标签:合规业务-网络安全与数据合规,数字经济,电信、传媒、娱乐与高科技-数据及隐私权保护
引言
7月26日,公安部、国家网信办起草了《国家网络身份认证公共服务管理办法(征求意见稿)》(以下称《办法》),并向社会公开征求意见。
《办法》首次提出了“网号”和“网证”的概念,确定了国家网络身份认证公共服务的使用方式和场景,目标是建成国家网络身份认证公共服务平台(以下称“公共服务平台”),形成国家网络身份认证公共服务能力,为社会公众统一签发“网号”“网证”。同时,《办法》强调了数据安全和个人信息保护义务,并规定了相应的法律责任。
《办法》出台后,将改变数字时代的自然人网络身份体系,调整实名登记的方式,对网络服务运营及相关合规工作产生很大的影响。
一 、“网号”与“网证”的概念与性质
根据《办法》,网号是指与自然人身份信息一一对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证是指承载网号及自然人非明文身份信息的网络身份认证凭证。
网号与身份证号的性质近似,都属于“身份符号”,它能够与自然人的身份信息相映射。相较而言,身份证号码除了身份映射关系外,还包含了其他的一些个人的信息,如户籍地、出生日期、性别等,以明文的形式出现,且整合为一体,难以分割。
网证则与身份证件的性质类似,属于身份符号的载体。身份证号的载体是身份证,而网号的载体是网证。根据《居民身份证法》,居民身份证登记的项目包括:姓名、性别、民族、出生日期、常住户口所在地住址、公民身份号码、本人相片、指纹信息、证件的有效期和签发机关。这些信息多属于个人信息,以及敏感个人信息,并以明文形式载于身份证之上,同样整合为一体,难以分割。
混同不可分割、明文存储的特点,与个人信息保护最小必要的要求存在冲突。网号、网证正是一种调和冲突的手段,如《关于起草<国家网络身份认证公共服务管理办法(征求意见稿)>的说明》(以下称《起草说明》)中所说,“可以最大限度减少互联网平台以落实‘实名制’为由超范围采集、留存公民个人信息”。事实上,十一届人大期间,就有全国人大代表提出关于修改《居民身份证法》的议案,建议视读与机读信息适当分离,简略视读信息,以解决身份证信息泄露问题;今年也有全国人大代表建议建立身份证密码制度,以保护身份证上载有的相关敏感信息。
不过,网号、网证亦成为新的身份识别码,成为新型个人信息,对其性质应有认识和了解。
第一,网号及网证属于个人信息。根据《办法》网号是一种身份符号,与自然人身份信息一一对应,符合《个人信息保护法》“已识别或者可识别的自然人有关的各种信息”的定义,因此可以是一种新的个人信息类型。网证作为网号的载体,与网号一体也应属于个人信息。
第二,网号及网证不应必然属于敏感个人信息。根据《信息安全技术 个人信息安全规范》(GB/T 35273-2020),身份证号属于个人敏感信息,即“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。身份证号及身份证如前文所述,承载多种明文信息且不可分割,与自然人的金融、社交、医疗、出行等活动直接关联及主要凭证,自然人在非特定场景下,不会轻易披露自己的身份证号,并对身份证号披露较为警惕,因此应纳入个人敏感信息范畴。相对而言,网号及网证明文信息有限(仅有字母和数字),主要用于互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息(《办法》第二条第二款),是否属于敏感个人信息仍需根据其使用场景做进一步判断,而如果能在立法中进一步明晰可能更为理想。不过,需要注意的是,不满十四周岁的自然人的网号及网证,应当属于敏感个人信息,因为《个人信息保护法》已经将不满十四周岁的未成年人的个人信息全部视为敏感个人信息,网号、网证作为新的个人信息类型,也应当相应纳入。
