以下意见作者为沈岿
2024年7月26日,公安部、国家互联网信息办公室联合发布了《关于〈国家网络身份认证公共服务管理办法(征求意见稿)公开征求意见的公告》,并附上了《国家网络身份认证公共服务管理办法(征求意见稿)》(以下简称“《办法》”)全文以及《关于起草〈国家网络身份认证公共服务管理办法(征求意见稿)〉的说明》(以下简称《说明》)。这一全文仅有十六个条款的《办法》看上去并不起眼,但确实关系到网络社会的活力源泉,公安部、网信办践行立法民主原则,按照《立法法》《规章制定程序条例》的规定公开向社会征求意见,是应当予以肯定的。我并非网络技术专家,也非网络法专家,但**是出于对我们生活其中的网络世界的理解和认知,从宪法和行政法角度,提出对《办法》所希望建立的制度的关切和担忧**。
《办法》的目的在《说明》之中已经非常明确地提出来了,主要是为了“建成国家网络身份认证公共服务平台,形成国家网络身份认证公共服务能力,为社会公众统一签发‘网号’‘网证’,提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。基于国家网络身份认证公共服务(以下简称公共服务),自然人在互联网服务中依法需要登记、核验真实身份信息时,可通过国家网络身份认证APP自愿申领并使用‘网号’‘网证’进行非明文登记、核验,无需向互联网平台等提供明文个人身份信息。由此,可以最大限度减少互联网平台以落实‘实名制’为由超范围采集、留存公民个人信息。”
根据这段文字,我对实际操作层面的简单理解是:自然人在互联网平台接受服务、从事相关活动,若依法需要登记、核验真实身份信息,可以考虑不再向平台提供详细的个人身份信息,而是可以向平台提供其向国家网络身份认证平台申请获得的“网号”“网证”。直觉上,这样的一个“取而代之”,或许可以收获三个好处:
第一,有利于网络用户在依法需要实名认证的场合进行快捷方便的操作。因为,《办法》第5条规定:“根据法律、行政法规规定,在互联网服务中需要登记、核验用户真实身份信息的,可以使用网号、网证依法进行登记、核验。”当然,这个便捷并非十分显著,输入个人身份信息比输入“网号”“网证”并没有特别明显的麻烦。
第二,有利于个人身份信息尽可能少地被国家网络身份认证平台(即《办法》中简称的“公共服务平台”)以外的其他网络平台收集。因为,《办法》第8条规定:“互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的,公共服务平台应当仅提供用户身份核验结果。根据法律、行政法规规定,互联网平台确需获取、留存用户法定身份证件信息的,经用户授权或者单独同意,公共服务平台应当按照最小化原则提供。”
第三,有利于个人信息安全的最大化。这是从以上两点可以合乎情理地推出的,因为,实际个人身份信息收集的主体越少,被要求超范围提供个人信息的可能性就会越小,收集、保存用户信息的主体泄露、非法使用信息的可能性也就会越小。
由这三个好处,我们似乎可以简单地得出一个结论:这个基于个人自愿申请的“网号”“网证”制度——《办法》第4条第1款规定:持有有效法定身份证件的自然人,可自愿向公共服务平台申领网号、网证——是有益的、是可行的。然而,世上很少见“有百利而无一害”的制度,许多制度往往是利弊并存的,当我们进行制度选择的时候,经常要做的棘手工作是如何权衡利弊,以找到好处明显大过坏处、且可以尽量遏制坏处的制度方案。这样的权衡在宪法、行政法上的典型体现是被称为公法“帝王原则”的比例原则。
完整的比例原则有四点要求:其一**,公权力机关采取的措施和手段所欲实现的目标是合法的、正当的;其二**,公权力机关采取的措施和手段确实可以实现其宣称的目标;其三**,公权力机关采取的措施和手段对当事人权益的损害是最小的;其四**,公权力机关采取的措施和手段所获得的收益与其所付出的成本是适度的,切忌“用大炮打蚊子”,即便把蚊子打下来了,也是损耗极大。其中,任何一项要求不能得到满足,公权力机关采取的措施和手段就不符合比例原则,就无法通过合宪性/合法性审查。那么,统一“网号”“网证”制度是否可以经得起检验呢?
