一、互联网平台反电诈义务的法律溯源

互联网平台反电诈义务并非始于《反电诈法》，但《反电诈法》作为首部专门治理电诈的法律，其与《网络安全法》《数据安全法》等法律法规相互补充、彼此衔接，共同形成了我国反电诈法律制度体系。

（一）核心法律依据

《反电诈法》第四章专章规定了互联网治理，对互联网平台的主要法定义务集中体现在第21条至第26条。结合第五章有关综合措施的规定，可以将互联网平台在《反电诈法》中的反电诈义务概括为如下几类：

表1：《反电诈法》主要义务及解读

以上为《反电诈法》中对互联网平台的主要义务归纳。除此之外，根据互联网平台的业务类型不同，还有可能附加其他特定义务。比如提供域名解析、域名跳转、网址链接转换服务的，应当按照国家有关规定，核验域名注册、解析信息和互联网协议地址的真实性、准确性，规范域名跳转，记录并留存所提供相应服务的日志信息，支持实现对解析、跳转、转换记录的溯源。

（二）关联法律体系

如前文所述，互联网平台的反电诈义务并非起始于《反电诈法》，在该法出台之前，我国已经通过《网络安全法》《数据安全法》《个人信息保护法》等法规，初步形成了在不同侧重点下相互支撑的反电诈法律治理框架，具体包括：

表2：重点关联法律体系及解读

《个人信息保护法》（侧重保护个人信息权利）与《网络安全法》（侧重保障网络系统安全）、《数据安全法》（侧重数据活动全流程安全）、《反电诈法》（侧重专项打击电信网络诈骗）共同构成了一个“保护权利-保障安全-打击犯罪”三位一体的严密法律网络，从信息的生产、流通到滥用末端进行全链条治理，互联网平台的基本合规义务也分布在上述不同的法律之中，互联网平台在开展反电诈治理时，应当准确识别其所应当履行的平台义务，针对性开展平台反电诈治理。

二、互联网平台反电诈监管重点及风险分析

（一）反电诈监管重点

由于反电诈法律治理体系的横向跨领域、纵向跨层级，互联网平台承担的义务多种多样，在实践中逐步形成了多部门联合监管的格局，但各个部门的监管侧重点各不相同，详见下表：

表3：多部门监管重点内容

上述各部门并非各自为战，而是在国务院批准建立的由公安部、工信部、中宣部、中国人民银行等23个部门和单位组成的打击治理电信网络新型违法犯罪工作部际联席会议制度的框架下形成了紧密协作的治理格局。例如，公安机关将涉诈线索推送给工信部和通信管理局，后者对相关号码、域名进行关停封堵；工信部将监测到的涉诈网址、APP推送给网信部门予以下架清理，公安机关又将查实的涉案账户信息推送给金融监管部门实施惩戒和管控等等。总结而言，我国反电诈治理是一个系统工程：公安主打击、工信管通道、网信清空间、金融断资金、市监整秩序，各部门在法律框架下，通过数据共享、线索互通、联合执法，共同构建“事前预警、事中阻断、事后打击”的全链条防治体系。互联网平台应当明确不同监管机关的职责分工和执法重点，才能更加有针对性地回应监管机关需求、完善自身合理安排。

（二）互联网平台责任风险

基于互联网平台的反电诈义务及监管机关日益全面的监管措施，互联网平台如不严格履行反诈义务，则有可能遭遇多重风险：

1. 民事责任风险

互联网平台在反电诈中承担的民事责任，主要表现为因其未能履行法定义务或约定义务而对受骗用户或其他权利人的损失承担赔偿责任。其法律依据主要有《民法典》及相关特别法。《民法典》第1195条确立了“通知-移除规则”：在用户或权利人已经向平台明确举报涉诈账号、链接或内容的情况下，平台未及时处理，则需对此后发生的损失承担连带责任。而第1197条规定了“网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任”。由此可见，当平台因为“不作为”或“作为不当”在客观上帮助了诈骗行为的完成和损害的扩大时，其行为与诈骗行为之间构成了法律上的因果关系，存在与直接实施诈骗的行为人承担连带责任的法律风险。

