前言
一直以來,網絡安全是懸掛在企業頭頂的達摩克利斯之劍。按照《網絡安全法》的相關規定,在中華人民共和國境內建設、運營、維護和使用網絡的企業應做好網絡安全工作,包括做好網絡安全等級保護制度;購買的網絡產品、服務應服務國家標準的強制性要求;做好個人信息保護工作;落實網絡實名制要求等。近年來,筆者在為大數據公司、互聯網企業、高新技術企業等提供法律服務的過程中,梳理了網絡安全的合規要點,形成以下系列文章,希望對讀者有所裨益。
因篇幅限制,本文章分為上、下兩篇,上篇介紹簡析“網絡實名制”入刑的構成要件與現有“網絡實名制”的認證模式,下篇介紹現有“網絡實名制”認證模式存在入刑風險的原因、對“網絡實名制”認證模式的再建構及結語。以下為上篇內容。
一、“網絡實名制”認證模式的入刑風險
《中華人民共和國刑法》第286條之1條規定“網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金:
(一)致使違法信息大量傳播的;
(二)致使用戶信息泄露,造成嚴重后果的;
(三)致使刑事案件證據滅失,情節嚴重的;
(四)有其他嚴重情節的。
單位犯前款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照前款的規定處罰。有前兩款行為,同時構成其他犯罪的,依照處罰較重的規定定罪處罰。”《中華人民共和國刑法》對于“有其他嚴重情節的”并未作出具體規定,但在2019年10月21日,最高人民法院、最高人民檢察院發布《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》(以下簡稱“兩高解釋”),該文件指出“對絕大多數用戶日志未留存或者未落實真實身份信息認證義務的”,視為“有其他嚴重情節”,或將處以“三年以下有期徒刑、拘役或者管制,并處或者單處罰金”
【1】,該規定就此引發網絡服務提供者未做“網絡實名制”或將入刑的輿論風波。
二、簡析“網絡實名制”入刑的構成要件
自“兩高解釋”發布以來,網絡服務提供者未做“網絡實名制”或將入刑的言論塵囂甚上,筆者將從未做“網絡實名制”或將入刑的主體、前置條件、后果等要件進行分析,以析清“網絡實名制”入刑的構成要件。
(一)未做“網絡實名制”或將入刑的主體
《刑法》第286條之1條規定網絡服務提供者應當履行法律、行政法規規定的信息網絡安全管理義務,未履行義務或將入刑。然而筆者研究發現,網絡服務提供者履行的信息網絡安全管理義務可能是履行“網絡實名制”義務,可能是建立“網絡安全等級保護制度”
【2】,抑或是采用“符合相關國家標準的強制性要求”的網絡產品、服務
【3】等義務,網絡服務提供者并非均需要提供“網絡實名制”認證義務,例如提供界面瀏覽的網站,因未與用戶互動,無須采集用戶信息,此種狀況下并不需要履行“網絡實名制”的義務。
“兩高解釋”規定網絡服務提供者,包括提供“信息網絡接入、計算、存儲、傳輸服務”“信息網絡應用服務”“利用信息網絡提供的公共服務”等類型的機構,那么,這些機構中屬于哪些需要履行義務的機構呢?《網絡安全法》第24條規定履行“網絡實名制”義務的主體應是為用戶辦理“網絡接入”“域名注冊服務”等信息網絡接入服務,或者為用戶提供“信息發布”“即時通訊”的信息網絡應用等服務的機構
【4】。《網絡安全法》運用“等”字賦予其他部門擴充解釋的空間,隨后國家新聞出版廣電總局、網信辦下發文件規定網絡直播、網絡游戲等機構也須履行“網絡實名制”義務
【5】。筆者發現,官方對“網絡實名制”的履行機構僅作列舉式規定,未有概括性定義,這使得實務中互聯網企業對是否需要履行“網絡實名制”義務產生困惑。筆者認為,倘若互聯網企業因法律規定或商業需要,需要用戶注冊賬號、提供身份信息等資料,均應主動履行“網絡實名制”義務。
(二)未做“網絡實名制”或將入刑的前置條件
如果網絡服務提供者需要履行“網絡實名制”的義務,如其不依法履行義務,必不會立刻遭受刑事處罰。根據《刑法》第286條之1條的規定,網絡服務提供者不履行“網絡實名制”的義務,在“經監管部門責令采取改正措施而拒不改正”的前提下,才可能觸發入刑風險。換言之,網絡服務提供者未做“網絡實名制”,在被監管部門處以行政處罰后,仍拒不履行“網絡實名制”的義務,在這種條件下,才有可能觸發刑事風險,面臨牢獄之災。
如何認定上述所謂的“監管部門”呢?根據《網絡安全法》第61條規定“未要求用戶提供真實身份信息,或者對不提供真實身份信息的用戶提供相關服務的,由有關主管部門責令改正。”該規定并未明確“網絡實名制”的監管機構。但《互聯網用戶賬戶名稱管理規定》規定未做“網絡實名制”的互聯網企業將由“互聯網信息辦公室依據職責,依法予以處罰”
