《反电信网络诈骗法》“金融篇”

《反电信网络诈骗法》于2022年9月2日十三届全国人大常委会第三十六次会议表决通过，自2022年12月1日起施行。本法全文涵盖电信、金融、互联网等3大行业领域下的治理践行工作内容，明确了各职能组织机构的业务审查方向，并为相关监管执法部门开展电信网络诈骗打击整治工作提供了参照依据。

相关部门责任及工作：

1. 国务院：建立反电信网络诈骗工作机制，统筹协调打击治理工作。
2. 地方各级人民政府：组织领导本行政区域内反电信网络诈骗工作，确定反电信网络诈骗目标任务和工作机制，开展综合治理。
3. 公安机关：牵头负责反电信网络诈骗工作，金融、电信、网信、市场监管等有关部门依照职责履行监管主体责任，负责本行业领域反电信网络诈骗工作。
4. 人民法院、人民检察院：发挥审判、检察职能作用，依法防范、惩治电信网络诈骗活动。
5. 电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者：承担风险防控责任，建立反电信网络诈骗内部控制机制和安全责任制度，加强新业务涉诈风险安全评估。

电信、金融、互联网行业治理相关内容

行业治理是该法的主体性内容，分为电信治理、金融治理和互联网治理。行业治理主要是建立有关制度，补强薄弱环节。

电话卡、银行卡、互联网账号实名制。实名制是治理电信网络诈骗的一项重要的源头性工作。

（1）电话实名制。该法规定电信企业依法全面落实电话实名制。特别是监管电话卡代理商落实实名制，且电信企业要对代理商落实实名制承担管理责任，确保实名制在各个环节，尤其是末端环节的落实。

（2）物联网卡实名制。该法要求严格登记物联网卡用户身份信息；同时规定，单位用户从电信企业购买物联网卡再将载有物联网卡的设备销售给其他用户的，也应当登记、回传用户信息，确保监管到各个环节。

（3）金融实名制。该法在相关法律规定的基础上，规定银行、支付机构要建立客户尽职调查制度和依法识别受益所有人。

（4）网络实名制。该法规定提供有关互联网服务时，应当要求用户提供真实身份信息。同时针对实践中大量利用App涉诈的情况，规定了App许可、备案以及核验App开发运营者的真实身份信息等内容。

1. 开立卡、账户、账号管理。办理电话卡、银行卡、支付账户的数量不得超出国家规定限制的数量；对经识别存在涉诈异常情形的，可以不予办卡或者延长期限、加强审查。对涉诈电话卡、银行卡关联注册的互联网账号，有关企业应当按照公安机关、电信部门要求采取限制、暂停、关闭等处置措施；为“两卡”管理提供相应数据系统支撑，该法规定电信主管部门、人民银行要组织建立数量核验和风险信息共享机制。同时，针对实践需要，明确规定在建立上述系统时，银行、支付机构应当按照规定提供开户数量信息和有关风险信息。

对涉诈异常情形的监测识别和处置。这是该法要求企业承担的一项重要责任。

1. 电信企业要监测识别处置涉诈异常电话卡，并采取限制、暂停等措施；对物联网卡的使用进行监测识别，防范改变使用场景和适用设备；对改号电话、虚假主叫进行识别拦截。
2. 金融机构要建立完善符合电信网络诈骗活动特征的异常账户和可疑交易监测机制，提升涉诈监测水平。同时，为了保障监测的有效性，明确规定开展涉诈监测识别时，可以收集、使用用户必要的设备位置信息和交易信息；规定银行、支付机构应当按照国家有关规定，完整、准确传输商户名称、收付款客户名称及账号等交易信息，保证交易过程的可追溯性。
3. 互联网企业要对涉诈异常账号、App、域名、网站以及其他涉诈信息、活动进行监测处置，采取相应措施。

