沈岿 & 勞東燕|關於「網證網號」的意見
公安部和網信辦發布了《國家網路身份認證公共服務管理辦法(徵求意見稿)》。該辦法涉及統一網號和網證制度,旨在保護個人資訊但引發了關於隱私權、實名制和社會風險的討論。沈巋和勞東燕教授分別從憲法與行政法角度提出了對該制度的擔憂。
作者|沈巋&勞東燕
為了便於閱讀,本網站編輯在不違背原意的情況下做了適當修改!同時聲明,此文章僅代表作者觀點,本網站僅作為展現,以便讀者全面瞭解歷史真相!
北京大學法學院教授沈巋意見
2024 年 7 月 26 日,公安部、國家互聯網資訊辦公室聯合發佈了《關於〈國家網路身份認證公共服務管理辦法(徵求意見稿)公開徵求意見的公告》,並附上了《國家網路身份認證公共服務管理辦法(徵求意見稿)》(以下簡稱“《辦法》”)全文以及《關於起草〈國家網路身份認證公共服務管理辦法(徵求意見稿)〉的說明》(以下簡稱《說明》)。這一全文僅有十六個條款的《辦法》看上去並不起眼,但確實關係到網路社會的活力源泉,公安部、網信辦踐行立法民主原則,按照《立法法》《規章制定程式條例》的規定公開向社會徵求意見,是應當予以肯定的。我並非網路技術專家,也非網路法專家,但是出於對我們生活其中的網路世界的理解和認知,從憲法和行政法角度,提出對《辦法》所希望建立的制度的關切和擔憂。
《辦法》的目的在《說明》之中已經非常明確地提出來了,主要是為了“建成國家網路身份認證公共服務平臺,形成國家網路身份認證公共服務能力,為社會公眾統一簽發‘網號’‘網證’,提供以法定身份證件資訊為基礎的真實身份登記、核驗服務,達到方便人民群眾使用、保護個人資訊安全、推進網路可信身份戰略的目標。基於國家網路身份認證公共服務(以下簡稱公共服務),自然人在互聯網服務中依法需要登記、核驗真實身份資訊時,可通過國家網路身份認證 APP 自願申領並使用‘網號’‘網證’進行非明文登記、核驗,無需向互聯網平臺等提供明文個人身份資訊。由此,可以最大限度減少互聯網平臺以落實‘實名制’為由超範圍採集、留存公民個人資訊。”
根據這段文字,我對實際操作層面的簡單理解是:自然人在互聯網平臺接受服務、從事相關活動,若依法需要登記、核驗真實身份資訊,可以考慮不再向平臺提供詳細的個人身份資訊,而是可以向平臺提供其向國家網路身份認證平臺申請獲得的“網號”“網證”。直覺上,這樣的一個“取而代之”,或許可以收穫三個好處:
第一,有利於網路用戶在依法需要實名認證的場合進行快捷方便的操作。因為,《辦法》第 5 條規定:“根據法律、行政法規規定,在互聯網服務中需要登記、核驗用戶真實身份資訊的,可以使用網號、網證依法進行登記、核驗。”當然,這個便捷並非十分顯著,輸入個人身份資訊比輸入“網號”“網證”並沒有特別明顯的麻煩。
第二,有利於個人身份資訊盡可能少地被國家網路身份認證平臺(即《辦法》中簡稱的“公共服務平臺”)以外的其他網路平臺收集。因為,《辦法》第 8 條規定:“互聯網平臺需要依法核驗用戶真實身份資訊但無需留存用戶法定身份證件資訊的,公共服務平臺應當僅提供用戶身份核驗結果。根據法律、行政法規規定,互聯網平臺確需獲取、留存用戶法定身份證件資訊的,經用戶授權或者單獨同意,公共服務平臺應當按照最小化原則提供。”
第三,有利於個人資訊安全的最大化。這是從以上兩點可以合乎情理地推出的,因為,實際個人身份資訊收集的主體越少,被要求超範圍提供個人資訊的可能性就會越小,收集、保存用戶資訊的主體洩露、非法使用資訊的可能性也就會越小。
