“反电诈”背景下企业数据合规体系构建的“解题之道”

海问荣誉

海问大事记

社会责任

新闻资讯

研究文章

岗位招聘

常年招聘

中文 . 英文

中文

EN

2023-04-18

“反电诈”背景下企业数据合规体系构建的“解题之道”

首页>海问动态>新闻资讯>“反电诈”背景下企业数据合规体系构建的“解题之道”

2023年4月1日，由中国人民大学法学院、中国人民大学未来法治研究院、北京市海问律师事务所共同主办、最高人民检察院第四检察厅指导的“《反电信网络诈骗法》视角下的数据合规”研讨会在北京成功举办。

在第二阶段主题发言中，北京市海问律师事务所合伙人杨建媛律师发表题为“《反电信网络诈骗法》背景下企业数据合规体系构建”的专题演讲。杨律师结合典型案例及实践经验，自“立题-破题-解题”层层递进，展示其对于《反电信网络诈骗法》下企业数据合规体系构建方式这道时代“难题”的“解题”思路。她强调，《反电信网络诈骗法》下的合规要求与现行数据合规体系存在紧密联系，企业应关注电信网络诈骗的特性并对现有合规体系进行针对性调整。

在“立题篇”中，杨律师提出，《反电信网络诈骗法》与数据合规有着千丝万缕的联系。

从主体来看，反诈主体范围广泛，其中以电信业务经营者、银行业金融机构和非银行支付机构、互联网服务提供者三类特殊主体为重点对象，作为各项反电诈义务承担主体，同时还延伸至一般意义上的个人信息处理者（重点在于防范个人信息被非法获取以用于电信网络诈骗），以及一般单位及个人（重点在于不得实施任何支持和帮助电诈的行为）。

从反电诈合规义务来看，“事前防范-事中监控-事后协助”义务脉络清晰：

①事前防范义务。核心包括三点：A.明确风险防控责任，具体包括反诈内控机制及内部安全责任制度构建，以及业务涉诈风险评估；其中，构建并完善个人信息保护机制，形成个人信息被用于电信网络诈骗的防范机制，切断个人信息非法获取渠道，对于落实上述责任至关重要；B.承担账户/账号管理责任，具体包括落实实名制要求、做好核验登记及日志记录等；C.落实反诈培训与宣传，其中个人信息保护合规培训系关键环节。

②事中监控义务。渗透在监控、响应流程中的诸多细节，主要包括：A.涉诈异常账号检测识别、重新核验与处置措施落地；B.重点监测并及时处置分发平台以外途径下载传播的涉诈应用程序；C.推进合规检视，防止自身业务、产品、功能、行为等被认定为“为他人实施电诈活动提供支持或帮助”；D.在涉诈活动、涉诈信息监测、识别和处置过程中如涉及处理个人信息的，应遵循处理最小必要原则和目的限定原则，确保数据使用限定在反诈的范围内；E.落实涉诈风险提示及劝阻工作。

③事后协助义务。主要体现在三个方面：一是互联网服务提供者应当为公安机关办理诈骗案件依法调取证据提供技术支持和协助。二是在对涉诈信息、活动进行监测时，若发现犯罪线索或风险信息，互联网服务提供者还应将有关线索或信息移交给公安机关或行业主管部门，此与个人信息保护安全事件上报义务紧密联系。三是积极配合处置涉案资金、追赃挽损的同时，履行《个人信息保护法》的通知义务，将个人信息泄露情况通知个人有助于防止受影响个人被诈骗。

在“破题篇”中，杨律师通过展示电信网络诈骗典型案例，呈现常见企业数据合规体系的薄弱环节，将问题源头对准个人信息非法获取。

①电信网络诈骗对个人信息的分析利用“稳准狠”。通过展示以残疾人（弱势群体代表）、高考生（近期有特殊关切的人群）为诈骗对象的两则案例，说明在综合诈骗难易度及效益获取因素上，特殊群体易成为电信网络诈骗的侵害对象，对此企业应将反诈工作资源更多倾斜于保护弱势群体上，包括加大对此部分群体个人信息安全保护措施的投入。

②超范围收集个人信息可能间接助力精准诈骗。通过展示某在线问诊APP大量收集与问诊无关的个人信息的案例，说明收集非必要信息行为不仅缺乏必要目的，还会间接助力电信网络精准诈骗。