从前文所提统一“网号”“网证”的可能益处看,该制度是符合比例原则第一、第二项要求的,关键在于第三项要求,即该制度会给个人带来什么损害,这个损害是否大过可能的益处,以及是否有别的制度,可以实现同样的益处而又没有更大损害。
根据《办法》目前的规定,个人拥有统一的“网号”“网证”,以及网络平台接入网络身份认证服务,是根据自愿而非强制,由此,即便统一“网号”“网证”可能带来什么危害,似乎也是个人或网络平台自愿接受的。然而,《办法》第6条“鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证”,第7条“鼓励互联网平台按照自愿原则接入公共服务,用以支持用户使用网号、网证登记、核验用户真实身份信息”。通常,在这种鼓励推广之下,统一“网号”“网证”的使用会越来越普遍、越来越广泛。甚至,不排除实行实名制的网络平台将来直接要求用户使用“网号”、“网证”登记,而不给用户选择的机会。
统一“网号”“网证”的普遍使用,最令人担心的损害是可能给个人隐私权和个人自主权带来极大的风险。
在网络时代,个人隐私、个人自主已经很难像在前网络时代那样得到保护。在过去,我可以到实体书店驻足浏览,并购买自己喜欢的书籍带回家阅读;我可以在大街小巷的报刊亭,把自己中意的报纸、刊物买下来翻阅,把自己喜欢的明星画像剪下来贴在自家墙上;我可以逛街、逛商店,到自己突然动心的店铺里买下可爱的商品;我可以独自去公园、去高山、去河流湖泊徒步、郊游,欣赏美景。所有这些,我都可以自己做主完成。而且,我看过什么书、浏览过什么新闻、喜欢过什么明星、购买过什么商品、到过什么地方,除非我告诉别人,我都是可以保留在自己隐私的范围内。
在网络时代,一切都不同了。我去实体书店的次数明显减少了,即便去了,看中什么书,我也会通过网络购买;我基本已经不再订阅或购买纸质报纸、期刊,因为各种新闻,包括娱乐新闻,都可以在网上浏览,喜欢的明星画像也可以下载放在自己的电脑里;实体商店的闲逛仍然是有的,但更多还是在网络上购物;想去风景名胜,则会在网上购买门票、购买高铁票或飞机票,自驾游还会用导航。由此,我仍然可以基本上做主完成这些事情,而网络带来的视野开阔、活动便利等是以前所未达到的,但是,隐而不显的风险和危害是,网络上“走过”的痕迹通常以某种形式的数据保留在提供服务的网络平台那里。进而,网络平台会根据其算法,对收集起来的数据进行分析,对我进行“画像”:喜欢什么书、喜欢什么新闻、喜欢什么明星、喜欢什么衣服、喜欢去什么地方,甚至可以从我阅读的书、新闻之中判断我的人生哲学、政治哲学立场。由此,过去可能比较容易守住的隐私空间,已经大大限缩了。而且,一旦想到自己在网络平台上的一言一行,都有可能是在“被平台关注着”,自己做主的空间也就会在谨慎中限缩。
