險監(jiān)測和相關處置義務的行政責任，因此商業(yè)銀行應對監(jiān)測識別、風控措施的執(zhí)行證據留痕和保存。同時，商業(yè)銀行也需要針對具體情況及時與公安機關、監(jiān)管部門進行溝通、匯報，并按照規(guī)定準確傳輸有關交易等信息；

　　7.在運營線上渠道產品、提供網絡銀行服務時，應當高度重視其作為互聯(lián)網服務提供者時可能存在的相關的風險，以及應當承擔的《反電信網絡詐騙法》第四章互聯(lián)網治理相關主體的責任。

　　[1] 風險等級劃分機制的建立成為普遍要求：《反電信網絡詐騙法》在各主體的監(jiān)測和處置義務部分都規(guī)定了“根據風險情況/等級，進行相應防范和處置措施”。我們理解要遵循該類合規(guī)要求，企業(yè)應完善反電信網絡詐騙內部控制機制，在構建涉詐監(jiān)測識別機制的同時建立配套的風險等級劃分機制（至少包括涉詐風險類型、程度）和與各風險等級相映射的應對機制；

　　[2] 限制開卡數量：《反電信網絡詐騙法》第十條規(guī)定“辦理電話卡不得超出國家有關規(guī)定限制的數量”。對于該限制數量，人行、工信部等六部門于2016年聯(lián)合發(fā)布的《關于防范和打擊電信網絡詐騙犯罪的通告》進行了明確：“電信企業(yè)立即開展一證多卡用戶的清理，對同一用戶在同一家基礎電信企業(yè)或同一移動轉售企業(yè)辦理有效使用的電線張的，該企業(yè)不得為其開辦新的電話卡”，即全國范圍內同一運營商的用戶只能辦理五張手機卡。