7月26日,公安部、国家网信办发布《国家网络身份认证公共服务管理办法(征求意见稿)》(下称《征求意见稿》),并向社会公开征求意见。
《征求意见稿》共16条,明确构建一套网号、网证的申领、推广和使用制度等。持有有效法定身份证件的自然人,可自愿向国家统一建设的网络身份认证公共服务平台申领网号、网证,其后在接受互联网平台服务时,可以出示网号、网证用于核验其真实身份信息,而无需向平台提供详细的个人身份信息。
此消息一出便引发诸多讨论。以出示经认证的统一网号、网证替代向平台提供个人实名身份认证信息,是否能减少平台超范围采集、泄露个人信息等问题?持网号、网证上网,会影响个人上网的自主权利吗?
南都记者注意到,《征求意见稿》提及的“国家网络身份认公共服务平台”已有移动端版本推出。“国家网络身份认证”APP于一年前上线,开发者为公安部,目前仍处在试点阶段,研究适用的应用场景包括互联网用户账号实名注册、登录,异常账号用户身份重新核验等。已接通这项身份认证服务的APP包括10款政务APP和57款互联网APP。
拟规定:无须向APP提供个人信息,可出示网证
《征求意见稿》起草说明显示,建成国家网络身份认证公共服务平台,为社会公众提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。其制定依据包括《网络安全法》《数据安全法》《个人信息保护法》《反电信网络诈骗法》等。
首先,《征求意见稿》解释了“网号”“网证”等概念的含义。国家网络身份认证公共服务是指国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台,为自然人提供申领网号、网证以及进行身份核验等服务。
网号是指与自然人身份信息一一对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。
《征求意见稿》提出,互联网平台接入公共服务后,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息,法律、行政法规另有规定或者用户同意提供的除外。
北京大学法学院教授沈岿撰文指出,从实操层面可理解为,自然人在互联网平台接受服务、从事相关活动,若依法需要登记、核验真实身份信息,可以考虑不再向平台提供详细的个人身份信息,而是提供从国家网络身份认证平台经申请获得的网号、网证。
此外,互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的,公共服务平台应当仅提供用户身份核验结果。根据法律、行政法规规定,互联网平台确需获取、留存用户法定身份证件信息的,经用户授权或者单独同意,公共服务平台应当按照最小化原则提供。
针对公共服务平台的个人信息收集权限,《征求意见稿》规定,处理个人信息不得超出为自然人提供申领网号、网证以及进行身份核验等服务所必需的范围和限度,在向自然人提供公共服务时应当依法履行告知义务并取得其同意。未经自然人单独同意,公共服务平台不得擅自处理或者对外提供相关数据信息;公共服务平台应当依照法律、行政法规规定或者用户要求,及时删除用户个人信息等。
需要指出的是,《征求意见稿》强调以自愿为原则,明确持有有效法定身份证件的自然人,可自愿向公共服务平台申领网号、网证;鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证,为用户提供安全、便捷的身份登记和核验服务;鼓励互联网平台按照自愿原则接入公共服务,用以支持用户使用网号、网证登记、核验用户真实身份信息等。
同时,为保证推广效果,由国务院公安部门、国家网信部门负责国家网络身份认证公共服务的监督管理,监督、指导公共服务平台依法落实数据安全和个人信息保护义务。国务院民政、文化和旅游、广播电视、卫生健康、铁路、邮政等部门在各自职责范围内负责上述服务的推广应用和监督管理工作。
“持证上网”引发隐私安全和上网自由担忧,《征求意见稿》发出后,引发了不少争论。
沈岿认为,以向互联网平台提供网号、网证替代提供详细的个人身份信息,其好处包括有利于个人信息安全的最大化。原因在于,实际个人身份信息收集的主体越少,被要求超范围提供个人信息的可能性就会越小,收集、保存用户信息的主体泄露、非法使用信息的可能性也就会越小。
《征求意见稿》一方面以自愿为原则,另一方面鼓励有关主管部门、重点行业等推广应用网号、网证制度。沈岿认为在这种情况下,统一网号、网证的使用会越来越普遍,不排除网络平台将来直接要求用户使用,而不给选择的机会。
南都记者注意到,征求意见稿的起草声明显示,认证服务可以最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。这一效果能实现吗?