由這三個好處,我們似乎可以簡單地得出一個結論:這個基於個人自願申請的“網號”“網證”制度——《辦法》第 4 條第 1 款規定:持有有效法定身份證件的自然人,可自願向公共服務平臺申領網號、網證——是有益的、是可行的。然而,世上很少見“有百利而無一害”的制度,許多制度往往是利弊並存的,當我們進行制度選擇的時候,經常要做的棘手工作是如何權衡利弊,以找到好處明顯大過壞處、且可以儘量遏制壞處的制度方案。這樣的權衡在憲法、行政法上的典型體現是被稱為公法“帝王原則”的比例原則。
完整的比例原則有四點要求:
其一,公權力機關採取的措施和手段所欲實現的目標是合法的、正當的;
其二,公權力機關採取的措施和手段確實可以實現其宣稱的目標;
其三,公權力機關採取的措施和手段對當事人權益的損害是最小的;
其四,公權力機關採取的措施和手段所獲得的收益與其所付出的成本是適度的,切忌“用大炮打蚊子”,即便把蚊子打下來了,也是損耗極大。
其中,任何一項要求不能得到滿足,公權力機關採取的措施和手段就不符合比例原則,就無法通過合憲性/合法性審查。那麼,統一“網號”“網證”制度是否可以經得起檢驗呢?
從前文所提統一“網號”“網證”的可能益處看,該制度是符合比例原則第一、第二項要求的,關鍵在於第三項要求,即該制度會給個人帶來什麼損害,這個損害是否大過可能的益處,以及是否有別的制度,可以實現同樣的益處而又沒有更大損害。
根據《辦法》目前的規定,個人擁有統一的“網號”“網證”,以及網路平臺接入網絡身份認證服務,是根據自願而非強制,由此,即便統一“網號”“網證”可能帶來什麼危害,似乎也是個人或網路平臺自願接受的。然而,《辦法》第 6 條“鼓勵有關主管部門、重點行業按照自願原則推廣應用網號、網證”,第 7 條“鼓勵互聯網平臺按照自願原則接入公共服務,用以支持用戶使用網號、網證登記、核驗用戶真實身份資訊”。通常,在這種鼓勵推廣之下,統一“網號”“網證”的使用會越來越普遍、越來越廣泛。甚至,不排除實行實名制的網路平臺將來直接要求用戶使用“網號”、“網證”登記,而不給用戶選擇的機會。
統一“網號”“網證”的普遍使用,最令人擔心的損害是可能給個人隱私權和個人自主權帶來極大的風險。
在網路時代,個人隱私、個人自主已經很難像在前網路時代那樣得到保護。在過去,我可以到實體書店駐足流覽,並購買自己喜歡的書籍帶回家閱讀;我可以在大街小巷的報刊亭,把自己中意的報紙、刊物買下來翻閱,把自己喜歡的明星畫像剪下來貼在自家牆上;我可以逛街、逛商店,到自己突然動心的店鋪裏買下可愛的商品;我可以獨自去公園、去高山、去河流湖泊徒步、郊遊,欣賞美景。所有這些,我都可以自己做主完成。而且,我看過什麼書、流覽過什麼新聞、喜歡過什麼明星、購買過什麼商品、到過什麼地方,除非我告訴別人,我都是可以保留在自己隱私的範圍內。
在網路時代,一切都不同了。我去實體書店的次數明顯減少了,即便去了,看中什麼書,我也會通過網路購買;我基本已經不再訂閱或購買紙質報紙、期刊,因為各種新聞,包括娛樂新聞,都可以在網上流覽,喜歡的明星畫像也可以下載放在自己的電腦裏;實體商店的閒逛仍然是有的,但更多還是在網路上購物;想去風景名勝,則會在網上購買門票、購買高鐵票或飛機票,自駕遊還會用導航。由此,我仍然可以基本上做主完成這些事情,而網路帶來的視野開闊、活動便利等是以前所未達到的,但是,隱而不顯的風險和危害是,網路上“走過”的痕跡通常以某種形式的數據保留在提供服務的網路平臺那裏。