编者按： 

日前，《反电信网络诈骗法》表决通过，其中专门提到金融治理，并对银行业金融机构和非银行支付机构如何反电信网络诈骗做了规范和要求。该法使金融反电信网络诈骗有法可依。

金融反电信网络诈骗有法可依

□记者 苏洁

日前，《反电信网络诈骗法》表决通过，将于12月1日正式实施。《反电信网络诈骗法》中特别提到了金融治理，该法的实施将对银行业金融机构带来哪些实质性影响？

明确金融机构主体责任

《反电信网络诈骗法》在金融治理一章中，明确地对金融机构提出了加强开户核验、企业信息共享、交易异常监测等要求，银行业金融机构在各项工作中将能规范权责、有法可依。

工商银行金融科技研究院相关人士表示，目前，银行金融机构已综合客户、账户等多维度风险特征，构建风险账户分级分类管理体系，从资金出口角度主动防御，按分级进行限额管控。结合《反电信网络诈骗法》相关要求，持续健全防范治理电信网络诈骗犯罪工作机制，进一步提升防控能力和防控水平，保护人民群众财产安全，是银行业金融机构必须践行的社会责任。

“随着该法的实施，银行业金融机构仍需进一步完善相关机制：一是建立跨机构开户数量核验机制和风险信息共享机制，增加更多维度的风险标签共享和使用，提升联防联控效果；二是借助外部共享数据，进一步完善异常账户、可疑交易等大数据风控模型，持续提升检测效果；三是配合公安部门建立完善电信网络诈骗涉案资金即时查询、紧急止付、快速冻结、及时解冻和资金返还制度、程序和救济措施。”上述人士说。

同盾科技智能业务安全与风控部总监阅微表示，银行是遏制电信网络诈骗犯罪高发态势的重要执行者，但同时一些基层金融机构也面临着主动防控缺少必要法律授权、账户及交易数据分散难以实现穿透式管控等一些实际问题，《反电信网络诈骗法》为金融机构开展反诈风控工作提供了法律遵循。此外，《反电信网络诈骗法》明确了金融机构的主体责任，也对银行的业务安全风控能力提出了更高要求。接下来，金融机构可以借助机器学习、实时计算、知识图谱等前沿科技的力量，精准打击各种新型电信诈骗。

信息共享提升反电信诈骗效果

该法还提到，金融、电信、市场监管、税务等有关部门建立开立企业账户相关信息共享查询系统，提供联网核查服务，此举是否能够打破金融与其他产业之间的数据孤岛，实现跨部门的数据连通？

早在2021年10月，《反电信网络诈骗法（草案）》就向社会公开征求意见，在今年全国两会上，全国政协委员、中国银联原董事长葛华勇表示，该法如能出台，将为产业各方开展源头治理、建设行业平台、加强联防协作、实施信息共享等工作提供法律遵循。

“通过信息共享机制将打破跨部门针对异常开户信息的共享障碍，进而建立一种跨部门数据连接的通道，为金融机构开展客户尽职调查和依法识别受益所有人提供便利，提升反电信网络诈骗的效果。”工商银行金融科技研究院相关人士表示，同时该法也明确此类信息未经客户授权，不得用于反电信网络诈骗以外的其他用途。因此，非反电信网络诈骗以外的其他产业之间的数据合作，还要依赖建立保证跨机构间数据安全的基础设施，才能实现更多的数据共享，以打破金融机构数据孤岛。

阅微指出，在针对企业账户异常情形的风险防控机制中，银行调查和风控过程中的信息搜寻成本较高，各机构各部门各自为政不利于联防联控降低成本，也难以完全对抗逐渐趋于专业化产业化的欺诈行为。该法提出的各部门之间联网核查，对于打破“数据孤岛”、实现政务、经济大数据的开放与连通是重要的一步。

