前言一直以来,网络安全是悬挂在企业头顶的达摩克利斯之剑。按照《网络安全法》的相关规定,在中华人民共和国境内建设、运营、维护和使用网络的企业应做好网络安全工作,包括做好网络安全等级保护制度;购买的网络产品、服务应服务国家标准的强制性要求;做好个人信息保护工作;落实网络实名制要求等。近年来,笔者在为大数据公司、互联网企业、高新技术企业等提供法律服务的过程中,梳理了网络安全的合规要点,形成以下系列文章,希望对读者有所裨益。
因篇幅限制,本文章分为上、下两篇,上篇介绍简析“网络实名制”入刑的构成要件与现有“网络实名制”的认证模式,下篇介绍现有“网络实名制”认证模式存在入刑风险的原因、对“网络实名制”认证模式的再建构及结语。以下为上篇内容。
一、“网络实名制”认证模式的入刑风险
《中华人民共和国刑法》第286条之1条规定“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”《中华人民共和国刑法》对于“有其他严重情节的”并未作出具体规定,但在2019年10月21日,最高人民法院、最高人民检察院发布《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下简称“两高解释”),该文件指出“对绝大多数用户日志未留存或者未落实真实身份信息认证义务的”,视为“有其他严重情节”,或将处以“三年以下有期徒刑、拘役或者管制,并处或者单处罚金”【1】,该规定就此引发网络服务提供者未做“网络实名制”或将入刑的舆论风波。
二、简析“网络实名制”入刑的构成要件
自“两高解释”发布以来,网络服务提供者未做“网络实名制”或将入刑的言论尘嚣甚上,笔者将从未做“网络实名制”或将入刑的主体、前置条件、后果等要件进行分析,以析清“网络实名制”入刑的构成要件。
(一)未做“网络实名制”或将入刑的主体
《刑法》第286条之1条规定网络服务提供者应当履行法律、行政法规规定的信息网络安全管理义务,未履行义务或将入刑。然而笔者研究发现,网络服务提供者履行的信息网络安全管理义务可能是履行“网络实名制”义务,可能是建立“网络安全等级保护制度”【2】,抑或是采用“符合相关国家标准的强制性要求”的网络产品、服务【3】等义务,网络服务提供者并非均需要提供“网络实名制”认证义务,例如提供界面浏览的网站,因未与用户互动,无须采集用户信息,此种状况下并不需要履行“网络实名制”的义务。
“两高解释”规定网络服务提供者,包括提供“信息网络接入、计算、存储、传输服务”“信息网络应用服务”“利用信息网络提供的公共服务”等类型的机构,那么,这些机构中属于哪些需要履行义务的机构呢?《网络安全法》第24条规定履行“网络实名制”义务的主体应是为用户办理“网络接入”“域名注册服务”等信息网络接入服务,或者为用户提供“信息发布”“即时通讯”的信息网络应用等服务的机构【4】。《网络安全法》运用“等”字赋予其他部门扩充解释的空间,随后国家新闻出版广电总局、网信办下发文件规定网络直播、网络游戏等机构也须履行“网络实名制”义务【5】。笔者发现,官方对“网络实名制”的履行机构仅作列举式规定,未有概括性定义,这使得实务中互联网企业对是否需要履行“网络实名制”义务产生困惑。笔者认为,倘若互联网企业因法律规定或商业需要,需要用户注册账号、提供身份信息等资料,均应主动履行“网络实名制”义务。
(二)未做“网络实名制”或将入刑的前置条件
如果网络服务提供者需要履行“网络实名制”的义务,如其不依法履行义务,必不会立刻遭受刑事处罚。根据《刑法》第286条之1条的规定,网络服务提供者不履行“网络实名制”的义务,在“经监管部门责令采取改正措施而拒不改正”的前提下,才可能触发入刑风险。换言之,网络服务提供者未做“网络实名制”,在被监管部门处以行政处罚后,仍拒不履行“网络实名制”的义务,在这种条件下,才有可能触发刑事风险,面临牢狱之灾。
如何认定上述所谓的“监管部门”呢?根据《网络安全法》第61条规定“未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正。”该规定并未明确“网络实名制”的监管机构。但《互联网用户账户名称管理规定》规定未做“网络实名制”的互联网企业将由“互联网信息办公室依据职责,依法予以处罚”【6】;《关于防止未成年人沉迷网络游戏的通知》规定未落实“网络实名制”的互联网游戏公司,“各地出版管理部门”有权责令限期改正,直至吊销相关许可【7】,由此推论“网络实名制”是由多部门监管,而具体是哪些部门监管,笔者认为法律规定层出不穷,当前尚无定论,但由于“网络实名制”涉及网络安全事项,国家网信部门、电信主管部门和公安部门是重要的监管部门【8】。
