前言

一直以来，网络安全是悬挂在企业头顶的达摩克利斯之剑。按照《网络安全法》的相关规定，在中华人民共和国境内建设、运营、维护和使用网络的企业应做好网络安全工作，包括做好网络安全等级保护制度；购买的网络产品、服务应服务国家标准的强制性要求；做好个人信息保护工作；落实网络实名制要求等。近年来，笔者在为大数据公司、互联网企业、高新技术企业等提供法律服务的过程中，梳理了网络安全的合规要点，形成以下系列文章，希望对读者有所裨益。
 
因篇幅限制，本文章分为上、下两篇，上篇介绍简析“网络实名制”入刑的构成要件与现有“网络实名制”的认证模式，下篇介绍现有“网络实名制”认证模式存在入刑风险的原因、对“网络实名制”认证模式的再建构及结语。以下为下篇内容。
 
三、现有“网络实名制”认证模式存在入刑风险的原因
 
根据“两高解释”的规定，网络服务提供者“未落实真实身份信息认证义务的”，将视为“有其他严重情节”，或有入刑风险。如何理解此处的“未落实真实身份信息认证义务”呢？根据《网络安全法》的规定，网络服务提供者“在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息”，笔者认为该规定赋予网络服务提供者很高的监管义务，意即如果用户未提供真实身份信息则属于网络服务提供者的责任，网络服务提供者应承担相应责任，甚至是入刑风险。因此，网络服务提供者在履行“实名+验证”的过程中，不仅要保证“实名”环节的准确度，也要保证“验证”环节的准确度。然而，笔者观察到，当前“网络实名制”的认证模式仍存在准确度不足，该问题使得现有的认证模式仍存在入刑风险。
 
1.技术水平有限，认证精准不足
 
根据《网络安全法》的规定，网络服务提供商在为用户办理固定电话、移动电话的入网手续时要履行“实名制”认证义务。据悉，电信运营商在帮用户办理入网服务时，要求用户亲自前往营业大厅，在提供身份证验证时，还须进行人脸识别，人脸信息和身份证信息一致方为办理完毕入网手续。这种认证方式的真实度较高。
 
而互联网企业在办理“网络实名制”时，如何确定用户提供的身份信息是真实可靠的呢？根据上文所述，在“实名”环节中，互联网企业在场景化设计中运用了“手机号+短信验证码”认证模式和“第三方应用接口”认证模式，但对于“手机号+验证码”认证模式而言，手机号仍然存在无法对应真实用户的情形。实务中已经出现“验证码平台”的黑灰产业，即不良商贩通过购买大量私人的电话卡，通过“验证码平台”提供的软件，大量注册各类应用平台上的账号，并自动将收到的验证码短信发回到“验证码平台”，“验证码平台”随即将对应的手机号码、验证码直接发给下游的各类“客户”使用并收取一定的费用^【19】，该情形使得互联网企业所作的“网络实名制”无法起到实名的作用；对于“第三方应用接口”认证模式而言，微信、微博等接口仅授权第三方应用获取平台用户的头像、昵称、地区等信息，不提供用户的身份信息，并且微信目前已开发使用虚拟头像和虚拟名称接入第三方应用的技术，因此互联网企业试图通过微信等“第三方应用接口”获取用户身份信息的目的也无法实现。
 
实际上，当前已有金融机构采用人脸识别技术在做“网络实名制”的认证，例如“同花顺”“天天基金”等金融APP运营商，它们在用户注册时，不仅需要上传身份证正反面材料，还需要进行人脸的识别，保证人脸信息和身份证信息核验一致。该方式与电信运营商线下做“实名制”认证的方式一致，均能完成较高程度的实名认证。然后由于人脸识别技术对成本要求过高，中小型互联网企业根本无力承担。此外，“网络实名制”无法提高精准度的本质原因在于当前互联网的IP 地址资源稀缺，无法实现IP地址与计算机的一一对应。^【20】但此情况受限于当前社会的技术发展水平，无法通过人为手段进行强行提升。因此，现有“网络实名制”认证模式存在技术水平有限，精准不足的问题。
 
2.数据泄露严重，黑灰产业盛行
 
随着互联网的高度发展，特别是5G时代的到来，个人数据逐渐成为重要的稀缺资源。例如，NCIIC在开启验证收费模式后，如果申请验证的内容在五项以下（含五项），每次收费5元；申请验证的内容在五项以上，每次收费10元；如果根据用户需求，提供人口数据信息汇总、加工或重新制作等服务，收费标准为每次50元。^【21】这还只是NCIIC对接身份证接口服务商的收费情况。身份证接口服务商获得合法授权后，面对海量的申请验证的互联网企业也将进行天价收费。
 
