7月26日,公安部与国家互联网信息办公室就《国家网络身份认证公共服务管理办法(征求意见稿)》面向社会公开征求意见。此征求意见稿发布后,劳东燕教授发表文章,指出推行网号与网证制度“缺乏基本的正当性”“蕴含极大的社会风险”,此观点引起了广泛讨论。笔者对劳教授的大部分观点持有异议,故撰写此文,以阐述对网号与网证制度的个人见解。在探讨网号与网证之前,有必要先介绍网络实名认证的流程。目前,网络实名认证主要分为基于电话号码和基于身份证号码两种方式。本文将重点讨论后者。根据《网络安全法》第24条、《电子商务法》第27条、《反电信网络诈骗法》第21条等相关法律法规,用户在特定情形下需提交“真实”身份信息方能使用相关服务。当用户提交身份证号码时,互联网平台如何验证这些信息的真实性?简单来说,会要求用户进行手持身份证照片认证、人脸识别认证、银行卡打款认证等认证,最终与公安部门的数据库进行比对(此过程可能涉及第三方机构,本文不予展开)。在此过程中,一方面,互联网平台能接触(传输、存储、访问等)到用户的身份信息和/或人脸信息、银行账号信息等个人信息;另一方面,公安部门本来就掌握公民身份证上的各种信息(包括人脸信息)。这两点将在后文中进一步强调。而通过网号与网证进行实名认证的流程则有所不同:用户首先需要先在身份认证公共服务平台进行实名认证。当互联网平台需要用户进行实名认证时,可直接向身份认证公共服务平台发出认证请求,经用户同意后,该平台向互联网平台返回一个认证结果,即“通过”或“未通过”。推行网号与网证制度,最直观的效果是消除了互联网平台收集用户身份信息和/或人脸信息、银行账号信息等个人信息的环节,使互联网平台无法知悉用户的真实身份,实现了公民身份信息的“可用不可见”。笔者认为,这对于保护公民信息具有重大意义。基于多年的实务经验,笔者发现绝大多数互联网平台缺乏基本的个人信息保护能力。互联网平台泄露用户身份证信息或人脸信息的事件频发,导致了大量网络暴力、电信网络诈骗事件的发生。除了外部泄露因素外,互联网平台内部超范围处理用户个人信息的情况也屡见不鲜。在许多互联网平台看来,既然已经掌握了用户的身份证信息,不妨将其用于个性化营销等场景。而未来的身份认证公共服务平台,其安全性无疑将远高于这些互联网平台。此外,许多互联网平台压根就不愿承担泄露用户身份证照片和人脸信息的风险,但迫于现实又不得不存储这些信息。例如,用户在直播平台进行大额打赏后要求退款,并声称账号非其本人所有,若互联网平台无法提供用户实名认证时的照片作为证据,则可能面临无法证明“用户是用户”的困境,这也是笔者的亲身经历。劳东燕教授认为:“网号的推行,将使个人在网络上的所有痕迹(包括浏览痕迹)都可以轻易地被一网打尽地收集。”并基于此将网号与网证的实质比作“健康宝的升级版”。笔者认为这是对网号与网证实质的误解。首先,如前所述,网号与网证仅是用户的身份凭证,该平台本身并不会保存用户在各个互联网平台中的网络使用痕迹。身份认证公共服务平台处理的数据主要包括两类:一是用户的身份证上的各种信息,这是公安部门本就掌握的;二是服务认证的申请记录、核验记录等。而健康宝则不同,它同时存储了用户的身份信息和出行信息(个人在真实世界的痕迹),一旦泄露将对公民权益造成巨大侵害。其次,网络实名制在中国已推出十余年,《反电信网络诈骗法》第33条、《个人信息保护法》第62条等法律法规为建立身份认证公共服务平台提供了坚实的法律基础。而基于特殊原因,健康宝的法律基础我们就不展开了。最后,网络实名制并未要求公民从事一切网络活动都需进行实名认证,它主要聚焦于信息发布等领域。单纯的浏览行为在法律上并不需要实名认证,因此“一网打尽浏览痕迹”之说并无依据。当然,部分企业基于用户画像等需求强行要求用户提供身份信息,并未提供游客模式,这是另一问题,有待网信部门进一步治理。劳东燕教授认为:“网号与网证制度等于是在普通个人没有任何违法犯罪嫌疑的情况下,不需要履行任何审批手续,就可对个人在网络上的痕迹进行追踪,并对其使用网络的行为进行限制甚至剥夺。”笔者认为这一观点完全错误。如前所述,身份认证公共服务平台并未保存除认证申请和核验记录以外的用户网络使用痕迹。公安部门如需调查犯罪嫌疑人的网络使用痕迹,仍需按照《刑事诉讼法》规定的流程向互联网平台调取。劳东燕教授担忧:“从人脸识别的前车之鉴来看,自愿原则很容易被架空,尤其是如果相关部门倡导甚至要求互联网平台必须通过网号与网证来进行身份认证的话。”笔者认为,劳东燕教授的观点有一定道理,笔者建议在《办法》第七条中增加一款:“各部门不得强制要求互联网平台将网号、网证作为登记、核验用户真实身份信息的唯一方式。”劳东燕教授提到了“人脸识别的前车之鉴”,笔者也想谈谈自己的看法。互联网平台之所以倾向于强制刷脸,是因为刷脸是目前性价比(安全和效率之比)最高的方案。如果能有一种更安全、更高效的替代方式,互联网平台何乐而不为呢?要知道刷脸认证可是按次收费的。笔者认为网号与网证就是这个替代方式,并已期待多时。笔者能够理解很多读者对于“利维坦”侵犯公民言论自由的担忧。然而,在追求自由的同时,我们也必须认识到,安全和自由从来就是一个天平的两端,它们相互依存、相互制约,不可偏废一方。在保障公民充分享有言论自由的同时,也必须确保社会的整体安全和秩序,防止网络暴力、网络诈骗等对公共利益造成损害。关于网络与网证制度的讨论也是如此,其对于落实网络实名制和保护公民个人信息的重要意义不应被忽略。声明
1.本文仅供参考,并不构成任何正式的法律意见,也不代表本人所在单位的观点。各种读者如有其他法律问题请咨询专业人士的意见。
2.本文欢迎转载,转载时请注明作者“互联网法务小能”并保持文章的完整性。
