姚一楠　邵蘋　鄭海強　詹維驍

摘要：為了探討如何應(yīng)對電信詐騙，首先列舉了電信詐騙的特點，在此基礎(chǔ)上從個人信息保護(hù)、法律監(jiān)管的角度分析了電信詐騙的成因，最后從技術(shù)和監(jiān)管兩個方面提出了應(yīng)對電信詐騙的手段。

關(guān)鍵詞：電信詐騙 個人信息泄漏 數(shù)據(jù)保護(hù)

1 引言

隨著2016年下半年新聞媒體不斷報道電信詐騙的一些惡性事件后，電信詐騙一時間又成為了民眾關(guān)注的焦點。據(jù)2015年公安部統(tǒng)計，電信詐騙每年以20%～30%的速度快速增長，2015年全國公安機關(guān)共立電信詐騙案件59萬起，同比上升32.5%，共造成經(jīng)濟(jì)損失222億元。2013年至今，全國共發(fā)生被騙千萬元以上的電信詐騙案件94起，百萬元以上的案件2085起[1]?？梢钥吹?，雖然近兩年有關(guān)部門對電信詐騙的打擊力度在加大，但是犯罪依舊十分猖獗。因此，如何有效地減少電信詐騙成為重中之重，除了引導(dǎo)民眾提高警覺之外，從技術(shù)和監(jiān)管的角度能有哪些手段去應(yīng)對電信詐騙是本文要探討的話題。

2 電信詐騙的特點

2.1 詐騙手段多樣化

武漢大學(xué)在2015年末對大學(xué)生進(jìn)行了電信詐騙相關(guān)的問卷調(diào)查[2]，從調(diào)查的結(jié)果來看，目前犯罪分子主要通過以下手段進(jìn)行詐騙；一是發(fā)布虛假中獎消息；二是利用網(wǎng)絡(luò)購物陷阱詐騙；三是利用網(wǎng)絡(luò)找工作或借貸騙取保證金、手續(xù)費；四是冒充家人、朋友qq或微信騙錢；五是冒充國家工作人員借由事端騙取匯款。

2.2 集團(tuán)作案組織化

該類案例組織化程度高，犯罪分子以詐騙為常業(yè)，有固定的詐騙窩點，作案分工明確，組織嚴(yán)密，且大都使用假名，呈現(xiàn)明顯的集團(tuán)化、職業(yè)化的特點[3]。

2.3 作案手段科技化

電信詐騙與其他類型的犯罪相比，主要利用電話平臺，因此多采用高科技手段，最新的通訊手段、信息竊取技術(shù)被廣泛的用于電信詐騙之中。

第一，利用非法途徑獲取用戶個人信息。除了某些人非法倒賣個人信息外，智能手機的發(fā)展使得個人信息的獲取變得更加容易。Android手機目前市場占有率最高，市場份額超過了75%[4]，而Android系統(tǒng)開放了很多API接口，比如讀取聯(lián)系人、讀取通話記錄等，App只要申請了權(quán)限就可以使用，這使得很多時候用戶在正常使用手機的時候，自己的個人信息就已經(jīng)悄無聲息的泄露出去了。

第二，使用VoIP（網(wǎng)絡(luò)電話）通信。通常情況下進(jìn)行語音電話使用的都是CS域，網(wǎng)絡(luò)為通話雙方建立獨有通道，而不是IP數(shù)據(jù)包的格式。而隨著移動互聯(lián)網(wǎng)的發(fā)展，基于IP網(wǎng)絡(luò)的語音通信成為新的趨勢。主叫用戶將數(shù)據(jù)包發(fā)送到語音網(wǎng)關(guān)中，語音網(wǎng)關(guān)再封裝數(shù)據(jù)包傳送到運營商網(wǎng)關(guān)，通過“透傳”將數(shù)據(jù)包送到被叫用戶。這其中語音網(wǎng)關(guān)就是核心，互聯(lián)網(wǎng)上的一些網(wǎng)絡(luò)電話，例如Skype、UUCall等公司，都有自己的網(wǎng)關(guān)，而主叫網(wǎng)關(guān)就有權(quán)控制是否發(fā)送主叫號碼，并且可以任意修改。當(dāng)然正規(guī)的廠商為了合法，只能讓你修改成自己的電話號碼，但是一些所謂的改號軟件就是在主叫與運營商之間，接入了非法網(wǎng)關(guān)，將號碼修改成一些政府、金融機構(gòu)的官方號碼，從而欺騙用戶，使用戶放松警惕。

