7月26日,公安部、國家網信辦發布《國家網絡身份認證公共服務管理辦法(徵求意見稿)》(下稱《徵求意見稿》),並向社會公開徵求意見。
《徵求意見稿》共16條,明確構建一套網號、網證的申領、推廣和使用制度等。持有有效法定身份證件的自然人,可自願向國家統一建設的網絡身份認證公共服務平台申領網號、網證,其後在接受網際網路平台服務時,可以出示網號、網證用於核驗其真實身份信息,而無需向平台提供詳細的個人身份信息。
此消息一出便引發諸多討論。以出示經認證的統一網號、網證替代向平台提供個人實名身份認證信息,是否能減少平台超範圍採集、泄露個人信息等問題?持網號、網證上網,會影響個人上網的自主權利嗎?
南都記者注意到,《徵求意見稿》提及的「國家網絡身份認公共服務平台」已有移動端版本推出。「國家網絡身份認證」APP於一年前上線,開發者為公安部,目前仍處在試點階段,研究適用的應用場景包括網際網路用戶帳號實名註冊、登錄,異常帳號用戶身份重新核驗等。已接通這項身份認證服務的APP包括10款政務APP和57款網際網路APP。
擬規定:無須向APP提供個人信息,可出示網證
《徵求意見稿》起草說明顯示,建成國家網絡身份認證公共服務平台,為社會公眾提供以法定身份證件信息為基礎的真實身份登記、核驗服務,達到方便人民群眾使用、保護個人資訊安全、推進網絡可信身份戰略的目標。其制定依據包括《網絡安全法》《數據安全法》《個人信息保護法》《反電信網絡詐騙法》等。
首先,《徵求意見稿》解釋了「網號」「網證」等概念的含義。國家網絡身份認證公共服務是指國家根據法定身份證件信息,依託國家統一建設的網絡身份認證公共服務平台,為自然人提供申領網號、網證以及進行身份核驗等服務。
網號是指與自然人身份信息一一對應,由字母和數字組成、不含明文身份信息的網絡身份符號;網證是指承載網號及自然人非明文身份信息的網絡身份認證憑證。網號、網證可用於在網際網路服務及有關部門、行業管理、服務中非明文登記、核驗自然人真實身份信息。
《徵求意見稿》提出,網際網路平台接入公共服務後,用戶選擇使用網號、網證登記、核驗真實身份信息並通過驗證的,網際網路平台不得要求用戶另行提供明文身份信息,法律、行政法規另有規定或者用戶同意提供的除外。
北京大學法學院教授沈巋撰文指出,從實操層面可理解為,自然人在網際網路平台接受服務、從事相關活動,若依法需要登記、核驗真實身份信息,可以考慮不再向平台提供詳細的個人身份信息,而是提供從國家網絡身份認證平台經申請獲得的網號、網證。
此外,網際網路平台需要依法核驗用戶真實身份信息但無需留存用戶法定身份證件信息的,公共服務平台應當僅提供用戶身份核驗結果。根據法律、行政法規規定,網際網路平台確需獲取、留存用戶法定身份證件信息的,經用戶授權或者單獨同意,公共服務平台應當按照最小化原則提供。
針對公共服務平台的個人信息收集權限,《徵求意見稿》規定,處理個人信息不得超出為自然人提供申領網號、網證以及進行身份核驗等服務所必需的範圍和限度,在向自然人提供公共服務時應當依法履行告知義務並取得其同意。未經自然人單獨同意,公共服務平台不得擅自處理或者對外提供相關數據信息;公共服務平台應當依照法律、行政法規規定或者用戶要求,及時刪除用戶個人信息等。
