网号网证问题刍议
数字权益
网号网证问题刍议
世上的争论,大多只是名词的争论。很多人混淆了个人信息保护和隐私权的区别。
数字权益

网号网证问题刍议

1

近日,国家网络身份认证公共服务管理办法(以下简称“办法”)开始征求意见,关于网号网证的新闻文章一下子涌了上来,各种观点、看法令人眼花缭乱。

技术背景的,一来就分析原理机制等实操问题,跳过了应然问题;法律背景的,大多上来直接哀嚎,几乎通篇虚空造靶,不见具体分析;新闻背景的,(略);自媒体背景的,不少下载了国家网络身份认证试点APP(以下简称“APP”),和大家讲体验干货。

初听新闻时,我和大家一样,认为以后要“裸奔上网”了。

在看了办法的征求意见稿内容和说明、APP的用户协议和保护规则后,感觉并没那么糟,当然也没那么好。

2

为什么说没那么糟?

因为网号网证设立不是为了刺探掌握我们每个人的隐私

从目前信息可知,网号网证是由全国人大代表、黑龙江省大庆市公安局网络警察分局副局长贾晓亮在今年的两会提案衍化而来,目的是为了强化实名制效果、避免个人信息外泄滥用、打击网络违法犯罪。

办法也开宗明义,第一条说明设立目的是“保护公民身份信息安全”。

根据APP的保护规则及实际测评来看,网号网证收集的个人信息主要包括法定证件信息、关联手机号码、终端设备信息和个人轨迹信息(即个人使用APP在第三方APP进行登录、实名认证、涉诈重新核验等的记录信息)。由此可见,网号网证的确是按照“最小化”原则收集个人信息的,并没有像我们最初想的那样包揽了一切。

所以,网号网证不是大家想象的“裸奔上网”。那些不谈办法内容或实操层面,只谈价值理想的文章建议少看。

3

那为什么说也没那么好呢?

首先,实行网号网证政策对于保护公民身份信息安全工作的作用效果可能没有预期那么好

不少文章都提到,即使严格落实网号网证政策,天然更强势的互联网平台一方,仍然可以轻松地以其他名义获取信息,再加上庞大的现有信息存量,个人不可避免地频繁暴露的手机号码、常住地址等信息,形成固定的、完整的、指向明确的个人信息,几乎是可以肯定的。

4

其次,个人信息的收集范围不明,启人疑窦。

前面提到网号网证收集个人信息的范围只是根据APP的保护规则及实际测评得出,并不是官方明确的。

网号网证的个人信息收集范围肯定小于《民法典》,但在办法里多次出现的“个人信息”表述,自始至终没有明确界定范围。在APP用户协议、保护规则或其他位置也没有看到类似表述。

范围不明确,意味着范围随时可能扩张。比如,将来会不会将常用地址、多个手机号码、甚至银行卡信息纳入呢?

范围不明确,意味着现有范围也是不确定的。

现有的四组信息里:法定证件信息、关联手机号码的范围应该是固定的;终端设备信息范围,根据APP保护规则也是比较确定的(该范围是否必要,看不懂、不确定,求解答);个人轨迹信息范围则是不确定的。

目前个人轨迹信息包括实名认证、登录、涉诈重新核验方式的记录,是否包含其他方式不清楚;这些记录是仅记录时间,还是时间、地点、位置等其他信息一并记录不清楚;APP显示认证记录保存7天,但后台保存多久也不清楚。

5

最后,除了收集范围不明确,收集后如何使用也不明朗。

办法第一条规定网号网证的目的除了“保护公民身份信息安全”,还有半句“促进数字经济发展”,那么以后根据网号网证的个人信息(尤其是个人轨迹记录)而进行大数据挖掘恐怕是题中之义。

将来很有可能会定期看到“全国XX认证发展白皮书(202X年)”之类的文件。

除了认证必须向第三方APP提供个人信息外,办法第九条还提及“未经自然人单独同意,公共服务平台不得擅自处理或者对外提供相关数据信息,法律、行政法规另有规定的除外”,但在APP保护规则第3.1条扩大解释为“除以下情况外,本应用不会将获取的您的个人信息提供给任何第三方,包括转让、共享、公开披露等:(1)事先获得您的单独同意;(2)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(3)为公共利益实施新闻报道、舆论监督等行为,在合理范围内处理个人信息;(4)法律、行政法规规定的其他情形”,个人信息的使用情形会不会进一步扩大令人生疑。

6

其实网络身份认证也不是我国首创,国外早已有之。早在2002年,芬兰就推出了网络身份认证系统,但是与我国覆盖至日常生活的全网模式不同,芬兰的网络身份认证仅限于政府、金融、医疗、教育等公共领域。

我国的网络身份认证有可能仅限制在公共领域么?恐怕不会。我国网络身份认证一开始就是为了打击网络违法犯罪,针对对象显然是目前无序的非公共平台。

网号网证延伸至非公共平台是必然的,相应的,公众对网号网证政策的担忧就是不可避免的。

公众担忧的焦点到底是什么呢?从前面“没那么糟”和“没那么好”就可以看出,公众担心的是隐私,不是个人信息。

说地粗鲁些,扒长裤可以,别扒底裤。

7

其实世上的争论,大多只是名词上的争论。很多人其实混淆了个人信息保护和隐私权的区别。这次争论很多人扯着个人信息保护的大旗,说的其实都是隐私权的话。

隐私权是被动的,重心在于防范个人的秘密不被披露;个人信息权益是主动的,是对个人信息的支配和自主控制和利用。站在法学角度,这是十分显然的。

既然如此,系铃人的解铃之路也就不算难。官方可以进一步明确网号网证的个人信息收集范围、使用范围及方式,让公众理解这只是打开必要的个人信息之门,不开隐私之门。

释之以繁,民自知,示之以明,民自安。