(三)未做“网络实名制”或将入刑的后果
《刑法》第286条之1条规定未做“网络实名制”的网络服务提供者,如果主体是个人,个人将可能面临“三年以下有期徒刑、拘役或者管制,并处或者单处罚金”的刑罚;如果主体是单位,单位将可能面临罚金处罚,并对单位直接负责的主管人员和其他直接责任人员,依照“三年以下有期徒刑、拘役或者管制,并处或者单处罚金”的规定处罚;如果网络服务提供者在不履行“网络实名制”时,同时构成其他犯罪的,将依照处罚较重的规定定罪处罚。
网络服务提供者如果想从事网络经营业务,必须取得《基础电信业务经营许可证》或者《增值电信业务经营许可证》,而根据《电信业务经营许可证管理办法》的规定【9】,公司才有资质申请上述许可证,这意味着个人无法取得许可证。同时,履行“网络实名制”义务要承受较重的成本负担,无法从事网络增值电信业务的个人也难以承受。因此可以看出,《刑法》第286条之1条的规定,侧重在于规范主体是单位的经营活动。
三、现有“网络实名制”的认证模式
由于网络服务提供者如不履行“网络实名制”义务,确有遭受刑事处罚的风险,因此履行“网络实名制”成为网络服务提供者的强制性义务。但是,不同于真实世界接触到的鲜活个人,互联网经营者和用户处于线上匿名的两端,如何确保用户提供的是真实身份呢?换言之,如何保证网络服务提供者已经切实履行了“网络实名制”的认证义务?
(一)当前“网络实名制”的发展情况梳理
1997年公安部发布《计算机信息网络国际联网安全保护管理办法》,规定互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当“建立计算机信息网络电子公告系统的用户登记和信息管理制度”【10】,此文件首次规定互联网企业要收集用户的互联网信息,但对于应收集哪些信息未做详细说明。2000年《互联网信息服务管理办法》进一步规定收集的用户信息应当包括“上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等”【11】。但截止至2002年,国家尚未严格要求互联网企业应当收集用户的身份信息并作实名认证,只要求线下机构,例如网吧等上网服务经营场所应对“上网消费者的身份证等有效证件进行核对、登记,并记录有关上网信息”【12】。
情况在2012年发生了变化,2012年全国人大常委会发布《关于加强网络信息保护的决定》,该决定指出网络服务提供者有权要求“用户提供真实身份信息”【13】,正式对互联网企业提出了要做“网络实名制”的要求。以《关于加强网络信息保护的决定》的出台为分水岭,此后涉及互联网的多数监管规定均要求互联网企业须做“网络实名制”的措施。例如,《网络安全法》规定“用户不提供真实身份信息的,网络运营者不得为其提供相关服务”【14】;《互联网用户账户名称管理规定》“要求互联网信息服务使用者通过真实身份信息认证后注册账号”【15】;《互联网直播服务管理规定》规定“对互联网直播用户进行基于移动电话号码等方式的真实身份信息认证,对互联网直播发布者进行基于身份证件、营业执照、组织机构代码证等的认证登记”【16】等。“网络实名制”的发展情况详见下表:
“网络实名制”的发展情况表(由笔者整理)
(二)“网络实名制”施行“实名+验证”模式根据上文可以看出,法律规定网络服务提供者应采用技术手段,让用户上传其真实身份信息,网络服务提供者应对用户上传的身份信息进行认证。易言之,当前网络服务提供者履行“网络实名制”的义务主要采用“实名+验证”的认证模式。
我国法律规定网络服务提供者应履行“实名+验证”的认证模式,主要是因为部分用户出于各种目的会故意隐匿真实身份,因此如果对用户上传的身份信息一概认定为真实,会导致信息采集不准确。针对该问题,中央机构编制委员会于2001年3月27日批准公安部成立“全国公民身份证号码查询服务中心”(以下简称“NCIIC”),负责建设、管理和运营“全国人口信息社会应用平台”,为政府部门、社会各界提供公民身份信息认证和统计分析服务【17】。NCIIC主要提供简项核查、返照核查(不对外提供)和人像对比三种实名验证服务。简项核查是核对身份证和姓名是否一致;返照核查为“简项核查+网纹照片返回”;人像对比为“简项核查+人脸比对(不返回照片)”,这三种方式中以简项核查最为常见,简项核查的流程图详见下图:
