您的位置: 首页 > 实时讯息 >

网证网号将落地,“网络身份证”如何保护个人信息?

0次浏览     发布时间:2025-06-10 19:12:00    




经过一年多的广泛征求意见,《国家网络身份认证公共服务管理办法》对确保网号网证使用的自愿性、保障未使用网号网证用户享有同等网络服务的权利等多个条款进行了针对性调整

文|《财经》研究员 樊朔

编辑 | 朱弢

5月下旬,公安部、国家网信办等六部门联合发布了《国家网络身份认证公共服务管理办法》(下称《管理办法》),该办法将于7月15日起施行。
《管理办法》此前经过一年多的广泛征求意见和深入研究,最终版本进行了多处关键调整和完善,重点增加确保网号网证使用的自愿性、确保未使用网号网证用户享有同等服务、加强公共服务平台数据安全监管、加强未成年人权益保护等内容。
公安部有关部门负责人在答记者问时表示,推行国家网络身份认证具有充足的法律依据。《网络安全法》第24条规定“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”;《个人信息保护法》第62条规定“支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设”;《反电信网络诈骗法》第33条规定,“国家推进网络身份认证公共服务建设,支持个人、企业自愿使用,电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者对存在涉诈异常的电话卡、银行账户、支付账户、互联网账号,可以通过国家网络身份认证公共服务对用户身份重新进行核验”。

网证网号申领方式及应用场景

《管理办法》明确了国家网络身份认证公共服务及网号、网证的概念、申领方式,以及效力和应用场景。
《管理办法》规定,网号,是指与自然人身份信息相对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证,是指承载网号及自然人非明文身份信息的网络身份认证凭证。
同时,所有持有有效法定身份证件的自然人,可以自愿向公共服务平台申领网号、网证。
而在应用场景方面,《管理办法》明确,在互联网服务中需要登记、核验用户真实身份信息的,可以使用网号、网证依法进行登记、核验。
《管理办法》鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证,同时应当保留、提供现有的或者其他合法方式进行登记、核验用户真实身份。
在2024年7月《管理办法》的征求意见稿发布前后,“国家网络身份认证试点版”App便已上线。
公安部有关部门负责人表示,在《管理办法》征求意见期间,“国家网络身份认证”App下载量同比增长90.9%,网号网证申领量同比增长129.9%,客服咨询量同比增长295%。
试用“国家网络身份认证”App时看到,成年人申领网络身份认证凭证时需要四个步骤:一、 需要具有NFC功能的手机识读居民身份证、港澳居民居住证、台湾居民居住证、外国人永久居留身份证等证件;二、进行人脸识别;三、通过短信验证码关联手机号;四、设置口令。申请成功后,申请人会获得一串字母与数字的组合,即网号。
根据“国家网络身份认证”App公布的应用场景,网证网号已实现“国家政务服务平台”一键登录,微信、淘宝等常用App则可以使用网证网号实现异常账号用户身份重新核验。
北京大学法学院副教授胡凌曾在接受《南风窗》采访时表示,现有网络身份认证实践主要集中在手机号和互联网平台账号共享两类。通过网号、网证制度,身份核验部分地从电信运营商和大厂转向国家网络身份认证公共服务平台,由公安部、网信办等部门监督管理。
胡凌告诉《财经》,目前主流互联网平台已经开始接入网证系统,和现有基于手机号或其他如人脸等认证方式会并存,不同主体和场景会选择对他们最合适的方式进行认证,不同认证方式的成本收益组合可能不同,需要根据用户和单位的选择持续进行观察。

申领遵循自愿原则

2024年7月,《管理办法》的征求意见稿公布后,引发了一些争议,主要集中于两点。
第一,虽然征求意见稿强调自愿原则,但在实际应用中,用户可能会被迫使用“网号”和“网证”,从而失去选择权。
第二,统一收集和管理大量个人身份信息,可能会导致更大的泄露风险。
对此,公安部有关部门负责人表示,2024年7月26日至8月25日,公安部、国家网信办就《管理办法》向社会公开征求意见。其间,各渠道收到意见建议1.7万余条。
征求意见之外,《管理办法》的制订者还先后组织三场专家研讨会,充分听取网络技术、法律领域的专家学者以及互联网企业、行业领域代表等的意见建议,
《管理办法》的最终版本对确保网号网证使用的自愿性、保障未使用网号网证用户享有同等网络服务的权利等多个条款进行了调整。
在用户权益保护方面,进一步强化了用户选择权。在此前的征求意见稿强调用户可自愿申领网号、网证的基础上,最终版的《管理办法》增加了规定,互联网平台应当保障通过其他方式登记、核验真实身份的用户与使用网号、网证的用户享有同等服务。
胡凌表示,数字认证方式不像具有物理载体的身份证或其他证件,需要依赖于数字设备或主流App。一种基础身份标识符想要覆盖全体公民,需要具有最基本的硬件和软件准备,而这恰好是碎片化的,不仅硬件和操作系统分散,还有相当多的人口处于数字鸿沟当中,因此,过去无论是电话号码、人脸、eID覆盖面都有其边界,没有实现全面覆盖,并不断伴随认证技术的变化而变化。因此国家网络身份认证服务的普及一定会经历多元技术共存的过程。

如何助力个人信息保护?