第三,网号、网证是否属于“重要数据”有待观察。根据《数据安全技术 数据分类分级规则》(GB/T43697-2024)中有关重要数据的识别指南及参考标准,似无法直接将网号、网证认定为重要数据。不过,《办法》规定,国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台,为自然人提供申领网号、网证以及进行身份核验等服务。网络身份认证公共服务平台是否会被列入关键信息基础设施范围有待进一步确认,如果被列入的话,其所掌握的数据亦有可能被纳入重要数据范畴。但是,从《办法》条款来看,似乎更为强调公共服务平台的个人信息保护义务,而未实质性规定公共服务平台的数据安全义务,只是将《数据安全法》作为上位法依据之一,同时原则性规定了数据安全保护义务。公共服务平台在《数据安全法》下应当承担何种具体义务,也是下一步立法中有必要释明的部分。
二、国家网络身份认证公共服务
根据《办法》,网号、网证的申领以及身份核验服务,由网络身份认证公共服务平台提供,公共服务平台由国家统一建设。服务的场景包括互联网服务以及有关部门、行业管理、服务,其功能为核验自然人真实身份信息。同时,根据《办法》第三条所列的有关部门,可以推定更为具体的应用场景包括民政、旅游、广播电视、医疗、铁路、邮政等领域。不过,水陆路交通、民航、金融等行业未被提及,尚不能准确揣摩立法意图,值得进一步观察研究。
根据《办法》第四条至第六条规定,申领网号、网证以及在互联网服务和部门、行业管理、服务中使用网号、网证登记、核验真实身份信息(以下称“网号、网证的申领和使用”),都应当坚持自愿原则。这表明,网号、网证的申领和使用并非强制性要求,而是探索性、试验性的新型制度。从产业侧而言,自愿原则实际上对于个人信息保护期待值高的用户,具有强驱动性——因为其不必再额外提供明文身份信息。企业积极促进和支持用户使用网号、网证,不仅是落实《办法》的相关要求,同时还具备“合规分层”的实际效果——区分“网号用户”和“非网号用户”。对于网号用户而言,可能具有更高的个人信息保护期待,对个人信息保护水平要求比较高,对个人信息处理活动较为敏感,而非网号用户则反之。从合规的角度,企业并不应也不能对非网号用户降低个人信息保护水平,但是由于网号用户选择了使用网号,企业收集和使用的信息类型、数量等大为减少,所以可以实际上降低合规成本。
1. 网号、网证申领
根据《办法》,可以申领网号、网证的主体为持有有效法定身份证件的自然人。所谓“法定身份证件”,根据《关于改进和规范公安派出所出具证明工作的意见》及其他相关规定,是指中华人民共和国居民户口簿、居民身份证、护照。而《办法》第十五条中对“法定身份证件”的解释为,居民身份证、定居国外的中国公民的护照、前往港澳通行证、港澳居民来往内地通行证、台湾居民来往大陆通行证、港澳居民居住证、台湾居民居住证、外国人永久居留身份证等身份证件。这与现行相关规定有所出入,作为《办法》语境下的专门解释,并无不妥,但是需要在实践中予以注意。
其中,不满十四周岁的自然人需要申领网号、网证的,应当征得其父母或者其他监护人同意,并由其父母或者其他监护人代为申领;已满十四周岁未满十八周岁的自然人需要申领网号、网证的,应当在其父母或者其他监护人的监护下申领。这里可以理解为是与《个人信息保护法》《未成年人网络保护条例》《儿童个人信息网络保护规定》等法律规定的衔接。对于未满十四周岁的儿童个人信息,属于敏感个人信息,需要未成年人的父母或者其他监护人的同意;对于已满十四周岁未满十八周岁的自然人,虽不是儿童,但仍是未成年人,未成年人个人信息的处理应有其监护人的同意。
但是,“在其父母或者其他监护人的监护下申领”是否等同于“同意”的意思表示,值得探讨。如果视为同意,实际上对于已满十四周岁未满十八周岁的自然人并无差异化要求,只是由“代为申领”变化为“监护下申领”,而“监护下申领”与“代为申领”在实践中如何区分,可能有操作上的困难。
