21世纪经济报道记者 杨希 北京报道
12月1日,“全民反诈 共筑金融安全防线”高峰论坛暨南财集团“反电信网络诈骗法普法宣传月”启动仪式于线上召开。论坛由南方财经全媒体集团和中央财经大学法学院联合主办,北京星来律师事务所主任王珺参加论坛圆桌讨论环节并发言。
(资料图片仅供参考)
王珺指出,涉诈人员的犯罪行为一般来说会分为四个步骤,即获取个人信息,开卡、开户、开账号,使用账号发送信息,获取转移资金。其中每一个环节,都涉及金融机构、互联网企业的合规风险与义务。
“理论上讲,每一个阶段企业都有可能为诈骗行为提供帮助,成为共犯,当然实务中认定相关行为人为帮信罪的会比较多,主要是基于两个方面的原因。一是犯罪集团可能比较庞大,犯罪的正犯抓不到,相关犯罪事实也不好认定,那么法律上把其他的提供帮助的从犯认定为帮信罪。二是出于‘罪责刑一致’的原则。”王珺表示。
王珺进一步分析和梳理了金融机构以及互联网服务提供者的法律责任,以及企业对应的合规义务。
首先,在获取个人信息的阶段,企业要关注的风险有侵犯公民个人信息、非法侵入计算机信息系统等违法犯罪行为,需要完善信息保护措施。此外值得关注的还有拒不履行信息网络安全管理义务罪,实务当中已有相关案例。如果互联网企业或者互联网服务提供者没有履行信息安全方面的义务,会面临主管机关的行政处罚,如果主管部门要求责令改正而企业没有及时改正或是拒不改正并且造成严重后果,就有可能面临拒不履行信息网络安全管理义务罪的刑事法律风险。
第二,在开卡、开户、开账号阶段,企业工作人员可能会存在为非法买卖、出租、出借电话卡、互联网账号行为提供帮助而引发的帮信罪、侵犯公民个人信息罪等刑事法律风险。一方面企业需要严格实名实人审查认证、域名注册地址核验、用户风险评估等机制,避免因未尽审查责任而引发行政处罚风险;另一方面需要通过制度建设和内控机制区分公司意志与个人意志,把企业和个人的行为隔离开,最大程度地保护企业,避免企业有刑事方面的风险。
第三,在使用账号发送信息的阶段,企业工作人员可能会存在非法使用或提供相关自动化软件、批量处理设备的行为,或相关的帮助行为,从而引发帮信、提供非法侵入计算机信息系统程序等刑事法律风险。对此首先企业应当建立内部控制机制,包括关联账号核验、发布信息内容核验、监测识别、监测预警及处置等,避免行政处罚风险;其次企业的监测技术也需要根据犯罪工具的变化而不断升级,避免拒不履行信息网络安全管理义务法律风险;第三,同样需要进行合规制度设计隔离企业与个人行为。
第四,在最后一个阶段,即获取转移资金的阶段,这是涉诈人员完成诈骗行为的最后一步,企业容易陷入帮助他人通过虚拟货币交易洗钱的行政及刑事风险。企业对应合规义务的重点和难点都在于过程监控,具体可以参照反洗钱法有关规定,更需要结合互联网环境下新的犯罪手段制定具有针对性的识别和反制方法。
“其实金融机构和互联网企业的相关细则都已经非常成熟了,但是可能需要根据反诈法的规定以及风险预警的责任义务来进行调整和更新。另外再强调一点,也是合规的一个永恒主题,就是公司与个人行为的隔离,要避免公司面临刑事法律风险从而影响生产经营。如果企业在合规建设的过程当中,能够把刑事法律风险和相关责任考虑进去,就会使得企业合规管理体系更加完备,抵御风险的能力也会更强。”王珺表示。
(作者:杨希 编辑:李玉敏)