進而,網路平臺會根據其演算法,對收集起來的數據進行分析,對我進行“畫像”:喜歡什麼書、喜歡什麼新聞、喜歡什麼明星、喜歡什麼衣服、喜歡去什麼地方,甚至可以從我閱讀的書、新聞之中判斷我的人生哲學、政治哲學立場。由此,過去可能比較容易守住的隱私空間,已經大大限縮了。而且,一旦想到自己在網路平臺上的一言一行,都有可能是在“被平臺關注著”,自己做主的空間也就會在謹慎中限縮。
不過,網路技術的發展似乎是不可逆轉的,在此決定論、宿命論之下,守住隱私、守住自主、守住自我,以及因為這份守住而有的思想、行動以及創新之活躍,在相當程度上得到了網路社會多中心的保障。我在“微信讀書”中閱讀,我的讀書偏好可能只在這個平臺得到“畫像”,而不會被別的平臺瞭解,“微信讀書”也不會知道我喜歡什麼衣著、什麼化妝品。我在百度上搜索,可以通過設置,選擇不讓百度跟蹤我的搜索記錄,雖然我會因此失去個性化推薦的好處——優化流覽時間,而即便我允許百度跟蹤,得到我諸多數據的也只是百度這個平臺,而不是其他平臺。這樣的假設場景可以繼續列舉下去,但似乎也沒必要,因為我的觀點已經表達了:我在網路時代已經難免“隱私暴露”,但多中心的、商業化的平臺只能得到“我的部分”,而不能得到“我的全部”,我還不至於完全“裸奔”。更何況,《民法典》《數據安全法》《個人資訊保護法》等法律以及人工智慧倫理規範,對商業平臺保護個人隱私、個人資訊、數據安全等有明確的合規要求。
然而,當統一的“網號”“網證”普遍廣泛使用時,可以想像的是,我用“網號”“網證”在各個平臺上登記,我在各個平臺上做過的事情,都是可以——不一定是必然——由將“網號”“網證”與個人真實身份資訊鎖定的集中統一平臺收集到相關數據,並進行數據分析。原來我還是“零碎暴露”的網路存在,有可能非常容易地在一個集中統一平臺成為“完整裸露”的網路存在。這種“完整裸露”不一定會被我及時發現,也不一定會給我帶來即時損害,但毫無疑問的是,我會因為這樣的裸露風險而變得更加的謹小慎微,變得不敢贊同或反對一些主張,變得不敢進行充分的交流,變得不敢廣泛的閱讀流覽,變得不敢……這種自我拘謹、自我束縛如果普遍存在,數字經濟活力如何激發,數字社會環境如何優化,數字合作格局又如何構建?
簡言之,數字經濟、網路社會的活力源泉,在於多中心而不是集中壟斷。統一“網號”“網證”的潛在風險、危害是巨大的,其收穫的可能好處——防止平臺超範圍收集個人資訊、防止平臺洩露個人資訊和數據等——其實又是完全可以通過既有的其他制度實現的。鑒於此,統一“網號”“網證”制度是否可以通過比例原則的檢驗,是否可以通過數字經濟發展的檢驗,應當畫上大大的問號,並加以認真的對待和省視。
清華大學法學院教授勞東燕意見
由公安部與網信辦聯合起草的《國家網路身份認證公共服務管理辦法(徵求意見稿)》(以下簡稱《辦法》於 7 月 26 日正式公佈,目前正處於公開徵求意見階段。既然是公開徵求意見,我也想公開表達一下我的意見。
《辦法》擬推行統一的網號與網證制度,在我看來,這樣的舉措將帶來極大的社會風險,並且作為部門規章,明顯缺乏上位法依據。與 2023 年 9 月出臺的《治安管理處罰法(修訂草案》相比,帶來的社會風險有過之而無不及。
首先,《辦法》的真實用意,是如起草者所言是基於保護個人資訊的目的,還是加強對個人在網路上的言行的管控?