金融行业电信网络诈骗态势

世界经济论坛（WEF）在《2020 全球风险报告》中指出，至 2021 年，网络黑灰产的市场效益将比肩世界第三大经济体，网络犯罪将会是未来十年最引人注目的风险之一。近年来，金融领域的电信网络犯罪呈现以下几个明显的特征。

（一）网络支付的发展导致电诈事件频发

2020 年以来，受疫情影响，广大网民的互联网使用率和使用时长明显增长。而伴随着互联网支付的蓬勃发展，网络黑产也呈现出更加频发的态势，不法分子通过网络诈骗、网络赌博等手段攫取巨额利益，也快速衍生出贷款诈骗、网课缴费诈骗、刷单诈骗等新型诈骗方式，总体呈现诈骗手法多样化、涉案金额增长化的趋势，对人民群众财产安全构成严重威胁。

（二）细分领域深化导致犯罪成本降低

随着上下游产业链条的不断完善，网络诈骗黑灰产的从业门槛也在不断降低，秒拨平台、接码平台、暗网个人信息售卖、非法推广广告联盟等各类专业黑灰产平台不断产生和发展，导致网络犯罪的门槛和成本急剧降低，加速了网络犯罪的蔓延态势

犯罪分子可以轻易从上游获取到电信网络诈骗所需要的技术手段支持，通过自动化工具进行推广、扩大影响范围。

犯罪成本的降低，也意味着网络犯罪的防范与打击难度逐渐提高。犯罪组织内部同样有资金提供者、技术提供者、推广服务者、话务员等明确的分工，但成员间只通过虚拟身份进行沟通，对单一节点进行打击，其上下游产业均可迅速寻找替代者，这给溯源分析带来了挑战。未来随着互联网黑灰产与网络诈骗犯罪更加紧密地结合，势必给金融行业与犯罪分子的技术对抗造成更大的困难。

（三）境外犯罪猖獗导致追溯难度提高

近年来，公安部、网信办等行业主管部门不断出台网络违法犯罪治理的相关文件，并持续开展各类专项打击行动，使境内网络犯罪难度不断加大，也使得网络犯罪国际化的趋势更加明显。

网络犯罪本身不需要物理接触，也不受时间、空间限制，只要能接入互联网络，各类终端都有可能成为犯罪工具，同时伴随着虚拟专用网络（VPN）技术的违规使用，大大降低了网络犯罪者采取“翻墙”的方式与境外网络交互的门槛。大量的犯罪分子身处境外，依靠互联网络实施犯罪行动，使得案件复杂度提高，给溯源及证据采集造成了很大难度。

《反电信网络诈骗法》“金融篇”

反电信网络诈骗法对信息链、资金链、技术链、人员链等各环节都提出了具体举措和明确要求。强化银行账户和支付账户管理是电信网络诈骗“资金链”治理的首要环节。

工作职责：电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者承担风险防控责任，建立反电信网络诈骗内部控制机制和安全责任制度，加强新业务涉诈风险安全评估。（法条 第六条）

尽职调查：银行业金融机构、非银行支付机构为客户开立银行账户、支付账户及提供支付结算服务，和与客户业务关系存续期间，应当建立客户尽职调查制度，依法识别受益所有人，采取相应风险管理措施，防范银行账户、支付账户等被用于电信网络诈骗活动。（法条 第十五条）

开户风险管理：开立银行账户、支付账户不得超出国家有关规定限制的数量。对经识别存在异常开户情形的，银行业金融机构、非银行支付机构有权加强核查或者拒绝开户。（法条 第十六条）

企业账户管理：银行业金融机构、非银行支付机构应当建立开立企业账户异常情形的风险防控机制。（法条 第十七条）

监测识别处置涉诈异常账户和可疑交易：对监测识别的异常账户和可疑交易，银行业金融机构、非银行支付机构应当根据风险情况，采取核实交易情况、重新核验身份、延迟支付结算、限制或者中止有关业务等必要的防范措施。（法条 第十八条）