③基本的个人信息保护手段即可制约相当数量的诈骗行为。一些诈骗的手段（例如假冒账号、发送钓鱼链接等）并不“高大上”，基本的个人信息保护手段（例如构建账号注册登录认证机制、异常邮件识别及排查等）就可以预防较大数量的问题。

④防范外部攻击入侵的同时更要警惕内鬼。公开及海问团队处理过的真实案例包括：诈骗分子利用公司防火墙未正确打开的漏洞非法访问服务器；通过在公司电脑植入远程控制程序并在离职后继续使用员工账号登录系统，实现对系统内数据获取；加盟制的快递公司由网点自行分配权限，内部泄露风险高。加强内部系统及人员管理，做好冗余权限及过期账号注销，尤为关键。

⑤独善其身远远不够，合规要求需传导辐射。此主要强调对可能接触个人信息的第三方的合规管理要求。以实践中常见的委托第三方日常运营系统场景为例，第三方相较于本公司能更直接、深入、全面接触、使用系统内数据，由第三方非法获取个人信息的风险较高。对此，从协议约束、权限管控、实质监督等方面加强第三方管理，系数据合规乃至反电诈义务落实的重点工作。

在“解题篇”中，杨律师提出，反电信诈骗措施并未超出现有数据合规体系的要求，但需进行针对性、精准化的调整，建议从以下三个角度适配已有数据合规体系：

①从企业自身管理出发：完善企业自身的合规体系，包括组织措施、技术措施、对于C端用户的管理。

组织措施包括三个方面：一是落实数据分类分级工作，其中适当提升对老人、孕妇、残疾人、低保人群等电诈常见侵害对象的个人信息的定级；二是规范业务流程，梳理关键岗位，落实责任到人；三是设置反电信网络诈骗内控机制，包括管理组织体系及制度建设。

技术措施包括三个方面：一是加强身份认证机制建设，强化权限管控，防止内部泄露；二是落实数据加密，尤其是特殊群体个人信息及关键个人信息；三是落实日志记录，有助于事后追查。

C端用户管理：一方面是在高风险账户识别方面，在履行最小必要和目的限定原则的基础上允许企业通过大数据分析建立风控模型；另一方面，通过隐私政策设置及行权响应机制建设，实现涉诈信息处理标准化。

②从第三方管理出发：加强第三方合规管理，包括实质合规审查及外部数据交互管理。

形式合规承诺：通过制定并加入数据交互责任条款方式，明确第三方在数据交互场景下的数据合规责任，包括承诺数据来源合法合规（第三方作为数据提供方）；将数据处理目的场景控制在协议约束范围内（第三方作为数据接收方）等。

实质合规审查：在与第三方开展数据交互合作前，应对第三方数据安全能力及本项目开展的合规风险予以评估。

③从危机管理出发：做好数据安全事件应对，积极配合执法调查。

应对数据安全事件：及时响应并做好影响评估及止损处置，同时积极落实监管部门上报、数据主体通知义务。

配合反诈执法调查：积极配合执法调查，协助对涉诈用户、涉诈资金及时、合理处置。

唯有切题，方可解题。探寻“反电诈”背景下企业数据合规体系构建的“解题之道”，关键系透析《反电信网络诈骗法》在数据安全方面之合规要义，聚焦当下电信网络诈骗针对数据保护链条之突破缺口，在企业现有数据合规体系基础上吸纳、兼容反电诈义务之重点抓手。

“反电诈”背景下企业数据合规体系构建的“解题之道”

2023年4月1日，由中国人民大学法学院、中国人民大学未来法治研究院、北京市海问律师事务所共同主办、最高人民检察院第四检察厅指导的“《反电信网络诈骗法》视角下的数据合规”研讨会在北京成功举办。

在第二阶段主题发言中，北京市海问律师事务所合伙人杨建媛律师发表题为“《反电信网络诈骗法》背景下企业数据合规体系构建”的专题演讲。杨律师结合典型案例及实践经验，自“立题-破题-解题”层层递进，展示其对于《反电信网络诈骗法》下企业数据合规体系构建方式这道时代“难题”的“解题”思路。她强调，《反电信网络诈骗法》下的合规要求与现行数据合规体系存在紧密联系，企业应关注电信网络诈骗的特性并对现有合规体系进行针对性调整。

在“立题篇”中，杨律师提出，《反电信网络诈骗法》与数据合规有着千丝万缕的联系。

从主体来看，反诈主体范围广泛，其中以电信业务经营者、银行业金融机构和非银行支付机构、互联网服务提供者三类特殊主体为重点对象，作为各项反电诈义务承担主体，同时还延伸至一般意义上的个人信息处理者（重点在于防范个人信息被非法获取以用于电信网络诈骗），以及一般单位及个人（重点在于不得实施任何支持和帮助电诈的行为）。