【6】;《關于防止未成年人沉迷網絡游戲的通知》規定未落實“網絡實名制”的互聯網游戲公司,“各地出版管理部門”有權責令限期改正,直至吊銷相關許可
【7】,由此推論“網絡實名制”是由多部門監管,而具體是哪些部門監管,筆者認為法律規定層出不窮,當前尚無定論,但由于“網絡實名制”涉及網絡安全事項,國家網信部門、電信主管部門和公安部門是重要的監管部門
【8】。
(三)未做“網絡實名制”或將入刑的后果
《刑法》第286條之1條規定未做“網絡實名制”的網絡服務提供者,如果主體是個人,個人將可能面臨“三年以下有期徒刑、拘役或者管制,并處或者單處罰金”的刑罰;如果主體是單位,單位將可能面臨罰金處罰,并對單位直接負責的主管人員和其他直接責任人員,依照“三年以下有期徒刑、拘役或者管制,并處或者單處罰金”的規定處罰;如果網絡服務提供者在不履行“網絡實名制”時,同時構成其他犯罪的,將依照處罰較重的規定定罪處罰。
網絡服務提供者如果想從事網絡經營業務,必須取得《基礎電信業務經營許可證》或者《增值電信業務經營許可證》,而根據《電信業務經營許可證管理辦法》的規定
【9】,公司才有資質申請上述許可證,這意味著個人無法取得許可證。同時,履行“網絡實名制”義務要承受較重的成本負擔,無法從事網絡增值電信業務的個人也難以承受。因此可以看出,《刑法》第286條之1條的規定,側重在于規范主體是單位的經營活動。
三、現有“網絡實名制”的認證模式
由于網絡服務提供者如不履行“網絡實名制”義務,確有遭受刑事處罰的風險,因此履行“網絡實名制”成為網絡服務提供者的強制性義務。但是,不同于真實世界接觸到的鮮活個人,互聯網經營者和用戶處于線上匿名的兩端,如何確保用戶提供的是真實身份呢?換言之,如何保證網絡服務提供者已經切實履行了“網絡實名制”的認證義務?
(一)當前“網絡實名制”的發展情況梳理
1997年公安部發布《計算機信息網絡國際聯網安全保護管理辦法》,規定互聯單位、接入單位及使用計算機信息網絡國際聯網的法人和其他組織應當“建立計算機信息網絡電子公告系統的用戶登記和信息管理制度”
【10】,此文件首次規定互聯網企業要收集用戶的互聯網信息,但對于應收集哪些信息未做詳細說明。2000年《互聯網信息服務管理辦法》進一步規定收集的用戶信息應當包括“上網用戶的上網時間、用戶賬號、互聯網地址或者域名、主叫電話號碼等”
【11】。但截止至2002年,國家尚未嚴格要求互聯網企業應當收集用戶的身份信息并作實名認證,只要求線下機構,例如網吧等上網服務經營場所應對“上網消費者的身份證等有效證件進行核對、登記,并記錄有關上網信息”
【12】。
情況在2012年發生了變化,2012年全國人大常委會發布《關于加強網絡信息保護的決定》,該決定指出網絡服務提供者有權要求“用戶提供真實身份信息”
【13】,正式對互聯網企業提出了要做“網絡實名制”的要求。以《關于加強網絡信息保護的決定》的出臺為分水嶺,此后涉及互聯網的多數監管規定均要求互聯網企業須做“網絡實名制”的措施。例如,《網絡安全法》規定“用戶不提供真實身份信息的,網絡運營者不得為其提供相關服務”
【14】;《互聯網用戶賬戶名稱管理規定》“要求互聯網信息服務使用者通過真實身份信息認證后注冊賬號”
【15】;《互聯網直播服務管理規定》規定“對互聯網直播用戶進行基于移動電話號碼等方式的真實身份信息認證,對互聯網直播發布者進行基于身份證件、營業執照、組織機構代碼證等的認證登記”
【16】等。“網絡實名制”的發展情況詳見下表:
“網絡實名制”的發展情況表(由筆者整理)
(二)“網絡實名制”施行“實名+驗證”模式
根據上文可以看出,法律規定網絡服務提供者應采用技術手段,讓用戶上傳其真實身份信息,網絡服務提供者應對用戶上傳的身份信息進行認證。易言之,當前網絡服務提供者履行“網絡實名制”的義務主要采用“實名+驗證”的認證模式。
我國法律規定網絡服務提供者應履行“實名+驗證”的認證模式,主要是因為部分用戶出于各種目的會故意隱匿真實身份,因此如果對用戶上傳的身份信息一概認定為真實,會導致信息采集不準確。針對該問題,中央機構編制委員會于2001年3月27日批準公安部成立“全國公民身份證號碼查詢服務中心”(以下簡稱“NCIIC”),負責建設、管理和運營“全國人口信息社會應用平臺”,為政府部門、社會各界提供公民身份信息認證和統計分析服務
【17】。NCIIC主要提供簡項核查、返照核查(不對外提供)和人像對比三種實名驗證服務。簡項核查是核對身份證和姓名是否一致;返照核查為“簡項核查+網紋照片返回”;人像對比為“簡項核查+人臉比對(不返回照片)”,這三種方式中以簡項核查最為常見,簡項核查的流程圖詳見下圖:
