邮发代号 2-786
征订热线:010-82341063
近日,为强化公民个人信息保护,推进并规范国家网络身份认证公共服务建设应用,加快实施网络可信身份战略,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法(征求意见稿)》(简称“《管理办法》”),面向社会公开征求意见。国家组织建设网络身份认证公共服务基础设施,旨在建成国家网络身份认证公共服务平台,形成国家网络身份认证公共服务能力,为社会公众签发“网号”“网证”,提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。网号,是指与自然人身份信息一一对应,由字母和数字组成、不含明文身份信息的网络身份符号;网号只与个人身份有关,而与应用系统无关。当前网号主要用于落实网络实名制关于真实身份核验场景要求。
网号不等同于账号。网民上网一般使用账号、口令登录信息系统。账号是用户在一个具体信息系统中的具体代号,用于区别不同用户实体,在信息系统中账号是唯一的。用户一般使用账号和口令登录应用系统,用户浏览、评论、交易等行为一般仅与账号相关联。账号一般包括账号信息、身份信息和业务信息三方面内容:账号信息:只用来描述账号,和用户本人是一对多的关系,一个人可以建立多个账号;身份信息:如果没有实名要求,则不必留存该信息。该信息用来核验实名身份,和用户是一对一的关系,一个用户有且仅有一个实名身份;在没有网号之前,网民需要提供身份证号码和身份证核验需要的相关信息;申领网号后,可以使用网号来核验身份信息,不再需要留存身份证号码等相关信息。业务信息:用来存放业务所需要的信息。举例来说,如果用户是浏览帖子,就不需要地址信息;但如果是点外卖,那就需要提供地址信息了,否则不知道将外卖送到哪里。这里的信息需求依赖于细分业务场景。由以上可以确定,网号与账号各自所承担的职责使命是不同的。网号主要用于后台的用户身份实名核验,账号主要用于用户登录系统和访问资源并记录访问行为,两者不能相互替代。网证不是网络身份证。网证,是指承载网号及自然人非明文身份信息的网络身份认证凭证。它仅是在使用网号核验网民真实身份时需要出具的认证凭证,与普通意义上的网络身份证不同。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。
当前,网民个人身份信息被过度收集使用问题非常突出。身份证号码、手机号码在网络空间被滥用,部分互联网平台以落实实名制、提供民生政务服务为由,要求用户提供个人身份信息。在此过程中,互联网平台超范围收集、违规留存使用用户个人身份信息,个人信息及数据泄露的情况时有发生。个人身份信息大面积泄露,个人隐私泄漏事件频发,严重危及人民群众生命财产安全。《管理办法》鼓励互联网平台接入公共服务,支持用户使用“网号”“网证”登记、核验真实身份,并作为其履行用户真实身份核验和个人信息保护等法定义务的一种方式。对自愿选择使用“网号”“网证”的用户,除法律法规有特殊规定或者用户同意外,互联网平台不得要求用户另行提供明文身份信息,最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。《管理办法》明确了身份核验结果信息的“最小化提供原则”和依法处理要求。对依法需要核验用户真实身份但无需留存用户法定身份证件信息的,公共服务平台应当仅向互联网平台提供核验结果;对于依法确需获取、留存用户法定身份证件信息的,经用户单独同意,公共服务平台应按照“最小化原则”向互联网平台提供必要、相关的明文信息。申领网号使用网号都是基于自愿原则。网号推行实施后,并不改变老百姓的网上日常工作生活形态。