需要注意的是，即使平台在事后采取补救措施，并不必然免责。随着《反电诈法》的施行，互联网平台还必须履行身份认证义务、涉诈信息的监测和处置义务、移送和协助调查、预警以及宣传义务等多项明确的法定义务，如果互联网平台未履行上述义务，则法院可能推定其存在过错，并根据《民法典》第1165条的规定认定互联网平台直接承担侵权责任。

2. 行政责任风险

除民事责任外，如互联网平台未履行平台反电诈义务，还可能面临责令改正、警告、罚款、暂停业务、吊销许可等行政处罚。以《反电诈法》第41条为例，监管机关在责令改正、警告、通报批评、罚款之外，还可能采取“责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照”等更为严厉的措施，直接关系到平台的持续经营。同时，该条实施“双罚制”，不仅处罚单位，还对直接负责的主管人员和其他直接责任人员处以高额罚款，显著强化了个人的责任压力。《反电诈法》第31条规定了信用惩戒措施，则会对互联网平台的长期声誉和市场空间产生持续的不利影响。

除《反电诈法》外，《网络安全法》第68、69条，《个人信息保护法》第66条等也就平台违法行为设置了相应的行政处罚，在实践中形成“责任叠加”效应：同一违法行为同时违反多部法律，面临来自不同监管部门的叠加处罚。例如，因数据泄露导致诈骗的情形下，可能面临网信部门依据《个人信息保护法》进行处罚的同时，也可能被公安部门依据《反电诈法》追究责任。

结合前文关于民事责任部分的分析，监管部门的执法重点也转变为以“未履行义务”为追责核心。执法重点不再局限于平台是否“主动作恶”，而在于其是否建立并有效执行了法律要求的风险防控机制。即使诈骗行为由用户实施，平台如存在长期失管、“不作为”或“慢作为”亦可能被认定为行政违法而受罚。

因此，对于互联网平台而言，履行反电诈义务已非单纯的道德要求，而是直接关系到经营许可和商业存续的强制性、底线性法律义务，其所蕴含的行政责任风险远高于一般商业风险。

3. 刑事责任风险

若互联网平台不履行反电诈义务，其行为一旦突破行政违法的界限、达到刑事犯罪的严重程度，则将面临严厉的刑事责任追究。刑事责任的触发，关键在于平台的“不作为”或“帮助行为”与电诈犯罪活动形成了刑法意义上的关联。其主要可能涉及以下罪名及法律依据：

帮助信息网络犯罪活动罪是当前互联网平台涉诈最常见、最直接的刑事风险。根据《刑法》第287条之二的规定：明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。若平台明知他人利用其网络服务实施犯罪，仍为其提供上述服务，情节严重的，其单位和直接责任人员将可能面临最高三年以下有期徒刑、拘役或者罚金等刑罚后果。例如，对内部已明知为高风险、被大量投诉的涉诈账号和支付通道，仍为追求流量和佣金而故意放任，甚至提供技术便利，就可能被认定为“明知”并提供“帮助”，从而以该罪被追究刑事责任。

互联网平台还可能触犯拒不履行信息网络安全管理义务罪，该罪专门惩治网络服务提供者的严重失职行为。根据《刑法》第286条之一规定：网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（1）致使违法信息大量传播的；（2）致使用户信息泄露，造成严重后果的；（3）致使刑事案件证据灭失，情节严重的；（4）有其他严重情节的。在反电诈语境下，若网信、公安等部门已就平台存在的涉诈账号泛滥、风险监测缺失等问题下发《责令改正通知书》，平台仍消极应对、敷衍整改，最终导致大规模诈骗案件发生或关键证据灭失，其单位和直接责任人员将可能面临最高三年以下有期徒刑、拘役或者罚金等刑罚后果。

