——关于《国家网络身份认证公共服务管理办法(征求意见稿)》的意见
近日热议的国家网络身份认证,它的客户端(APP)测试版已经在今年3月就推出了,开发者为公安部。笔者今天尝试认证了一下。先由手机(内置的NFC)读取第二代身份证信息,经过人脸识别,再关联手机号,设置8位口令后,即可生成10位数字和英文字母组成的“网号”和动态二维码凭证。这个认证过程大概不到3分钟,操作简便,基本和健康码,以及近年政府推广的电子证件差不多。从原理上推测,可能就是由公安部身份证系统开放接口,由认证平台生成一个新的网络专用身份信息。4年前国务院就推出了国家政务服务平台客户端,成为全国政务服务的总枢纽,其中就有身份认证的功能。但目前这两个客户端的评分并不高,国家网络身份认证为2.9分,国家政务服务平台为1.8分(iOS平台)。
7月26日,公安部、国家网络互联网信息办公室正式发布了《国家网络身份认证公共服务管理办法(征求意见稿)》,并且在附文中说明了本次立法的目的:国家提供网络身份认证服务,用户可以用国家认证的“网号”、“网证”来登录互联网应用,无需向互联网平台(此处“互联网平台”应该是指互联网应用提供商,本文沿用“互联网平台”一词)提供明文个人身份信息。由此,可以最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。达到方便人民群众使用、保护个人信息安全的目的。
这个网络身份认证服务有两个主要特点,一是由国家权威部门推动,二是非强制性。
《办法》明确了“自愿”原则,对于个人和互联网平台都是非强制的。第4条称,持有有效法定身份证件的自然人,可自愿向公共服务平台申领“网号”“网证”。第6条规定,鼓励有关主管部门、重点行业按照自愿原则推广应用“网号”“网证”。第7条写到,鼓励互联网平台按照自愿原则接入公共服务,用以支持用户使用“网号”、“网证”登记、核验用户真实身份信息。
中国法学会网络与信息法学研究会理事、中国政法大学互联网与法律规制研究中心主任赵鹏告诉媒体,国家出于对网络安全的要求实行上网实名制,但实名制被互联网平台滥用,目前互联网平台过度采集个人信息导致用户隐私泄露问题突出。
不知道赵鹏是言论是否代表官方,笔者首先要对这句话提出两点疑问。
首先,互联网平台以实名制为由过度采集个人信息,是否应该首先反思实名制存在的问题?如果没有强制的实名制要求,则互联网平台是否还有理由采集用户个人信息?
其次,互联网平台采集用户数据,主要是为了增加服务的精准度,提高服务效率,实现智能化服务。客户数据是平台的资产,滥用客户数据对于应用服务商不利。而盗用数据,虚假营销,诈骗犯罪的人,往往不是互联网平台。
以笔者浅见,“国家网络身份认证服务平台”的底层逻辑是,由公权力部门来收集个人信息后,用户只需要一个网号来使用互联网平台的服务。采取个人基础信息与网络应用数据的分离,这的确是个巧妙的设计。但笔者对此有三个担忧。
第一,由自愿演变为不成文的规范
由于公权力掌握了这项认证服务,运营者同时也是互联网信息管理的权威部门,它们是各家互联网平台、应用服务商的监管者,具有“生杀予夺”大权,这种权威地位会不会扭曲认证服务的自愿属性?
《办法》虽然规定认证服务为自愿,但在第6条规定,鼓励有关主管部门、重点行业按照自愿原则推广应用“网号”“网证”。第7条则鼓励互联网平台按照自愿原则接入公共服务。我的担忧是,从自愿到鼓励推广,再到鼓励自愿,会不会演变成行业的隐形约束,一种不成文的规范?
结合本《办法》的另一项立法目的——“网络可信身份战略”,其落脚点不在服务便捷化和信息安全,而是网络社会的身份可信度目标。这个国家意志的驱动力不可忽视。
第二,安全技术能否跟上信息科技发展
互联网信息安全不是看仓库的,把门关紧就能避免风险。一家基于互联网的服务机构,能不能具备国际大厂,甚或阿里、腾讯、华为这类科技公司的技术能力?安全技术上能不能抵御黑客攻击、病毒渗透?
只要是互联网服务,就存在被黑客攻击,被病毒侵害,或者仅仅是软硬件的技术问题。我们知道,信息科技日新月异,互联网应用技术层出不穷,我们把信息安全的宝押在一家机构,不符合安全管理的基本要求。
第三,加宽了数字鸿沟
我国在社会生活、公共服务方面的数字化、智能化走在国际最前列,使得老百姓日常生活严重依赖智能手机,但也成为老人、残障人士和边远农村居民的生活障碍,形成了一道“数字鸿沟”。增加一次网络身份认证,也就是加宽了“数字鸿沟”,对上述边缘人群不利。
另外,这个增加的认证,很可能让非本国公民为难,面对对外开放新局面,很多“不友好”的数字障碍应该尽量清除而不是增加。
综上分析,笔者对《国家网络身份认证公共服务管理办法(征求意见稿)》提出两点修改意见。一,放弃以实名制作为网络管理的基本手段。二,只有在市场化的竞争中,才能获得可信的安全技术。
放弃以实名制作为网络管理的基本手段
现在的多数互联网应用服务(APP和网站),只有关联手机号码才能获得服务。按照2013年开始实施的电信实名制要求,每个手机号码都是有明确的用户个人信息,因此,目前的互联网服务多数都已经实现了实名制。
换个角度看,回顾历经十年有余的电信实名制,它有没有达到当时设定的目标——确保电信安全,降低电信犯罪?显然没有。电信诈骗愈演愈烈,有人嘲笑这样的实名制——诈骗犯的信息找不到,而用户的信息全被诈骗犯掌握。
实名制不应该是我们追求的主要目标,应放弃以实名制作为网络管理的基本手段。
建立在市场竞争基础上的信息安全,才会有技术进步
在正常的互联网应用市场,用户用手指投票,他选择既安全又好用的应用。只要有充分的市场竞争,用户并不会对个人信息安全过分焦虑。但如果个人信息被集中于一个平台上,用户的心态可能会发生转变。
笔者认为,互联网、信息技术高速发展,肯定不会有一家公司可以自称绝对安全,只有在充分竞争的市场里,让用户自己选择,才能获得可信的安全技术,找到最优的产品。
(作者:唐大杰,北京微观治库创始人、武汉大学财税与法律研究中心客座研究员)