【全文】
公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法(征求意见稿)》(下称《征求意见稿》或办法),现向社会公开征求意见。根据该办法,国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台(下称“公共服务平台”),为自然人提供申领网号、网证以及进行身份核验等服务;其中网号是指与自然人身份信息一一对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证是指承载网号及自然人非明文身份信息的网络身份认证凭证。
未来上述办法实施后,网民根据法律、行政法规规定在互联网服务需要登记、核验用户真实身份信息的,可以使用网号、网证依法进行登记、核验。此举是构建可信身份的重要举措施,可实现跨平台登录,同时也需要构建管理制度和技术措施保障数据信息安全,可以说将从根本上改变和优化互联网服务生态。
据媒体报道,目前国家网络身份认证公共服务正处于试点阶段,已上线试点APP和场景共67个,包括部分政务App和互联网App,如国家政务服务平台、中国铁路12306、淘宝、微信、小红书、QQ等。
一、构建可信身份:加强信息安全和权益实现
2017年开始实施的我国《网络安全法》就提出了实施可信身份战略要求。《网络安全法》第二十四条第二款规定,“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。”可信数字身份可通过增强身份认证安全、促进数据隐私保护、提升数据利用价值、更好保护个人数据权益,为实现个人数据自主并提升数据价值提供技术支持。
增强身份认证安全。可信数字身份通过采用先进的加密技术和数字签名等技术手段,确保用户身份的真实性和可信度,可以有效防止身份被盗用或冒充,从而保护个人数据不被未经授权的访问和使用。当用户在不同平台间进行登录和操作时,可信数字身份能够提供持续的身份验证,确保用户数据的安全性。
促进数据隐私保护。可信数字身份允许用户在提供必要身份信息的同时,减少对个人隐私的泄露。通过去标识化处理和分域加密存储等技术手段,可信数字身份可以将个人身份信息与关键信息的关联性去除,确保在身份认证过程中不再二次收集、存储明文信息。这有助于减少个人数据被滥用和泄露的风险,保护用户的个人隐私权益。
提升数据利用价值。可信数字身份有助于加强用户对自身数据的自主掌控,提升个人数据的利用价值。通过可信的身份认证和数据共享机制,用户可以更加自主地控制自己的数据,并通过相关授权许可允许在合法、合规的前提下将数据用于各种场景和应用中。这有助于激发个人参与数据经济的积极性,推动数据产业的健康发展。同时,企业也可以利用可信数字身份来更好地了解用户需求和行为特征,从而提供更加个性化和精准的服务和产品。
促进数据权益保护。可信数字身份的实施还有助于促进个人数据权益相关法律法规真正普遍落实提供技术支撑。可信数字身份通过提供安全的身份认证和数据共享机制,有助于确保个人数据在收集、使用、处理、传输和存储等各个环节都符合法律法规的要求,保护用户的合法权益不受侵害。
网络身份认证公共服务是可信身份战略的重要组成部分和实施手段之一。近年来,我国出台了一系列法律法规来支持网络身份认证公共服务的建设和发展。如《反电信网络诈骗法》、《互联网信息服务深度合成管理规定》、《互联网政务应用安全管理规定》等法律法规均明确提到了网络身份认证的重要性,并鼓励使用国家网络身份认证公共服务进行身份认证和信息发布。
网络身份认证公共服务与可信身份战略两者在目标上相互一致、在实施上相互支撑、在发展上相互促进,共同推动网络空间的安全、可信和便利发展。未来可信身份战略将发挥更加重要的作用,为网络空间的健康有序发展提供有力保障。
二、实现跨平台登录:改变互联网服务生态
实施网络身份认证公共服务后,网民只需要在公共身份服务平台上进行身份登记,就可拿非实名的网号去登录各种互联网应用服务,优化用户体验、提升用户信息安全、促进数据共享和利用。
优化用户体验。网络身份公共服务允许用户通过国家网络身份认证APP自愿申领并使用“网号”“网证”进行非明文登记、核验。用户在需要实名认证的场景中,只要出示网号或网证即可完成身份认证,而无需重复输入个人信息,避免了忘记密码、找回密码等繁琐步骤。因此,用户无需再向互联网平台相关服务方提供明文个人身份信息如姓名、身份证号等,从而简化认证流程提高效率。
据悉,网络身份公共认证服务还支持PC端、移动端应用以及小程序等多种终端对接应用,不同平台之间有望实现身份信息的互认和共享,这将进一步减少用户在不同平台间切换和认证的麻烦,极大地提升了上网的便利性和效率。包括社交平台、电商、金融、文旅等各种互联网应用服务用户都可以通过可信的身份认证享受更加安全、便捷的服务体验,从而促进交易规模的扩大和市场的繁荣。随着网络身份公共服务的普及和应用,将推动相关产业的发展和升级,如网络安全、大数据、人工智能等领域也都将受益于这一服务的推广和应用。