北京大学法学院行政法学教授赵宏认为,为了保护个人信息安全而采取核发网号、网证新措施的默认前提是,由国家统一收集信息并进行身份核验,一定比互联网平台更安全。但事实是,无论是私人还是国家都会存在过度收集个人信息、滥用个人信息,甚至是通过信息对个人进行数据操控和数据监控的风险。
“如果只是出于信息安全的考虑,就认为由国家统一收集和核查就一定比私人企业更安全更可靠,可能并无法证立。”赵宏说。
沈岿也认为,该认证服务可能给个人隐私权和个人自主权带来极大风险。原本用户作为隐私被“零碎暴露”于多中心、商业化平台的网络存在,在网号、网证普及后,可能非常容易地在一个集中统一平台成为“完整裸露”的网络存在。
除了隐私安全担忧,网证网号制度带来的争议还有对“上网自由”的影响。
清华大学刑法学教授劳东燕认为,网号的推行,可能使个人在网络上的所有痕迹(包括浏览的痕迹)被“一网打尽”地轻易收集,就相当于给每个人上网时安装一个监视跟踪器。一旦有关部门不允许个人使用相应的认证服务,个人使用网络的权利便会受到限制甚至剥夺,丧失包括在网上发言、评论与获知信息等自由。
赵宏认为,网号、网证制度是将个人在互联网的所有浏览、发言和传播过程都与其真实身份互相绑定,相当于彻底消除发言者的隐匿性和神秘性。公众因为忌惮事后追责而谨言慎行,虽可能在某种程度上达到网络“清朗”治理的效果,但其引发的寒蝉效应以及对言论自由造成的伤害也令人担忧。
沈岿强调,数字经济、网络社会的活力源泉,在于多中心而不是集中垄断。网号、网证制度可能让用户变得更加谨小慎微,这种自我拘谨、自我束缚的现象不利于激发数字经济活力、优化数字社会环境、构建数字合作格局——而防止平台超范围收集、泄露个人信息等目的,完全可以通过既有的其他制度来实现。
一位不愿具名的专家则向南都记者表示,网号、网证制度其实只是想推行官方统一的身份凭证,类似于电子身份证,上网注册时出示,不用在APP上再提供更多信息,“没有更复杂的目的,不用太草木皆兵”。
67款APP参与“国家网络身份认证”APP试点,适用场景不一
根据《征求意见稿》,为自然人提供申领网号、网证的服务,主要于依托国家统一建设的网络身份认证公共服务平台。南都记者注意到,这一公共服务平台,已有移动客户端试点版本推出。
苹果App Store的“国家网络身份认证”APP
一款名为“国家网络身份认证”APP介绍称,为落实国家促进数字经济发展、保护个人信息安全等相关要求,公安部会同有关部委组织建设了国家网络身份认证公共服务平台。这款App的上线时间为一年前,开发者为公安部,目前仍为试点版。
苹果应用商店的版本历史记录显示,两个月前,“国家网络身份认证”APP新增了支持未成年人申领的功能,一个月前新增了支持“网号+动态口令认证”等功能。
南都记者实测发现,申请个人网号及网证,操作流程分为四步:利用手机NFC功能读取身份证,再进行人脸识别,继而设置关联的手机号,最后设置一个八位数的口令。
网号及网证申领流程
“国家网络身份认证”APP上写到,国家网络身份认证公共服务有三大优势:首先是权威性,使用法定身份证件信息和国家人口基础信息,并结合生物特征等多个因子核验身份,确保结果权威可信;其次为安全性,不使用个人明文身份信息,避免被相关方过度采集、留存和冒用,有效保护个人信息和隐私安全;再次是便利性,用户使用智能手机便可核验身份。
官方信息介绍,国家网络身份认证服务主要用于互联网用户账号实名注册、登录,对存在涉诈异常账号的用户身份重新进行验证,网上办理政务服务事项时的身份验证等场景。目前,已有10款政务APP和57款互联网APP接入该平台试点相关服务。
这67款APP试点的场景并不完全相同,有的如“国家政务服务平台”可实现“一键登录”操作,有的如淘宝、微信、小红书等,则仅限于异常账户用户身份重新核验的单一场景。