同时,根据《居民身份证法》第七条第一款规定,公民应当自年满十六周岁之日起三个月内,向常住户口所在地的公安机关申请领取居民身份证;第二款规定,未满十六周岁的公民,由监护人代为申请领取居民身份证。也就是说,已满十六周岁的公民应当且可以自行申领居民身份证。那么,《办法》的申领限制与《居民身份证法》存在逻辑上的不自洽,即已满十六周岁的公民(不满十八周岁),可以自行申领居民身份证,却不能自行申领网号、网证。网号、网证与自然人身份信息一一对应,其通过非明文的方式进一步保护自然人的身份个人信息。从这个意义上来说,《办法》对已满十六周岁未满十八周岁的自然人而言,实际上减损了对其身份个人信息的保护效果。
从更深层次而言,关于申领身份证件和个人信息处理两者之间的关系,在此条之中未予规定清晰,反而可能带出新的问题。按照个人信息处理的同意规则,《办法》第四条的规定并未不妥之处。但作为身份证件申领事项,涉及个人信息保护但不应以“同意”为基础,实则应使用“为履行法定职责或者法定义务所必需”的合法性基础,即《个人信息保护法》第十三条第一款第三项之规定。否则,《居民身份证法》恐有被《个人信息保护法》架空之虞。
2. 网号、网证的使用
网号、网证的使用仅有两项,非明文登记和身份核验,途径上应通过接入公共服务平台来实现。《办法》规定,互联网平台按照自愿原则接入公共服务,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息(但法律、行政法规另有规定或者用户同意提供的除外)。同时,互联网平台应当保障使用网号、网证的用户与其他用户享有相同的服务。换言之,网号、网证核验效果等同于真实身份信息登记效果。
三、个人信息保护
《办法》按照《个人信息保护法》的规定,强调了收集个人(身份)信息的最小必要原则,其中对公共服务平台个人信息保护作出了详细规定。
1. 公共服务平台处理个人信息不得超出为自然人提供申领网号、网证以及进行身份核验等服务所必需的范围和限度。根据《办法》,公共服务平台的功能仅为“为自然人提供申领网号、网证以及进行身份核验等服务”,从而对其个人信息处理活动进行了限定。
2. 公共服务平台向自然人提供公共服务时应当依法履行告知义务并取得其同意、单独同意或者书面同意。从字面意义看,《办法》第九条第一款排除了《个人信息保护法》第十三条第一款规定的除“同意”以外的合法性基础,这是值得注意的。
《办法》第十条规定了公共服务平台的告知义务,应当通过用户协议等书面形式,以显著方式、清晰易懂的语言真实、准确、完整地向用户告知相关事项(第十条第一款);处理敏感个人信息的,还应当向个人告知处理的必要性以及对个人权益的影响。
《办法》第十一条规定了告知的豁免情形,即有法律、行政法规规定应当保密或者不需要告知的情形,或者紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的(但应在紧急情况消除后及时告知)。
3. 未经自然人单独同意,公共服务平台和互联网平台不得擅自处理或者对外提供相关数据信息,法律、行政法规另有规定的除外。根据《个人信息保护法》的要求,处理敏感个人信息、向第三方提供、跨境传输都需要用户单独同意(基于同意的个人信息处理)。《办法》第八条第三款和第九条第二款实际上增加了合规义务——对外提供相关数据信息(如“相关数据信息”都为个人信息),属于《个人信息保护法》规定的向第三方提供个人信息的情形,应当取得用户单独同意(基于同意的个人信息处理);而处理相关数据信息,根据《个人信息保护法》的规定,并不全部属于需要取得用户单独同意的情形。
