你懂的网站在线播放,7777精品伊人久久久大香线蕉,中文字幕日本αv一区二区

天衡研究

天衡研究丨網絡安全系列（一）“網絡實名制”認證模式的入刑風險（下）

2022-04-29 16:47:55

前言

一直以來，網絡安全是懸掛在企業頭頂的達摩克利斯之劍。按照《網絡安全法》的相關規定，在中華人民共和國境內建設、運營、維護和使用網絡的企業應做好網絡安全工作，包括做好網絡安全等級保護制度；購買的網絡產品、服務應服務國家標準的強制性要求；做好個人信息保護工作；落實網絡實名制要求等。近年來，筆者在為大數據公司、互聯網企業、高新技術企業等提供法律服務的過程中，梳理了網絡安全的合規要點，形成以下系列文章，希望對讀者有所裨益。

因篇幅限制，本文章分為上、下兩篇，上篇介紹簡析“網絡實名制”入刑的構成要件與現有“網絡實名制”的認證模式，下篇介紹現有“網絡實名制”認證模式存在入刑風險的原因、對“網絡實名制”認證模式的再建構及結語。以下為下篇內容。

三、現有“網絡實名制”認證模式存在入刑風險的原因

根據“兩高解釋”的規定，網絡服務提供者“未落實真實身份信息認證義務的”，將視為“有其他嚴重情節”，或有入刑風險。如何理解此處的“未落實真實身份信息認證義務”呢？根據《網絡安全法》的規定，網絡服務提供者“在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息”，筆者認為該規定賦予網絡服務提供者很高的監管義務，意即如果用戶未提供真實身份信息則屬于網絡服務提供者的責任，網絡服務提供者應承擔相應責任，甚至是入刑風險。因此，網絡服務提供者在履行“實名+驗證”的過程中，不僅要保證“實名”環節的準確度，也要保證“驗證”環節的準確度。然而，筆者觀察到，當前“網絡實名制”的認證模式仍存在準確度不足，該問題使得現有的認證模式仍存在入刑風險。

1.技術水平有限，認證精準不足

根據《網絡安全法》的規定，網絡服務提供商在為用戶辦理固定電話、移動電話的入網手續時要履行“實名制”認證義務。據悉，電信運營商在幫用戶辦理入網服務時，要求用戶親自前往營業大廳，在提供身份證驗證時，還須進行人臉識別，人臉信息和身份證信息一致方為辦理完畢入網手續。這種認證方式的真實度較高。

而互聯網企業在辦理“網絡實名制”時，如何確定用戶提供的身份信息是真實可靠的呢？根據上文所述，在“實名”環節中，互聯網企業在場景化設計中運用了“手機號+短信驗證碼”認證模式和“第三方應用接口”認證模式，但對于“手機號+驗證碼”認證模式而言，手機號仍然存在無法對應真實用戶的情形。實務中已經出現“驗證碼平臺”的黑灰產業，即不良商販通過購買大量私人的電話卡，通過“驗證碼平臺”提供的軟件，大量注冊各類應用平臺上的賬號，并自動將收到的驗證碼短信發回到“驗證碼平臺”，“驗證碼平臺”隨即將對應的手機號碼、驗證碼直接發給下游的各類“客戶”使用并收取一定的費用^【19】，該情形使得互聯網企業所作的“網絡實名制”無法起到實名的作用；對于“第三方應用接口”認證模式而言，微信、微博等接口僅授權第三方應用獲取平臺用戶的頭像、昵稱、地區等信息，不提供用戶的身份信息，并且微信目前已開發使用虛擬頭像和虛擬名稱接入第三方應用的技術，因此互聯網企業試圖通過微信等“第三方應用接口”獲取用戶身份信息的目的也無法實現。