市面上，诸多的大数据公司，甚至是互联网企业，在发现身份验证服务存在巨大市场后，不顾自身无合法的授权资质，纷纷投入其中。有身份证接口服务商在获取NCIIC接口后又违规将查询接口出卖，并非法缓存公民个人身份信息，以供下游公司查询牟利；有大数据公司利用本身积累的大量的用户身份信息，伪装为身份证接口服务商，对外提供身份验证服务；有互联网企业在前期的“网络实名制”认证中缓存了大量的用户身份信息，对外提供二道身份验证服务。即便如此，市场上需要进行身份验证的互联网公司仍属海量，供需两端的不平衡状况滋生出贩卖身份信息的市场，买卖数据的黑灰产业逐渐壮大发展。
 
数据黑灰产业的发展，使得身份验证服务商的水准参差不齐。互联网企业基于验证成本的考量，倾向于寻找验证价格低廉的接口服务商，而价格低廉的接口服务商无法保证用户身份信息的准确度。在该种情形下所作的“网络实名制”认证，用户身份信息的真实性存疑。由此可见，在黑灰产业盛行的当下，互联网企业的“网络实名制”认证模式的精确度将受到较大影响。
 
3.预防监管不足，缺乏制度保障
 
根据上文所述，“网络实名制”认证模式精确度不足的原因之一在于数据黑灰产业盛行。笔者认为数据黑灰产业盛行的重要原因在于政府预防监管力度不足，并缺少制度保障措施。在过去一年，数据贩卖、无资质验证等黑灰市场的违法交易行为不断被爆出，例如考拉征信服务有限公司涉嫌非法提供身份证返照查询9800多万次，获利3800万元，相关负责人被警方逮捕；^【22】摩羯科技、新颜科技、公信宝、天翼科技等大数据公司因涉嫌非法获取数据，相关负责人被警方逮捕^【23】等。系列案件反映了政府部门侧重事后惩治，事前预防水平有待提高。
 
事前预防监管不足更深层的原因应在于缺乏制度上的保障。研究发现，我国的个人数据至今尚未制定专门的法律进行规范，除了《网络安全法》有设置“网络信息安全”专章外，其他法律对个人数据的规范均为零散规定。此外，个人数据规制内容极为分散，侧重领域有金融、互联网、母婴、物流等行业，领域紊乱，各领域的规范措施较为粗糙。整体而言，个人数据在法律上的规范密度不足，制度保障力度不够。法律对个人数据零散规定详见下表：


 
四、对“网络实名制”认证模式的再建构
 
由于现有的“网络实名制”认证模式因技术水平受限、数据黑灰产业盛行，缺乏制度保障等因素，导致认证的精准度不足，互联网企业仍存在入刑风险。为提高“网络实名制”的认证精准度，减少互联网企业的入刑风险，笔者认为可以开发网络可信空间技术、建立数据的全生命周期保护，完善多层级有秩序的监管体系。
 
1.开发网络可信空间技术
 
开发网络可信空间技术，笔者认为可从以下两个方面入手：普及生物特征识别技术和建立eID的网络身份制。在普及生物特征识别技术上，正如前文所述，金融领域的互联网企业已将人脸识别技术应用于“网络实名制”认证之中，由于生物识别技术的安全系数高，破译难度大，根据生物识别技术所作的“网络实名制”认证真实性更可靠。但由于人脸识别技术所花费的成本较高，中小型的互联网企业难以承受。鉴此，笔者认为指纹识别技术同属于生物特征识别技术的一种，相较于人脸识别技术所花费的成本也较低，适合互联网企业应用;在建立eID的网络身份制上，笔者认为可以由政府开发用于线上线下识别的公民身份证件，并确保发放给公民的数字身份具有唯一性，以此真正实现“网络实名制”。^【25】
 
所谓的“指纹识别技术”是当前较为可靠的生物识别技术，利用人们的指纹唯一性来识别出人的身份。^【26】由于公安部在制作公民身份证时已经提取了用户指纹，笔者建议公安部可以对外开放指纹数据库，用户注册登录互联网企业的应用程序时，应输入指纹数据，互联网企业将收集的指纹数据与公安部开放的接口进行指纹信息验证，以落实“网络实名制”的任务。当然，单纯依靠指纹识别技术的应用，难免落入因指纹数据泄露而影响实名认证的精确度，此时可以配套建立eID的网络身份管理制度。eID是以公民身份号码为根，由公安部公民网络身份识别系统基于国产密码算法统一为中国公民生成的数字标记，在确保签发给每个公民的数字身份唯一性的同时，可以尽可能减少公民身份明文信息在网上的传播。在我国，eID有别于用于线上身份识别的第二代身份证，主要用于线上身份识别。^【27】
 
综上而言，政府可以给每位互联网公民发放eID身份证件，同时采集互联网公民的指纹数据，将eID身份证件与指纹进行绑定，增强eID身份信息的唯一性。今后互联网企业在做“网络实名制”时，直接采集并验证公民的eID身份信息，已落实“网络实名制”义务。
 