提升用户信息安全。网络身份认证公共服务基于法定身份证件信息和国家人口基础信息,结合多种要素进行身份核验,确保认证结果的权威性和可信度。这一变化将减少网络欺诈和身份冒用的风险,保护用户的合法权益。,而实名认证本身能够有效防止虚假信息的传播,提升了网络空间的安全性。
国家网络身份认证公共服务中的网络身份符号和网络身份凭证由字母和数字组成,不含明文身份信息,避免了众多分散的App各自采集、留存公民个人信息,进一步降低了个人信息被泄露风险,也能够避免个人信息被随意滥用。
促进数据共享和利用。跨平台登录有利于促进数据共享与整合打破信息孤岛,极大提升数据价值。不同平台间的数据往往因为格式、标准或权限等问题而难以共享和整合。可信数字身份跨平台登录为实现数据共享提供了便利条件,因为用户可以通过统一的身份认证访问多个平台的数据资源,从而打破信息孤岛。其次,通过跨平台登录,用户可以更方便地将不同平台上的数据进行整合和分析,从而挖掘出更多有价值的信息和洞察。这有助于企业更好地了解用户需求、优化产品和服务、提高市场竞争力。另外,可信网络身份也有利于用户对自身信息数据进行管理和授权,为更好的发挥数据价值实现相关数据权益打下了提供了技术支撑。
提升数字治理水平。政府部门在严格遵守法律程序前提下,可利用网络身份认证公共服务对互联网用户账号进行实名注册和登录管理,对存在异常的互联网账号进行身份重新核验。这有助于打击网络违法犯罪行为,降低网络犯罪生存空间,维护网络空间的清朗和秩序,加强社会治理能力。
三、加强安全管理:落实安全责任与技术措施
有人认为此举有利于强化公民个人信息保护,加强网络空间治理;也有人认为会使网络用户完全丧失个人隐私,一举一动尽在掌握之中。这种理解是偏颇的。我国《网络安全法》要求互联网信息服务提供者均必须落实主体安全责任制,用户如果有涉及信息发布传输均须实名认证,而目前网络身份认证公共服务并未超过《网络安全法》有关实名认证要求。
过去十几年里,网络实名认证制度在净化网络环境、保护言论自由、规范社会秩序等发挥了重要作用。但多平台交叉汇集个人身份信息导致信息泄露的风险也愈加突出。因此《征求意见稿》提出由国家网络身份认证公共服务平台统一对网络实名身份认证,也有了一定的合理性。
然而,用户个人信息全部存于公共服务平台,国家网络身份认证公共服务平台采取全方位信息收集的集中模式,网络身份统一认证也确实伴随着风险。如何全方位保障网络身份统一认证框架下的个人隐私安全和信息选择自由,确实是一个现实课题。
根据《征求意见稿》提供的模式,在网络身份统一认证的体系下,国家网络身份认证公共服务平台存储的身份信息,同时公共平台根据身份信息生成网号和网证,用户通过使用网号产生的浏览记录则存储在互联网应用或服务提供商设备中。因此我们认为可以从以下几个方面来加强个人信息保护。
出台专门规范加强国家网络身份认证公共服务平台管理。国家网络身份认证公共服务平台应做好保护措施。如借鉴我国以及境内外个人信息保护的有效经验,完善网络身份认证公共服务平台管理机制,如设置专门的机构和信息保护官,定期开展平台的信息审计,落实有关个人信息浏览等。
严格查询个人信息的程序。进一步落实我国《个人信息保护法》《网络安全法》《数据安全法》的相关要求,制定具体细则规定仅在公安机关、检察机关或者国家安全机关出于国家安全和追查、处罚违法犯罪的需要,严格按照程序可以查询个人的网络身份证信息及网证浏览记录。若个人查询,工作人员需要输入自己身份信息,自动生成无法删除的电子化记录。
严格规范公职人员查询行为。对于司法机关对公职人员随意查询网络统一身份证信息行为要严格惩处。参照《检察机关办理侵犯公民个人信息案件指引》,针对国家网络身份认证平台公职人员在履行职责过程中,违法程序查询和提供公民网络统一身份证信息的个人信息的情形,司法机关认定为侵犯公民个人信息罪构成要件之一“违反国家有关规定,若后续向他人出售、提供,则以侵犯公民个人信息罪论处。
充分利用各种信息安全技术应用。在向网络服务提供者提供网号、网证时,还要用好信息加密技术,做好字母和数字等身份符号代码的非明文信息的转换。在符合条件的行业、地区、服务场景,在严格落实我国有关法律法规要求的前提下,利用自主可控公共区块链技术基础上的去中心化可信身份技术,提能够提供网络身份公共服务,又能够有效保障个人信息安全,同时还能有效地对接数字人民币推广和应用。
作为互联网应用和服务提供方而言,有必要及时关注网络身份公共服务认证等可信数字身份战略不断落地应用所带来的服务模式、合规要求相关变化,作为互联网用户也可能要关注相关信息数据安全与权益保护模式的转变,及时做出相应准备或调整。