實際上，當前已有金融機構采用人臉識別技術在做“網絡實名制”的認證，例如“同花順”“天天基金”等金融APP運營商，它們在用戶注冊時，不僅需要上傳身份證正反面材料，還需要進行人臉的識別，保證人臉信息和身份證信息核驗一致。該方式與電信運營商線下做“實名制”認證的方式一致，均能完成較高程度的實名認證。然后由于人臉識別技術對成本要求過高，中小型互聯網企業根本無力承擔。此外，“網絡實名制”無法提高精準度的本質原因在于當前互聯網的IP 地址資源稀缺，無法實現IP地址與計算機的一一對應。^【20】但此情況受限于當前社會的技術發展水平，無法通過人為手段進行強行提升。因此，現有“網絡實名制”認證模式存在技術水平有限，精準不足的問題。

2.數據泄露嚴重，黑灰產業盛行

隨著互聯網的高度發展，特別是5G時代的到來，個人數據逐漸成為重要的稀缺資源。例如，NCIIC在開啟驗證收費模式后，如果申請驗證的內容在五項以下（含五項），每次收費5元；申請驗證的內容在五項以上，每次收費10元；如果根據用戶需求，提供人口數據信息匯總、加工或重新制作等服務，收費標準為每次50元。^【21】這還只是NCIIC對接身份證接口服務商的收費情況。身份證接口服務商獲得合法授權后，面對海量的申請驗證的互聯網企業也將進行天價收費。

市面上，諸多的大數據公司，甚至是互聯網企業，在發現身份驗證服務存在巨大市場后，不顧自身無合法的授權資質，紛紛投入其中。有身份證接口服務商在獲取NCIIC接口后又違規將查詢接口出賣，并非法緩存公民個人身份信息，以供下游公司查詢牟利；有大數據公司利用本身積累的大量的用戶身份信息，偽裝為身份證接口服務商，對外提供身份驗證服務；有互聯網企業在前期的“網絡實名制”認證中緩存了大量的用戶身份信息，對外提供二道身份驗證服務。即便如此，市場上需要進行身份驗證的互聯網公司仍屬海量，供需兩端的不平衡狀況滋生出販賣身份信息的市場，買賣數據的黑灰產業逐漸壯大發展。

數據黑灰產業的發展，使得身份驗證服務商的水準參差不齊?；ヂ摼W企業基于驗證成本的考量，傾向于尋找驗證價格低廉的接口服務商，而價格低廉的接口服務商無法保證用戶身份信息的準確度。在該種情形下所作的“網絡實名制”認證，用戶身份信息的真實性存疑。由此可見，在黑灰產業盛行的當下，互聯網企業的“網絡實名制”認證模式的精確度將受到較大影響。

3.預防監管不足，缺乏制度保障

根據上文所述，“網絡實名制”認證模式精確度不足的原因之一在于數據黑灰產業盛行。筆者認為數據黑灰產業盛行的重要原因在于政府預防監管力度不足，并缺少制度保障措施。在過去一年，數據販賣、無資質驗證等黑灰市場的違法交易行為不斷被爆出，例如考拉征信服務有限公司涉嫌非法提供身份證返照查詢9800多萬次，獲利3800萬元，相關負責人被警方逮捕；^【22】摩羯科技、新顏科技、公信寶、天翼科技等大數據公司因涉嫌非法獲取數據，相關負責人被警方逮捕^【23】等。系列案件反映了政府部門側重事后懲治，事前預防水平有待提高。

事前預防監管不足更深層的原因應在于缺乏制度上的保障。研究發現，我國的個人數據至今尚未制定專門的法律進行規范，除了《網絡安全法》有設置“網絡信息安全”專章外，其他法律對個人數據的規范均為零散規定。此外，個人數據規制內容極為分散，側重領域有金融、互聯網、母嬰、物流等行業，領域紊亂，各領域的規范措施較為粗糙。整體而言，個人數據在法律上的規范密度不足，制度保障力度不夠。法律對個人數據零散規定詳見下表：

四、對“網絡實名制”認證模式的再建構

由于現有的“網絡實名制”認證模式因技術水平受限、數據黑灰產業盛行，缺乏制度保障等因素，導致認證的精準度不足，互聯網企業仍存在入刑風險。為提高“網絡實名制”的認證精準度，減少互聯網企業的入刑風險，筆者認為可以開發網絡可信空間技術、建立數據的全生命周期保護，完善多層級有秩序的監管體系。