“未来，在保证数据安全的前提下，银、政、企多方形成合力，共享并综合提炼运用各自在产业链上形成的网络安全能力、平台监控能力、企业信息核查能力，可以让数据的价值充分流动起来，降低行业反欺诈成本，在提升银行金融机构欺诈风险防范能力的同时，也可以对区域内中小微企业发展带来帮助。”阅微说。

银行应提升数据安全管理能力

“金融诈骗是网络电信诈骗的重灾区，电信诈骗和个人信息泄露又有着密切关联。所以，防范电信诈骗要从源头上防止个人信息的泄露。” 索信达CEO吴辅世说。

近几年，随着《网络安全法》《数据安全法》《个人信息保护法》相继实施，金融在网络安全和个人信息保护方面将更加完善。

达信中国财务及专业责任风险部负责人曲婉如指出，《网络安全法》《数据安全法》《个人信息保护法》将共同构建起网络安全、数据安全和隐私保护的法律体系，也意味着国家数据安全合规和强监管时代的来临。此外，未来企业在完善网络相关技术的同时，还会通过保险的方式转嫁风险，从而为企业的网络及董事责任风险敞口提供更加完整、全面的管理和覆盖。

工商银行金融科技研究院相关人士表示，“《反电信网络诈骗法》实施后，网络运营、数据处理等机构将提高依法依规意识，做好网络安全和数据安全配套的制度化措施；监管机构也可严格依法依规管网治网，依法加大打击和制裁力度。”

吴辅世指出，在金融领域，防范电信诈骗要重视个人信息保护和数据安全。对此，银行可以从几个方面来提升数据安全管理能力：一是防御攻击的能力，二是及时发现安全隐患的能力，三是对抗外部攻击的能力，四是应对风险的应急处置能力。同时，银行机构有必要通过建立可靠、完整的信息安全体系以及采用先进的技术手段来提升数据安全管理能力。比如“联邦学习”就是一种解决金融数据壁垒和隐私保护的有效之道。

“金融机构需要不断升级内部信息安全系统，完善客户个人信息管理的规章制度，确保客户个人信息在各个环节的安全，从技术创新、法律规范、行业自律等多角度协同推进数据治理。” 阅微表示，金融是典型的数据“密集型”行业，数据治理在实操层面也尚存诸多难点，但随着金融科技发展以及法律的完善，比如隐私计算的广泛落地应用，金融数据治理将进入新的阶段。

加强数据安全 机构应主动担当

□车宁

在经历早期的粗放经营之后，数字经济正在快速步入追求高质量与可持续的新赛道，数据安全逐渐崛起成为主流的价值追求和重要的工作领域。这一趋势反映在客户层面，是其数据权利保护意识的日益觉醒；反映在机构层面，是安全与应用成为数据工作的“一体两翼”；反映在法制层面，是信息安全立法日益完备，规范逐渐细化至“小切口”领域。

近日表决通过且即将于12月1日起施行的《反电信网络诈骗法》正是这一趋势的集中表现。相较于《网络安全法》《数据安全法》和《个人信息保护法》等安全领域法制“前辈”，《反电信网络诈骗法》更加突出源头治理，金融与通信、互联网相并列，成为防治的关键环节而予以专章规范；更加突出综合治理，不但全面规定了违法犯罪可能承担的刑事责任、行政责任和民事责任，更引入了技术防范和征信惩戒等新型措施，使电信网络诈骗“防火墙”愈加强大。

化解“数据孤岛”等痼疾

对于银行业金融机构、非银行支付机构而言，《反电信网络诈骗法》的出台不啻一曲福音。一方面，该法案使得银行、支付机构正在从事的相关管控工作更加“有法可依”，合法性有了更好的指导与背书；另一方面，该法案也明确规定了数据共享、防治协调的具体要求，长期影响工作进一步开展的“数据孤岛”等痼疾有望得以化解。

当然毋庸讳言，《反电信网络诈骗法》在给银行、支付机构带来“天下无诈”清朗空间的同时，也对其数据安全工作的开展提出了更高要求。

外部环境形势方面，由于数据特别是金融数据所具有的巨大价值，银行、支付机构越来越成为网络黑产勒索、攻击的主要对象。此外，黑产对客户个人信息的侵害也使银行、支付机构成为间接的受害主体，个人信息泄漏往往成为电信网络诈骗的先声。