2.建立数据的全生命周期保护
 
互联网企业、身份证接口服务商及其他大数据公司能够缓存公民身份信息，进行数据买卖，进而影响“网络实名制”的准确性，笔者认为内在原因是企业内部未建立一套数据保护的全生命周期合规指引。经研究，笔者认为，建立企业数据的全生命周期保护，应该在数据采集、存储、使用、转让和共享等方面做到合规操作。
 
在数据的采集上，数据公司首先应做到合法性，即数据采集者不应以欺诈、诱骗、误导的方式收集个人数据，禁止从非法渠道获取个人数据，禁止非法缓存用户身份信息。其次，数据公司应遵循最小必要原则，只能在用户注册登录时采集用户最少数量的身份信息；在存储上，数据公司在采集用户身份信息后，宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的信息与可用于恢复识别个人的信息分开存储。存储个人生物识别信息时，应采用技术措施确保信息安全后再进行存储，例如将个人生物识别信息的原始信息和摘要分开存储，或仅存储摘要信息；在使用上，数据公司应建立最小授权的访问控制策略，使其只能访问职责所需的最少够用的个人信息，且仅具备完成职责所需的最少的数据操作 权限，并对身份信息的重要操作设置内部审批流程；在转让和共享上，数据公司应事先开展个人信息安全影响评估，并依评估结果采取有效的保护身份信息主体的措施；对转让方和共享方做尽职调查，确保转让对象身份的合法性等。^【28】
 
当前，随着个人数据价值的凸显，数据公司无法抵抗诱惑，走上违法道路的不在少数。数据公司建立数据的全生命周期保护，是从企业内在风控合规的角度进行方案设计，这意味着数据公司须从内部下手，清除自身肌体的腐烂部分。该决策从短期来看是成本较高的投入，但数据合规必然是监管部门后续强力监管的重要领域，自觉做好公司的数据合规从长远来看有利无害。
 
3.完善多层级的监管体系
 
（本篇论文撰写于2020年，由于《个人信息保护法》等法规已经出台，该部分建议已经缺失较大的参考意义。）
 
当前我国对个人数据的监管制度有所缺失，缺少专门的部门法律以规范个人数据的运用，该问题进一步导致个人数据的泄露在监管上难以预防，致使黑灰产业长期游走在法律边缘，影响“网络实名制”认证的精准度。笔者认为，完善多层级的监管体系有利于进一步提高“网络实名制”的精准度。
 
实际上，根据“十三届全国人大常委会立法规划”的规定，《个人信息保护法》、《数据安全法》归于第一类立法项目，属于“条件比较成熟、任期内拟提请审议的法律草案”，由此可以基本确定，《个人信息保护法》、《数据安全法》将在十三届全国人大常委会期间获得通过。2019年底，全国人大常委会法工委在接受记者采访时，进一步确认《个人信息保护法》、《数据安全法》将在2020年制定出来。^【29】笔者认为，在法律位阶层面，《个人信息保护法》、《数据安全法》将会是专门规范个人数据的最重要法律，当前阶段，应集合学者、实务人士、法律专门工作者等多方力量，集思广益，多参与《个人信息保护法》、《数据安全法》的论证会，针对当前数据安全存在的问题，多方谏言，以期完善《个人信息保护法》、《数据安全法》的规范内容。
 
此外，在规范性文件层级上，笔者建议《个人信息出境安全评估办法》、《数据安全管理办法》等部门文件应加紧研究，尽早推出。当前个人数据安全在诸多场景下缺少规范指引，使得监管部门在监管中无从下手；在推荐性标准层级上，虽然现在有《信息安全技术 个人信息安全规范》可作为企业数据合规的操作指南，但该《规范》只是作为通用性指南，无法具体适用于数据问题较为集中的领域，例如金融领域、医疗领域等。因此，笔者认为类似于《个人金融信息保护技术规范》《个人医疗信息保护技术规范》等推荐性标准也须研究制定，以适应实际需要。
 
总结
 
“两高解释”的出台，把“网络实名制”入刑风险推至风口浪尖，研究发现，符合要求的互联网企业未做“网络实名制”确有入刑的风险。实务中，“网络实名制”的认证模式主要采用“实名+验证”的模式，并且为了提高验证的精准度，互联网企业纷纷采用各式各样场景化的认证方式。但出于技术水平受限、市场衍生黑灰产业问题及制度缺陷等诸多原因，当前的“网络实名制”认证的精准度有待提高。笔者设想以开发网络可信空间技术、建立数据的全生命周期保护及完善多层级的监管体系助力提高“网络实名制”的认证精准度，以求能减少互联网企业入刑的风险。但纵使笔者的提议能被采用并执行，受限于主客观等多种因素，“网络实名制”认证的精准度仍然无法达到百分之百，但笔者认为，该履职标准已达监管部门的要求，互联网企业大概率上能避免入刑风险。
 