2.4 社會危害巨大化

今年下半年電信詐騙案件頻出，清華大學(xué)老師被騙1760萬元，準(zhǔn)大學(xué)生學(xué)費被騙導(dǎo)致自殺等。電信詐騙由于通常采用群呼，廣撒網(wǎng)，無特定對象，等待受害者上鉤的方式。因此，這種方式往往范圍廣，詐騙數(shù)量很大，對單一受害者可能造成損失不大，但是形成規(guī)模后，對社會危害極大。

3 電信詐騙成因分析

3.1 個人信息保護(hù)薄弱

從個人用戶角度來說，很多人對個人信息的保護(hù)意識非常薄弱。從武漢大學(xué)15年的調(diào)研中報告中可以看到，接受調(diào)查的1500人中有67%的人稱對索取自己手機號碼、身份證、銀行卡號的商業(yè)注冊模式不感到任何意外，只是有12%的人可能稍許感到麻煩，調(diào)查中79%的人都表示自己沒有什么好被騙的。

中國泰爾實驗室在13年就加強了對入網(wǎng)終端的信息安全要求，要求終端操作系統(tǒng)要能監(jiān)控App的敏感權(quán)限，在敏感操作執(zhí)行前需要給用戶相應(yīng)的提示和確認(rèn)[5]，經(jīng)過3年左右的實踐，目前市場上的手機都實現(xiàn)了這種能力。為了驗證從用戶角度敏感操作確認(rèn)能否真的起到警示效果，從安全廠商LBE獲取了應(yīng)用商店Top1000應(yīng)用的用戶使用情況的數(shù)據(jù)進(jìn)行統(tǒng)計。以短/彩信權(quán)限為例，App申請讀取短信記錄權(quán)限的共有709個，有205個用戶拒絕，占比28.9%；申請讀取彩信記錄430個，11個被用戶拒絕，占比2.6%。從數(shù)據(jù)可以看到，當(dāng)App申請敏感權(quán)限時，大部分用戶都是選擇允許放行，只有很少的用戶會根據(jù)實際情況拒絕調(diào)用。由以上分析可以看到，很多用戶平常并不注重個人信息保護(hù)。

從企業(yè)角度來講，很多小企業(yè)也不重視對用戶個人信息的保護(hù)。App廠商通常為了快速推廣新功能，經(jīng)常會忽略新功能背后可能會產(chǎn)生的安全問題，有的企業(yè)甚至就沒有專門負(fù)責(zé)安全的團(tuán)隊。軟件漏洞、明文傳輸、弱口令等問題[6]使得不法分子很容易獲得個人信息，從而實施電信詐騙犯罪。

3.2 監(jiān)管立法缺失

（1）電信詐騙相關(guān)規(guī)定

對于實施電信詐騙行為的主體，主要以刑事法律作為約束手段。依據(jù)我國刑法規(guī)定，實施電信詐騙行為以詐騙罪論處。根據(jù)其詐騙金額和是否具有嚴(yán)重情節(jié)，確定具體的刑罰，詳見刑法第二百六十六條規(guī)定。在此條基礎(chǔ)上，最高法、最高檢在2011年發(fā)布《關(guān)于辦理詐騙刑事案件具體應(yīng)用法律若干問題的解釋》（以下簡稱《解釋》），其中明確了通過發(fā)送短信、撥打電話或者利用互聯(lián)網(wǎng)、廣播電視、報刊雜志等發(fā)布虛假信息，對不特定多數(shù)人實施詐騙的，按照刑法第二百六十六條規(guī)定酌情從嚴(yán)懲處。2016年9月23日，最高檢、公安部、人民銀行等六部門發(fā)布《關(guān)于防范和打擊電信網(wǎng)絡(luò)詐騙犯罪的通告》（以下簡稱《通告》），明確加強打擊電信詐騙力度，并要求公安、電信企業(yè)、銀行等機構(gòu)嚴(yán)格執(zhí)行《通告》要求，遏制電信詐騙犯罪勢頭。

由此可見，電信詐騙在刑法中并未單設(shè)罪名，而是將其作為詐騙罪的一種情形予以規(guī)制?！督忉尅分须m然有對于短信詐騙和電話詐騙嚴(yán)重情節(jié)的規(guī)定，但由于立法技術(shù)限制，對于新式的電信詐騙方式往往無法窮盡，易使法官在情節(jié)、量刑等方面具有過多主觀能動性。

（2）個人信息保護(hù)相關(guān)規(guī)定

獲取個人信息，是實施電信詐騙的必備條件之一。對于個人信息的保護(hù)力度也間接影響著電信詐騙犯罪發(fā)生的概率。我國目前尚無統(tǒng)一的個人信息保護(hù)法，個人信息保護(hù)的規(guī)定散落在不同層級的法律法規(guī)中，具體包括《刑法》、《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》、《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》、《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》等法律法規(guī)。

