信息时代公众对互联网的依赖性愈加深刻，个人信息安全问题也日益受到广泛关注，不法分子在精准掌握用户个人信息的前提下，能编造出迷惑性更高的诈骗场景,得以对公众实施欺诈，个人信息泄露也成为诈骗成功实施的关键因素。

9月2日，一部聚焦电信诈骗的专门立法——反电信网络诈骗法经十三届全国人大常委会第三十六次会议审议通过，今年12月起实施，治理电信网络诈骗新增一部“法律利器”。

反电信网络诈骗法如何明确企业防范责任？反电信网络诈骗法有何立法特点？值此法律通过之际，南都记者专访对外经贸大学数字经济与法律创新研究中心主任许可，他表示，反电信网络诈骗法是一部以解决问题为导向的立法，强调针对一个特殊问题融合多种治理方式进行综合治理。同时，反电信网络诈骗法更关注对公民财产的保护，强调对个人信息泄露导致财产丧失的风险预防。

对外经贸大学数字经济与法律创新研究中心主任许可。

南都：长期以来，非法贩卖电话卡、银行卡，导致手机卡、银行卡“实名不实人”，是电信网络诈骗案件持续高发的重要根源。此次反电诈法立法完善了电话卡、物联网卡、金融账户、互联网账号有关基础管理制度，您认为立法层面专门规定“断卡”有何意义？

许可：“断卡”是个技术治理环节的问题，因为法律的规定都很清楚，要求公众购买电话卡和银行卡必须实名制，但问题在于有没有落实这些法律法规的手段， 反电信网络诈骗法吸收了很多治理电信诈骗的经验，通过技术治理的方式来解决“实名不实人”解决这个问题。比如，规定两卡实名制之外，还专门规定了实名制的核验措施，要求对改号号码进行封堵拦截、溯源核查等，这些都是很技术性质的规定，要求全流程技术的介入，这是一个我们很典型的一种多元共治的思路，通过建立技术上的安全保障措施来落实法律上的要求。

由此可见，反电信网络诈骗法对电信诈骗的治理思路变了，法律的治理强调的是一种责任承担和事后的追究，技术治理则要将把解决问题放在前端，在事前和事中环节就用技术的手段进行风险化解。

南都：这反映出反电信诈骗法怎样的特点？

许可：这也反映出反电信诈骗法的一个立法特征，就是针对一个特殊问题融合多种治理方式进行综合治理，也可以看出反电信诈骗法是一部以解决问题为导向的立法，并不是以建构一套体系为导向的立法，它的立法目的就是要解决问题，不像民法典或者是个人信息保护法，是以建构一套体系制度为目的，所以它要求特别强的实操性。

南都：从对个人信息保护特点来看，反电信网络诈骗法和个人信息保护法有何不同？

许可：反电信网络诈骗法专门规定了对重点信息的重点监管和保护，比如一些医疗、婚介、物流信息，在个人信息保护法列举的敏感个人信息以外，增加了新的重点保护内容。

由此可见，反电信网络诈骗法对公民个人信息的保护，可能和个人信息保护法保护的重点是不太一样的。个人信息保护法更多强调对于公民人格的一种保护，关注公民人格有没有被损害到；而反电诈法主要强调对公民财产的保护，强化对个人信息泄露可能会带来的财产丧失风险的预防。

近日，网络上传出二手手机交易可能存在个人信息泄露风险，引发社会广泛关注。新华社发

南都：个人信息泄露是诈骗成功实施的关键因素,在精准掌握用户个人信息后，不法分子得以编造场景对公众实施欺诈，请问哪些环节容易导致公民个人信息泄露？

许可：环节太多了，我们都知道公民个人信息实际上可以分为线下收集和线上收集两个环节。从生活经验也可以得知，当我们进行很多线下交易的时候，容易遭遇个人信息泄露。比如，我们买了房子就会接到装修公司的电话，这是很常见的线下的泄露的环节，公民个人信息泄露通常是企业员工或者经纪人导致的。

线上主要是企业端的泄露，一种是所谓的黑客攻击，第三方通过进入企业的数据库拿到这些数据。企业端泄露还有一种就是企业内部人“监守自盗”，把企业内部的公民个人信息拷贝出去卖掉。还有的的企业专门从事黑灰产，也就是我们通常所说的非法企业，以个人信息贩卖黑灰产为业。

