以下意見作者為勞東燕
勞東燕,清華大學法學院教授
由公安部與網信辦聯合起草的《國家網絡身份認證公共服務管理辦法(徵求意見稿)》(以下簡稱《辦法》於7月26日正式公布,目前正處於公開徵求意見階段。既然是公開徵求意見,我也想公開表達一下我的意見。
《辦法》擬推行統一的網號與網證制度,在我看來,這樣的舉措將帶來極大的社會風險,並且作為部門規章,明顯缺乏上位法依據。與2023年9月出台的《治安管理處罰法(修訂草案》相比,帶來的社會風險有過之而無不及。
首先,《辦法》的真實用意,是如起草者所言是基於保護個人信息的目的,還是加強對個人在網絡上的言行的管控?
在網絡實名制推行12年之後,超過十億的網民都已經在各個網絡信息服務提供者處留下認證所需的個人信息,在這種情況下推行網號與網證制度還有多少現實的意義?當初推行網絡實名制,就是以保護普通公眾的名義推出,保護的效果如何,大家有目共睹。這意味著,《辦法》的推行與網絡實名制一樣,真正的目的是管控人們在網絡上的行為,所謂保護個人信息云云不過是虛晃一槍,至少不是主要的目的所在。
其次,網號與網證制度的實質是什麼?
形象地說,網號與網證制度就類似於疫情期間的健康寶,治理思路上如出一轍,只不過是將通過健康寶的社會管控日常化與常態化了。網號制度就相當於給每個人的上網行為安裝一個監視器,所有網上的痕跡(包括瀏覽痕跡)都可一網打盡打盡地輕易加以收集。網證制度則意味著,上網或使用網絡服務提供者提供的服務,將在實質上成為一種需要經過許可才能享有的特權,如果相關部門不提供認證服務,個人就難以享有相應的網際網路服務,包括但不限於發言、評論與其他服務。
附:公安部國家網際網路信息辦公室關於《國家網絡身份認證公共服務管理辦法(徵求意見稿)》公開徵求意見的公告
2024年07月26日17:00來源:中國網信網
為強化公民個人信息保護,推進並規範國家網絡身份認證公共服務建設應用,加快實施網絡可信身份戰略,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》等法律法規,公安部、國家網際網路信息辦公室等研究起草了《國家網絡身份認證公共服務管理辦法(徵求意見稿)》,現向社會公開徵求意見。公眾可以通過以下途徑和方式提出意見建議:
1.登錄中華人民共和國司法部中國政府法制信息網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首頁主菜單的「立法意見徵集」欄目提出意見建議。
2.通過電子郵件將意見建議發送至:[email protected]或[email protected]。
3.通過信函將意見建議寄至:北京市東城區東長安街14號公安部,郵遞區號:100741,或北京市西城區車公莊大街11號國家網際網路信息辦公室,郵遞區號:100044。來信請在信封上註明「國家網絡身份認證公共服務管理辦法徵求意見」。
意見建議反饋截止時間為2024年8月25日。
2024年7月26日
國家網絡身份認證公共服務管理辦法(徵求意見稿)
第一條為實施網絡可信身份戰略,推進國家網絡身份認證公共服務建設,保護公民身份資訊安全,促進數字經濟發展,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》等法律法規,制定本辦法。
第二條本辦法所稱國家網絡身份認證公共服務(以下稱「公共服務」),是指國家根據法定身份證件信息,依託國家統一建設的網絡身份認證公共服務平台(以下稱「公共服務平台」),為自然人提供申領網號、網證以及進行身份核驗等服務。
本辦法所稱網號,是指與自然人身份信息一一對應,由字母和數字組成、不含明文身份信息的網絡身份符號;網證,是指承載網號及自然人非明文身份信息的網絡身份認證憑證。網號、網證可用於在網際網路服務及有關部門、行業管理、服務中非明文登記、核驗自然人真實身份信息。