公安部有关部门负责人表示,基于个人真实身份信息的认证服务需求出现爆发式增长,部分满足了网络空间办理业务的信任基础,但也引发了新的问题:互联网平台难以找到权威、可靠、便捷的公民身份认证方式;个人身份信息被非法采集;数字经济缺乏可信数字身份作为支撑等。
这位负责人表示,与现有认证方式相比,国家网络身份认证公共服务具有权威性、安全性、可信性、便捷性、公益性等优势。
其中,特别值得一提的是安全性特点,国家网络身份认证公共服务以匿名方式认证身份,能够减少公民身份证号码、姓名等明文身份信息的直接使用,可有效避免相关方过度采集、留存个人身份信息,有效保护个人信息和隐私的安全。
清华大学人工智能研究院教授郑方则指出,平台调用国家网络身份认证服务时,不允许记录明文身份信息,所有敏感数据都存储在国家认证平台,平台只能获得认证结果。这种“一认一用”的动态认证机制,类似“一次一密”,即每次认证都独立,无法被复制或滥用,极大提升了信息安全性。
《管理办法》还明确,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息,法律、行政法规另有规定或者用户同意提供的除外。
胡凌表示,通过网证网号核验身份信息,可以阻止很多App明文收集用户身份证号和电话号码,因此会减少可能的电话或短信骚扰。此外,网证网号的界面以动态变化的二维码形式显示,实际上也会降低泄露个人信息的风险,因为即使泄露二维码也可能失效。另外,网证还可以帮助很多线下单位(如企业)和服务(如博物馆、演唱会)通过认证设备而得到认证,降低其认证成本,甚至在未来出现新的卫生公共事件时,可以承担统一认证的功能。
但赵宏表示,目前的服务实践表明,尽管使用网号网证可以减少提供其他个人信息,但一些App在要求提供网号网证的同时,仍要求提供身份证号码等其他信息。
对于《管理办法》规定的,应当保障通过其他方式登记、核验真实身份的用户与使用网号、网证的用户享有同等服务。
胡凌认为,保障未使用网证网号用户享有同等服务完全不是问题。未使用网证网号的用户在登录现有的App时使用的仍然是旧有的认证方式,原则上不会受到影响。“反而是使用网证的用户能否得到同等服务是需要保证的,比如界面跳转、功能设置等。”胡凌说。

认证平台如何保证数据安全?

为回应公众对于信息泄露的担忧,在数据安全和保护方面,《管理办法》的最终版本进行了多项重要调整。
比如,新增规定,公共服务平台仅限收集网络身份认证所必需的信息,处理个人信息或者向自然人提供公共服务,应当依法履行告知义务并取得其同意。同时,明确公共服务平台不得将相关数据用于用户登记、核验真实身份以外的目的。
《管理办法》还规定,互联网平台确需获取、留存用户法定身份证件信息的,经用户授权或者单独同意,公共服务平台应当按照最小化原则提供。
公安部第一研究所研究员于锐此前在接受新华社采访时表示,国家网络身份认证公共服务的工作原理,是基于国家人口基础信息库对用户身份进行远程比对核验,人口信息是国家本已掌握的信息。用户在申领、使用网号、网证的过程中,公共服务按照“最小必要”原则,仅采集与用户身份认证密切相关的信息,如通过NFC功能识读证件来验证证件真伪,通过人脸识别来验证用户本人操作,通过手机号来确认本人意愿和应急联络,通过手机参数来确认运行环境的安全性,除此之外,不采集其他个人信息。
胡凌表示,在信息时代,信息泄露的风险一直都有,平台只能不断强化防护保卫手段。在过去,无论是集中的还是分散竞争的认证技术体制,都有可能导致用户身份信息泄露。关键要看新型的身份认证机制是否更加便利。“只要比较优势存在,就是值得开发的。”胡凌说。
公安部有关部门负责人表示,国家网络身份认证公共服务平台通过四项举措有效保护数据安全:
一是通过匿名化技术保护公民身份信息、数据,实现“数据可用不可见”。平台的身份数据基于国家标准密码算法和复杂的运算过程完成匿名转换,技术方案获得了有关主管部门评审认可。
二是通过体系化的数据安全方案实现数据的全生命周期安全保护。从业务性质、使用范围、关联影响、合规要求等维度对数据进行分级分类,建立全生命周期安全防护体系。
三是建立完善的数据运维安全流程,严格数据访问控制和审批管理。对数据使用全程审计,确保合法合规。严格数据运维人员管控,统一访问入口,依据角色级别及权限匹配身份鉴别措施,实现数据接触可管可控,确保数据访问行为全程可追溯。
四是坚持实战化攻防演练,实现主动防御的持续化数据安全防护。周期性开展实网攻防演练、安全风险评估、等级保护测评、商用密码评估等工作,保持联防联动的安全机制,不断提高网络安全意识和知识水平,及时发现和修补安全漏洞,提升系统整体数据安全水平。
此外,《管理办法》严格依照《数据安全法》等法律规定,要求国家网络身份认证公共服务平台采取有力措施,保护数据安全。例如,公共服务平台处理的重要数据和个人信息应当在境内存储;因业务需要确需向境外提供的,应当按照国家有关规定进行安全评估。

责编 | 张生婷

题图 | IC

相关文章