不过,网络技术的发展似乎是不可逆转的,在此决定论、宿命论之下,守住隐私、守住自主、守住自我,以及因为这份守住而有的思想、行动以及创新之活跃,在相当程度上得到了网络社会多中心的保障。我在“微信读书”中阅读,我的读书偏好可能只在这个平台得到“画像”,而不会被别的平台了解,“微信读书”也不会知道我喜欢什么衣着、什么化妆品。我在百度上搜索,可以通过设置,选择不让百度跟踪我的搜索记录,虽然我会因此失去个性化推荐的好处——优化浏览时间,而即便我允许百度跟踪,得到我诸多数据的也只是百度这个平台,而不是其他平台。这样的假设场景可以继续列举下去,但似乎也没必要,因为我的观点已经表达了:我在网络时代已经难免“隐私暴露”,但多中心的、商业化的平台只能得到“我的部分”,而不能得到“我的全部”,我还不至于完全“裸奔”。更何况,《民法典》《数据安全法》《个人信息保护法》等法律以及人工智能伦理规范,对商业平台保护个人隐私、个人信息、数据安全等有明确的合规要求。
然而,当统一的“网号”“网证”普遍广泛使用时,可以想象的是,我用“网号”“网证”在各个平台上登记,我在各个平台上做过的事情,都是可以——不一定是必然——由将“网号”“网证”与个人真实身份信息锁定的集中统一平台收集到相关数据,并进行数据分析。原来我还是“零碎暴露”的网络存在,有可能非常容易地在一个集中统一平台成为“完整裸露”的网络存在。这种“完整裸露”不一定会被我及时发现,也不一定会给我带来即时损害,但毫无疑问的是,我会因为这样的裸露风险而变得更加的谨小慎微,变得不敢赞同或反对一些主张,变得不敢进行充分的交流,变得不敢广泛的阅读浏览,变得不敢……这种自我拘谨、自我束缚如果普遍存在,数字经济活力如何激发,数字社会环境如何优化,数字合作格局又如何构建?
简言之,数字经济、网络社会的活力源泉,在于多中心而不是集中垄断。统一“网号”“网证”的潜在风险、危害是巨大的,其收获的可能好处——防止平台超范围收集个人信息、防止平台泄露个人信息和数据等——其实又是完全可以通过既有的其他制度实现的。鉴于此,统一“网号”“网证”制度是否可以通过比例原则的检验,是否可以通过数字经济发展的检验,应当画上大大的问号,并加以认真的对待和省视。
以下意见作者为劳东燕
劳东燕,清华大学法学院教授由公安部与网信办联合起草的《国家网络身份认证公共服务管理办法(征求意见稿)》(以下简称《办法》于7月26日正式公布,目前正处于公开征求意见阶段。既然是公开征求意见,我也想公开表达一下我的意见。
《办法》拟推行统一的网号与网证制度,在我看来,这样的举措将带来极大的社会风险,并且作为部门规章,明显缺乏上位法依据。与2023年9月出台的《治安管理处罚法(修订草案》相比,带来的社会风险有过之而无不及。
首先,《办法》的真实用意,是如起草者所言是基于保护个人信息的目的,还是加强对个人在网络上的言行的管控?
在网络实名制推行12年之后,超过十亿的网民都已经在各个网络信息服务提供者处留下认证所需的个人信息,在这种情况下推行网号与网证制度还有多少现实的意义?当初推行网络实名制,就是以保护普通公众的名义推出,保护的效果如何,大家有目共睹。这意味着,《办法》的推行与网络实名制一样,真正的目的是管控人们在网络上的行为,所谓保护个人信息云云不过是虚晃一枪,至少不是主要的目的所在。
其次,网号与网证制度的实质是什么?