上述所列舉的規(guī)定，由于發(fā)文機關(guān)的不同，其規(guī)定效力和受約束主體也不同。各個行業(yè)往往按照本行業(yè)的監(jiān)管要求去保護(hù)個人信息，受限于立法層級，規(guī)定中多為缺乏罰則的規(guī)范或建議性規(guī)范，缺少確保規(guī)范落地的措施，使各個規(guī)定往往流于形式，無法有效執(zhí)行。此外，由于不同行業(yè)的不同標(biāo)準(zhǔn)（有些行業(yè)甚至缺乏個人信息保護(hù)規(guī)范），導(dǎo)致各行業(yè)之間在保護(hù)個人信息方面有較大差異，當(dāng)個人信息在不同行業(yè)之間流轉(zhuǎn)時，無法按照統(tǒng)一要求切實保護(hù)個人信息。

4 技術(shù)應(yīng)對手段

4.1 保護(hù)個人信息，避免隱私泄露

由前文的分析可以看到，個人信息的泄露是造成電信詐騙危害越來越大的源頭，那么從事前的角度，需要對個人數(shù)據(jù)采取一定的技術(shù)保護(hù)。

數(shù)據(jù)的保護(hù)通常需要面臨四個步驟，即數(shù)據(jù)采集、加工、轉(zhuǎn)移和刪除。數(shù)據(jù)采集階段，操作系統(tǒng)應(yīng)能夠主動識別App行為并給予用戶提示和確認(rèn)，這一點在第三章已經(jīng)進(jìn)行了分析。加工階段，則主要要保證數(shù)據(jù)存儲安全，主要就是通過加密手段解決。App將登錄密碼等數(shù)據(jù)存儲在終端內(nèi)部時應(yīng)避免存儲原始數(shù)據(jù)，應(yīng)對數(shù)據(jù)進(jìn)行Hash處理，同時增加鹽值，抵御查表攻擊[7]。以Android為例，其提供很多標(biāo)準(zhǔn)加密算法可以使用，在Hash處理上更應(yīng)該使用SHA-256、SHA-3算法而減少MD5、SHA-1的使用，因為類似MD5值，在網(wǎng)上有很多字典庫很容易查到原始數(shù)據(jù)。對于文件的加密，通常情況都會使用AES對稱加密算法，在Android API中默認(rèn)是DES算法56位加密密鑰，且加密模式ECB模式，經(jīng)過技術(shù)的發(fā)展，這種加密強度顯然是不夠的。因此，廠商要保護(hù)個人信息，應(yīng)該注意在開發(fā)時指定加密算法為AES的CBC模式或CFB模式，且密鑰不小于128 bit，推薦使用256 bit。

在轉(zhuǎn)移階段可以將個人數(shù)據(jù)分為兩類，采用脫敏后轉(zhuǎn)移或直接轉(zhuǎn)移。通常情況下，對于能夠與特定個人相關(guān)的數(shù)據(jù)，也就是電信詐騙常關(guān)注的姓名、電話、住址等信息，這些信息的管理者在轉(zhuǎn)移傳輸前應(yīng)當(dāng)對數(shù)據(jù)采取抑制、隱藏、泛化、隨機化等技術(shù)手段進(jìn)行脫敏處理，消除能夠識別個體的數(shù)據(jù)字段后再進(jìn)行共享，典型實例如表1所示：

如果采用脫敏的方式不能完全滿足數(shù)據(jù)處理的要求，則傳輸轉(zhuǎn)移過程中依舊要通過加密、簽名等方式保護(hù)數(shù)據(jù)的完整性、機密性、抗抵賴性。傳輸過程中采用HTTPS傳輸，使用RSA或ECC算法。

最后，在刪除階段，普通用戶使用的手機應(yīng)該提供徹底刪除的功能，不僅要刪除存儲器件的位置索引，而是對存儲區(qū)進(jìn)行全“0”或全“1”填充，保證數(shù)據(jù)的不可恢復(fù)。

4.2 增強主動防御，提高用戶認(rèn)知

即使廠商很注意對用戶個人信息的保護(hù)，但在大數(shù)據(jù)時代，個人信息依舊有很多非技術(shù)手段能夠獲得，并且一些犯罪分子經(jīng)常采用漫無目標(biāo)的群呼。因此，除了廠商加強對用戶個人信息的保護(hù)之外，還應(yīng)該加強對詐騙電話的識別和攔截，幫助用戶主動拒絕電信詐騙的發(fā)生。