简项核查流程图
虽然NCIIC对外开放了实名认证接口,但行政资源的有限性天然与实名认证机构的海量性存在不可调和的矛盾,因此NCIIC对外只向有限的身份证接口服务商提供认证服务,其他的实名认证机构转而向身份证接口服务商寻求验证服务。2012年公安部向国家发改委递交《关于申请保留身份认证服务收费标准的函》,申请对认证服务进行收费。2012年年底国家发改委作出《关于重新核定全国公民身份证号码查询服务中心收费标准等有关问题的通知》,同意NCIIC对外进行收费【18】,自此实名认证开始成为一项市场性经营业务。虽然国家发改委在2016年又下发《关于废止部分规章和规范性文件的决定》,废止了上述收费通知,但实名认证业务经过多年发展,身份证接口服务商在向其他互联网企业提供实名认证服务时,仍旧按照市场价进行收费。(三)“网络实名制”认证模式的场景化设计
互联网企业根据“实名+验证”的认证模式,在实务中衍生出多种场景化的设计模式。市面上的场景化设计模式主要有“手机号+短信验证码”登录模式、“身份证+姓名”登录模式、“第三方接口”登录模式。
1.“身份证+姓名”登录模式
所谓的“身份证+姓名”的登录模式,是指互联网企业在用户注册时,要求用户提供身份证号码和姓名。互联网企业在收到用户的身份证号码和姓名信息后,与身份证接口服务商进行身份证号码核验,核验无误即完成认证义务。互联网企业所采用的“身份证+姓名”的登录方式,实际上就是采用简项核验的认证模式,基本上遵照执行了上述模式,并未有大的变动。
2.“手机号+短信验证码”登录模式
所谓的“手机号+短信验证码”登录模式,是指互联网企业在用户注册时,要求用户提供手机号,互联网企业在收到用户的手机号后转给第三方验证码服务商,第三方验证码服务商收到手机号后,向机主发送验证码,机主收到验证码后在注册界面填入验证码,如果验证码一致,则注册成功。由于手机号已完成实名认证,所以互联网企业在“实名+验证”认证模式中的“实名”环节,已提高了实名的精确度;接着再按照“验证”环节,将信息发给接口服务商进行核验,完成二道认证,进一步提高精确度。
3.“第三方应用接口”登录模式
所谓的“第三方应用接口”登录模式,是指互联网企业在用户注册时,引导用户从第三方应用接口,例如微博、微信、支付宝等接口登录,以获得微博、微信或者支付宝的相关信息。由于微博、微信及支付宝完成“网络实名制”的程度普遍较高,由该第三方接口导入用户身份信息的真实度有较大保证。在提高“实名”环节的准确度的同时,再通过身份信息的核验,已完成二道认证,同样可以提高“网络实名制”的精确度。
注释及参考文献
【1】参见《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第6条规定。
【2】参见《网络安全法》第21条规定。
【3】 参见《网络安全法》第22条规定。
【4】 参见《网络安全法》第24条:“网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。”
【5】 参见《互联网直播服务管理规定》、《微博客信息服务管理规定》、《关于防止未成年人沉迷网络游戏的通知》等规定。
【6】 参见《互联网用户账户名称管理规定》第3条、第5条、第7条规定。
【7】 参见《关于防止未成年人沉迷网络游戏的通知》第4条规定。
【8】 参见《网络安全法》第8条规定。
【9】 参见《电信业务经营许可证管理办法》第7条、第8条的规定。
【10】 参见《计算机信息网络国际联网安全保护管理办法》第10条规定。
【11】 参见《互联网信息服务管理办法》第14条规定。
【12】 徐晓日、刘旭妍.论网络实名制下的个人数据保护[J].电子政务,2019(07),56-66.
【13】 参见《关于加强网络信息保护的决定》第6条规定。
【14】 参见《网络安全法》第24条规定。
【15】 参见《互联网用户账户名称管理规定》第5条规定。
【16】 参见《互联网直播服务管理规定》第12条规定。
【17】 参见“全国公民身份证号码查询服务中心”官网对服务中心的介绍.
[EB/OL].http://www.nciic.org.cn/framework/gongzuo/plapkkkmhfijbbnnldnjnnnkpcfpcodb.jsp。
【18】 参见《国家发展改革委关于重新核定全国公民身份证号码查询服务中心收费标准等有关问题的通知》。