在網路實名制推行 12 年之後,超過十億的線民都已經在各個網路資訊服務提供者處留下認證所需的個人資訊,在這種情況下推行網號與網證制度還有多少現實的意義?當初推行網路實名制,就是以保護普通公眾的名義推出,保護的效果如何,大家有目共睹。這意味著,《辦法》的推行與網路實名制一樣,真正的目的是管控人們在網路上的行為,所謂保護個人資訊云云不過是虛晃一槍,至少不是主要的目的所在。
其次,網號與網證制度的實質是什麼?
形象地說,網號與網證制度就類似於疫情期間的健康寶,治理思路上如出一轍,只不過是將通過健康寶的社會管控日常化與常態化了。網號制度就相當於給每個人的上網行為安裝一個監視器,所有網上的痕跡(包括流覽痕跡)都可一網打盡打盡地輕易加以收集。網證制度則意味著,上網或使用網路服務提供者提供的服務,將在實質上成為一種需要經過許可才能享有的特權,如果相關部門不提供認證服務,個人就難以享有相應的互聯網服務,包括但不限於發言、評論與其他服務。
附:公安部 國家互聯網資訊辦公室關於《國家網路身份認證公共服務管理辦法(徵求意見稿)》公開徵求意見的公告
2024 年 07 月 26 日 17:00 來源:中國網信網
為強化公民個人資訊保護,推進並規範國家網路身份認證公共服務建設應用,加快實施網路可信身份戰略,根據《中華人民共和國網路安全法》《中華人民共和國數據安全法》《中華人民共和國個人資訊保護法》《中華人民共和國反電信網絡詐騙法》等法律法規,公安部、國家互聯網資訊辦公室等研究起草了《國家網路身份認證公共服務管理辦法(徵求意見稿)》,現向社會公開徵求意見。公眾可以通過以下途徑和方式提出意見建議:
1.登錄中華人民共和國司法部 中國政府法制資訊網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首頁主菜單的“立法意見徵集”欄目提出意見建議。
2.通過電子郵件將意見建議發送至:wajfzc@sina.com或zqyj@cac.gov.cn。
3.通過信函將意見建議寄至:北京市東城區東長安街 14 號公安部,郵編:100741,或北京市西城區車公莊大街 11 號國家互聯網資訊辦公室,郵編:100044。來信請在信封上注明“國家網路身份認證公共服務管理辦法徵求意見”。
意見建議回饋截止時間為 2024 年 8 月 25 日。
2024 年 7 月 26 日
國家網路身份認證公共服務管理辦法(徵求意見稿)
第一條 為實施網路可信身份戰略,推進國家網路身份認證公共服務建設,保護公民身份資訊安全,促進數字經濟發展,根據《中華人民共和國網路安全法》《中華人民共和國數據安全法》《中華人民共和國個人資訊保護法》《中華人民共和國反電信網絡詐騙法》等法律法規,制定本辦法。
第二條 本辦法所稱國家網路身份認證公共服務(以下稱“公共服務”),是指國家根據法定身份證件資訊,依託國家統一建設的網路身份認證公共服務平臺(以下稱“公共服務平臺”),為自然人提供申領網號、網證以及進行身份核驗等服務。
本辦法所稱網號,是指與自然人身份資訊一一對應,由字母和數字組成、不含明文身份資訊的網路身份符號;網證,是指承載網號及自然人非明文身份資訊的網路身份認證憑證。網號、網證可用於在互聯網服務及有關部門、行業管理、服務中非明文登記、核驗自然人真實身份資訊。
第三條 國務院公安部門、國家網信部門依照各自法定職責,負責國家網路身份認證公共服務的監督管理,監督、指導公共服務平臺依法落實數據安全和個人資訊保護義務。
國務院民政、文化和旅遊、廣播電視、衛生健康、鐵路、郵政等部門依照本辦法和有關法律、行政法規的規定,在各自職責範圍內負責國家網路身份認證公共服務的推廣應用和監督管理工作。