形象地说,网号与网证制度就类似于疫情期间的健康宝,治理思路上如出一辙,只不过是将通过健康宝的社会管控日常化与常态化了。网号制度就相当于给每个人的上网行为安装一个监视器,所有网上的痕迹(包括浏览痕迹)都可一网打尽打尽地轻易加以收集。网证制度则意味着,上网或使用网络服务提供者提供的服务,将在实质上成为一种需要经过许可才能享有的特权,如果相关部门不提供认证服务,个人就难以享有相应的互联网服务,包括但不限于发言、评论与其他服务。
附:公安部 国家互联网信息办公室关于《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见的公告
2024年07月26日 17:00来源:中国网信网
为强化公民个人信息保护,推进并规范国家网络身份认证公共服务建设应用,加快实施网络可信身份战略,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出意见建议:
1.登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见建议。
2.通过电子邮件将意见建议发送至:[email protected]或[email protected]。
3.通过信函将意见建议寄至:北京市东城区东长安街14号公安部,邮编:100741,或北京市西城区车公庄大街11号国家互联网信息办公室,邮编:100044。来信请在信封上注明“国家网络身份认证公共服务管理办法征求意见”。
意见建议反馈截止时间为2024年8月25日。
2024年7月26日
国家网络身份认证公共服务管理办法(征求意见稿)
第一条 为实施网络可信身份战略,推进国家网络身份认证公共服务建设,保护公民身份信息安全,促进数字经济发展,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,制定本办法。
第二条 本办法所称国家网络身份认证公共服务(以下称“公共服务”),是指国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台(以下称“公共服务平台”),为自然人提供申领网号、网证以及进行身份核验等服务。
本办法所称网号,是指与自然人身份信息一一对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证,是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。
第三条 国务院公安部门、国家网信部门依照各自法定职责,负责国家网络身份认证公共服务的监督管理,监督、指导公共服务平台依法落实数据安全和个人信息保护义务。
国务院民政、文化和旅游、广播电视、卫生健康、铁路、邮政等部门依照本办法和有关法律、行政法规的规定,在各自职责范围内负责国家网络身份认证公共服务的推广应用和监督管理工作。
第四条 持有有效法定身份证件的自然人,可自愿向公共服务平台申领网号、网证。
不满十四周岁的自然人需要申领网号、网证的,应当征得其父母或者其他监护人同意,并由其父母或者其他监护人代为申领。
已满十四周岁未满十八周岁的自然人需要申领网号、网证的,应当在其父母或者其他监护人的监护下申领。
第五条 根据法律、行政法规规定,在互联网服务中需要登记、核验用户真实身份信息的,可以使用网号、网证依法进行登记、核验。
不满十四周岁的自然人使用网号、网证登记、核验真实身份信息的,应当征得其父母或者其他监护人同意。
第六条 鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证,为用户提供安全、便捷的身份登记和核验服务,通过公共服务培育网络身份认证应用生态。
第七条 鼓励互联网平台按照自愿原则接入公共服务,用以支持用户使用网号、网证登记、核验用户真实身份信息,依法履行个人信息保护和核验用户真实身份信息的义务。
互联网平台接入公共服务后,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息,法律、行政法规另有规定或者用户同意提供的除外。
互联网平台应当保障使用网号、网证的用户与其他用户享有相同服务。
第八条 互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的,公共服务平台应当仅提供用户身份核验结果。
根据法律、行政法规规定,互联网平台确需获取、留存用户法定身份证件信息的,经用户授权或者单独同意,公共服务平台应当按照最小化原则提供。
未经自然人单独同意,互联网平台不得擅自处理或者对外提供相关数据信息,法律、行政法规另有规定的除外。
第九条 公共服务平台处理个人信息不得超出为自然人提供申领网号、网证以及进行身份核验等服务所必需的范围和限度,在向自然人提供公共服务时应当依法履行告知义务并取得其同意。处理敏感个人信息的,应当取得个人的单独同意,法律、行政法规规定应当取得书面同意的,从其规定。
未经自然人单独同意,公共服务平台不得擅自处理或者对外提供相关数据信息,法律、行政法规另有规定的除外。