具体操作流程上,南都记者以“国家政务服务平台”APP测试发现,点击该APP的“网络身份认证登录”选项,系统会自动跳转到“国家网络身份认证”APP进行认证授权,再返回“国家政务服务平台”APP完成人脸识别验证。
据《国家网络身份认证APP个人信息和隐私保护规则》,相关应用如需通过人像比对方式进行身份认证,由相关应用自行采集人像发送至“国家网络身份认证”APP,完成比对后,“国家网络身份认证”APP将删除人像信息。
在“国家政务服务平台”APP进行网络身份认证
而在一款用于航班查询的“航旅纵横”APP上,如果选择“网络身份认证登录”选项,最终仍然需要再度绑定手机号才能完成注册。和仅需绑定手机号的一般注册流程相比,网络身份认证的操作步骤更为繁琐。
对于“国家网络身份认证”APP收集的个人信息,官方表示,根据法律法规规定及网络安全等级保护等要求,建立了安全管理体系,采取数据传输加密、去标识化处理、认证日志隔离存储、访问权限最小化、智能终端本地加密等安全措施,保护用户个人信息不丢失、泄露、毁损及未经授权的访问、使用。
外界的担忧在于,“国家网络身份认证”APP是否会通过网号及网证,收集用户在其他第三方平台的浏览记录等个人信息,对用户实施监测。“国家网络身份认证”APP的客服向南都记者回应称,不会收集用户在第三方平台上的使用记录等信息,只提供身份核验服务。
如果用户想注销网号,可直接在“国家网络身份认证”APP上操作。据该APP的个人信息和隐私保护规则,用户主动注销网号时,将在后台立即执行相应操作,除相关法律法规规定需保留的信息以外,将立即删除用户个人信息。
7月26日,公安部、国家网信办发布《国家网络身份认证公共服务管理办法(征求意见稿)》(下称《征求意见稿》),并向社会公开征求意见。
《征求意见稿》共16条,明确构建一套网号、网证的申领、推广和使用制度等。持有有效法定身份证件的自然人,可自愿向国家统一建设的网络身份认证公共服务平台申领网号、网证,其后在接受互联网平台服务时,可以出示网号、网证用于核验其真实身份信息,而无需向平台提供详细的个人身份信息。
此消息一出便引发诸多讨论。以出示经认证的统一网号、网证替代向平台提供个人实名身份认证信息,是否能减少平台超范围采集、泄露个人信息等问题?持网号、网证上网,会影响个人上网的自主权利吗?
南都记者注意到,《征求意见稿》提及的“国家网络身份认公共服务平台”已有移动端版本推出。“国家网络身份认证”APP于一年前上线,开发者为公安部,目前仍处在试点阶段,研究适用的应用场景包括互联网用户账号实名注册、登录,异常账号用户身份重新核验等。已接通这项身份认证服务的APP包括10款政务APP和57款互联网APP。
拟规定:无须向APP提供个人信息,可出示网证
《征求意见稿》起草说明显示,建成国家网络身份认证公共服务平台,为社会公众提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。其制定依据包括《网络安全法》《数据安全法》《个人信息保护法》《反电信网络诈骗法》等。
首先,《征求意见稿》解释了“网号”“网证”等概念的含义。国家网络身份认证公共服务是指国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台,为自然人提供申领网号、网证以及进行身份核验等服务。
网号是指与自然人身份信息一一对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。
《征求意见稿》提出,互联网平台接入公共服务后,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息,法律、行政法规另有规定或者用户同意提供的除外。
北京大学法学院教授沈岿撰文指出,从实操层面可理解为,自然人在互联网平台接受服务、从事相关活动,若依法需要登记、核验真实身份信息,可以考虑不再向平台提供详细的个人身份信息,而是提供从国家网络身份认证平台经申请获得的网号、网证。