第三條國務院公安部門、國家網信部門依照各自法定職責,負責國家網絡身份認證公共服務的監督管理,監督、指導公共服務平台依法落實數據安全和個人信息保護義務。
國務院民政、文化和旅遊、廣播電視、衛生健康、鐵路、郵政等部門依照本辦法和有關法律、行政法規的規定,在各自職責範圍內負責國家網絡身份認證公共服務的推廣應用和監督管理工作。
第四條持有有效法定身份證件的自然人,可自願向公共服務平台申領網號、網證。
不滿十四周歲的自然人需要申領網號、網證的,應當徵得其父母或者其他監護人同意,並由其父母或者其他監護人代為申領。
已滿十四周歲未滿十八周歲的自然人需要申領網號、網證的,應當在其父母或者其他監護人的監護下申領。
第五條根據法律、行政法規規定,在網際網路服務中需要登記、核驗用戶真實身份信息的,可以使用網號、網證依法進行登記、核驗。
不滿十四周歲的自然人使用網號、網證登記、核驗真實身份信息的,應當徵得其父母或者其他監護人同意。
第六條鼓勵有關主管部門、重點行業按照自願原則推廣應用網號、網證,為用戶提供安全、便捷的身份登記和核驗服務,通過公共服務培育網絡身份認證應用生態。
第七條鼓勵網際網路平台按照自願原則接入公共服務,用以支持用戶使用網號、網證登記、核驗用戶真實身份信息,依法履行個人信息保護和核驗用戶真實身份信息的義務。
網際網路平台接入公共服務後,用戶選擇使用網號、網證登記、核驗真實身份信息並通過驗證的,網際網路平台不得要求用戶另行提供明文身份信息,法律、行政法規另有規定或者用戶同意提供的除外。
網際網路平台應當保障使用網號、網證的用戶與其他用戶享有相同服務。
第八條網際網路平台需要依法核驗用戶真實身份信息但無需留存用戶法定身份證件信息的,公共服務平台應當僅提供用戶身份核驗結果。
根據法律、行政法規規定,網際網路平台確需獲取、留存用戶法定身份證件信息的,經用戶授權或者單獨同意,公共服務平台應當按照最小化原則提供。
未經自然人單獨同意,網際網路平台不得擅自處理或者對外提供相關數據信息,法律、行政法規另有規定的除外。
第九條公共服務平台處理個人信息不得超出為自然人提供申領網號、網證以及進行身份核驗等服務所必需的範圍和限度,在向自然人提供公共服務時應當依法履行告知義務並取得其同意。處理敏感個人信息的,應當取得個人的單獨同意,法律、行政法規規定應當取得書面同意的,從其規定。
未經自然人單獨同意,公共服務平台不得擅自處理或者對外提供相關數據信息,法律、行政法規另有規定的除外。
公共服務平台應當依照法律、行政法規規定或者用戶要求,及時刪除用戶個人信息。
第十條公共服務平台在處理用戶個人信息前,應當通過用戶協議等書面形式,以顯著方式、清晰易懂的語言真實、準確、完整地向用戶告知下列事項:
(一)公共服務平台的名稱和聯繫方式;
(二)用戶個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)用戶依法行使其個人信息相關權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
處理敏感個人信息的,還應當向個人告知處理的必要性以及對個人權益的影響,法律、行政法規另有規定的除外。
第十一條公共服務平台處理個人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條第一款規定的事項。
緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,公共服務平台應當在緊急情況消除後及時告知。
第十二條公共服務平台應當加強數據安全和個人信息保護,依法建立並落實安全管理制度與技術防護措施。
第十三條公共服務平台的建設和服務涉及密碼的,應當符合國家密碼管理有關要求。