以上仅为实践中较为高发的罪名，互联网平台的反电诈刑事责任并不局限于此，并且如果同时构成其他犯罪的，依照处罚较重的规定定罪处罚。总的来说，刑事责任是悬在互联网平台头上的“达摩克利斯之剑”，清晰划定了反电诈义务的“刑法红线”：平台不能简单以“技术中立”或“未主动参与”作为免责盾牌。当其系统性失职或选择性漠视，客观上成为诈骗犯罪的“帮凶”或“通道”时，刑法将动用最严厉的武器予以介入，追究其单位和相关人员的刑事责任，以实现惩治和震慑的根本目的。

三、互联网平台反电诈“五大核心合规路径”

在民事、行政以及刑事等多种法律责任压力下，互联网平台必须将反电诈义务内化为不可触碰的合规“生命线”。平台必须将反诈风控提升至公司核心战略层面，构建稳健的内部双重控制体系，在履行法律责任、保护用户权益与维持商业活力之间找到平衡点。这已成为互联网平台核心竞争力的重要组成部分。下文将根据互联网平台的反电诈义务，结合监管合规要点，提出互联网平台反电诈的合规路径建议。

（一）搭建内部双重控制体系

互联网平台应当建设完善内部反电诈控制体系，结合自身的技术特点及运营模式，至少应当从“技术”与“风控”两个维度进行反电诈合规体系建设。

1. 技术维度

互联网平台具有的实时性强、虚拟性高等特点，难以通过人工识别的方式完成全部的风控措施，而犯罪分子也正是利用了互联网平台的技术特点而将其作为一个犯罪的工具。基于此，互联网平台应当通过“以技治技”[3]，不断加强平台技术能力，构建“全链路、智能化、动态对抗”的纵深防御体系，通过搭建不同的技术防护层，实现全方位的技术防护：

图1：互联网平台反电诈技术防护层

一些大型互联网平台已经在自身业务及用户行为模式基础上开发了相关的大模型，通过诈骗话术识别与变种发现、交互式实时预警与劝阻、多模态“深度伪造”识别等方式来建设平台的反电诈模型，显著提升了互联网平台的反电诈技术水平。但真正的“反电诈大模型”并非通用产品，而是基于各机构自身的海量业务数据（聊天、举报、交易记录）及高发涉案情况训练出的私有化模型。例如，电商平台的模型对购物类诈骗更敏感，而社交平台的模型则擅长识别“杀猪盘”等情感话术。

2. 风控维度

为系统性地构建反电诈防线，互联网平台需要建立一套覆盖“组织-制度-技术-运营”的立体化风控体系。一是根据互联网规模及业务复杂程度，搭建一个专业化风控团队，人员组成可包括风控、合规、业务、技术团队等，以实现互联网平台的跨部门的协同。二是通过制度与流程建设，将法律要求转化为可以内部执行的规则，比如通过建立用户管理、内容审核、个人信息处理、调证与协助、举报与投诉、应急处置等制度与流程，增强反电诈风控措施的落地实操性。三是建立合规审计与自查，对反电诈全流程每季度或每半年进行定期合规审计，并围绕新业务、高风险业务进行深度检查开展专项检查，形成“发现问题—整改落实—复盘评估”的良性改进机制。

（二）完善身份认证体系

身份认证是互联网平台应构筑反电诈防线的第一道关口，实名认证要求已在平台实践中普遍落实，但如何完全满足监管对认证强度的合规要求，仍需要进一步细化和明确。

1. 初始认证

用户在首次注册或使用互联网平台时需进行的身份认证，可以称之为“初始认证”。根据主体类型不同，可以分为法人认证与自然人认证，本文重点讨论自然人用户的认证方式。

（1）基础身份认证方式。基础身份认证方式主要包括手机号认证、用户名/密码认证、邮箱认证（常见于国际平台或工作场景）等。自2013年9月1日起施行的《电话用户真实身份信息登记规定》（工信部令第25号）要求，用户在办理入网手续时应出示有效证件并提供真实身份信息。基于此，实践中普遍采用“手机号＋短信验证码”作为基础认证手段，该方式成本低较低、接入方便、体验良好，是绝大多数平台的“默认选项”，相关第三方服务上也较为成熟。但需要注意的是，单纯依赖手机号验证码并非法定意义的“权威认证手段”。在高风险场景中，如果仅依赖手机号认证，则有可能难以满足监管的合规要求。