1.開發網絡可信空間技術

開發網絡可信空間技術，筆者認為可從以下兩個方面入手：普及生物特征識別技術和建立eID的網絡身份制。在普及生物特征識別技術上，正如前文所述，金融領域的互聯網企業已將人臉識別技術應用于“網絡實名制”認證之中，由于生物識別技術的安全系數高，破譯難度大，根據生物識別技術所作的“網絡實名制”認證真實性更可靠。但由于人臉識別技術所花費的成本較高，中小型的互聯網企業難以承受。鑒此，筆者認為指紋識別技術同屬于生物特征識別技術的一種，相較于人臉識別技術所花費的成本也較低，適合互聯網企業應用;在建立eID的網絡身份制上，筆者認為可以由政府開發用于線上線下識別的公民身份證件，并確保發放給公民的數字身份具有唯一性，以此真正實現“網絡實名制”。^【25】

所謂的“指紋識別技術”是當前較為可靠的生物識別技術，利用人們的指紋唯一性來識別出人的身份。^【26】由于公安部在制作公民身份證時已經提取了用戶指紋，筆者建議公安部可以對外開放指紋數據庫，用戶注冊登錄互聯網企業的應用程序時，應輸入指紋數據，互聯網企業將收集的指紋數據與公安部開放的接口進行指紋信息驗證，以落實“網絡實名制”的任務。當然，單純依靠指紋識別技術的應用，難免落入因指紋數據泄露而影響實名認證的精確度，此時可以配套建立eID的網絡身份管理制度。eID是以公民身份號碼為根，由公安部公民網絡身份識別系統基于國產密碼算法統一為中國公民生成的數字標記，在確保簽發給每個公民的數字身份唯一性的同時，可以盡可能減少公民身份明文信息在網上的傳播。在我國，eID有別于用于線上身份識別的第二代身份證，主要用于線上身份識別。^【27】

綜上而言，政府可以給每位互聯網公民發放eID身份證件，同時采集互聯網公民的指紋數據，將eID身份證件與指紋進行綁定，增強eID身份信息的唯一性。今后互聯網企業在做“網絡實名制”時，直接采集并驗證公民的eID身份信息，已落實“網絡實名制”義務。

2.建立數據的全生命周期保護

互聯網企業、身份證接口服務商及其他大數據公司能夠緩存公民身份信息，進行數據買賣，進而影響“網絡實名制”的準確性，筆者認為內在原因是企業內部未建立一套數據保護的全生命周期合規指引。經研究，筆者認為，建立企業數據的全生命周期保護，應該在數據采集、存儲、使用、轉讓和共享等方面做到合規操作。

在數據的采集上，數據公司首先應做到合法性，即數據采集者不應以欺詐、誘騙、誤導的方式收集個人數據，禁止從非法渠道獲取個人數據，禁止非法緩存用戶身份信息。其次，數據公司應遵循最小必要原則，只能在用戶注冊登錄時采集用戶最少數量的身份信息；在存儲上，數據公司在采集用戶身份信息后，宜立即進行去標識化處理，并采取技術和管理方面的措施，將去標識化后的信息與可用于恢復識別個人的信息分開存儲。存儲個人生物識別信息時，應采用技術措施確保信息安全后再進行存儲，例如將個人生物識別信息的原始信息和摘要分開存儲，或僅存儲摘要信息；在使用上，數據公司應建立最小授權的訪問控制策略，使其只能訪問職責所需的最少夠用的個人信息，且僅具備完成職責所需的最少的數據操作權限，并對身份信息的重要操作設置內部審批流程；在轉讓和共享上，數據公司應事先開展個人信息安全影響評估，并依評估結果采取有效的保護身份信息主體的措施；對轉讓方和共享方做盡職調查，確保轉讓對象身份的合法性等。^【28】

