一、监管重点
Ofcom 在 2026 年 4 月更新的移动消息诈骗咨询中,继续推动面向 mobile operators 与 business messaging aggregators 的统一规则,目标不是单点拦截,而是把“准入审查+发送监测+事后处置”串成完整链路。A2P 部分的核心动作包括:开户阶段做 KYC、为字母 Sender ID 建立高置信度校验、持续执行 Know Your Traffic、发现欺诈后及时封停并保留记录,同时要求这些流程在实施时符合 UK GDPR、DPA 2018 与 PECR 的数据保护边界;Ofcom 公开表示计划在 2026 年夏季发布最终决定。
二、对企业的影响
这意味着英国 A2P 不再只是采购通道和模板的问题,而会变成可审计的客户准入工程。聚合商和品牌方如果仍沿用“先开通、后补资料”的做法,或共用泛化 Sender ID、跨业务线复用品牌名、缺少流量异常基线,后续很可能在开户、扩容、切换路由和异常排查中被要求补证,甚至触发拦截。对 OTP、支付验证、催缴提醒和高敏感行业通知来说,真正的风险不是单条被拒,而是账号画像、Sender ID 权属与流量用途对不上后,整段链路的可信度和送达率一起下滑。
三、操作建议
面向英国流量的发送方,现在就应把品牌主体、业务场景、Sender ID 权属、URL 域名、客服回拨号码和样例模板整理成同一套开户包,并要求上游聚合商明确谁负责 KYC、谁负责 KYT、谁保存证据。对于多品牌、多国家、多代理商架构,建议把 OTP、营销、催缴、客服通知拆成独立流量画像,不要继续混发或共用同一字母签名;同时补齐拦截申诉流程、日志留存周期和跨境数据处理说明,避免在反诈拦截与数据最小化之间两头失守。
常见问题
如果我们只是给英国用户发 OTP,也需要准备完整 KYC 和 Sender ID 材料吗?
需要。OTP 虽然通常投诉率较低,但仍属于高频、可被冒用的关键消息类型。若开户资料无法证明品牌主体、发送用途、签名归属和回退联络方式,上游聚合商很可能把该流量视为高风险,后续扩容、切路由或异常解封都会更慢。
同一个品牌名能否同时用于营销短信、账单提醒和催缴通知?
技术上未必绝对禁止,但合规上风险显著上升。不同业务场景的点击、投诉、回复和封禁模式差异很大,混用同一 Sender ID 会让 KYT 难以判断正常基线,也会在用户感知层面放大“品牌被冒用”的误报与误拦截概率。
反诈监测会不会与数据最小化、跨境传输要求冲突?
会有张力,但不是不能做。关键是先界定监测字段是否真为识别恶意 Sender ID、URL、号码和异常流量所必需,再把保留期限、访问权限、自动化判定逻辑和跨境传输保障写清楚。英国方案已明确把 UK GDPR、DPA 和 PECR 一并纳入实施边界。
参考来源
本文仅供信息参考,不构成法律意见。