交易信息透传：银行业金融机构、非银行支付机构应当按照国家有关规定，完整、准确传输直接提供商品或者服务的商户名称、收付款客户名称及账号等交易信息，保证交易信息的真实、完整和支付全流程中的一致性。（法条 第十九条）

配合开展资金查冻扣：国务院公安部门会同有关部门建立完善电信网络诈骗涉案资金即时查询、紧急止付、快速冻结、及时解冻和资金返还制度，明确有关条件、程序和救济措施。（法条 第二十条）

反电信网络诈骗法按照“完善预防性法律制度”要求，在“金融治理”章节提出强化开户管理，着重强调客户尽职调查、异常开户处置、开户数量管理等要求，在前端防范方面为“资金链”治理夯实了根基。

一是完善客户尽职调查制度。落实好客户尽职调查是银行业金融机构、非银行支付机构为客户提供服务、识别电信网络诈骗犯罪的前提条件。反电信网络诈骗法第十五条对客户尽职调查涉及的业务范畴、持续时间和工作内容都提出了明确要求。

二是强化异常开户审核。对异常开户情形加强审核是银行业金融机构、非银行支付机构反诈风险防控的一道重要防线。反电信网络诈骗法第十六条、第十七条明确规定银行业金融机构、非银行支付机构加强单位和个人开立银行账户、支付账户异常情形的风险防控职责。

三是强化开户数量管理。针对一些单位和个人将银行账户和支付账户出售出租给不法分子转移电信网络诈骗资金的情况，反电信网诈骗法第十六条明确提出开户数量限制规定。

《反电信网络诈骗法》正式施行后将从以下四个方面着重发力，立足各环节、全链条防范治理电信网络诈骗：

推动形成齐抓共管合力

《反电信网络诈骗法》明确由公安机关牵头负责反电信网络诈骗工作，金融、电信、网信、市场监管等部门依照职责履行监管主体责任，法律还专门规定主管部门要对相关行业企业落实本法规定情况进行监督检查；

加大违法犯罪惩处力度

《反电信网络诈骗法》规定了专门行政处罚和民事责任。对于尚不构成犯罪的人员也要从严处罚，没收违法所得，处违法所得1～10倍罚款或者十万元以下罚款，由公安机关拘留。这比对普通诈骗的处罚要重得多。除了承担刑事责任、行政责任以外，造成他人损害的，还要依法承担民事责任，让诈骗分子得不偿失。

加强行业源头治理

《反电信网络诈骗法》施行后，公安机关将依法依规对电话卡、银行卡、互联网账号等加强管理，将“诈骗工具”管起来，从源头上防范电信网络诈骗。

营造全社会反诈氛围

《反电信网络诈骗法》强调，有关部门和基层组织应加强对老年人、青少年等易受害群体的宣传教育，反诈宣传教育进学校、进企业、进社区、进农村、进家庭。

芯盾时代基于自主研发的智能风控决策系统、设备指纹、智能终端密码模块等产品，建设了全新的反欺诈交易监控平台。方案功能与设计如下：

智能风控决策系统：包含数据整合与分析模块、风控引擎模块、风险响应及处置策略模块、可视化运营支撑模块，能够整合和分析客户设备端信息和客户交易信息，通过风控规则模型计算风险评分，对业务活动或交易过程中风险事件进行筛选、甄别和管理，将风险事件推送至对应业务渠道，按照风控策略进行干预操作。

设备指纹模块：在乌鲁木齐银行的各类业务App中集成设备指纹SDK，自动采集设备特征，为每一台终端设备生成唯一的设备识别码。

智能终端密码模块：以SDK形式集成在业务App之中，采用国密算法，对客户端与服务端之间的通信进行加密，保证信息的机密性和完整性。同时，模块能够识别终端安全基线，自动检测模拟器、攻击框架等安全威胁。

随着反电信网络诈骗工作的重要性不断提升，反欺诈平台在银行风控体系中的重要性日益提高。作为银行的核心风控系统之一，反欺诈平台的稳定性、风控策略的延续性非常重要。