根据《反电诈法》第六条,风险防控责任涉及的责任主体包括四类——电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者(以下统称“责任主体”),其业务涵盖电信、金融、互联网三个方面。
鉴于《反电诈法》未直接规定上述四类主体的定义,我们尝试根据其他法律法规和监管要求厘清相应主体的内涵,其中,“电信业务经营者”指在中国境内从事电信活动或者与电信有关的活动的企业[2];“银行业金融机构”指在中国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构及政策性银行[3];“非银行支付机构”指在中国境内依法设立并取得支付业务许可证,从事储值账户运营和/或支付交易处理的有限责任公司或者股份有限公司[4];“互联网服务提供者”指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位[5]。
鉴于上述四类责任主体在业务运营过程中往往会掌握大量使用电信、金融、互联网产品或服务用户的个人信息,其通常还会构成《个人信息保护法》(以下称“《个保法》”)下进行个人信息处理活动的个人信息处理者[6],需要履行相应的个人信息保护义务。
二、未尽到风险防控义务的情形
1.责任主体存在个人信息泄露风险
其二,外部合作方管理不善导致合作方泄露个人信息。例如,2020年8月,上海银保监局对某银行信用卡中心开出100万元的罚单,罚单中显示“2019年5月、7月,该中心对部分信用卡催收外包管理严重不审慎”[11]。在互联网发展推动下,新兴催收平台纷纷成为各大银行等金融机构的外包方,利用人工智能、云计算等技术代银行实现高效安全的催收,但催收平台管理不善将极易导致银行向其提供的大量敏感个人信息泄露。作为责任主体的银行在上述处罚案例中未对作为外包合作方的催收公司进行有效的管理和监督,是造成个人信息泄露的根本原因。
其三,外部黑客袭击导致个人信息泄露。近年来,全球各地相继曝出大规模的黑客袭击导致个人信息泄露的事件,例如,去年10月,江苏无锡警方破获了一起侵犯公民个人信息案,犯罪嫌疑人通过黑客技术非法获取某大型社交网络账号关联的手机号码等公民个人信息数据,并通过非法网络平台以每条1000美元(约合人民币6384元)的价格出售,涉案的公民个人信息高达54亿余条[12]。这类案件为保有大量个人信息的企业敲响了警钟,数据安全保护能力不足、网络安全机制不健全、技术措施没有达到要求等,将直接导致黑客可以轻易突破防线、窃取大量个人信息。
2.未落实相应实名制监管要求
3.未履行责任主体的个人信息报送义务
三、未尽到风险防控义务的法律责任
此外,根据《反电诈法》,责任主体如违反规定造成他人损害的,还应当承担民事责任[19]。
四、合规对策
为预防个人信息泄露、遭受非法利用导致的电信网络诈骗造成公民财产损失的风险,同时避免自身违反《反电诈法》而承担相应的法律责任,责任主体应及时按照《反电诈法》的要求落实风险防控责任,“建立内部控制机制和安全责任制度,加强新业务涉诈风险安全评估”,在发生电信网络诈骗的事前和事中阶段即从源头化解个人信息泄露的风险。
1.加强防范个人信息泄露
为防止内部员工泄露个人信息,责任主体还应完善针对个人信息使用的管理措施和技术措施(包括但不限于对个人信息进行去标识化或匿名化处理,严格控制个人信息的访问权限等),定期组织对员工的培训,提升员工的个人信息保护意识和能力,同时加强对特定岗位人员的管理,确保责任到人。
为防止外部合作方泄露个人信息,责任主体还应加强对合作方个人信息处理活动的管理和监督,包括但不限于与合作方签署安全保密协议、与合作方的员工签订安全保密承诺书,详细约定保密义务及相应责任;使用技术手段检测合作方的网络和信息系统,排查可能的安全漏洞等。在金融领域,去年年底银保监会专门出台了《银行保险机构信息科技外包风险监管办法》,旨在促进银行保险机构提升信息科技外包风险管控能力。该规定明确了银行保险机构在信息科技外包合同或协议中应当约定的内容[21],以及金融机构在信息科技外包活动中应当履行的其他义务。该办法对非金融领域的责任主体企业亦有一定的借鉴和参考价值。