4. 公共服务平台应当依照法律、行政法规规定或者用户要求,及时删除用户个人信息。根据网号、网证的性质判断,应该属于新型个人信息,且与“自然人身份一一对应”。如果用户向公共服务平台要求删除网号、网证,在技术上是否能够实现或者是否有意义?按照与“自然人身份一一对应”的特点,网号应与自然人身份静态关联,换言之,它与身份证号码一样,是每个公民唯一、定长的符号,且应遵从与统一的编码规则。那么,用户向公共服务平台要求行使删除权,公共服务平台作为派发机构(同时也应当是编码机构)删除该用户的网号,在逻辑上似乎等同于在世公民要求公安机关注销其身份证号码。因此,如何理解《办法》第九条第三款所规定的“及时删除用户个人信息”中的个人信息,还有待进一步观察研究。
四、法律责任
《办法》对部分条款规定了法律责任,但并未直接设置法律责任,而是转至《网络安全法》《数据安全法》《个人信息保护法》,由国务院公安、国家网信部门在各自职责范围内依法予以处罚。根据上述三法的规定,可能面临的处罚是没收违法所得,五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿,吊销相关业务许可或者吊销营业执照;同时,直接负责的主管人员和其他直接责任人员可能面临十万元以上一百万元以下罚款,以及相应的从业限制措施。
规定了法律责任的条款有:
《办法》中包含一些鼓励性、倡导性条款,不宜对其规定法律责任,但仍有部分条款,似乎应当设置法律责任为妥,具体如下:
五、关于数据要素的探讨
国家数据局7月在全球数字经济大会上表示,今年将陆续推出8项制度文件,其中包括公共数据开发利用。公共数据开放及公共数据产品供给,本身也是数字经济发展中广为关注的话题。公共服务平台是国家统一建设的网络身份认证公共服务平台,为自然人提供申领网号、网证以及进行身份核验等服务。公共服务平台运营中,将产生相关网号、网证的数据。虽然目前并无确定的“公共数据”的法定概念,但是综合《数据安全法》等相关规定来看,公共服务平台可能具有管理公共事务的职能,网号、网证及身份核验服务属于履行法定职责,其掌握的网号、网证等数据应具有公共性质且可能是公共数据。公共数据具有开放的需求以及进一步开发为公共数据产品的必要。
《办法》第八条第三款和第九条第二款规定,未经自然人单独同意,互联网平台、公共服务平台不得擅自处理或者对外提供相关数据信息。据此规定,公共服务平台似无公共数据开放、加工经营的能力或面临很大的困难——需要自然人单独同意。如果立法本意是说要强化对网号、网证的个人信息保护,自然是成立的。但如果并无此立法之意,那么对于第八条第三款和第九条第二款中的“相关数据信息”就需要作出确定的解释,以明确其范围边界。按照“数据资源持有权、数据加工使用权、数据产品经营权”的三权分置思路,兼顾网号、网证的个人信息属性及数据要素属性,在后续立法中作出必要的调整或者释明,可能更为有利于实现“保护公民身份信息安全,促进数字经济发展”的双重目标。
结语
《办法》的起草,在一定程度上表明国家在个人信息保护方面深入演进为精细化阶段,从底层逻辑上调整个人信息粗放式结构,将身份标识体系从工业文明方法调整为数字文明方法,适应数字经济发展的规律和需要,可以更好地平衡数字利用和数字保护,更好地兼容数字生活与数字发展。这也更加说明,个人信息及数据合规将伴随数字经济高质量增长,而成为一项长期、基础的工作,值得所有数字化企业、数字化转型企业关注并付诸实践。
从产业侧看,网号、网证可以逐步地实现合规分层到轻量合规,对于数据量庞大的企业而言,有望明显优化合规成本,而对于中小规模数据量的企业而言,亦能合理选择、调整合规路径,提升合规质量和效果,充分释放数据合规价值。
当然,《办法》仍在征求意见的过程中,意见建议反馈截止时间为2024年8月25日。在此之前以及后续立法讨论中,社会各界还可以进一步提出意见诉求,促进《办法》的科学制定以及出台后的有效实施。
扫码订阅“金杜律师事务所”,了解更多业务资讯