簡項核查流程圖
雖然NCIIC對外開放了實名認證接口,但行政資源的有限性天然與實名認證機構的海量性存在不可調和的矛盾,因此NCIIC對外只向有限的身份證接口服務商提供認證服務,其他的實名認證機構轉而向身份證接口服務商尋求驗證服務。2012年公安部向國家發改委遞交《關于申請保留身份認證服務收費標準的函》,申請對認證服務進行收費。2012年年底國家發改委作出《關于重新核定全國公民身份證號碼查詢服務中心收費標準等有關問題的通知》,同意NCIIC對外進行收費
【18】,自此實名認證開始成為一項市場性經營業務。雖然國家發改委在2016年又下發《關于廢止部分規章和規范性文件的決定》,廢止了上述收費通知,但實名認證業務經過多年發展,身份證接口服務商在向其他互聯網企業提供實名認證服務時,仍舊按照市場價進行收費。
(三)“網絡實名制”認證模式的場景化設計
互聯網企業根據“實名+驗證”的認證模式,在實務中衍生出多種場景化的設計模式。市面上的場景化設計模式主要有“手機號+短信驗證碼”登錄模式、“身份證+姓名”登錄模式、“第三方接口”登錄模式。
1.“身份證+姓名”登錄模式
所謂的“身份證+姓名”的登錄模式,是指互聯網企業在用戶注冊時,要求用戶提供身份證號碼和姓名。互聯網企業在收到用戶的身份證號碼和姓名信息后,與身份證接口服務商進行身份證號碼核驗,核驗無誤即完成認證義務。互聯網企業所采用的“身份證+姓名”的登錄方式,實際上就是采用簡項核驗的認證模式,基本上遵照執行了上述模式,并未有大的變動。
2.“手機號+短信驗證碼”登錄模式
所謂的“手機號+短信驗證碼”登錄模式,是指互聯網企業在用戶注冊時,要求用戶提供手機號,互聯網企業在收到用戶的手機號后轉給第三方驗證碼服務商,第三方驗證碼服務商收到手機號后,向機主發送驗證碼,機主收到驗證碼后在注冊界面填入驗證碼,如果驗證碼一致,則注冊成功。由于手機號已完成實名認證,所以互聯網企業在“實名+驗證”認證模式中的“實名”環節,已提高了實名的精確度;接著再按照“驗證”環節,將信息發給接口服務商進行核驗,完成二道認證,進一步提高精確度。
3.“第三方應用接口”登錄模式
所謂的“第三方應用接口”登錄模式,是指互聯網企業在用戶注冊時,引導用戶從第三方應用接口,例如微博、微信、支付寶等接口登錄,以獲得微博、微信或者支付寶的相關信息。由于微博、微信及支付寶完成“網絡實名制”的程度普遍較高,由該第三方接口導入用戶身份信息的真實度有較大保證。在提高“實名”環節的準確度的同時,再通過身份信息的核驗,已完成二道認證,同樣可以提高“網絡實名制”的精確度。
注釋及參考文獻
【1】參見《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》第6條規定。
【2】參見《網絡安全法》第21條規定。
【3】 參見《網絡安全法》第22條規定。
【4】 參見《網絡安全法》第24條:“網絡運營者為用戶辦理網絡接入、域名注冊服務,辦理固定電話、移動電話等入網手續,或者為用戶提供信息發布、即時通訊等服務,在與用戶簽訂協議或者確認提供服務時,應當要求用戶提供真實身份信息。”
【5】 參見《互聯網直播服務管理規定》、《微博客信息服務管理規定》、《關于防止未成年人沉迷網絡游戲的通知》等規定。
【6】 參見《互聯網用戶賬戶名稱管理規定》第3條、第5條、第7條規定。
【7】 參見《關于防止未成年人沉迷網絡游戲的通知》第4條規定。
【8】 參見《網絡安全法》第8條規定。
【9】 參見《電信業務經營許可證管理辦法》第7條、第8條的規定。
【10】 參見《計算機信息網絡國際聯網安全保護管理辦法》第10條規定。
【11】 參見《互聯網信息服務管理辦法》第14條規定。
【12】 徐曉日、劉旭妍.論網絡實名制下的個人數據保護[J].電子政務,2019(07),56-66.
【13】 參見《關于加強網絡信息保護的決定》第6條規定。
【14】 參見《網絡安全法》第24條規定。
【15】 參見《互聯網用戶賬戶名稱管理規定》第5條規定。
【16】 參見《互聯網直播服務管理規定》第12條規定。
【17】 參見“全國公民身份證號碼查詢服務中心”官網對服務中心的介紹.
[EB/OL].http://www.nciic.org.cn/framework/gongzuo/plapkkkmhfijbbnnldnjnnnkpcfpcodb.jsp。
【18】 參見《國家發展改革委關于重新核定全國公民身份證號碼查詢服務中心收費標準等有關問題的通知》。