第四條 持有有效法定身份證件的自然人,可自願向公共服務平臺申領網號、網證。
不滿十四周歲的自然人需要申領網號、網證的,應當征得其父母或者其他監護人同意,並由其父母或者其他監護人代為申領。
已滿十四周歲未滿十八周歲的自然人需要申領網號、網證的,應當在其父母或者其他監護人的監護下申領。
第五條 根據法律、行政法規規定,在互聯網服務中需要登記、核驗用戶真實身份資訊的,可以使用網號、網證依法進行登記、核驗。
不滿十四周歲的自然人使用網號、網證登記、核驗真實身份資訊的,應當征得其父母或者其他監護人同意。
第六條 鼓勵有關主管部門、重點行業按照自願原則推廣應用網號、網證,為用戶提供安全、便捷的身份登記和核驗服務,通過公共服務培育網路身份認證應用生態。
第七條 鼓勵互聯網平臺按照自願原則接入公共服務,用以支持用戶使用網號、網證登記、核驗用戶真實身份資訊,依法履行個人資訊保護和核驗用戶真實身份資訊的義務。
互聯網平臺接入公共服務後,用戶選擇使用網號、網證登記、核驗真實身份資訊並通過驗證的,互聯網平臺不得要求用戶另行提供明文身份資訊,法律、行政法規另有規定或者用戶同意提供的除外。
互聯網平臺應當保障使用網號、網證的用戶與其他用戶享有相同服務。
第八條 互聯網平臺需要依法核驗用戶真實身份資訊但無需留存用戶法定身份證件資訊的,公共服務平臺應當僅提供用戶身份核驗結果。
根據法律、行政法規規定,互聯網平臺確需獲取、留存用戶法定身份證件資訊的,經用戶授權或者單獨同意,公共服務平臺應當按照最小化原則提供。
未經自然人單獨同意,互聯網平臺不得擅自處理或者對外提供相關數據資訊,法律、行政法規另有規定的除外。
第九條 公共服務平臺處理個人資訊不得超出為自然人提供申領網號、網證以及進行身份核驗等服務所必需的範圍和限度,在向自然人提供公共服務時應當依法履行告知義務並取得其同意。處理敏感個人資訊的,應當取得個人的單獨同意,法律、行政法規規定應當取得書面同意的,從其規定。
未經自然人單獨同意,公共服務平臺不得擅自處理或者對外提供相關數據資訊,法律、行政法規另有規定的除外。
公共服務平臺應當依照法律、行政法規規定或者用戶要求,及時刪除用戶個人資訊。
第十條 公共服務平臺在處理用戶個人資訊前,應當通過用戶協議等書面形式,以顯著方式、清晰易懂的語言真實、準確、完整地向用戶告知下列事項:
(一)公共服務平臺的名稱和聯繫方式;
(二)用戶個人資訊的處理目的、處理方式,處理的個人資訊種類、保存期限;
(三)用戶依法行使其個人資訊相關權利的方式和程式;
(四)法律、行政法規規定應當告知的其他事項。
處理敏感個人資訊的,還應當向個人告知處理的必要性以及對個人權益的影響,法律、行政法規另有規定的除外。
第十一條 公共服務平臺處理個人資訊,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知前條第一款規定的事項。
緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的,公共服務平臺應當在緊急情況消除後及時告知。
第十二條 公共服務平臺應當加強數據安全和個人資訊保護,依法建立並落實安全管理制度與技術防護措施。
第十三條 公共服務平臺的建設和服務涉及密碼的,應當符合國家密碼管理有關要求。
第十四條 違反本辦法第七條第二款、第八條、第九條、第十條、第十二條規定,依照《中華人民共和國網路安全法》《中華人民共和國數據安全法》《中華人民共和國個人資訊保護法》應當追究法律責任的,由國務院公安部門、國家網信部門在各自職責範圍內依法予以處罰;構成犯罪的,依法追究刑事責任。
