中国拟推“网号”“网证”,互联网实名制的沿革与新的争议|Whatsnew

由政府来采集个人信息与提供实名认证服务,也难以确保公民个人信息的安全。
2017年4月29日,中国北京,全球移动互联网大会(GMIC),参观者在沙发上看手机。摄: Mark Schiefelbein/AP/达志影像
大陆 公共政策 科技 隐私与安全

这是一间属于你的新闻媒体,而我们也同样需要你。加入会员或升级现有会籍,可享九周年限时优惠:尊享会员5折畅读会员6折

7月26日,中国公安部、国家互联网信息办公室(下称“网信办”)起草的《国家网络身份认证公共服务管理办法》(下称“《办法》”)公开征求意见。

《办法》提出“网号”与“网证”的概念,将依托国家统一建设的网络身份认证公共服务平台(下称“身份认证平台”),为互联网用户提供网络身份认证服务。在起草说明中则提到,《办法》提出目的是为最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。

所谓网号,即一串字母和数字组成、不含明文身份信息的网络身份符号,网证指承载网号及自然人非明文身份信息的网络身份认证凭证。根据《办法》的表述,“网号”、“网证”的关系接近身份证号码与身份证的关系,区别是互联网平台仅能有限获取明文信息,申领“网号”、“网证”所需的身份信息、人脸信息等,将由政府管控的网络身份认证公共服务平台统一收集。

《办法》所指“网络身份认证公共服务平台”,一再强调“处理个人信息不得超出为自然人提供申领网号、网证以及进行身份核验等服务所必需的范围和限度”,却同时留下两处例外条款:包括处理个人敏感信息与对外提供相关数据信息时,均可在“法律、行政法规另有规定”或“有法律、行政法规规定应当保密或者不需要告知”的情况下,允许由身份认证平台自行处理或不具体说明个人信息如何被使用。

《办法》同时再三强调,“网号”、“网证”的推动采取自愿原则,包括个人自愿申领、平台自愿接入、有关部门自愿推广应用,仅在起草说明中提到“鼓励互联网平台接入公共服务”。但就在《办法》尚在征集意见时,《成都商报》已经报导,目前申请和使用网号、网证的“国家网络身份认证”试点版应用程序已在多个应用程式商店上线,包括国家政务服务平台、中国铁路12306、微信、淘宝、小红书等67个应用程序已开始试点网络身份证。

申领“网号”、“网证”需要用户提供身份证件及人脸识别,同时关联手机号。《办法》第十五条指出,可供申请的身份证件包括居民身份证、港澳居民居住证、台湾居民居住证、港澳居民来往大陆通行证、台湾居民来往大陆通行证、外国人永久居留身份证、中国公民普通护照(华侨)等。

《办法》一再强调保护个人信息安全。但回顾中国互联网实名制的提出与落地全过程,那民众被采集了的个人信息恐怕依然难以确保万全,而提出设立“网号”、“网证”更多地只是反映中国尝试再次加强互联网的管控。

2015年12月,中国国家主席习近平在第二届世界互联网大会上发言提出:网络空间不是“法外之地”......要坚持依法治网、依法办网、依法上网。

也是在这一年的年初,承担中国互联网管控职责的网信办明确提出,将全面推进网络真实身份信息的管理。2015年至2017年三年间,网信办陆续推出《互联网用户账号名称管理规定》《移动互联网应用程序信息服务管理规定》《互联网新闻信息服务管理规定》《互联网跟帖评论服务管理规定》等一系列文件,针对互联网信息服务、移动互联网程序、互联网新闻平台、跟帖评论等不同互联网服务均提出“实名制”要求,明确不得向未实名用户提供服务。(延伸阅读:《以“网络安全”为名:中国网信办是如何变成一头巨兽的?》

工业和信息化部也在2017年1月宣布,已实现了全部电话用户的实名登记,仅2016年1年,工信部就组织1.2亿电话用户进行实名补登记。

2023年11月15日,中国北京,一名女子在等待过马路时与朋友视讯通话。摄:Kevin Frayer/Getty Images
2023年11月15日,中国北京,一名女子在等待过马路时与朋友视讯通话。摄:Kevin Frayer/Getty Images

也是在这三年间,备受关注的《网络安全法》经历了公开征集意见、人大审议通过、正式发布施行三个阶段,于2017年6月1日正式实施。其中第二十四条明确提到,“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。”

这也就意味着,在电话实名制与互联网实名制已经先后大规模推广的既定事实之下,互联网实名制在立法层面终于得到确立。赶在新法实施之前,百度、知乎等尚未完全实施实名制的平台,也陆续宣布跟进。知乎还在一份声明中提到,“如因发表的内容引发纠纷,知乎将配合司法机关依法提供用户信息”。

但“后台实名,前台自愿”的原则,并未成为中国互联网实名制的终点。

2022年6月,网信办发布《互联网用户账号信息管理规定》,除再次强调实名制外,还要求互联网平台需要在互联网用户公众账号信息页面,提供运营主体、IP地址归属地等信息。

2023年,网信办再度发布《关于加强“自媒体”管理的通知》,提出禁止自媒体“集纳负面信息、翻炒旧闻旧事、蹭炒社会热点事件、消费灾难事故”等一系列限制,要求各平台“防止被依法依约关闭的账号重新注册”,还要求以显著方式展示自媒体账号所属 MCN 机构名称。

前项规定,演化为从微博率先试点、拓展至微信公众号、小红书等众多平台的前台显示 IP 归属地的措施;后项通知,则推动微信、微博等至少八家互联网平台,开始实施互联网大 V 前台实名政策。

“互联网并非法外之地”,而“网号”与“网证”的出现则表明,互联网实名制也并非中国互联网管控的终点。(延伸阅读:《“我们不在中国”:人脸识别技术在英国遭遇强烈争议》