（2）法定实名认证方式。为履行《反电诈法》等规定的实名制认证义务，互联网平台需要对用户进行真实身份信息核验，常见方式如身份证信息核验、人脸识别活体检测等。其中，身份证信息核验是应用最广的方式，认证时用户需提交姓名及身份证号码，由互联网平台通过大型云服务商等API服务对接权威数据库进行比对核查。随着国家网络身份认证公共服务平台自2023年6月27日上线运营，以及公安部、国家互联网信息办公室、民政部、文化和旅游部、国家卫生健康委员会、国家广播电视总局等六部门联合公布《国家网络身份认证公共服务管理办法》已于2025年7月15日施行，“网号+网证”的认证方式正逐步推行，并已在主要互联网平台和政务服务、教育考试、文化旅游、医疗卫生、邮政寄递、交通出行等行业领域开展试点应用[4]，未来有望成为实名认证体系中的重要组成部分。

除以上介绍的认证方式外，实践中还存在邮箱认证（如国际平台或工作场景）、银行卡认证（如金融和电商平台）、设备指纹（如支付场景）、环境识别（如常用设备在陌生地点登录，触发二次验证）、社交关系验证（如社交平台账号找回或异常登录）、数字证书认证（如网银U盾）等多种手段。一般情况下，互联网平台可以根据业务类型、用户类型和高频风险业务场景等，进行风险自适应，采用“阶梯式”认证，低风险操作（如一般浏览）可采用简单认证；高风险操作（如修改密码、大额转账）则自动升级到多因素或生物识别认证。

2. 加强认证

完成初始认证并不意味着互联网平台的身份认证义务已经终结。根据《反电诈法》的要求，互联网服务提供者对监测识别出的涉诈异常账号应当重新核验，并采取相应的处置措施。因此在实践中，互联网平台还应当关注一系列常见的风险要素，如身份信息过期、一证多号、境外IP地址、批量注册、频繁更换设备、认证间隔过久等，从中识别弱实名及可疑账号，结合风险要素进行“加强认证”，包括再次认证及升级认证方式，如用户不能完成加强认证，则可采取同步限制部分功能（如收款、转账等）。

（三）加强互联网平台反电诈治理

互联网平台可以从以下三种方式加强平台的反电诈治理：首先，建立并持续动态更新高危关键词与诈骗模型库。如上文所述，互联网平台通过“以技治技”可以显著提升反电诈的治理水平。在实践中，平台至少应当构建涵盖典型诈骗话术和敏感指令的高危关键词词库，一旦用户行为触及相关内容，即触发风险预警与提示。有技术能力的互联网平台还可以根据平台特性，训练自有私有化模型，进一步提高反电诈治理水平。其次，应当重点关注涉及高风险业务场景的治理，如高回报理财、金融荐股、抢号黄牛、高薪兼职、刷单评论等高风险场景时，从源头提高风控门槛。最后，应逐步实现对黑灰产进行特征识别，对引流文案、群控行为等典型特征进行高度关注，展开针对性治理。

表4：不同平台类型的高危场景及风控重点

需要注意的是，当前诈骗手法多为“组合拳”，常跨平台实施。例如，先在社交平台建立关系，而后引流至通讯软件深度沟通，最终在虚假金融App或通过支付平台完成转账。从单一互联网平台的角度而言，即使自身未直接承载完整诈骗链条，也必须把自有平台的反电诈治理做到位，以免受到其他平台的风险传导。