公共服务平台应当依照法律、行政法规规定或者用户要求,及时删除用户个人信息。
第十条 公共服务平台在处理用户个人信息前,应当通过用户协议等书面形式,以显著方式、清晰易懂的语言真实、准确、完整地向用户告知下列事项:
(一)公共服务平台的名称和联系方式;
(二)用户个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)用户依法行使其个人信息相关权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
处理敏感个人信息的,还应当向个人告知处理的必要性以及对个人权益的影响,法律、行政法规另有规定的除外。
第十一条 公共服务平台处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,公共服务平台应当在紧急情况消除后及时告知。
第十二条 公共服务平台应当加强数据安全和个人信息保护,依法建立并落实安全管理制度与技术防护措施。
第十三条 公共服务平台的建设和服务涉及密码的,应当符合国家密码管理有关要求。
第十四条 违反本办法第七条第二款、第八条、第九条、第十条、第十二条规定,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》应当追究法律责任的,由国务院公安部门、国家网信部门在各自职责范围内依法予以处罚;构成犯罪的,依法追究刑事责任。
第十五条 本办法所称法定身份证件,包括居民身份证、定居国外的中国公民的护照、前往港澳通行证、港澳居民来往内地通行证、台湾居民来往大陆通行证、港澳居民居住证、台湾居民居住证、外国人永久居留身份证等身份证件。
第十六条 本办法自 年 月 日起施行。
关于起草《国家网络身份认证公共服务管理办法(征求意见稿)》的说明
一、起草必要性
为全面贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》中关于国家实施网络可信身份战略、推进网络身份认证公共服务建设等有关规定,国家组织建设网络身份认证公共服务基础设施,旨在建成国家网络身份认证公共服务平台,形成国家网络身份认证公共服务能力,为社会公众统一签发“网号”“网证”,提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。基于国家网络身份认证公共服务(以下简称公共服务),自然人在互联网服务中依法需要登记、核验真实身份信息时,可通过国家网络身份认证APP自愿申领并使用“网号”“网证”进行非明文登记、核验,无需向互联网平台等提供明文个人身份信息。由此,可以最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。为进一步强化个人信息保护、规范公共服务的运行管理,公安部、国家互联网信息办公室等有关部门经充分调研论证,起草了《国家网络身份认证公共服务管理办法(征求意见稿)》(以下简称《管理办法》)。
二、主要内容
《管理办法》共16条,主要包括四个方面的内容:一是明确了公共服务和“网号”“网证”等概念;二是明确了公共服务的使用方式和场景;三是强调了公共服务平台和互联网平台的数据和个人信息保护义务;四是明确了公共服务平台和互联网平台违反数据和个人信息保护义务的法律责任。
三、主要考虑
《管理办法》根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》的规定,明确了使用“网号”“网证”进行网络身份认证的方式,并对“网号”“网证”的申领条件、公共服务的使用场景、法定身份证件范围、数据和个人信息安全保护义务等基础性事项作出规定。此外,依照《中华人民共和国个人信息保护法》《未成年人网络保护条例》等对未成年人的特殊保护要求,对未成年人申领、使用公共服务作出了特别规定。
《管理办法》鼓励互联网平台接入公共服务,支持用户使用“网号”“网证”登记、核验真实身份,并作为其履行用户真实身份核验和个人信息保护等法定义务的一种方式。对自愿选择使用“网号”“网证”的用户,除法律法规有特殊规定或者用户同意外,互联网平台不得要求用户另行提供明文身份信息,最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。
《管理办法》严格依照《中华人民共和国个人信息保护法》等上位法的规定,充分保障了用户个人信息相关权利。明确了公共服务平台采集个人信息的“最小化和必要性原则”,即公共服务平台处理个人信息不得超出为自然人提供“网号”“网证”相关服务所必需的范围和限度。明确了公共服务平台处理用户个人信息时的解释告知、数据保护等义务,充分保障用户的知情权、选择权、删除权等个人信息相关权利。
《管理办法》明确了身份核验结果信息的“最小化提供原则”和依法处理要求。对依法需要核验用户真实身份但无需留存用户法定身份证件信息的,公共服务平台应当仅向互联网平台提供核验结果;对于依法确需获取、留存用户法定身份证件信息的,经用户单独同意,公共服务平台应按照“最小化原则”向互联网平台提供必要、相关的明文信息。