加强个人身份验证是防止电信欺诈活动的关键环节

产品发布:SafePloy安策 资深技术:安策数据安全治理技术部 受欢迎度:

安策数据加密保护-《反电信网络诈骗法》个人信息保护源头问题治理

防止电信诈骗保护个人隐私信息图

防止电信诈骗保护个人隐私信息图


      近年来,电信网络诈骗案件呈现高发趋势。案件高发背后,公民个人信息泄露是网络犯罪链的关键环节。根据中国司法大数据研究院202281日发布的《信息网络犯罪特征与趋势》(2017.01-2021.12)司法大数据专题报告显示,6.32%的网络诈骗案件是在获取公民个人信息后实施有针对性的诈骗犯罪。此外,根据中国信通院20201215日发布的《新形势下电信网络诈骗治理研究报告(2020)》,70%以上的电信网络诈骗与个人信息泄露或盗窃有关,这一比例呈现持续上升趋势。可见,保护公民个人信息对防范网络诈骗具有重要作用。

     202292日,《中华人民共和国反电信网络诈骗法》“《反电信网络诈骗法》”经审议通过,并将于2022121日起正式实施《反电信网络诈骗法》“小切口”出发,衔接《个人信息保护法》等规则,规范源头个人信息保护,防范网络诈骗。

01加强身份验证要求,为履行法定义务处理个人信息提供依据

     在实践中,电信欺诈活动往往伴随着个人身份的虚假使用,因此加强个人身份验证是防止电信欺诈活动的关键环节。《反电信网络欺诈法》在电信治理、金融治理、互联网治理等方面提出了真实身份登记的要求:

1)在电信管理方面,要求电信业务经营者实施电话用户真实身份信息登记制度。基础电信企业和移动通信转售企业还应承担代理实施电话用户实名系统的管理责任,电信业务经营者需要严格登记物联网卡用户身份信息;

2)在金融治理方面,要求银行金融机构和非银行支付机构建立客户尽职调查制度,依法识别受益人;市场主体登记机关应当依法履行企业实名登记的身份信息验证职责;

3)在互联网治理中,要求电信业务经营者、互联网服务提供者履行网络实名制义务。

      具体到网络实名制,《网络安全法》规定了实施网络实名制的业务范围,包括但不限于网络接入、域名注册服务、办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务《反电信网络诈骗法》在《网络安全法》规定的基础上,进一步细化了实施网络实名制的业务活动范围,并将与网络直播等相关的标准化文件¹法律要求上升。具体如下:

      由于《反电信网络诈骗法》明确规定了用户提供真实身份的要求,根据《个人信息保护法》第十三条的规定,在这些情况下履行网络实名制的义务主体可以根据履行法定义务所需的个人信息进行处理,而无需获得个人同意。但是,即使同意义务免除,电信业务运营商和互联网服务提供商仍需履行《个人信息保护法》规定的告知义务。在处理个人信息之前,他们应该以明显的方式清晰易懂的语言,准确、完整地告诉个人个人信息处理。

02将“出售,提供个人信息”源头问题纳入规范范围

       个人信息泄露是许多电信诈骗活动的前提和关键环节。因此,《反电信网络诈骗法》将“出售,提供个人信息”规定是支持和帮助实施电信网络诈骗活动的行为方式之一,明确了电信网络诈骗场景下的行为方式“出售,提供个人信息”的违法性。

       由于“出售或提供个人信息”属于高风险数据处理场景,未按照《个人信息保护法》、《刑法》的要求处理的,也面临违反上述法律的风险。根据《个人信息保护法》,个人信息应当告知接收方名称、联系方式、处理目的、处理方式和个人信息类型,并单独同意;根据刑法第二百五十三条第一款²,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,构成侵犯公民个人信息罪的法律风险。因此,《反电信网络欺诈法》也提出了“一案双查”公安机关办理电信网络诈骗案件,应当同时核实犯罪使用的个人信息来源,并依法追究有关人员和单位的责任。

综上所述,可以看出,《反电信网络诈骗法》进一步提高了反电信网络诈骗销售或提供个人信息保护的要求。“出售,提供个人信息”行为本身也将受到《个人信息保护法》、《刑法》等法律法规的规定。

03要求个人信息处理者建立防范机制

       《反电信网络欺诈法》第二十九条第一款规定,个人信息处理者应当依照《中华人民共和国个人信息保护法》等法律法规,规范个人信息处理,加强个人信息保护,建立用于电信网络欺诈的个人信息防范机制。本文对个人信息处理者施加了建立预防机制的义务。

     《个人信息保护法》对个人信息处理者实施了各种义务,包括(1)制定内部管理制度和操作程序;(2)个人信息分类管理;(3)采取相应的加密、标识化等安全技术措施;(4)合理确定个人信息处理的操作权限,定期对员工进行安全教育和培训;(5)制定和组织实施个人信息安全事件应急预案。在此基础上,《反电信网络欺诈法》增加了建立个人信息用于电信网络欺诈的义务。

        由于《反电信网络欺诈法》尚未正式生效,对预防机制的内容和具体要求没有明确的支持机制。我们认为,这种预防机制的目的是避免个人信息处理器收集的信息被用于电信欺诈,因此该机制的内容可以包括:(1)数据安全机制,避免未经授权的访问或数据泄露,避免电信网络欺诈;(2)用户身份识别机制,相关义务主体建立内部管理机制;(3)个人信息可追溯性保护机制,有利于及时发现风险,打击相关犯罪行为。

04重点保护可能被电信网络欺诈利用的信息

      《反电信网络欺诈法》第二十九条第二款规定,履行个人信息保护职责的部门应当重点保护可能被电信网络欺诈使用的物流信息、交易信息、贷款信息、医疗信息、婚姻信息。

上述物流信息、交易信息、贷款信息、医疗信息、婚姻信息与个人、财产密切相关,是个人信息中最容易使用的非法犯罪活动,因此需要重点监督和保护此类信息。

       《个人信息保护法》还关注敏感个人信息的保护。敏感个人信息是一旦泄露或非法使用,很容易侵犯自然人的人格尊严,或者损害人身和财产安全的个人信息。

        《反电信网络诈骗法》“重点保护”信息范围与敏感个人信息重叠。例如,金融账户信息、医疗卫生信息、物流信息中的收件人地址信等都是敏感的个人信息。可以看出,《个人信息保护法》注重从个人信息处理者的角度加强对敏感个人信息的保护,《反电信网络欺诈法》进一步完善了履行个人信息保护职责的部门和单位的保护要求。

电信欺诈活动往往伴随着个人身份的虚假使用,因此加强个人身份验证是防止电信欺诈活动的关键环节。

- -安策数据安全治理加密保护的好帮手。本文关注加强个人身份验证是防止电信欺诈活动的关键环节

我们为数字世界

提供可信、可控,又合规的加密保护方案。

数据可信加密保护
探索本文涉及的安全关键词 个人数据安全  个人信息保护  个人隐私数据  

最新活动一起探索安全

密钥管理图

加强个人身份验证是防止电信欺诈活动的关键环节在信息安全中经常被关注

本栏目主要了解最新信息安全行业资讯,包括加密狗,身份认证,加密机,以及软件加密,动态口令,以提升数据安全实践能力。

安全资讯最新发布

安策让数据安全与防勒索同时搞定

热门版块的安全

或许就差一次交流?

无需准备,沟通其实很简单!

立即开聊

与我们一起实践安全的客户代表


Previous Next