當前，隨著個人數據價值的凸顯，數據公司無法抵抗誘惑，走上違法道路的不在少數。數據公司建立數據的全生命周期保護，是從企業內在風控合規的角度進行方案設計，這意味著數據公司須從內部下手，清除自身肌體的腐爛部分。該決策從短期來看是成本較高的投入，但數據合規必然是監管部門后續強力監管的重要領域，自覺做好公司的數據合規從長遠來看有利無害。

3.完善多層級的監管體系

（本篇論文撰寫于2020年，由于《個人信息保護法》等法規已經出臺，該部分建議已經缺失較大的參考意義。）

當前我國對個人數據的監管制度有所缺失，缺少專門的部門法律以規范個人數據的運用，該問題進一步導致個人數據的泄露在監管上難以預防，致使黑灰產業長期游走在法律邊緣，影響“網絡實名制”認證的精準度。筆者認為，完善多層級的監管體系有利于進一步提高“網絡實名制”的精準度。

實際上，根據“十三屆全國人大常委會立法規劃”的規定，《個人信息保護法》、《數據安全法》歸于第一類立法項目，屬于“條件比較成熟、任期內擬提請審議的法律草案”，由此可以基本確定，《個人信息保護法》、《數據安全法》將在十三屆全國人大常委會期間獲得通過。2019年底，全國人大常委會法工委在接受記者采訪時，進一步確認《個人信息保護法》、《數據安全法》將在2020年制定出來。^【29】筆者認為，在法律位階層面，《個人信息保護法》、《數據安全法》將會是專門規范個人數據的最重要法律，當前階段，應集合學者、實務人士、法律專門工作者等多方力量，集思廣益，多參與《個人信息保護法》、《數據安全法》的論證會，針對當前數據安全存在的問題，多方諫言，以期完善《個人信息保護法》、《數據安全法》的規范內容。

此外，在規范性文件層級上，筆者建議《個人信息出境安全評估辦法》、《數據安全管理辦法》等部門文件應加緊研究，盡早推出。當前個人數據安全在諸多場景下缺少規范指引，使得監管部門在監管中無從下手；在推薦性標準層級上，雖然現在有《信息安全技術個人信息安全規范》可作為企業數據合規的操作指南，但該《規范》只是作為通用性指南，無法具體適用于數據問題較為集中的領域，例如金融領域、醫療領域等。因此，筆者認為類似于《個人金融信息保護技術規范》《個人醫療信息保護技術規范》等推薦性標準也須研究制定，以適應實際需要。

總結

“兩高解釋”的出臺，把“網絡實名制”入刑風險推至風口浪尖，研究發現，符合要求的互聯網企業未做“網絡實名制”確有入刑的風險。實務中，“網絡實名制”的認證模式主要采用“實名+驗證”的模式，并且為了提高驗證的精準度，互聯網企業紛紛采用各式各樣場景化的認證方式。但出于技術水平受限、市場衍生黑灰產業問題及制度缺陷等諸多原因，當前的“網絡實名制”認證的精準度有待提高。筆者設想以開發網絡可信空間技術、建立數據的全生命周期保護及完善多層級的監管體系助力提高“網絡實名制”的認證精準度，以求能減少互聯網企業入刑的風險。但縱使筆者的提議能被采用并執行，受限于主客觀等多種因素，“網絡實名制”認證的精準度仍然無法達到百分之百，但筆者認為，該履職標準已達監管部門的要求，互聯網企業大概率上能避免入刑風險。