此外,互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的,公共服务平台应当仅提供用户身份核验结果。根据法律、行政法规规定,互联网平台确需获取、留存用户法定身份证件信息的,经用户授权或者单独同意,公共服务平台应当按照最小化原则提供。
针对公共服务平台的个人信息收集权限,《征求意见稿》规定,处理个人信息不得超出为自然人提供申领网号、网证以及进行身份核验等服务所必需的范围和限度,在向自然人提供公共服务时应当依法履行告知义务并取得其同意。未经自然人单独同意,公共服务平台不得擅自处理或者对外提供相关数据信息;公共服务平台应当依照法律、行政法规规定或者用户要求,及时删除用户个人信息等。
需要指出的是,《征求意见稿》强调以自愿为原则,明确持有有效法定身份证件的自然人,可自愿向公共服务平台申领网号、网证;鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证,为用户提供安全、便捷的身份登记和核验服务;鼓励互联网平台按照自愿原则接入公共服务,用以支持用户使用网号、网证登记、核验用户真实身份信息等。
同时,为保证推广效果,由国务院公安部门、国家网信部门负责国家网络身份认证公共服务的监督管理,监督、指导公共服务平台依法落实数据安全和个人信息保护义务。国务院民政、文化和旅游、广播电视、卫生健康、铁路、邮政等部门在各自职责范围内负责上述服务的推广应用和监督管理工作。
“持证上网”引发隐私安全和上网自由担忧,《征求意见稿》发出后,引发了不少争论。
沈岿认为,以向互联网平台提供网号、网证替代提供详细的个人身份信息,其好处包括有利于个人信息安全的最大化。原因在于,实际个人身份信息收集的主体越少,被要求超范围提供个人信息的可能性就会越小,收集、保存用户信息的主体泄露、非法使用信息的可能性也就会越小。
《征求意见稿》一方面以自愿为原则,另一方面鼓励有关主管部门、重点行业等推广应用网号、网证制度。沈岿认为在这种情况下,统一网号、网证的使用会越来越普遍,不排除网络平台将来直接要求用户使用,而不给选择的机会。
南都记者注意到,征求意见稿的起草声明显示,认证服务可以最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。这一效果能实现吗?
北京大学法学院行政法学教授赵宏认为,为了保护个人信息安全而采取核发网号、网证新措施的默认前提是,由国家统一收集信息并进行身份核验,一定比互联网平台更安全。但事实是,无论是私人还是国家都会存在过度收集个人信息、滥用个人信息,甚至是通过信息对个人进行数据操控和数据监控的风险。
“如果只是出于信息安全的考虑,就认为由国家统一收集和核查就一定比私人企业更安全更可靠,可能并无法证立。”赵宏说。
沈岿也认为,该认证服务可能给个人隐私权和个人自主权带来极大风险。原本用户作为隐私被“零碎暴露”于多中心、商业化平台的网络存在,在网号、网证普及后,可能非常容易地在一个集中统一平台成为“完整裸露”的网络存在。
除了隐私安全担忧,网证网号制度带来的争议还有对“上网自由”的影响。
清华大学刑法学教授劳东燕认为,网号的推行,可能使个人在网络上的所有痕迹(包括浏览的痕迹)被“一网打尽”地轻易收集,就相当于给每个人上网时安装一个监视跟踪器。一旦有关部门不允许个人使用相应的认证服务,个人使用网络的权利便会受到限制甚至剥夺,丧失包括在网上发言、评论与获知信息等自由。
赵宏认为,网号、网证制度是将个人在互联网的所有浏览、发言和传播过程都与其真实身份互相绑定,相当于彻底消除发言者的隐匿性和神秘性。公众因为忌惮事后追责而谨言慎行,虽可能在某种程度上达到网络“清朗”治理的效果,但其引发的寒蝉效应以及对言论自由造成的伤害也令人担忧。