需要指出的是,《徵求意見稿》強調以自願為原則,明確持有有效法定身份證件的自然人,可自願向公共服務平台申領網號、網證;鼓勵有關主管部門、重點行業按照自願原則推廣應用網號、網證,為用戶提供安全、便捷的身份登記和核驗服務;鼓勵網際網路平台按照自願原則接入公共服務,用以支持用戶使用網號、網證登記、核驗用戶真實身份信息等。
同時,為保證推廣效果,由國務院公安部門、國家網信部門負責國家網絡身份認證公共服務的監督管理,監督、指導公共服務平台依法落實數據安全和個人信息保護義務。國務院民政、文化和旅遊、廣播電視、衛生健康、鐵路、郵政等部門在各自職責範圍內負責上述服務的推廣應用和監督管理工作。
「持證上網」引發隱私安全和上網自由擔憂,《徵求意見稿》發出後,引發了不少爭論。
沈巋認為,以向網際網路平台提供網號、網證替代提供詳細的個人身份信息,其好處包括有利於個人資訊安全的最大化。原因在於,實際個人身份信息收集的主體越少,被要求超範圍提供個人信息的可能性就會越小,收集、保存用戶信息的主體泄露、非法使用信息的可能性也就會越小。
《徵求意見稿》一方面以自願為原則,另一方面鼓勵有關主管部門、重點行業等推廣應用網號、網證制度。沈巋認為在這種情況下,統一網號、網證的使用會越來越普遍,不排除網絡平台將來直接要求用戶使用,而不給選擇的機會。
南都記者注意到,徵求意見稿的起草聲明顯示,認證服務可以最大限度減少網際網路平台以落實「實名制」為由超範圍採集、留存公民個人信息。這一效果能實現嗎?
北京大學法學院行政法學教授趙宏認為,為了保護個人資訊安全而採取核發網號、網證新措施的默認前提是,由國家統一收集信息並進行身份核驗,一定比網際網路平台更安全。但事實是,無論是私人還是國家都會存在過度收集個人信息、濫用個人信息,甚至是通過信息對個人進行數據操控和數據監控的風險。
「如果只是出於資訊安全的考慮,就認為由國家統一收集和核查就一定比私人企業更安全更可靠,可能並無法證立。」趙宏說。
沈巋也認為,該認證服務可能給個人隱私權和個人自主權帶來極大風險。原本用戶作為隱私被「零碎暴露」於多中心、商業化平台的網絡存在,在網號、網證普及後,可能非常容易地在一個集中統一平台成為「完整裸露」的網絡存在。
除了隱私安全擔憂,網證網號制度帶來的爭議還有對「上網自由」的影響。
清華大學刑法學教授勞東燕認為,網號的推行,可能使個人在網絡上的所有痕跡(包括瀏覽的痕跡)被「一網打盡」地輕易收集,就相當於給每個人上網時安裝一個監視跟蹤器。一旦有關部門不允許個人使用相應的認證服務,個人使用網絡的權利便會受到限制甚至剝奪,喪失包括在網上發言、評論與獲知信息等自由。
趙宏認為,網號、網證制度是將個人在網際網路的所有瀏覽、發言和傳播過程都與其真實身份互相綁定,相當於徹底消除發言者的隱匿性和神秘性。公眾因為忌憚事後追責而謹言慎行,雖可能在某種程度上達到網絡「清朗」治理的效果,但其引發的寒蟬效應以及對言論自由造成的傷害也令人擔憂。
沈巋強調,數字經濟、網絡社會的活力源泉,在於多中心而不是集中壟斷。網號、網證制度可能讓用戶變得更加謹小慎微,這種自我拘謹、自我束縛的現象不利於激發數字經濟活力、優化數字社會環境、構建數字合作格局——而防止平台超範圍收集、泄露個人信息等目的,完全可以通過既有的其他制度來實現。
一位不願具名的專家則向南都記者表示,網號、網證制度其實只是想推行官方統一的身份憑證,類似於電子身份證,上網註冊時出示,不用在APP上再提供更多信息,「沒有更複雜的目的,不用太草木皆兵」。
67款APP參與「國家網絡身份認證」APP試點,適用場景不一
