■范秋忱

经全国人大常委会三次审议，《中华人民共和国反电信网络诈骗法》（以下简称“新法”）于9月2日表决通过，并将自12月1日起施行。

新法分为七章，共50条。在章节编排上，新法以治理主体为主要划分依据，通过区分业务品种、特性，更加有针对性地预防、遏制和惩治电信网络诈骗活动。其中，“金融治理”及“互联网治理”两章对银行业金融机构提供的支付结算服务、银行卡业务、电子银行业务提出了具体要求。

厘清法律概念与行为

根据《刑法》中诈骗罪的犯罪构成来看，一般诈骗是指行为人以非法占有目的做出欺诈行为，受害人因此产生错误认识并处分财产，行为人由此获得财产，受害人因此受到损害。

电信网络诈骗则是在一般诈骗的基础上，使用了更加新颖的犯罪手段及犯罪方式，即利用电信网络技术手段，通过远程、非接触等方式实施的诈骗行为。

电信网络诈骗常见形式为：犯罪集团非法搭建虚假交易平台，诱骗受害人到平台上开户交易，但受害人交易资金并未实际购入投资理财产品，而是转入犯罪集团控制的银行账户。

新法主要规制了以下三类电信网络诈骗行为：一是属地管辖，即在我国境内实施的电诈活动；二是属人管辖，即我国公民在境外实施的电诈活动；三是保护管辖，即境外主体针对我国境内实施的电诈活动或为前述活动提供产品、服务等帮助的行为。

明确金融机构主体责任

新法的颁布与实施对银行业金融机构提出了一系列新要求，银行需进一步明确经营管理中的责任与义务。

着力前端预防。一是银行在为客户开立账户、提供支付结算及互联网服务时应进行尽职调查，要求客户必须提供真实身份信息，识别受益所有人。二是银行应保证客户开立的账户不得超出国家有关规定限制的数量。三是银行在业务办理过程中应完整并准确地传输商户名称、收付款客户名称及账号等交易信息，保证交易信息在支付全流程中的一致性。在手机银行等互联网服务平台上提供域名跳转等转换服务时，应核验域名注册、解析信息和互联网协议地址的真实性、准确性，规范域名跳转，记录并留存所提供相应服务的日志信息，支持实现对解析、跳转、转换记录的溯源。四是新法明确银行账户、支付账户及互联网金融服务账户不得被买卖、出租、出借，任何单位不得提供实名核验帮助。这就要求银行审慎核实开户人身份，谨防冒充他人身份或虚构代理关系进行开户等情况发生。

密切事中监测。一是银行应当建立、完善符合电诈活动特征的异常账户和可疑交易监测机制，加强对银行账户、支付账户及支付结算服务的监测与识别。二是银行应当建立账户异常情形的风险防控机制。三是银行应当配合人民银行、银保监会建立跨机构开户数量核验机制，参与风险信息共享机制建设，并为客户提供查询名下银行账户、支付账户的便捷渠道。四是鼓励银行开发用于监测识别、动态封堵和处置涉诈异常信息、活动有关的电诈反制技术。

深化协同合作。一是银行应配合相关部门进行即时查询、资金返还等制度建设，根据相关部门明确的条件、程序和救济措施配合反诈工作。二是银行应当配合公安机关依法对涉诈账户采取紧急止付、快速冻结、及时解冻等措施。三是积极参与公安机关组织建立的预警劝阻系统，根据实际情况对预警发现的潜在被害人采取相应劝阻措施。四是配合调证。对于公安机关办理电诈案件需依法调取证据的，银行应全力配合并及时提供技术支持和协助。五是及时移送涉诈违法犯罪线索、风险信息。六是积极配合金融监管部门依照职责进行的各项监督检查。

注重信息保护。新法明确了各单位及个人对在反诈工作中知悉的国家秘密、商业秘密、个人隐私和个人信息具有保密义务。如：银行开展异常账户和可疑交易监测时，可以收集异常客户互联网协议地址、网卡地址、支付受理终端信息等必要的交易信息、设备位置信息，但上述信息未经客户授权，不得用于反诈以外的其他用途。

筑牢反诈“防护墙”

随着反诈配套法律法规的完善、各部门地区间联动协同，电信网络犯罪必将得到有效遏制。银行作为其中的重要参与者，应切实承担主体责任，提升经营管理及综合服务水平，全面打击电信网络诈骗，保护人民财产安全。

优化风险管理措施。银行应完善尽职调查制度，在业务关系存续期间持续跟进相关信息变动情况。此外，应充分利用共享信息进行联网核查、关联账户情况查询。如开户前进行联网核查及实地考察，核验法人客户主体资格、客户注册地址是否存在、经营场所是否虚构等。尤其应注意客户是否为市场主体登记机关明确的可能存在虚假登记、涉诈异常的企业，是否为全国企业信用信息公示系统严重违法失信企业名单中的企业等。

履行风险监测和相关处置义务。银行应加强对可疑账户及交易的监测，完善可疑交易监测模型。对于开户、转账交易、取现交易等不同环节中的可疑特征，应有针对性地设置模型并及时监测。对于监测、识别到的涉诈异常账户及可疑交易，应根据风险情况采取核实交易情况、二次实名认证、延迟支付结算、限制或者中止有关业务等必要的防范措施。对于涉诈异常电话卡关联注册的互联网金融账户，则应根据风险情况采取限期改正、限制功能、暂停使用、关闭账号、禁止重新注册等处置措施。

建立健全内部控制机制。银行应完善反诈相关机制，构建全流程的反诈内部控制制度及操作流程。同时，应加大对互联网交易的风险防控力度，加强身份认证、个人信息及密码保护，定期进行安全评估，从软件安全、网络病毒防范、运行环境等方面保障支付交易安全。

严明保密及个人信息保护要求。银行应禁止工作人员私自存储、窃取、泄露、买卖支付敏感信息或其他个人信息。此外，应制定和完善个人信息操作流程及规范，明确相关岗位及人员的管理责任，严格控制信息操作权限。

关注反电信网络诈骗《转给爸妈看》