从反电诈合规义务来看，“事前防范-事中监控-事后协助”义务脉络清晰：

①事前防范义务。核心包括三点：A.明确风险防控责任，具体包括反诈内控机制及内部安全责任制度构建，以及业务涉诈风险评估；其中，构建并完善个人信息保护机制，形成个人信息被用于电信网络诈骗的防范机制，切断个人信息非法获取渠道，对于落实上述责任至关重要；B.承担账户/账号管理责任，具体包括落实实名制要求、做好核验登记及日志记录等；C.落实反诈培训与宣传，其中个人信息保护合规培训系关键环节。

②事中监控义务。渗透在监控、响应流程中的诸多细节，主要包括：A.涉诈异常账号检测识别、重新核验与处置措施落地；B.重点监测并及时处置分发平台以外途径下载传播的涉诈应用程序；C.推进合规检视，防止自身业务、产品、功能、行为等被认定为“为他人实施电诈活动提供支持或帮助”；D.在涉诈活动、涉诈信息监测、识别和处置过程中如涉及处理个人信息的，应遵循处理最小必要原则和目的限定原则，确保数据使用限定在反诈的范围内；E.落实涉诈风险提示及劝阻工作。

③事后协助义务。主要体现在三个方面：一是互联网服务提供者应当为公安机关办理诈骗案件依法调取证据提供技术支持和协助。二是在对涉诈信息、活动进行监测时，若发现犯罪线索或风险信息，互联网服务提供者还应将有关线索或信息移交给公安机关或行业主管部门，此与个人信息保护安全事件上报义务紧密联系。三是积极配合处置涉案资金、追赃挽损的同时，履行《个人信息保护法》的通知义务，将个人信息泄露情况通知个人有助于防止受影响个人被诈骗。

在“破题篇”中，杨律师通过展示电信网络诈骗典型案例，呈现常见企业数据合规体系的薄弱环节，将问题源头对准个人信息非法获取。

①电信网络诈骗对个人信息的分析利用“稳准狠”。通过展示以残疾人（弱势群体代表）、高考生（近期有特殊关切的人群）为诈骗对象的两则案例，说明在综合诈骗难易度及效益获取因素上，特殊群体易成为电信网络诈骗的侵害对象，对此企业应将反诈工作资源更多倾斜于保护弱势群体上，包括加大对此部分群体个人信息安全保护措施的投入。

②超范围收集个人信息可能间接助力精准诈骗。通过展示某在线问诊APP大量收集与问诊无关的个人信息的案例，说明收集非必要信息行为不仅缺乏必要目的，还会间接助力电信网络精准诈骗。

③基本的个人信息保护手段即可制约相当数量的诈骗行为。一些诈骗的手段（例如假冒账号、发送钓鱼链接等）并不“高大上”，基本的个人信息保护手段（例如构建账号注册登录认证机制、异常邮件识别及排查等）就可以预防较大数量的问题。

④防范外部攻击入侵的同时更要警惕内鬼。公开及海问团队处理过的真实案例包括：诈骗分子利用公司防火墙未正确打开的漏洞非法访问服务器；通过在公司电脑植入远程控制程序并在离职后继续使用员工账号登录系统，实现对系统内数据获取；加盟制的快递公司由网点自行分配权限，内部泄露风险高。加强内部系统及人员管理，做好冗余权限及过期账号注销，尤为关键。

⑤独善其身远远不够，合规要求需传导辐射。此主要强调对可能接触个人信息的第三方的合规管理要求。以实践中常见的委托第三方日常运营系统场景为例，第三方相较于本公司能更直接、深入、全面接触、使用系统内数据，由第三方非法获取个人信息的风险较高。对此，从协议约束、权限管控、实质监督等方面加强第三方管理，系数据合规乃至反电诈义务落实的重点工作。

在“解题篇”中，杨律师提出，反电信诈骗措施并未超出现有数据合规体系的要求，但需进行针对性、精准化的调整，建议从以下三个角度适配已有数据合规体系：

①从企业自身管理出发：完善企业自身的合规体系，包括组织措施、技术措施、对于C端用户的管理。

组织措施包括三个方面：一是落实数据分类分级工作，其中适当提升对老人、孕妇、残疾人、低保人群等电诈常见侵害对象的个人信息的定级；二是规范业务流程，梳理关键岗位，落实责任到人；三是设置反电信网络诈骗内控机制，包括管理组织体系及制度建设。