根據《徵求意見稿》,為自然人提供申領網號、網證的服務,主要於依託國家統一建設的網絡身份認證公共服務平台。南都記者注意到,這一公共服務平台,已有移動客戶端試點版本推出。
蘋果App Store的「國家網絡身份認證」APP
一款名為「國家網絡身份認證」APP介紹稱,為落實國家促進數字經濟發展、保護個人資訊安全等相關要求,公安部會同有關部委組織建設了國家網絡身份認證公共服務平台。這款App的上線時間為一年前,開發者為公安部,目前仍為試點版。
蘋果應用商店的版本歷史記錄顯示,兩個月前,「國家網絡身份認證」APP新增了支持未成年人申領的功能,一個月前新增了支持「網號+動態口令認證」等功能。
南都記者實測發現,申請個人網號及網證,操作流程分為四步:利用手機NFC功能讀取身份證,再進行人臉識別,繼而設置關聯的手機號,最後設置一個八位數的口令。
網號及網證申領流程
「國家網絡身份認證」APP上寫到,國家網絡身份認證公共服務有三大優勢:首先是權威性,使用法定身份證件信息和國家人口基礎信息,並結合生物特徵等多個因子核驗身份,確保結果權威可信;其次為安全性,不使用個人明文身份信息,避免被相關方過度採集、留存和冒用,有效保護個人信息和隱私安全;再次是便利性,用戶使用智慧型手機便可核驗身份。
官方信息介紹,國家網絡身份認證服務主要用於網際網路用戶帳號實名註冊、登錄,對存在涉詐異常帳號的用戶身份重新進行驗證,網上辦理政務服務事項時的身份驗證等場景。目前,已有10款政務APP和57款網際網路APP接入該平台試點相關服務。
這67款APP試點的場景並不完全相同,有的如「國家政務服務平台」可實現「一鍵登錄」操作,有的如淘寶、微信、小紅書等,則僅限於異常帳戶用戶身份重新核驗的單一場景。
具體操作流程上,南都記者以「國家政務服務平台」APP測試發現,點擊該APP的「網絡身份認證登錄」選項,系統會自動跳轉到「國家網絡身份認證」APP進行認證授權,再返回「國家政務服務平台」APP完成人臉識別驗證。
據《國家網絡身份認證APP個人信息和隱私保護規則》,相關應用如需通過人像比對方式進行身份認證,由相關應用自行採集人像發送至「國家網絡身份認證」APP,完成比對後,「國家網絡身份認證」APP將刪除人像信息。
在「國家政務服務平台」APP進行網絡身份認證
而在一款用於航班查詢的「航旅縱橫」APP上,如果選擇「網絡身份認證登錄」選項,最終仍然需要再度綁定手機號才能完成註冊。和僅需綁定手機號的一般註冊流程相比,網絡身份認證的操作步驟更為繁瑣。
對於「國家網絡身份認證」APP收集的個人信息,官方表示,根據法律法規規定及網絡安全等級保護等要求,建立了安全管理體系,採取數據傳輸加密、去標識化處理、認證日誌隔離存儲、訪問權限最小化、智能終端本地加密等安全措施,保護用戶個人信息不丟失、泄露、毀損及未經授權的訪問、使用。
外界的擔憂在於,「國家網絡身份認證」APP是否會通過網號及網證,收集用戶在其他第三方平台的瀏覽記錄等個人信息,對用戶實施監測。「國家網絡身份認證」APP的客服向南都記者回應稱,不會收集用戶在第三方平台上的使用記錄等信息,只提供身份核驗服務。
如果用戶想註銷網號,可直接在「國家網絡身份認證」APP上操作。據該APP的個人信息和隱私保護規則,用戶主動註銷網號時,將在後台立即執行相應操作,除相關法律法規規定需保留的信息以外,將立即刪除用戶個人信息。