注釋及參考文獻
注解
【1】~【18】詳見上篇
【19】南方都市報：購買大量企業電話卡為網絡黑灰產業掩飾身份.
[EB/OL].https://www.sohu.com/a/230088801_161795.
【20】孟雨.IPv6 時代將能實現真正的網絡實名制[J].計算機與網絡,2019,13.
【21】參見《國家發展改革委關于重新核定全國公民身份證號碼查詢服務中心收費標準等有關問題的通知》。
【22】網易財經：販賣個人信息上億次！考拉征信被查牽出黑色產業鏈.
[EB/OL].http://money.163.com/19/1121/08/EUG9U1EK00258105.html.
【23】新浪財經：風聲鶴唳！大數據公司接連被查，同盾科技被卷入.
[EB/OL].http://finance.sina.com.cn/chanjing/cyxw/2019-09-17/doc-iicezzrq6539911.shtml.
【24】李金招、蔣曉焜：App合規十講（一）：政府機構如何監管App運營商？.
[EB/OL].https://mp.weixin.qq.com/s__biz=MzA4MzM5MzM4MA==&mid=2631816859&idx=1&sn=476e998879f9271dd3cfe52180d2c711&chksm=86ddd890b1aa518647c078132662ee449af805fa37fd8998b7da6cc94dd606484ea0e763d67b&token=326591472&lang=zh_CN#rd.
【25】楊珂、王俊生.基于eID的網絡身份制與個人信息保護法律制度研究[J].信息安全研究,2019(05),440-447.
【26】張玲峰、肖忠良、李晶.基于生物識別技術的網絡實名制系統的開發[J].科技與信息,2019(02),117.
【27】汪志鵬，楊明慧，呂良等．基于eID的網絡可信身份體系建設研究[J].信息網絡安全,2015.15（9）：97-100.
張玲峰、肖忠良、李晶.基于生物識別技術的網絡實名制系統的開發[J].科技與信息,2019(02),117.
【28】參見《信息安全技術個人信息安全規范》.
【29】中國新聞網：中國2020年將制定個人信息保護法、數據安全法.
[EB/OL].http://www.chinanews.com/gn/2019/12-20/9039098.shtml.

參考文獻
【1】徐曉日、劉旭妍.論網絡實名制下的個人數據保護[J].電子政務,2019(07),56-66.
【2】汪志鵬，楊明慧，呂良等．基于eID的網絡可信身份體系建設研究[J].信息網絡安全,2015.15（9）：97-100.
【3】張玲峰、肖忠良、李晶.基于生物識別技術的網絡實名制系統的開發[J].科技與信息,2019(02),117.
【4】周漢華.個人信息保護前沿問題研究[M].北京：法律出版社，2008年.
【5】楊珂、王俊生.基于eID的網絡身份制與個人信息保護法律制度研究[J].信息安全研究,2019(05),440-447.
【6】王一丹. 網絡實名制的法律秩序研究[J]. 黑龍江省政法管理干部學院學報,2019(02),26-30.
【7】周永坤. 網絡實名制立法評析[J]. 暨南學報（哲學社會科學版）,2013(02),1-8.
【8】中國新聞網：中國2020年將制定個人信息保護法、數據安全法.
[EB/OL].http://www.chinanews.com/gn/2019/12-20/9039098.shtml.
【9】李金招、蔣曉焜：App合規十講（一）：政府機構如何監管App運營商？，
[EB/OL].https://mp.weixin.qq.com/s__biz=MzA4MzM5MzM4MA==&mid=2631816859&idx=1&sn=476e998879f9271dd3cfe52180d2c711&chksm=86ddd890b1aa518647c078132662ee449af805fa37fd8998b7da6cc94dd606484ea0e763d67b&token=326591472&lang=zh_CN#rd.
【10】新浪財經：風聲鶴唳！大數據公司接連被查，同盾科技被卷入
[EB/OL].http://finance.sina.com.cn/chanjing/cyxw/2019-09-17/doc-iicezzrq6539911.shtml.
【11】網易財經：販賣個人信息上億次！考拉征信被查牽出黑色產業鏈，
[EB/OL].http://money.163.com/19/1121/08/EUG9U1EK00258105.html.
【12】南方都市報：購買大量企業電話卡為網絡黑灰產業掩飾身份，
[EB/OL].https://www.sohu.com/a/230088801_161795.
【13】“全國公民身份證號碼查詢服務中心”官網對服務中心的介紹，[EB/OL].http://www.nciic.org.cn/framework/gongzuo/plapkkkmhfijbbnnldnjnnnkpcfpcodb.jsp.

往期回顧
天衡研究丨網絡安全系列（一）“網絡實名制”認證模式的入刑風險（上）