南都：除此之外，还有哪些容易忽视的个人信息泄露环节？

许可：有一种目前很严重但还未引起重视的，就是企业破产环节的个人信息泄露。比如对P2P企业进行大清理整顿后，很多P2P企业都关停了。但P2P公司实际上又掌握着大量精准的有价值的个人信息，像公民支付信息，财务信息。随着企业破产，电脑、服务器被处理变卖的时候，被当做简单的有形资产，而没有考虑上面负载着无形的个人信息，这些信息很容易被第三方获取，导致公民个人信息泄露，这些信息也很有可能被滥用。

南都：此前“徐玉玉案”中，黑客通过攻击教育系统网站，获取考生信息之后实施了精准电信诈骗，政府端有哪些个人信息泄露风险？

许可：政府端也是个人信息泄露的风险源之一，有些政府机关特别是事业单位没有人财物进行信息安全保障，就容易被黑客攻击系统，导致公民个人信息泄露，进而导致电信诈骗频发。

此外，还有一些政府的电子政务平台在建过程中进行“第三方外包”，第三方掌握了公民大量的个人信息，也存在着将这些信息泄露的或者买卖的风险，所以我们看到从线上到线下，不管是企业、国家机关、事业单位都是个人信息泄露的风险源头。

石家庄市桥西区草场街小学的学生在观看网络安全知识展板，防范个人信息泄露。 新华社发

南都：近日，“多家电商平台个人信息被公开售卖”的消息引发关注。此次反电信网络诈骗法立法也专门规定，任何单位和个人不得以出售、提供个人信息的方式为他人实施电信网络诈骗提供支持或者帮助，个人信息被售卖为何屡禁不绝？

许可：刚才我们讲了个人信息泄露，其中一个源头就是内鬼泄露，也就是企业内部人导致的个人信息泄露的问题，所有的风险归根到底人的风险，所有的信息安全也依赖于人。

所以，内鬼泄露不止恰恰说明解决个人信息泄露的问题根本在于对人的管理，它不完全是个技术问题，再好的技术、再好的制度如果不落实不执行，也没有办法真正发挥作用。

所以怎么去解决这个问题？核心就是要把企业的组织责任强化，企业不能因为内鬼作案就不承担责任，要强化企业作为整个生产经营组织、安全保障义务承担者对内部人员、规程和制度实施的组织管理责任，从而最大程度降低个人信息泄露的风险。

南都：一直以来，房产中介、装修公司泄露个人信息引发的电信网络诈骗也持续高发。据您了解，形成这一现象的原因是什么？

许可：这些行业都存在大量线下收集公民个人信息问题，而线下收集的个人信息很难管理，也更容易泄露。要解决这一问题，公民应该提升个人信息保护的意识，比如疫情防控期间很多公共场所实行线下登记，要求公民登记身份证、手机号等个人信息，但公民完全可以拒绝这些不合理的信息收集方式。此外，企业还应该尽可能将个人信息收集线上化，杜绝纸质的线下收集的方式。

南都：反电信网络诈骗法也明确了企业的防范责任，但很多的小的企业没有能力进行用户个人信息保障，这种情况该怎么处理？

许可： 即使是看起来不起眼的小企业，可能都掌握了大量公民个人信息，所以我觉得增加组织责任对于大企业没问题，但是对于小企业进行用户信息保护成本过高，是“非不为也，实不能也”，因此对于小企业，我们不能仅强调要提升他们的安全保障水平，还需要给他们提供外部助力。有一种方案就是所谓的个人信息的托管，就是说当企业个人信息相关数据很多，但企业又没有能力管理的时候，能不能找第三方专业管理机构帮助管理。当然，第三方管理机构托管需要支付费用，对于小企业来说可能也会无力承担，所以我建议国家应当给第三方个人信息托管机构的给予政策扶持，给小企业以财税上激励，让他们也能够进行用户个人信息保护。

采写：南都记者 刘嫚 发自北京

编辑：梁建忠

更多报道请看专题：反电诈法如何守护群众钱袋子？

对这篇文章有想法？跟我聊聊吧

刘嫚

梁建忠