此次《办法》的征集意见稿一经公布,旋即引发不少学者公开质疑。

清华大学法学教授劳东燕指出,《办法》作为部门规章,明显缺乏上位法依据。她还表示,《办法》真正的目的是管控人们在网络上的行为,称“网号制度就相当于给每个人的上网行为安装一个监视器,所有网上的痕迹(包括浏览痕迹)都可一网打尽打尽地轻易加以收集。”

北京大学法学院副院长沈岿也认为,“网号”与“网证”可能给个人隐私权和个人自主权带来极大风险。他表示,原本用户作为隐私被“零碎暴露”于多中心、商业化平台的网络存在,在“网号”、“网证”普及后,可能非常容易地在一个集中统一平台成为“完整裸露”的网络存在。

而香港浸会大学新闻系助理教授闾丘露薇在接受《纽约时报》的采访时说:“有了这个互联网身份证,你在网上的一举一动,你所有的数字痕迹,都将受到监管机构的监控”。

不过如果参考其他国家的案例,那么类似的网络身份认证并非中国首创。与《办法》中所描述的“网号”、“网证”比较接近的,目前已经应用成熟的是新加坡推出的 SingPass 服务。

根据 SingPass 官网信息,这项服务提供给15岁以上新加坡公民、永久居民及外国居留人士,用于向政府公共部门及包括银行、保险公司在内的部分私营企业。用户通过身份认证获取 SingPass 的 ID 与密码,并通过扫描二维码的方式按需提供服务所需的身份信息,包括姓名、年龄、联系方式、公积金等,数据会以加密方式发送至相关机构。

惟 SingPass 并未能避开诈骗的问题。2024年的前五个月,在新加坡就有超过200人被骗取 Singpass 密码等验证信息后,被用于开设银行账户。

澳大利亚今年通过了一项《数字身份法案》,计划从12月开始推动一项数字身份认证程序,用于政府公共服务,并逐步推向私营企业。2021年,澳大利亚还曾尝试以防止网络暴力、性暴力等为由,推动社交媒体实名制,但在一片反对声中搁浅。

台湾也曾计划于2020年推行数位身份证(New eID),用带晶片的新一代身份证来取代现有的纸本身份证。政府声称其中包含的明文信息少于纸本身份证,且不允许储存使用轨迹等资讯,但仍遭人权团体质疑其存在信息泄露、中国黑客攻击等风险。在经历了因 COVID-19 疫情而延期一年后,台湾行政院最终于2021年1月21日宣布暂缓数位身分证换发计划,并因此要向生产厂商赔偿2.8亿新台币。(延伸阅读:《一名白帽骇客的告白:我拿同事、邻居做实验》

但新加披、澳大利亚和台湾还没有实行过大规模的互联网实名制。而在中国大陆截然不同的互联网管控环境以及网络实名制的推行基础下,在中国引入“网号”和“网证”存在更多争议。

首先,虽然《办法》再三强调自愿原则,然而无论是同时出现在《网络安全法》与《办法》中的“网络可信身份战略”,还是中国此前推动网络实名制的坚决力度,“网号”、“网证”恐怕都将成为互联网平台与用户必须接受的新鲜事物。

那么问题随之而来。从2017年至今,互联网全面实名已经实施足足七年。在此之前各大平台已经收集到的,中国约11亿网民的明文身份信息将如何处理?声称要“减少互联网平台超范围采集、留存公民个人信息”的《办法》并未回应此问题。

其次,“网号”和“网证”或许可以减少各大平台的过度信息收集与数据滥用,但由政府运营与控制的身份认证平台有可能相较之前更大规模地收集个人数据。而一个中心化的平台,即便是由政府维护的,又能否真的保证数据库的安全?

《办法》中并未明确身份认证平台收集个人信息的范围。“国家网络身份认证”APP 的客服则回应,称不会收集用户在第三方平台上的使用记录等信息,只提供身份核验服务。但一家隶属公安部第一研究所的企业,同时也在对外提供“网证”服务的“CTID 平台”介绍,其目前提供的三项服务中就包括一项“网络行为追溯”。

中心化平台的危害,从2022年的上海市公安数据库的泄露中就足以看出端倪。当时号称包含10亿公民信息的数据被黑客打包出售,黑客提供的样本就包含了25万条公民档案,包含了从1995年到2019年长达25年间的公民姓名、联系电话、案件信息等内容。

再次,“网号”和“网证”也可能会成为政府加强言论审查的利器。《办法》征求意见稿出台后,中国政法大学副教授朱巍分析称,在统一的身份认证制度下,对于电信诈骗者可以全网封禁其网证,杜绝其更换平台、手机号复活的机会,有利于打击电信诈骗。

相类似地,按照网信办《关于加强“自媒体”管理的通知》中对“防止被依法依约关闭的账号重新注册”的要求,《办法》顺利推行后,除了电信诈骗者,可能更早被实践被全网封禁的会是发表敏感言论的异议人士。此前网信办已经一再强调禁止账号“转世”,但碍于各互联网平台相互独立,只有影响力较大的大 V 或网红才会享受全网封杀的“待遇”。一旦统一的网络身份认证平台出现,只要禁用其“网号”、“网证”,网民有可能在互联网平台尚未采取行动的情况下,已经失去完整使用互联网的权利。(延伸阅读:《WhatsApp是如何被利用来监控异见人士的?》

讀者評論 2

會員專屬評論功能升級中,稍後上線。加入會員可閱讀全站內容,享受更多會員福利。
  1. 「防民之口 甚於防川」的賽博版

  2. 先哄你是自願,後面你不‘自願’的話,你登陸各大平台甚至開通你的Wi-Fi上網都寸步難行,這我們還不知道嗎~ rip privacy