为防止黑客攻击导致的个人信息泄露,责任主体还应按照《网络安全法》《数据安全法》等法律法规和国家标准等规范性文件对网络安全等级保护制度的要求,进行网络安全保护等级备案和测评,并根据测评结果,对照上述规范性文件的要求,采取相应的技术措施进行网络安全建设,履行安全保护义务,提升网络安全和数据保护水平。
特别地,《反电诈法》专门规定了履行个人信息保护职责的部门和单位应对可能被电信网络诈骗利用的“五类信息”——物流信息、交易信息、贷款信息、医疗信息、婚介信息——实施重点保护[22]。鉴于这五类信息都极有可能属于《个保法》规定的敏感个人信息,责任主体应落实《个保法》及其配套制度中关于敏感个人信息的处理规则,在建立和完善个人信息分级分类制度的基础上,合理地对不同类型、不同敏感等级的信息制定和落实不同的保护策略。
2.落实实名制要求
处于不同行业的责任主体应在遵守行业主管部门制定的规范性文件,履行实名制法定义务的基础上,还进一步按照《反电诈法》的要求,增加实名制核验措施,以防范“实名不实人”的风险。
3.履行个人信息报送义务
责任主体应当按照《反电诈法》的规定和相应主管部门的要求,及时向主管部门报送相应个人信息,对于互联网服务提供者,还应注意记录并留存所提供相应服务的日志信息[24]。
4.关于个人信息保护的其他提示
结语
注释:
[2]《中华人民共和国电信条例》第2条,其中根据该第2款,该条例所称电信,是指利用有线、无线的电磁系统或者光电系统,传送、发射或者接收语音、文字、数据、图像以及其他任何形式信息的活动。
[3]《银行业金融机构从业人员行为管理指引》第2条。
[4]《非银行支付机构条例(征求意见稿)》第2条,涉及关于储值账户运营和支付交易处理的详细内容。
[5]《互联网安全保护技术措施规定》第18条第1款。
[6]《个人信息保护法》第73条第(一)项:“个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。”第4条第2款:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”
[7]《反电信网络诈骗法》第29条第2款。
[8]2018年起,针对网络乱象,公安机关开始实行“一案双查”制度,即在对网络违法犯罪案件开展侦查调查工作时,同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。
[11]沪银保监银罚决字〔2020〕8号。
[13]《反洗钱法》第16条。
[15]《反电信网络诈骗法》第6条。
[16]《反电信网络诈骗法》第7条。
[18]《反电信网络诈骗法》第39条至第44条。
[19]《反电信网络诈骗法》第46条第2款。
[20]《反电信网络诈骗法》第29条第1款。
[22]《反电信网络诈骗法》第29条第2款。
《信息安全技术人脸识别数据安全要求》(GB/T41819-2022)第5条b项:“应仅在人脸识别方式比非人脸识别方式更具安全性或便捷性时,采用人脸识别方式进行身份识别;应同时提供人脸识别方式和非人脸识别方式,并由自然人选择使用。”
《网络数据安全管理条例(征求意见稿)》第25条:“数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。”
[24]《反电信网络诈骗法》第24条。
[25]《个人信息保护法》第13条。
作者:天达共和律师事务所申晓雨曾祥瑞
“疫”问必答H5丨新冠疫苗第二剂加强针来了!这四类是目标人群;阳过,病毒会在衣物上残留吗?
消费券送送送,居民买买买,“烟火气”旺旺旺!一组图看懂消费变化
多地出海“抢订单”,释放什么信号?
南财智库简介
营商环境周报(第70期)|多省市出台助企纾困政策,国家发改委发布涉企违规收费专项整治典型做法
碳中和周报(第71期)丨COP15第二阶段会议准备就绪;新能源发电项目应并尽并、能并早并;第四届中俄能源商务论坛召开
第五届中国智库建设与评价高峰论坛:发挥智库力量促进全球发展,讲好“中国故事”增强国际话语优势