沈岿强调,数字经济、网络社会的活力源泉,在于多中心而不是集中垄断。网号、网证制度可能让用户变得更加谨小慎微,这种自我拘谨、自我束缚的现象不利于激发数字经济活力、优化数字社会环境、构建数字合作格局——而防止平台超范围收集、泄露个人信息等目的,完全可以通过既有的其他制度来实现。
一位不愿具名的专家则向南都记者表示,网号、网证制度其实只是想推行官方统一的身份凭证,类似于电子身份证,上网注册时出示,不用在APP上再提供更多信息,“没有更复杂的目的,不用太草木皆兵”。
67款APP参与“国家网络身份认证”APP试点,适用场景不一
根据《征求意见稿》,为自然人提供申领网号、网证的服务,主要于依托国家统一建设的网络身份认证公共服务平台。南都记者注意到,这一公共服务平台,已有移动客户端试点版本推出。
苹果App Store的“国家网络身份认证”APP
一款名为“国家网络身份认证”APP介绍称,为落实国家促进数字经济发展、保护个人信息安全等相关要求,公安部会同有关部委组织建设了国家网络身份认证公共服务平台。这款App的上线时间为一年前,开发者为公安部,目前仍为试点版。
苹果应用商店的版本历史记录显示,两个月前,“国家网络身份认证”APP新增了支持未成年人申领的功能,一个月前新增了支持“网号+动态口令认证”等功能。
南都记者实测发现,申请个人网号及网证,操作流程分为四步:利用手机NFC功能读取身份证,再进行人脸识别,继而设置关联的手机号,最后设置一个八位数的口令。
网号及网证申领流程
“国家网络身份认证”APP上写到,国家网络身份认证公共服务有三大优势:首先是权威性,使用法定身份证件信息和国家人口基础信息,并结合生物特征等多个因子核验身份,确保结果权威可信;其次为安全性,不使用个人明文身份信息,避免被相关方过度采集、留存和冒用,有效保护个人信息和隐私安全;再次是便利性,用户使用智能手机便可核验身份。
官方信息介绍,国家网络身份认证服务主要用于互联网用户账号实名注册、登录,对存在涉诈异常账号的用户身份重新进行验证,网上办理政务服务事项时的身份验证等场景。目前,已有10款政务APP和57款互联网APP接入该平台试点相关服务。
这67款APP试点的场景并不完全相同,有的如“国家政务服务平台”可实现“一键登录”操作,有的如淘宝、微信、小红书等,则仅限于异常账户用户身份重新核验的单一场景。
具体操作流程上,南都记者以“国家政务服务平台”APP测试发现,点击该APP的“网络身份认证登录”选项,系统会自动跳转到“国家网络身份认证”APP进行认证授权,再返回“国家政务服务平台”APP完成人脸识别验证。
据《国家网络身份认证APP个人信息和隐私保护规则》,相关应用如需通过人像比对方式进行身份认证,由相关应用自行采集人像发送至“国家网络身份认证”APP,完成比对后,“国家网络身份认证”APP将删除人像信息。
在“国家政务服务平台”APP进行网络身份认证
而在一款用于航班查询的“航旅纵横”APP上,如果选择“网络身份认证登录”选项,最终仍然需要再度绑定手机号才能完成注册。和仅需绑定手机号的一般注册流程相比,网络身份认证的操作步骤更为繁琐。
对于“国家网络身份认证”APP收集的个人信息,官方表示,根据法律法规规定及网络安全等级保护等要求,建立了安全管理体系,采取数据传输加密、去标识化处理、认证日志隔离存储、访问权限最小化、智能终端本地加密等安全措施,保护用户个人信息不丢失、泄露、毁损及未经授权的访问、使用。
外界的担忧在于,“国家网络身份认证”APP是否会通过网号及网证,收集用户在其他第三方平台的浏览记录等个人信息,对用户实施监测。“国家网络身份认证”APP的客服向南都记者回应称,不会收集用户在第三方平台上的使用记录等信息,只提供身份核验服务。
如果用户想注销网号,可直接在“国家网络身份认证”APP上操作。据该APP的个人信息和隐私保护规则,用户主动注销网号时,将在后台立即执行相应操作,除相关法律法规规定需保留的信息以外,将立即删除用户个人信息。