专题研讨 | 如何平衡开展“实名认证”与最小化处理个人信息的原则?
1、研讨背景
以下观点仅代表专家个人观点。
2、研讨问题
研讨问题1:为支撑国家互联网治理工作需要,切实保障用户权益,维护业务安全稳定运行,实名认证有哪些具体场景应用和实现方式?如何判别具体目的属于履行法定义务或业务所必需?
精彩观点如下:
研讨问题2:实名认证的程度层级如何区分?不同层级需要收集的数据有何不同?如何确定不同实名认证层级所适用的场景?哪些典型业务场景不需要进行实名认证也能一定程度达成业务目的?
精彩观点如下:
为便于理解,实名认证的程度可简单分为三个层级,认证的效果也逐步增加。第一层级:实名登记,通常是收集个人关联身份,如已经认证过的手机号、银行卡号等,部分有明文规定的场景下,也可能需要进一步登记身份证号等信息。第二层级:实名实证,通常是收集个人的法定身份,如身份证件信息,并对证件中信息的真实性进行验证。第三层级:实名实人实证,即在个人已提供上述实名实证的信息的基础上,为证明身份信息为本人使用,而非盗用他人身份,其典型方式为通过生物识别信息进行匹配,如使用人脸识别技术核实身份。
即使是存在实名认证的需求,也应当根据不同的业务场景选择适当的认证层级,具体则需要综合考虑企业的履责需求、社会公共利益、行业特殊需求和企业自身运营的风控要求(在合理业务范畴,还要出于本人意愿)等要素。
如果现有法律法规的要求还未细致到具体采取何种认证方式,则宜采取“高风险”场景强认证、“低风险”场景弱认证的思路来指导实践。例如,央行发布的《非银行支付机构网络支付业务管理办法》(2015年第43号文)中提出三种不同层级的支付验证要素,并提出随着支付金额增加,所使用的验证要素维度和数量增加,这一机制正体现了区分风险层级、使用动态身份核验机制保护用户财产安全的思路。
“高风险”的场景如:易引发财产(包括高价值的虚拟财产)严重受损的金融支付场景、易导致未成年人沉迷的网络游戏场景、易对社会层面影响广泛的内容发布者账号注册场景等。一般风险的场景通常包括公众广泛使用的网购、社交、论坛等,这些场景下通常仅通过手机号注册实现身份认证。
并非所有互联网服务都需以实名认证作为提供服务的前提。在一些低风险业务场景,即使没有进行实名认证照样能够给用户提供服务,比如:资料、软件下载服务仅需要注册登录普通账号后即可使用;在提供纯浏览模式(区别于上传、发布、传播信息)的场景下,如浏览新闻、短视频、影音、社区信息、商品展示,使用地图导航、输入法、浏览器等,用户甚至连注册登录账号都不需要。
研讨问题3:以“人脸核身”为例,其应用的范围主要在哪些领域,其出发点是为了应对何种风险?是否取得了良好的效果?用户的评价如何?
精彩观点如下:
“人脸核身”即使用人脸识别技术核实身份,其应用范围主要是“高风险”场景,即通过手机号、身份证号码、用户行为等无法达到有效控制风险的目的,特别是某些已经有实际危害发生且对用户切身利益产生严重危害的案例时,比如驾驶安全、乘车安全,通常采用“人脸核身”的机制。此外,“人脸核身”可以作为一种动态措施被临时、一段时间内使用,比如为降低安全事件影响采取的应急处置措施,基于公共安全考虑、配合有关专项治理行动、活动保障等情形。
在保护未成年人方面,部分网络游戏平台将“人脸核身”运用到游戏登录与支付环节等情形中,使得未成年人身份验证过程更为准确,促使防沉迷等未成年人的保护要求得以有效落地。在助力反诈方面,在个人身份信息已经泄露、黑灰产诈骗手法快速迭代的情况下,“人脸”可显著提高黑灰产账号的识别和拦截率。
除保障安全运营目的外,近年来一些领域应用“人脸核身”,线下服务变线上办理,人工审核变自助刷脸,民众生活便利性也得以提升,包括机场、火车站、银行、营业厅、政务大厅等公共服务场所的排队明显减少。此外,刷脸即可通过验证降低了老年人群体使用线上网络服务的门槛。
在用户反馈评价方面,如果在风险较低场景下强制要求“人脸核身”,如门禁、登记等,则用户意见较大、投诉较多。如果在法律法规明确要求或与个人权益保护密切相关的场景下开展“人脸核身”,只要告知充分,还是能够得到用户的理解,但也需要获得用户的明示同意。
总体上来看,“人脸核身”由于涉及敏感个人信息即人脸信息的收集使用,民众对信息使用的规范性、数据的安全性等普遍存在担忧,这就需要使用人脸识别技术处理数据的个人信息处理者将安全措施做到位、相关机制告知到位、权利保障落实到位。
研讨问题4:“实名认证”过程中,互联网平台可采取哪些必要的安全保护措施?对于敏感的“身份证信息”“人脸信息”,在防止泄露、滥用方面,有哪些技术和管理上的创新举措?