技术措施包括三个方面：一是加强身份认证机制建设，强化权限管控，防止内部泄露；二是落实数据加密，尤其是特殊群体个人信息及关键个人信息；三是落实日志记录，有助于事后追查。

C端用户管理：一方面是在高风险账户识别方面，在履行最小必要和目的限定原则的基础上允许企业通过大数据分析建立风控模型；另一方面，通过隐私政策设置及行权响应机制建设，实现涉诈信息处理标准化。

②从第三方管理出发：加强第三方合规管理，包括实质合规审查及外部数据交互管理。

形式合规承诺：通过制定并加入数据交互责任条款方式，明确第三方在数据交互场景下的数据合规责任，包括承诺数据来源合法合规（第三方作为数据提供方）；将数据处理目的场景控制在协议约束范围内（第三方作为数据接收方）等。

实质合规审查：在与第三方开展数据交互合作前，应对第三方数据安全能力及本项目开展的合规风险予以评估。

③从危机管理出发：做好数据安全事件应对，积极配合执法调查。

应对数据安全事件：及时响应并做好影响评估及止损处置，同时积极落实监管部门上报、数据主体通知义务。

配合反诈执法调查：积极配合执法调查，协助对涉诈用户、涉诈资金及时、合理处置。

唯有切题，方可解题。探寻“反电诈”背景下企业数据合规体系构建的“解题之道”，关键系透析《反电信网络诈骗法》在数据安全方面之合规要义，聚焦当下电信网络诈骗针对数据保护链条之突破缺口，在企业现有数据合规体系基础上吸纳、兼容反电诈义务之重点抓手。

北京

地址：北京市朝阳区东三环中路5号
财富金融中心20层(邮编100020)

电话：+86 10 8560 6888

传真：+86 10 8560 6999

邮件：haiwenbj@haiwen-law.com
上海

地址：上海市南京西路1515号
静安嘉里中心一座2605室(邮编200040)

电话：+86 21 6043 5000

传真：+86 21 5298 5030

邮件：haiwensh@haiwen-law.com
香港

地址：香港中环康乐广场8号交易广场第一期11楼1101-1104室

电话：+852 3952 2222

传真：+852 3952 2211

邮件：haiwenhk@haiwen-law.com
深圳

地址：深圳市福田区中心四路1号
嘉里建设广场第三座3801室(邮编518048)

电话：+86 755 8323 6000

传真：+86 755 8323 0187

邮件：haiwensz@haiwen-law.com
成都

地址：成都市高新区交子大道233号
中海国际中心C座20楼01单元(邮编610041)

电话：+86 28 6391 8500

传真：+86 28 6391 8397

邮件：haiwencd@haiwen-law.com
海口

地址：海南省海口市美兰区国兴大道5号海南大厦主楼35楼3508-3509房

电话：+86 898 6536 9667

传真：+86 898 6536 9667

邮件：haiwenhn@haiwen-law.com

联系我们

地址：北京市朝阳区东三环中路5号
财富金融中心20层(邮编100020)

电话：+86 10 8560 6888

传真：+86 10 8560 6999

邮件：haiwenbj@haiwen-law.com

地址：上海市南京西路1515号
静安嘉里中心一座2605室(邮编200040)

电话：+86 21 6043 5000

传真：+86 21 5298 5030

邮件：haiwensh@haiwen-law.com

地址：香港中环康乐广场8号交易广场第一期11楼1101-1104室

电话：+852 3952 2222

传真：+852 3952 2211

邮件：haiwenhk@haiwen-law.com

地址：深圳市福田区中心四路1号
嘉里建设广场第三座3801室(邮编518048)

电话：+86 755 8323 6000

传真：+86 755 8323 0187

邮件：haiwensz@haiwen-law.com

地址：成都市高新区交子大道233号
中海国际中心C座20楼01单元(邮编610041)

电话：+86 28 6391 8500

传真：+86 28 6391 8397

邮件：haiwencd@haiwen-law.com

地址：海南省海口市美兰区国兴大道5号海南大厦主楼35楼3508-3509房

电话：+86 898 6536 9667

传真：+86 898 6536 9667

邮件：haiwenhn@haiwen-law.com

网站首页 |法律声明 |隐私政策

京ICP备05019364号-1 京公网安备110105011258