没有网号,网民依然该上网上网、该发帖发帖、该购物购物、该出行出行。部分想更好地保护个人隐私的网民,基于不愿向互联网平台提供明文身份信息的意愿,自愿申领了网号网证,可在以下需要网络实名制登记的场合使用网号网证:当你使用APP转账、购物、订票时,按国家要求需进行实名登记和认证,原先要提交身份证号码、身份证正反面照片等信息,还需要进行刷脸认证;使用网号后,则仅需向互联网平台填写提交网号的明文符号,使用网证进行实名认证即可,身份证号码、身份证正反面照片等个人身份信息不必留存在互联网平台了。注意,此时上述网民依然使用这些APP账号和认证凭证登录系统,进行支付、预订等各项操作,网号仅在实名登记和核验场景下使用。网号网证的设计初衷,就是要解决个人身份信息真实性核验和过度收集使用问题,为老百姓提供一个真实可信安全方便的网络身份和认证凭证。即使在现实生活中,也不是所有的场合都需要对居民身份证进行查验。为便民利企,《居民身份证法》在“第三章 使用和查验”规定,仅仅是在一些需要严格核验身份的场景下才使用和查验居民身份证。为方便用户使用,降低建设、管理和应用推广成本,网证可分可信等级实施管理。由于制作和使用成本较高,验证程序严苛,高可信等级的网证应仅需要在涉及生命财产安全相关、国家网络实名制要求的重要应用场景中使用和核验。四、网号的推行可大幅降低落实实名制管理要求的合规成本
从成本角度看,平台企业落实实名制管理要求的成本主要包括用户实名数据核验的渠道成本和系统开发及数据保护成本,其中用户实名数据核验的渠道成本较高。平台企业落实实名制管理要求,一般会通过公安部相关机构、三大运营商、银联等渠道进行用户实名数据核验,每次实名核验一般都会发起付费查询,成本较高。
从身份信息核验方式看,从最基础的身份证二要素(姓名、身份证号)逐渐拓展到运营商三要素(姓名、身份证号、手机号)、银行卡三要素(姓名、身份证号、银行卡号)、银行卡四要素(姓名、身份证号、银行卡号、银行预留手机号),另外人脸识别比对方式也逐步普及开来。大型互联网平台自身资本、人才和技术实力都比较雄厚,也舍得投入,个人身份信息保护能力比较强,总体来讲落实实名制管理要求比较到位。中小互联网平台企业由于资本、人才和技术实力较弱,生存和竞争压力较大,个人身份信息保护能力建设方面投入较少,收集的用户身份信息数据泄露事件频繁发生,个人身份信息保护状况堪忧。国家建设统一的网络身份认证公共服务平台,在由国家平台统筹对接和落实各行业实名制管理要求的同时,可以有效保护个人信息及数据安全。企业仅需接入国家平台并按需使用国家平台提供的身份认证服务,即可满足各行业实名制管理要求;同时,由于不再留存用户身份数据,数据安全保护的压力自然也减轻了不少。综上,采用网号核验用户真实身份后,将大幅降低企业落实网络实名制和数据保护的合规成本。网络实名制,是指按国家法律法规以及行业管理要求,网络行为人在办理或开展某项网络活动时需要提供能证明个人真实身份的有效证件或资料的制度安排。
2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》第六条规定:网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。《决定》对推动国家开展网络身份管理和实行“前台自愿、后台实名”的网络实名制提供了上位法律遵循。目前,与落实网络实名制管理要求相关的国家法律主要包括:《中华人民共和国网络安全法》《中华人民共和国反洗钱法》《中华人民共和国未成年人保护法》《中华人民共和国电子商务法》《中华人民共和国反恐怖主义法》《中华人民共和国反电信网络诈骗法》《中华人民共和国电信条例》等。基于国家网络身份认证公共服务(以下简称“公共服务”),自然人在互联网服务中依法需要登记、核验真实身份信息时,可通过国家网络身份认证APP自愿申领并使用“网号”“网证”进行非明文登记、核验,无需向互联网平台等提供明文个人身份信息。国家网络身份认证公共服务可以创造巨大经济价值。根据麦肯锡有关数字身份的研究报告《数字身份:包容性增长的关键》表明,由国家提供的网络身份公共服务可以为各国创造巨大经济价值。文中指出,到2030年,各国通过实施由国家提供的网络身份公共服务可以释放相当于3%到13% GDP的经济价值。(来源:光明网)
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664222321&idx=3&sn=d91e3eb7d6f56beb1a8e86c72eb0743b&chksm=8b59cc88bc2e459e24cf5acc08d4e69198d9caa7ee2f9506d8ff0d855652e66251f4c6c61224&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh