网号网证新规出台:强调使用自愿性,细化服务平台安全责任
5月23日,公安部、国家网信办等六部门联合公布《国家网络身份认证公共服务管理办法》(下称《管理办法》),自7月15日起施行。
《管理办法》从使用范围场景、方式原则,相关方的权利职责、义务责任等维度构建起一套国家网络身份认证体系。用户可从国家统一建设的网络身份认证公共服务平台申领一套网号、网证,其后在使用互联网平台服务时,可以直接出示网号、网证用于核验自己的真实身份信息,无需再向平台提供个人身份信息。
南都·隐私护卫队梳理发现,与去年7月发布的《征求意见稿》相比,《管理办法》有多处重要改动,包括更强调网号网证使用的自愿性,注重对未成年人、老年人群体的保护等。目前,“国家网络身份认证公共服务平台”移动端版本“国家网络身份认证”App已对接400余款App,但不同App使用相关服务的业务场景有差异。
使用国家发放的“网络身份证”完成身份核验
《管理办法》首先明确,为实施可信数字身份战略,推进国家网络身份认证公共服务建设,保护公民身份信息安全,支撑数字经济健康有序发展,根据《网络安全法》《数据安全法》《个人信息保护法》《反电信网络诈骗法》《未成年人保护法》等法律法规,制定该办法。
《管理办法》解释了“网号”“网证”等概念的含义。国家网络身份认证公共服务(下称“公共服务”),是指国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台(下称“公共服务平台”),为自然人提供申领网号、网证以及进行身份核验等服务。
网号是指与自然人身份信息相对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证,是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。
《管理办法》规定,互联网平台接入公共服务后,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息,法律、行政法规另有规定或者用户同意提供的除外。
简言之,人们通过提交和验证个人信息,可以在国家统一建设的公共服务平台上申领一张“网络身份证”。今后在互联网平台接受服务、从事相关活动,若依法需要登记、核验真实身份信息,可以不再向平台提供详细的个人身份信息,而是出示这张国家统一认证发放的“网络身份证”,以减少个人信息泄露风险。
在责任主体方面,《管理办法》明确由国务院公安部门、国家网信部门会同国务院民政、文化和旅游、卫生健康、广播电视等部门依照本办法和有关法律、行政法规的规定,在各自职责范围内负责网络身份认证公共服务有关工作。在《征求意见稿》中,前二部门主要负责该公共服务及平台的监督、管理和指导工作。
网号网证非强制,未成年人申领需监护人同意
《管理办法》严格规定了使用国家网络身份认证公共服务的效力和应用场景。
对该公共服务的使用者而言,互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的,公共服务平台应当仅提供用户身份核验结果;互联网平台确需获取、留存用户法定身份证件信息的,经用户授权或者单独同意,公共服务平台应当按照最小化原则提供。
而对提供者而言,公共服务平台仅限收集网络身份认证所必需的信息,处理个人信息或者向自然人提供公共服务,应当依法履行告知义务并取得其同意。处理敏感个人信息,应当取得个人的单独同意等。公共服务平台应当依照法律、行政法规规定或者用户要求,及时删除用户个人信息。
南都·隐私护卫队梳理发现,与《征求意见稿》相比,《管理办法》在多方面有重要改动。
一是更加强调确保网号网证使用的自愿性。《管理办法》在明确鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证的基础上,新增要求“有关主管部门、重点行业在管理、服务中,应当保留、提供现有的或者其他合法方式进行登记、核验真实身份。”
为确保其他核验方式的有效性,《管理办法》还进一步提出,互联网平台应当保障未使用网号、网证但通过其他方式登记、核验真实身份的用户与使用网号、网证的用户享有同等服务。
二是注重对未成年人、老年人群体的保护。相比《征求意见稿》,正式文件新列举《未成年人保护法》作为立法依据,体现了对未成年人网络权益保护的重视。新增要求“涉及未成年人、老年人等用户的,公共服务平台可以依法向互联网平台提供年龄标识信息,用于支持互联网平台履行相应的法律义务。”
另外,就未成年人申领、使用公共服务作出特殊规定。不满十四周岁的自然人申领网号、网证的,应当取得其父母或者其他监护人同意,并由后者代为申领;已满十四周岁未满十八周岁的应当在监护下申领。不满十四周岁的自然人使用网号、网证登记、核验真实身份信息的,应当取得其父母或者其他监护人同意。
三是细化了公共服务平台、互联网平台等主体的安全责任。主要包括新增公共服务平台的数据存储和应急决策要求等。该平台处理的重要数据和个人信息应当在境内存储;因业务需要确需向境外提供的应依法进行安全评估。发生网络运行安全、数据安全事件的,平台应依规立即启动应急预案,采取必要措施消除安全隐患,及时告知用户并向有关部门报告。
600万人已开通网号,相关App提供认证服务超千万次
《管理办法》中提到的,为自然人提供申领网号、网证以及进行身份核验等服务,依托国家统一建设的网络身份认证公共服务平台,即“国家网络身份认证”App。
据了解,该公共服务平台于2023年6月上线,目前已对接400余款App,涵盖政务、出行、寄递、文旅、医疗等多个领域,在账号注册、一键登录、密码找回等众多场景均可使用。据5月23日公安部消息,截至目前,这一App累计下载超1600万次,申领开通达600万人,提供认证服务1250余万次。
该App在苹果应用商店的公开信息显示,其开发者为公安部,是国家网络身份认证公共服务平台的移动客户端。个人用户可下载App,使用法定身份证件申领网号、网证,即可在不输入、不留存、不透露个人姓名、公民身份号码等明文身份信息的情况下完成身份认证。
南都·隐私护卫队实测发现,在选择个人证件类型后,申请网号及网证需经过四个步骤。首先识读身份证,将证件靠近手机背面(NFC区域)进行识别,接着完成人脸识别验证,设置关联手机号码,最后设置一个八位数的口令。未成年人申领需已申领网络身份信息的监护人协助。
值得注意的是,各家App接入公共服务平台的程度不一。“国家网络身份认证”App页面显示,比如“YY安全中心”可用于网络身份认证找回历史账号场景,“飞讯网络”可用于网页扫码登录场景,“美图秀秀”“美拍”可用于一键登录、账号绑定网络身份场景。然而实测中,“美拍”的登录页面并未发现“国家网络身份认证”核验入口。
在操作流程上,南都·隐私护卫队选取了国家政务服务平台、航旅纵横、神州专车、同程旅行4款App测试。在选择“国家网络身份认证”核验方式后,仍需用户提供手机号、人脸等个人信息才能完成登录。
以“神州专车”App为例,点击其“网络身份认证登录”选项,系统会跳转到“国家网络身份认证”App要求用户输入凭证口令,其后需绑定登录手机才能登录。“同程旅行”“航旅纵横”App最终也需输入手机号完成绑定,前者声明“需要依据《互联网用户账号名称管理规定》第五条相关规定,手机号作为注册登录的必要个人信息,所以当您首次使用第三方账号登录注册时,仍需要绑定您的手机号码”。
“神州专车”需输入凭证口令和绑定登录手机
“同程旅行”需输入手机号码登录
在“国家政务服务平台”App上选择“网络身份认证登录”,系统会先跳转到“国家网络身份认证”App进行认证授权,再返回“国家政务服务平台”App完成人脸识别验证。版本更新日期为2024年6月的《国家网络身份认证App个人信息和隐私保护规则》提到,相关应用如需通过人像比对方式进行身份认证,由相关应用自行采集人像发送至本应用,完成比对后,本应用将删除人像信息。
采写:南都记者 樊文扬 杨柳