可以提取總結(jié)實施電信詐騙犯罪行為的一些歷史特征，從而使用大數(shù)據(jù)分析手段進(jìn)行分類，例如貝葉斯分類算法。設(shè)每個數(shù)據(jù)樣本用一個n維特征向量來描述n個屬性的值，即：X={x1， x2， …， xn}，假定有m個類，分別用（C1， C2， …， Cm）表示。給定一個未知的數(shù)據(jù)樣本X（即沒有類標(biāo)號），若簡單貝葉斯分類法將未知的樣本X分配給類Ci，則一定是：

P（Ci|X）>P（Cj|X） 1≤j≤m，j≠i （1）

根據(jù)貝葉斯定理[8]，由于P（X）對于所有類為常數(shù)，最大化后驗概率P（Ci|X）可轉(zhuǎn)化為最大化先驗概率P（X|Ci）P（Ci）。如果訓(xùn)練數(shù)據(jù)集有許多屬性和元組，計算P（X|Ci）的開銷可能非常大，為此，通常假設(shè)各屬性的取值互相獨立，這樣先驗概率P（x1|Ci），P（x2|Ci），…，P（xn|Ci）可以從訓(xùn)練數(shù)據(jù)集求得[9]。具體到電信詐騙情況，例如電話詐騙的方式，可能會產(chǎn)生幾種數(shù)據(jù)顯著增長：通話頻率、通話時長、消費金額、欠費次數(shù)等。因此，我們可以將這些屬性定義相應(yīng)級別，分析整理大量歷史數(shù)據(jù)，如表2所示：

通過訓(xùn)練類似這些數(shù)據(jù)得到P（xi|Ci），就可以在以后未知號碼進(jìn)行通信時，分析其行為特征，直接判斷是否屬于詐騙電話，類似的數(shù)據(jù)挖掘算法還有神經(jīng)網(wǎng)絡(luò)、決策樹等，也可以使用這些方法去判斷詐騙短信，從而攔截和警告。

除了進(jìn)行大數(shù)據(jù)挖掘，目前很多手機安全廠商都提供了號碼標(biāo)記功能，利用用戶自己對來電進(jìn)行標(biāo)識，通過云端進(jìn)行識別，幫助其他用戶判斷來電情況。為了避免改號軟件的使用，一些政府機關(guān)、金融機構(gòu)和安全廠商進(jìn)行聯(lián)合，在主叫呼叫時，立刻回叫相應(yīng)單位，由單位判斷當(dāng)前是否正在呼叫，通過二次確認(rèn)，來判斷來電號碼是否為冒用號碼。通過以上分析可以看到，采用一定技術(shù)手段可以減少電信詐騙的發(fā)生，這就需要安全廠商、運營商、App開發(fā)商等共同的努力。

5 監(jiān)管應(yīng)對手段

5.1 法律法規(guī)的完善

針對電信詐騙方面的法律法規(guī)，應(yīng)以《刑法》的詐騙罪為基礎(chǔ)，通過出臺司法解釋不斷完善電信詐騙量刑標(biāo)準(zhǔn)、從重情節(jié)等內(nèi)容，指導(dǎo)司法實踐中的疑難案件，減少法官在量刑方面的自由裁量權(quán)。

另一方面，制定個人信息保護(hù)領(lǐng)域的“憲法”，通過減少信息泄露途徑，也可達(dá)到減少電信詐騙發(fā)生的目的。提升個人信息保護(hù)的立法層級，制訂《個人信息保護(hù)法》，作為各個行業(yè)保護(hù)個人信息的依據(jù)。刑法修正案九修改的侵犯公民個人信息罪，是個人信息保護(hù)在刑事方面的根基。個人信息保護(hù)的原則、要求、與其他法律法規(guī)的關(guān)系等可以由《個人信息保護(hù)法》規(guī)定。

5.2 標(biāo)準(zhǔn)制定

除了通過實施刑罰的方式懲治電信詐騙，還可通過制定行業(yè)相關(guān)標(biāo)準(zhǔn)，加大實施電信詐騙犯罪的難度?？稍凇秱€人信息保護(hù)法》的基礎(chǔ)上，根據(jù)各行業(yè)特點、個人信息敏感程度等制定具體的行業(yè)標(biāo)準(zhǔn)，明確該行業(yè)機構(gòu)在制度層面、技術(shù)層面的要求。

以金融業(yè)中的基金為例，中國證券投資基金業(yè)協(xié)會作為基金行業(yè)的自律組織，可以承擔(dān)上述職能。具體可體現(xiàn)為制定投資者信息保護(hù)指引，要求基金公司及私募機構(gòu)建立投資者信息保護(hù)內(nèi)控制度，明確達(dá)到保護(hù)要求可使用的技術(shù)手段等，以此指引基金業(yè)投資者信息保護(hù)工作的開展。