工作内在要求方面，随着银行、支付机构业务大范围数字化转型，数据流通成为业务开展的基础，客观上要求有更高的数据安全能力作为支撑。

加强数据安全建设与管理

事实上，在数字经济高度发达、数据成为重要生产要素的今天，数据安全已不仅是或有或无的“锦上添花”，而已然成为银行、支付机构能否顺利完成业务转型，实现机构持续发展的必需。面对数据安全领域一日千里的技术发展、问题挑战和规范要求，银行、支付机构唯有坚持客户至上，坚守人民立场，主动加压，超前部署，才能化被动为主动，依托数据安全构建新的比较优势，开拓出面向未来的康庄大道。

一是抓紧电信网络诈骗防范工作。以《反电信网络诈骗法》出台为契机，内外联动，整合资源，持续提升线上风险监测、预警和处置能力。在此基础上，一方面统筹安排客户权益保护和电信网络诈骗防治，构建覆盖全面的工作沟通协调机制，统一部署防治策略，统一上线管控功能，统一建设风控中台，实现工作开展的精细化管理；另一方面推进客户风险评级，在充分做好个人信息保护的前提下，预判客户风险，建立优化准入、交易等环节等评级模型，丰富交易动态管控手段，构建覆盖事前、事中、事后的完整闭环。

二是抓实数据安全顶层设计。在履行法律义务，做好专项工作的基础上，银行、支付机构更要树立系统思维，在顶层设计上落实数据安全保障机制。规划方面，构建全面系统、与时俱进的数据安全管控体系，并将其与机构业务发展规划有机结合，确保其有足够的权威性和可实施性；机制方面，既要建立完善机构高管、专责部门、协办部门和各级机构各司其职的联动机制，又要健全提升数据收集、使用、存储、转让等全生命周期的管理规范；管理方面，明确数据安全各领域、各环节的人员角色和岗位责任，在此基础上持续加强数据安全行为管理、内控考核、违规问责等各方面规范工作。

三是做强数据安全技术应用。数据收集环节，聚焦直接面客的移动智能终端APP和网络浏览器页面，综合利用多方安全计算、联邦学习、同态加密等技术平衡数据资源获取和客户信息保护。数据使用环节，逐步试点推广AI机器学习技术和自动化模型，减少不必要的人工参与，提升监测、防护等各方面工作的智能化、自动化能力。数据交互环节，构建以隐私计算为核心技术的可信安全平台，整合机构内部不同业务不同接口，守好数据进出口边界，奠定承接数据跨领域、跨部门交互的基础。

四是做优数据安全运营体系。在将数据安全运营纳入机构整体运营体系的前提下，一方面，打造既高效灵活又规范有序的数据访问权限体系，依托已确定的操作规则，充分利用AI技术，设立基于用户类别、访问要求、工作目的、使用环境等不同属性的角色权限，并根据需求变化动态调整；另一方面，在机构内部努力实现数据安全统一管控、统一保障、统一服务，逐渐吸收整合分散在前中后台的相关工作，做到日常使用的安全合规和问题出现的可追溯、可整改。

除此之外，银行、保险机构还应持续加强员工数据安全教育，提升法制素养和操作能力，并以此为基础打造数据安全企业文化，保障前述各项工作真正入脑入心。

（作者系中国农业银行网络金融部高级经理）

反电信网络诈骗应精准发力

□董希淼

近年来，以电信网络诈骗为代表的新型网络犯罪十分猖獗，在世界范围内呈现迅猛增长态势。在这种形势下，国务院成立打击治理电信网络新型违法犯罪工作部际联席会议，公安机关在金融、电信、网信等部门配合下，投入大量人力物力，开展“云剑”“长城”“断卡”“断流”等专项活动，不断加强对电信网络诈骗的预防和打击。从2021年4月到2022年4月，全国共破案39.4万起，抓获犯罪嫌疑人63.4万名，电信网络诈骗案件上升势头得到有效遏制。

