对国家网络身份认证的三点担忧和两点建议

——关于《国家网络身份认证公共服务管理办法（征求意见稿）》的意见

近日热议的国家网络身份认证，它的客户端（APP）测试版已经在今年3月就推出了，开发者为公安部。笔者今天尝试认证了一下。先由手机（内置的NFC）读取第二代身份证信息，经过人脸识别，再关联手机号，设置8位口令后，即可生成10位数字和英文字母组成的“网号”和动态二维码凭证。这个认证过程大概不到3分钟，操作简便，基本和健康码，以及近年政府推广的电子证件差不多。从原理上推测，可能就是由公安部身份证系统开放接口，由认证平台生成一个新的网络专用身份信息。4年前国务院就推出了国家政务服务平台客户端，成为全国政务服务的总枢纽，其中就有身份认证的功能。但目前这两个客户端的评分并不高，国家网络身份认证为2.9分，国家政务服务平台为1.8分（iOS平台）。

7月26日，公安部、国家网络互联网信息办公室正式发布了《国家网络身份认证公共服务管理办法（征求意见稿）》，并且在附文中说明了本次立法的目的：国家提供网络身份认证服务，用户可以用国家认证的“网号”、“网证”来登录互联网应用，无需向互联网平台（此处“互联网平台”应该是指互联网应用提供商，本文沿用“互联网平台”一词）提供明文个人身份信息。由此，可以最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。达到方便人民群众使用、保护个人信息安全的目的。

这个网络身份认证服务有两个主要特点，一是由国家权威部门推动，二是非强制性。

《办法》明确了“自愿”原则，对于个人和互联网平台都是非强制的。第4条称，持有有效法定身份证件的自然人，可自愿向公共服务平台申领“网号”“网证”。第6条规定，鼓励有关主管部门、重点行业按照自愿原则推广应用“网号”“网证”。第7条写到，鼓励互联网平台按照自愿原则接入公共服务，用以支持用户使用“网号”、“网证”登记、核验用户真实身份信息。

中国法学会网络与信息法学研究会理事、中国政法大学互联网与法律规制研究中心主任赵鹏告诉媒体，国家出于对网络安全的要求实行上网实名制，但实名制被互联网平台滥用，目前互联网平台过度采集个人信息导致用户隐私泄露问题突出。

不知道赵鹏是言论是否代表官方，笔者首先要对这句话提出两点疑问。

首先，互联网平台以实名制为由过度采集个人信息，是否应该首先反思实名制存在的问题？如果没有强制的实名制要求，则互联网平台是否还有理由采集用户个人信息？

其次，互联网平台采集用户数据，主要是为了增加服务的精准度，提高服务效率，实现智能化服务。客户数据是平台的资产，滥用客户数据对于应用服务商不利。而盗用数据，虚假营销，诈骗犯罪的人，往往不是互联网平台。

以笔者浅见，“国家网络身份认证服务平台”的底层逻辑是，由公权力部门来收集个人信息后，用户只需要一个网号来使用互联网平台的服务。采取个人基础信息与网络应用数据的分离，这的确是个巧妙的设计。但笔者对此有三个担忧。

第一，由自愿演变为不成文的规范

由于公权力掌握了这项认证服务，运营者同时也是互联网信息管理的权威部门，它们是各家互联网平台、应用服务商的监管者，具有“生杀予夺”大权，这种权威地位会不会扭曲认证服务的自愿属性？

《办法》虽然规定认证服务为自愿，但在第6条规定，鼓励有关主管部门、重点行业按照自愿原则推广应用“网号”“网证”。第7条则鼓励互联网平台按照自愿原则接入公共服务。我的担忧是，从自愿到鼓励推广，再到鼓励自愿，会不会演变成行业的隐形约束，一种不成文的规范？

结合本《办法》的另一项立法目的——“网络可信身份战略”，其落脚点不在服务便捷化和信息安全，而是网络社会的身份可信度目标。这个国家意志的驱动力不可忽视。

第二，安全技术能否跟上信息科技发展

互联网信息安全不是看仓库的，把门关紧就能避免风险。一家基于互联网的服务机构，能不能具备国际大厂，甚或阿里、腾讯、华为这类科技公司的技术能力？安全技术上能不能抵御黑客攻击、病毒渗透？

只要是互联网服务，就存在被黑客攻击，被病毒侵害，或者仅仅是软硬件的技术问题。我们知道，信息科技日新月异，互联网应用技术层出不穷，我们把信息安全的宝押在一家机构，不符合安全管理的基本要求。

第三，加宽了数字鸿沟

我国在社会生活、公共服务方面的数字化、智能化走在国际最前列，使得老百姓日常生活严重依赖智能手机，但也成为老人、残障人士和边远农村居民的生活障碍，形成了一道“数字鸿沟”。增加一次网络身份认证，也就是加宽了“数字鸿沟”，对上述边缘人群不利。

另外，这个增加的认证，很可能让非本国公民为难，面对对外开放新局面，很多“不友好”的数字障碍应该尽量清除而不是增加。

综上分析，笔者对《国家网络身份认证公共服务管理办法（征求意见稿）》提出两点修改意见。一，放弃以实名制作为网络管理的基本手段。二，只有在市场化的竞争中，才能获得可信的安全技术。

放弃以实名制作为网络管理的基本手段

现在的多数互联网应用服务（APP和网站），只有关联手机号码才能获得服务。按照2013年开始实施的电信实名制要求，每个手机号码都是有明确的用户个人信息，因此，目前的互联网服务多数都已经实现了实名制。

换个角度看，回顾历经十年有余的电信实名制，它有没有达到当时设定的目标——确保电信安全，降低电信犯罪？显然没有。电信诈骗愈演愈烈，有人嘲笑这样的实名制——诈骗犯的信息找不到，而用户的信息全被诈骗犯掌握。

实名制不应该是我们追求的主要目标，应放弃以实名制作为网络管理的基本手段。

建立在市场竞争基础上的信息安全，才会有技术进步

在正常的互联网应用市场，用户用手指投票，他选择既安全又好用的应用。只要有充分的市场竞争，用户并不会对个人信息安全过分焦虑。但如果个人信息被集中于一个平台上，用户的心态可能会发生转变。

笔者认为，互联网、信息技术高速发展，肯定不会有一家公司可以自称绝对安全，只有在充分竞争的市场里，让用户自己选择，才能获得可信的安全技术，找到最优的产品。

（作者：唐大杰，北京微观治库创始人、武汉大学财税与法律研究中心客座研究员）