精彩观点如下:
初始实名认证的过程,首先要考虑的是所处理的个人信息留存的规则,“是不是要留?留哪些?留多久?”。比如,根据《信息安全技术 个人信息安全规范》(GB/T 35273),人脸识别的原始信息不得留存。如果根据认证的需要确需留存原始身份信息的,则尽可能将原始身份信息与相关的其他个人信息分离存储,对原始身份信息进行加工处理,形成具有唯一性、无法反推出原始身份信息的凭证信息,后续使用凭证信息即可,从而避免对原始身份信息的二次使用。
身份再次鉴别的过程中,原则上不应留存再次收集的个人信息,在于身份认证的原始信息生成的凭证信息进行比对后,即可删除收集的数据。同时,还应尽可能将一部分鉴别过程在本地处理,以减少数据的上传,比如“人脸核身”中的活体检验过程,利用算法在本地即可完成处理,无需传至后台,而且此检验过程处理的数据可不包含体现个人特征的信息。
如果实名认证、身份再次鉴别过程中涉及多个角色,数据传输过程、数据接口的安全需要重点关注,不同角色对相关数据处理的责任、范围、权限需要明确。
涉及处理用户实名认证信息的系统,宜至少参照网络安全等级保护三级要求进行建设。同时,宜对保存有实名认证原始信息(如身份证号码)的数据库、数据接口进行全流量审计和风险监测,对可能接触到原始信息的特权账号严格管理,对导出数据的敏感操作严格审批,从而让实名认证信息处于安全的网络环境中。如果在身份认证过程中涉及人工审核的环节,比如人工判断人与身份证件是否匹配,对可能接触到信息的业务人员要实施更为严格的管理。
新技术的发展、应用,为保障数据安全带来了创新思路。比如,区块链等技术的应用为数据的使用授权、流通管理、责任追溯等带来了新的解决思路。随着隐私计算等技术的推广,在核验身份及相应的安全风控环节,能进一步降低多源数据使用和流动的安全风险。
研讨问题5:“实名认证”过程,可能会让用户遭遇“不通过验证不让用”的境地,如何看待该现象的合规性?如何通过改善设计,兼顾“实名认证”过程的合规和履责所需?
精彩观点如下:
不管是基于履行法定义务,还是出于业务实际需要,实名认证合规工作的第一步就是做好告知,充分保障用户的知情权。告知的内容可以具体到相关法律法规的具体条文,对业务开展的必要性的说明,对所收集个人信息的安全措施、个人权利保障机制的说明等。
很多情况下,实名认证还是避免不了需要通过“取得同意”的方式,以满足合规的需要。企业宜将实名认证后使用的功能服务与不需要实名认证可以使用的服务予以区分,当用户不同意时,还应当提供对用户有实际价值的基本功能服务(除非提供的基本功能服务是法律法规要求进行实名认证才能使用,比如网络社交),从而兼顾到合规需要和增加用户黏性的目标。
对于可能对个人权益产生重大影响的“高风险”场景,如果能以生动、形象的方式向用户告知实名认证、身份再次鉴别的价值,则有助于用户在“同意”的选择过程中作出更有利于自己切身利益的判断。同时,告知内容中阐述所采取的安全措施也很重要,比如对信息的加密保护、不留存措施、个人信息处理者或者其他相关方已经取得的合规认证、与官方认证渠道的关联关系、相应的救济渠道等,都将有助于建立用户对企业个人信息保护的信心。
如果用户因实名认证过程失败可能导致账号使用受到限制,还可通过提供多次验证机会、更换同等强度的验证方式、人工渠道或线下沟通引导等方式进一步保障用户的选择权,以提升实名认证过程中的用户体验。身份认证过程中,倘若发现用户未使用真实信息进行认证的,可在告知声明内容中进一步强调应当遵循的法律依据、核验用户身份的理由、多次核验失败后可能产生的后果(比如账户暂时锁定)等,以获得用户的理解。
研讨问题6:“实名认证”所表现出的矛盾性是互联网治理的一大难题,如何通过友好告知、知识科普、合理引导等方式增进各方对其的全面认识,如何通过政府、行业、企业协同的方式提出更加积极有益的思路,促进互联网健康、有序、安全发展?
精彩观点如下:
“实名认证”所表现出的矛盾性是“安全”与“隐私”的两个价值本身存在的一定冲突和矛盾所决定,是一个高度关联、复杂、综合的网络生态治理命题,需要综合考虑立法、执法、基础资源支持、技术手段、知识科普等因素,也是需要政府、行业组织、互联网服务提供者、电信运营商、移动智能设备生产商等共同参与、形成合力、协同推进的一项意义重大的工作。
建议进一步完善相关立法体系建设,加快推进《反电信网络诈骗法》《互联网用户账号名称信息管理规定》等法律法规落地实施。充分发挥有关行业组织的作用,研究制定实名认证相关的合规指引或白皮书,进一步丰富研究成果并指导实践。
建议联合多方力量,积极推进身份联合、身份互认等措施,切实减少身份信息多次收集、反复收集的问题,以最小影响的原则实现虚拟网络空间和现实世界的映射关系,使用户的法律责任能从现实世界延续到网络空间。
建议对实名认证的积极作用进行科普宣传,比如在反诈、反洗钱、账号安全、未成年人保护等方面取得的突出效果,便于广大网民识别侵权主体,营造清朗的网络空间。同时,对不合理的、非必要的实名认证情形进行曝光、监督,使广大网民能够进行辨别,以免个人身份信息被过度收集。
(文章来源:)