反电信网络诈骗根本目的，是为了保护人民群众财产和生命安全。近年来我国反电信网络诈骗工作措施坚决有力，成绩有目共睹。但反电信网络诈骗工作在执行过程还存在一些不足。

一是尽量避免“一刀切”。笔者在广东、浙江调研，部分小微企业反映，因上下家交易对手资金被认定涉嫌电信网络诈骗，导致企业及个人账户被冻结，冻结之后长时间内难以解除。部分银行因为担心把关不严受到处罚，对小微企业和个体工商户开户进行苛刻审核，要求提供大量证明材料，甚至“一刀切”将企业拒之门外。

二是“断卡”行动精准性不够。为配合“断卡”行动，银行对长期不动、交易异常的账户及银行卡采取限制性措施，包括非柜面交易限额、冻结等。少数银行工作不够精准，导致部分正常使用的账户和卡被限制。被“误伤”的用户为申请解除限制，甚至在银行网点排起长队，影响了银行与客户关系。

《反电信网络诈骗法》从2021年10月草案提请初次审议，到2022年9月正式表决通过，只用了不到一年的时间。作为一部重要法律，《反电信网络诈骗法》为我国开展反电信网络诈骗工作提供了法律支持。

下一步，应以《反电信网络诈骗法》通过和实施为起点，坚持发展和安全、预防与打击、保护和服务的有机统一，细化制度办法，优化工作机制，一方面推动反电信诈骗工作取得更大成效，一方面保障公民生产生活秩序不受影响。

一是加快制定《反电信网络诈骗法》实施细则，进一步明确公安机关的职责边界，合理确定电信、金融等机构的责任。既要赋予相关部门充分的权力和必要的手段，也要确保权力在法律法规范围内依法行使。

二是金融机构应提高工作精准度。银行应借助科技手段，优化模型，精准排查，尽量降低“误伤”的比例。在“误伤”之后，应采取更人性化的救济措施。如推出线上和线下结合的方式，便利用户办理解除限制手续。

（作者系中关村互联网金融研究院首席研究员、复旦大学金融研究院兼职研究员）

记者观察：多管齐下，打击电诈

□记者 苏洁

随着信息技术和移动互联网快速发展，电信诈骗也在更新迭代。电信诈骗具有迷惑性，金融作为安全和合规的重要前线，应如何加强防范？

首先，加强网络安全和数据安全体系建设。目前我国电信网络和数据安全保障能力显著提升，新型网络基础设施安全体系初步形成。数据显示，我国加快构建全国一体化反诈技防体系，2021年以来累计处置涉案域名网址214万个，拦截涉诈电话25.4亿次、涉诈短信30.5亿条，建成启用涉诈预警劝阻短信系统。

近日，工信部网络安全管理局一级巡视员周少清表示，工信部将加强数据安全工作的系统布局谋划，抓好数据安全监管体系建设，制定出台工信领域数据安全管理制度，健全完善数据分类分级、重要数据保护、风险评估、应急管理等重点管理机制，发展好数据安全产业，为国家数据安全保障提供有力支撑。

金融行业也可参照制定符合行业发展的数据安全管理制度。此外，对于金融企业来说，还应积极将数据治理纳入公司治理。

其次，加强技术应用，提高反诈效率。在技术方面，金融机构可以借助隐私计算等技术，构建跨机构数据流通基础设施，在保证企业数据隐私安全的前提下，促进数据开放与共享，发挥数据要素的价值。

再次，建立数据安全风险预警系统。金融机构应构建数据安全核心评估指标和安全风险评估模型，一旦触发风险数据和风险业务，即可实现感知和风险预警。

最后，做好网络安全应对准备和解决方案。比如，金融企业可以通过保险解决方案转移企业自留风险，企业可以选择值得信赖的顾问合作，从而在保险、风险管理、战略和投资方面获得专业的建议。