5.3 定期的檢查

在有明確指引可遵循的情況下，需要確保規(guī)定的落地執(zhí)行。除了行業(yè)內(nèi)各個機構(gòu)自我定期檢查、引入外部審計外，監(jiān)管機構(gòu)的監(jiān)督檢查也是督促行業(yè)內(nèi)機構(gòu)踐行法律法規(guī)及監(jiān)管指引的重要手段。

近期最高檢、公安部、人民銀行等六部門發(fā)布的《關(guān)于防范和打擊電信網(wǎng)絡(luò)詐騙犯罪的通告》對電信企業(yè)、商業(yè)銀行、支付機構(gòu)等在預(yù)防和打擊電信詐騙方面提出了具體要求[10]。監(jiān)管機構(gòu)可匯同相關(guān)自律組織共同對行業(yè)內(nèi)機構(gòu)就《通告》落實情況進(jìn)行檢查，檢查形式包括但不限于書面匯報、窗口指導(dǎo)、監(jiān)管談話以及現(xiàn)場檢查等。同時將落實《通告》的情況作為評價行業(yè)內(nèi)機構(gòu)合規(guī)與否的重要指標(biāo)之一，對檢查過程中發(fā)現(xiàn)的違法違規(guī)問題予以嚴(yán)肅處理。

5.4 加強教育

增強公民防電信詐騙意識，提高個人信息保護(hù)程度，降低電信詐騙發(fā)生的可能性。針對個人而言，監(jiān)管機構(gòu)可以通過設(shè)立風(fēng)險提示專欄的形式，將典型電信詐騙手段、電信詐騙案例等進(jìn)行匯總，并定期向社會公布，一方面讓公眾認(rèn)清電信詐騙的形式防止受騙上當(dāng)，另一方面對于想要實施電信詐騙的人也可起到威嚇作用。針對機構(gòu)而言，監(jiān)管機構(gòu)或自律組織可以不定期舉辦個人信息保護(hù)交流活動，讓機構(gòu)間互相借鑒個人信息保護(hù)經(jīng)驗，不斷完善本機構(gòu)的保護(hù)工作，減少信息買賣、信息泄露等事件的發(fā)生，從源頭上遏制電信詐騙犯罪的發(fā)生。

6 結(jié)論

由以上的分析可以看出，雖然電信詐騙的手段在不斷變化，但是從事前、事中、事后三方面都有應(yīng)對手段能夠減少犯罪的發(fā)生，而能否做出改變來彌補各方面的不足，就需要整個社會重視電信詐騙問題，企業(yè)革新技術(shù)手段，政府加強監(jiān)管和處罰，個人提高防范意識，各方合力才能有效減少電信詐騙犯罪的發(fā)生。

參考文獻(xiàn)：

[1] 馮群星. 2015年全國電信詐騙立案59萬起 造成損失222億[EB/OL]. （2016-10-02）. http：//news.qq.com/a/20161002/002777.htm.

[2] 易正鑫，王秋慶，柯萌. 防范電信詐騙的技術(shù)手段[A]. 《同行》2015年9月（下）[C]. 安徽： 安徽同行雜志社， 2015.

[3] 席珺. 電信詐騙的分析與對策[J]. 赤峰學(xué)院學(xué)報， 2012，33（8）： 117-118

[4] 王朦. iOS市場份額縮水谷歌安卓迎來2年內(nèi)最強勁增長

[EB/OL]. [2016-10-31]. http：//tech.163.com/16/0518/16/BNC318MF00097U7R.html.

[5] YD/T 2407-2013. 移動智能終端安全能力技術(shù)要求[S]. 2013.

[6] 馬國富，郭銘博，謝天元. 基于Android手機的數(shù)據(jù)泄密及其防范研究[J]. 電腦知識與技術(shù)， 2016（9）： 65-67

[7] YD/T 3082-2016. 移動智能終端上的個人信息保護(hù)技術(shù)要求[S]. 2016.

[8] Jiawei Han. Micheline Kamber. Data Mining Concepts and Techniques[M]. China Macheine press， 2001.

[9] 劉劍. 基于數(shù)據(jù)挖掘技術(shù)實現(xiàn)騷擾電話識別[D]. 北京： 中國地質(zhì)大學(xué)， 2011.

[10] 劉啟誠. 打擊電信詐騙 電信行業(yè)要“講政治”[J]. 通信世界， 2016（26）. ★