第十五條 本辦法所稱法定身份證件,包括居民身份證、定居國外的中國公民的護照、前往港澳通行證、港澳居民來往內地通行證、臺灣居民來往大陸通行證、港澳居民居住證、臺灣居民居住證、外國人永久居留身份證等身份證件。
第十六條 本辦法自 年 月 日起施行。
關於起草《國家網路身份認證公共服務管理辦法(徵求意見稿)》的說明
一、起草必要性
為全面貫徹落實《中華人民共和國網路安全法》《中華人民共和國數據安全法》《中華人民共和國個人資訊保護法》《中華人民共和國反電信網絡詐騙法》中關於國家實施網路可信身份戰略、推進網路身份認證公共服務建設等有關規定,國家組織建設網路身份認證公共服務基礎設施,旨在建成國家網路身份認證公共服務平臺,形成國家網路身份認證公共服務能力,為社會公眾統一簽發“網號”“網證”,提供以法定身份證件資訊為基礎的真實身份登記、核驗服務,達到方便人民群眾使用、保護個人資訊安全、推進網路可信身份戰略的目標。基於國家網路身份認證公共服務(以下簡稱公共服務),自然人在互聯網服務中依法需要登記、核驗真實身份資訊時,可通過國家網路身份認證 APP 自願申領並使用“網號”“網證”進行非明文登記、核驗,無需向互聯網平臺等提供明文個人身份資訊。由此,可以最大限度減少互聯網平臺以落實“實名制”為由超範圍採集、留存公民個人資訊。為進一步強化個人資訊保護、規範公共服務的運行管理,公安部、國家互聯網資訊辦公室等有關部門經充分調研論證,起草了《國家網路身份認證公共服務管理辦法(徵求意見稿)》(以下簡稱《管理辦法》)。
二、主要內容
《管理辦法》共 16 條,主要包括四個方面的內容:一是明確了公共服務和“網號”“網證”等概念;二是明確了公共服務的使用方式和場景;三是強調了公共服務平臺和互聯網平臺的數據和個人資訊保護義務;四是明確了公共服務平臺和互聯網平臺違反數據和個人資訊保護義務的法律責任。
三、主要考慮
《管理辦法》根據《中華人民共和國網路安全法》《中華人民共和國數據安全法》《中華人民共和國個人資訊保護法》《中華人民共和國反電信網絡詐騙法》的規定,明確了使用“網號”“網證”進行網路身份認證的方式,並對“網號”“網證”的申領條件、公共服務的使用場景、法定身份證件範圍、數據和個人資訊安全保護義務等基礎性事項作出規定。此外,依照《中華人民共和國個人資訊保護法》《未成年人網路保護條例》等對未成年人的特殊保護要求,對未成年人申領、使用公共服務作出了特別規定。
《管理辦法》鼓勵互聯網平臺接入公共服務,支持用戶使用“網號”“網證”登記、核驗真實身份,並作為其履行用戶真實身份核驗和個人資訊保護等法定義務的一種方式。對自願選擇使用“網號”“網證”的用戶,除法律法規有特殊規定或者用戶同意外,互聯網平臺不得要求用戶另行提供明文身份資訊,最大限度減少互聯網平臺以落實“實名制”為由超範圍採集、留存公民個人資訊。
《管理辦法》嚴格依照《中華人民共和國個人資訊保護法》等上位法的規定,充分保障了用戶個人資訊相關權利。明確了公共服務平臺採集個人資訊的“最小化和必要性原則”,即公共服務平臺處理個人資訊不得超出為自然人提供“網號”“網證”相關服務所必需的範圍和限度。明確了公共服務平臺處理用戶個人資訊時的解釋告知、數據保護等義務,充分保障用戶的知情權、選擇權、刪除權等個人資訊相關權利。
《管理辦法》明確了身份核驗結果資訊的“最小化提供原則”和依法處理要求。對依法需要核驗用戶真實身份但無需留存用戶法定身份證件資訊的,公共服務平臺應當僅向互聯網平臺提供核驗結果;對於依法確需獲取、留存用戶法定身份證件資訊的,經用戶單獨同意,公共服務平臺應按照“最小化原則”向互聯網平臺提供必要、相關的明文資訊。