(原标题:“反电诈法”之下,平台又有新义务?)
《中华人民共和国反电信网络诈骗法》(以下简称《反电诈法》)自今年12月1日起施行,这是我国第一部专门、系统、完备规范反电信网络诈骗的法律。也许广大老友们会疑惑,这样一部惩治电信网络诈骗活动的法律与互联网企业有什么关系?这或许就是对这部法律“望文生义”的结果了。
一、“反电诈法”带来的新改变
实际上,《反电诈法》的出台不仅仅是为了惩治电信网络诈骗活动,更是以惩治电信网络诈骗为切口,开启全方位网络空间综合性治理体系建设的第一步。《反电诈法》第四章互联网治理中明确提出了互联网服务提供者应尽的网络安全管理义务,这部分规定可以与我国刑法中的拒不履行信息网络安全管理义务罪“梦幻联动”,为该罪的司法适用打下基础。
我国刑法第286条之一“拒不履行信息网络安全管理义务罪”规定,“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正……”,该刑法文本中并未对“信息网络安全管理义务”的范围做出明确规定,而是笼统地将义务内容指向了法律、行政法规的规定,这实际上采用的是“空白罪状”的立法模式,即刑法分则没有规定具体的犯罪构成,而是需要参照、援引其他非刑事法律法规的内容。
在《反电诈法》实施以前,虽然我国已经有多部法律、行政法规规定了网络服务提供者的信息网络安全管理义务,但就具体的内容而言,要么表现为一般性、抽象性的义务,在实务中缺乏可操作性,如《网络安全法》第28条规定,“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供支持和协助”,要么表现为适用范围过窄,如《个人信息保护法》仅针对个人信息处理者规定了一系列网络安全管理义务。这使得司法机关对该罪的“信息网络安全管理义务”认定存在极大地困难,进而使得该罪处于“僵尸化”状态。
《反电诈法》通过数个法条系统性规定了互联网服务提供者的网络安全管理义务,且义务规定具体、细致,操作性极强。这使得拒不履行信息网络安全管理义务罪的适用障碍不复存在,实务中适用该罪的条件愈发成熟。
飒姐团队认为,未来随着《反电诈法》的全面施行,拒不履行信息网络安全管理义务罪的判决例会愈发增多,互联网企业应当高度重视构成该罪的刑事风险。
二、《反电诈法》下的网络安全管理义务范围
对于一般的互联网服务提供者而言,《反电诈法》规定了以下网络安全管理义务:
第一,建立反电信网络诈骗内部控制机制和安全责任制度的义务。这是《反电诈法》对互联网服务提供者网络安全管理义务的总则性规定。《反电诈法》第6条第五款明确指出“电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者承担风险防控责任,建立反电信网络诈骗内部控制机制和安全责任制度,加强新业务涉诈风险安全评估。”
第二,互联网服务实名制义务。《反电诈法》要求互联网服务提供者从事特定的服务,必须要求用户提供真实身份信息。《反电诈法》第6条明确指出“电信业务经营者、互联网服务提供者为用户提供下列服务,在与用户签订协议或者确认提供服务时,应当依法要求用户提供真实身份信息,用户不提供真实身份信息的,不得提供服务:(一)提供互联网接入服务;(二)提供网络代理等网络地址转换服务;(三)提供互联网域名注册、服务器托管、空间租用、云服务、内容分发服务;(四)提供信息、软件发布服务,或者提供即时通讯、网络交易、网络游戏、网络直播发布、广告推广服务。”
第三,异常账号监测识别与上报义务。《反电诈法》第22条、26条要求互联网服务提供者应当按照国家有关规定,履行合理注意义务,对异常互联网账号进行监测与识别。发现违法犯罪线索、风险信息的,应当结合具体情况向公安、金融、电信、网信等部门及时上报发现的情况。
第四,许可、备案与应用程序分发服务平台核验义务。《反电诈法》第23条要求设立移动互联网应用程序应当按照国家有关规定向电信主管部门办理许可或者备案手续;为应用程序提供封装、分发服务的,应当登记并核验应用程序开发运营者的真实身份信息,核验应用程序的功能、用途。
第五,域名管理服务核验、记录与溯源保证义务。《反电诈法》第24条要求提供域名解析、域名跳转、网址链接转换服务的,应当按照国家有关规定,核验域名注册、解析信息和互联网协议地址的真实性、准确性,规范域名跳转,记录并留存所提供相应服务的日志信息,支持实现对解析、跳转、转换记录的溯源。
第六,反诈宣传提示义务。《反电诈法》第30条要求互联网服务提供者应当对从业人员和用户开展反电信网络诈骗宣传,在有关业务活动中对防范电信网络诈骗作出提示,对本领域新出现的电信网络诈骗手段及时向用户作出提醒,对非法买卖、出租、出借本人有关卡、账户、账号等被用于电信网络诈骗的法律责任作出警示。
上述六大网络安全管理义务大致有如下几个特点:
其一,可评价性强。相较于《网络安全法》《个人信息保护法》对网络安全管理义务的原则性规定,《反电诈法》对于网络安全管理义务的规定具有较强的可评价性。如实名制义务、异常账号监测识别与上报等义务,履行与否可以直接被相关机关验证、评价,这其中尤以实名制义务最为明显,可以说是“履行了就是履行了,没履行就是没履行,不可能存在模糊的中间状态”。这种较强的可评价性使得司法机关判断互联网服务提供者是否违反网络安全管理义务变得极为容易。
其二,注重“留痕”与制度建设。《反电诈法》利用多个法条规定了“制度建设”,建立完善的实名认证、涉诈监控与上报等制度,这些制度建设性的规定可以更好地为互联网服务提供者提供合规参考,同时《反电诈法》亦强调了网络日志信息的记录与溯源问题,为后续的法律责任认定提供了保证。
其三,规定具体,具有可操作性。相较于之前的《网络安全法》《个人信息保护法》等法律,《反电诈法》对于互联网服务提供者的网络安全管理义务的要求更为具体,更具有操作性。这一方面能够为互联网服务提供者给予有效的行为指引,另一方面亦使得拒不履行信息网络安全管理义务罪的认定扫清了障碍。
三、《反电诈法》下的互联网服务提供者合规建设
结合上文提及的《反电诈法》规定的互联网服务提供者的网络安全管理义务内容,飒姐团队建议互联网企业应当对如下机制进行自检,以最大程度提高自身的合规性:
第一,完善自身APP账号实名认证制度,依法要求用户在注册时提供真实的身份信息,并依照《个人信息保护法》的相关规定对个人信息进行妥善保存。
第二,完善自身APP监管制度,包括APP应当按照国家有关规定向电信主管部门办理许可或者备案手续,对APP内涉诈信息、涉诈账号进行识别、监管,建立涉诈账号识别监管机制及上报机制。
第三,建立反诈宣传机制,定期向用户发布反诈宣传信息并做好留痕工作。
第四,完善企业同公安、电信、网信部门的联络机制。该机制一方面可以与APP监管制度联合,使得互联网服务提供者可以第一时间将可疑涉诈信息上报,另一方面亦可以第一时间接收公安、电信、网信等部门的整改通知,防止出现“责令改正而拒不改正”的误会产生。
本文系未央网专栏作者:肖飒 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!本文网址:http://www.yqlinks.cn/luyixian/1222861.html ,喜欢请注明来源周口新闻网。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。