（四）建设风险提醒与用户保护机制

预警及宣传义务，是互联网平台在反电诈工作中的法定责任与社会责任的核心体现。建设主动、高效的风险提醒与用户保护机制，不仅是履行《反电诈法》等法律法规的要求，更是平台构建信任、提升安全生态的关键举措。平台需要从事后被动处置转向事前主动干预，可以以下四个维度系统化地实现风险预警与宣传教育，实现对用户的更强保护：第一，关键行为触发式反电诈提醒。在用户即将进入已知高风险场景时，系统应进行即时介入、精准干预，将风险提示嵌入用户行为的关键决策点。如私聊建立前、外链跳转前、支付或转账前。第二，根据实时风险评级，动态调整干预强度，平衡安全与体验，设置弱提示（如文字提示）、强提示（如醒目横幅、震动提醒、需用户手动关闭的弹窗）、强制阻断（如强制弹窗、要求人脸识别等加强认证、转人工客服处理）的“三层级”提醒体系。第三，对已被识别或高度怀疑的涉诈账号与高风险会话，及时采取限制性措施，防止危害扩大，如对可疑账号实施限流、限制私聊、禁止转账或收款等功能使用。需注意的是，互联网平台采取以上措施确保强留痕、可追溯、可验证，以便通过对数据分析各类提示的触达率、用户遵从率等进一步优化反诈提示，以及后续配合警方调查。

（五）形成警企联动机制

与公安机关建立高效、顺畅的反诈联动机制，是互联网平台履行移送与协助调查义务、提升治理成效、保护用户安全的保障环节。一方面，互联网平台需配合办案机关的调证申请，及时提供技术支持和协助，按照办案机关的要求采取处置措施，如查封、冻结账户等。另一方面，互联网平台需对已经监测到的涉诈违法犯罪线索、风险信息及时移送至公安机关或其他相关主管部门。除此之外，互联网平台还可以积极参与相关部门召开的会议，了解新型诈骗手法、平台风险趋势，并邀请合规专家对平台风控、客服团队进行专业培训，提升一线人员对诈骗的识别和应急处置能力。

结语

互联网平台的反电诈工作，已从传统意义上的被动的合规负担，升格为关乎生存与发展的核心战略。这既是履行《反电诈法》等法定职责的底线要求，也是守护用户信任、维护生态健康的商业基石。反电诈是互联网平台在数字时代必须承担的社会责任，更是其锻造核心竞争力、定义未来生态规则的战略机遇。能够在这场长期博弈中构建起稳健反电诈体系的互联网平台，将更有可能赢得用户的长期信任，并获得可持续发展的关键钥匙。

注释：

[1] 指提供以下服务的互联网平台：

（1）提供互联网接入服务；

（2）提供网络代理等网络地址转换服务；

（3）提供互联网域名注册、服务器托管、空间租用、云服务、内容分发服务；

（4）提供信息、软件发布服务，或者提供即时通讯、网络交易、网络游戏、网络直播发布、广告推广服务。

[2] 单勇等：《互联网平台反电诈协助执法义务的形成、逻辑与规则》，《云南社会科学》2024年第56期。

[3] “以技治技”在此语境下指互联网平台为应对网络犯罪活动，特别是电信诈骗，所采取的一种治理策略。特指平台必须主动、持续地利用自身或行业的前沿技术能力（如人工智能、大数据分析等），去识别、对抗和化解犯罪分子利用互联网技术特性（如实时性、匿名性、自动化）所实施的违法犯罪行为，从而构建一套与技术威胁同步演进，甚至超前预判的动态主动防御体系。

[4] 央视网：《“网号+网证”给你的身份信息“加密”！怎么申领？梳理↓》，https://news.cctv.com/2025/05/24/ARTI0LBZj2gbTOOisWdRAIHi250524.shtml