第十四條違反本辦法第七條第二款、第八條、第九條、第十條、第十二條規定,依照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》應當追究法律責任的,由國務院公安部門、國家網信部門在各自職責範圍內依法予以處罰;構成犯罪的,依法追究刑事責任。
第十五條本辦法所稱法定身份證件,包括居民身份證、定居國外的中國公民的護照、前往港澳通行證、港澳居民來往內地通行證、台灣居民來往大陸通行證、港澳居民居住證、台灣居民居住證、外國人永久居留身份證等身份證件。
第十六條本辦法自年月日起施行。
關於起草《國家網絡身份認證公共服務管理辦法(徵求意見稿)》的說明
一、起草必要性
為全面貫徹落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》中關於國家實施網絡可信身份戰略、推進網絡身份認證公共服務建設等有關規定,國家組織建設網絡身份認證公共服務基礎設施,旨在建成國家網絡身份認證公共服務平台,形成國家網絡身份認證公共服務能力,為社會公眾統一簽發「網號」「網證」,提供以法定身份證件信息為基礎的真實身份登記、核驗服務,達到方便人民群眾使用、保護個人資訊安全、推進網絡可信身份戰略的目標。基於國家網絡身份認證公共服務(以下簡稱公共服務),自然人在網際網路服務中依法需要登記、核驗真實身份信息時,可通過國家網絡身份認證APP自願申領並使用「網號」「網證」進行非明文登記、核驗,無需向網際網路平台等提供明文個人身份信息。由此,可以最大限度減少網際網路平台以落實「實名制」為由超範圍採集、留存公民個人信息。為進一步強化個人信息保護、規範公共服務的運行管理,公安部、國家網際網路信息辦公室等有關部門經充分調研論證,起草了《國家網絡身份認證公共服務管理辦法(徵求意見稿)》(以下簡稱《管理辦法》)。
二、主要內容
《管理辦法》共16條,主要包括四個方面的內容:一是明確了公共服務和「網號」「網證」等概念;二是明確了公共服務的使用方式和場景;三是強調了公共服務平台和網際網路平台的數據和個人信息保護義務;四是明確了公共服務平台和網際網路平台違反數據和個人信息保護義務的法律責任。
三、主要考慮
《管理辦法》根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》的規定,明確了使用「網號」「網證」進行網絡身份認證的方式,並對「網號」「網證」的申領條件、公共服務的使用場景、法定身份證件範圍、數據和個人資訊安全保護義務等基礎性事項作出規定。此外,依照《中華人民共和國個人信息保護法》《未成年人網絡保護條例》等對未成年人的特殊保護要求,對未成年人申領、使用公共服務作出了特別規定。
《管理辦法》鼓勵網際網路平台接入公共服務,支持用戶使用「網號」「網證」登記、核驗真實身份,並作為其履行用戶真實身份核驗和個人信息保護等法定義務的一種方式。對自願選擇使用「網號」「網證」的用戶,除法律法規有特殊規定或者用戶同意外,網際網路平台不得要求用戶另行提供明文身份信息,最大限度減少網際網路平台以落實「實名制」為由超範圍採集、留存公民個人信息。
《管理辦法》嚴格依照《中華人民共和國個人信息保護法》等上位法的規定,充分保障了用戶個人信息相關權利。明確了公共服務平台採集個人信息的「最小化和必要性原則」,即公共服務平台處理個人信息不得超出為自然人提供「網號」「網證」相關服務所必需的範圍和限度。明確了公共服務平台處理用戶個人信息時的解釋告知、數據保護等義務,充分保障用戶的知情權、選擇權、刪除權等個人信息相關權利。
《管理辦法》明確了身份核驗結果信息的「最小化提供原則」和依法處理要求。對依法需要核驗用戶真實身份但無需留存用戶法定身份證件信息的,公共服務平台應當僅向網際網路平台提供核驗結果;對於依法確需獲取、留存用戶法定身份證件信息的,經用戶單獨同意,公共服務平台應按照「最小化原則」向網際網路平台提供必要、相關的明文信息。