注释及参考文献
注解
【1】~【18】详见上篇
【19】南方都市报：购买大量企业电话卡 为网络黑灰产业掩饰身份.
 [EB/OL].https://www.sohu.com/a/230088801_161795.
【20】 孟雨.IPv6 时代将能实现真正的网络实名制[J].计算机与网络,2019,13.
【21】 参见《国家发展改革委关于重新核定全国公民身份证号码查询服务中心收费标准等有关问题的通知》。
【22】 网易财经：贩卖个人信息上亿次！考拉征信被查牵出黑色产业链.
[EB/OL].http://money.163.com/19/1121/08/EUG9U1EK00258105.html.
【23】 新浪财经：风声鹤唳！大数据公司接连被查，同盾科技被卷入.
[EB/OL].http://finance.sina.com.cn/chanjing/cyxw/2019-09-17/doc-iicezzrq6539911.shtml.
【24】 李金招、蒋晓焜：App合规十讲（一）：政府机构如何监管App运营商？.
[EB/OL].https://mp.weixin.qq.com/s__biz=MzA4MzM5MzM4MA==&mid=2631816859&idx=1&sn=476e998879f9271dd3cfe52180d2c711&chksm=86ddd890b1aa518647c078132662ee449af805fa37fd8998b7da6cc94dd606484ea0e763d67b&token=326591472&lang=zh_CN#rd.
【25】 杨珂、王俊生.基于eID的网络身份制与个人信息保护法律制度研究[J].信息安全研究,2019(05),440-447.
【26】 张玲峰、肖忠良、李晶.基于生物识别技术的网络实名制系统的开发[J].科技与信息,2019(02),117.
【27】 汪志鹏，杨明慧，吕良等．基于eID的网络可信身份体系建设研究[J].信息网络安全,2015.15（9）：97-100.
张玲峰、肖忠良、李晶.基于生物识别技术的网络实名制系统的开发[J].科技与信息,2019(02),117.
【28】 参见《信息安全技术 个人信息安全规范》.
【29】 中国新闻网：中国2020年将制定个人信息保护法、数据安全法.
[EB/OL].http://www.chinanews.com/gn/2019/12-20/9039098.shtml.
 
参考文献
【1】徐晓日、刘旭妍.论网络实名制下的个人数据保护[J].电子政务,2019(07),56-66.
【2】汪志鹏，杨明慧，吕良等．基于eID的网络可信身份体系建设研究[J].信息网络安全,2015.15（9）：97-100.
【3】张玲峰、肖忠良、李晶.基于生物识别技术的网络实名制系统的开发[J].科技与信息,2019(02),117.
【4】周汉华.个人信息保护前沿问题研究[M].北京：法律出版社，2008年.
【5】杨珂、王俊生.基于eID的网络身份制与个人信息保护法律制度研究[J].信息安全研究,2019(05),440-447.
【6】王一丹. 网络实名制的法律秩序研究[J]. 黑龙江省政法管理干部学院学报,2019(02),26-30.
【7】周永坤. 网络实名制立法评析[J]. 暨南学报（哲学社会科学版）,2013(02),1-8.
【8】中国新闻网：中国2020年将制定个人信息保护法、数据安全法.
[EB/OL].http://www.chinanews.com/gn/2019/12-20/9039098.shtml.
【9】李金招、蒋晓焜：App合规十讲（一）：政府机构如何监管App运营商？，
[EB/OL].https://mp.weixin.qq.com/s__biz=MzA4MzM5MzM4MA==&mid=2631816859&idx=1&sn=476e998879f9271dd3cfe52180d2c711&chksm=86ddd890b1aa518647c078132662ee449af805fa37fd8998b7da6cc94dd606484ea0e763d67b&token=326591472&lang=zh_CN#rd.
【10】新浪财经：风声鹤唳！大数据公司接连被查，同盾科技被卷入
[EB/OL].http://finance.sina.com.cn/chanjing/cyxw/2019-09-17/doc-iicezzrq6539911.shtml.
【11】网易财经：贩卖个人信息上亿次！考拉征信被查牵出黑色产业链，
[EB/OL].http://money.163.com/19/1121/08/EUG9U1EK00258105.html.
【12】南方都市报：购买大量企业电话卡 为网络黑灰产业掩饰身份，
[EB/OL].https://www.sohu.com/a/230088801_161795.
【13】“全国公民身份证号码查询服务中心”官网对服务中心的介绍，[EB/OL].http://www.nciic.org.cn/framework/gongzuo/plapkkkmhfijbbnnldnjnnnkpcfpcodb.jsp.


往期回顾
天衡研究丨网络安全系列（一）“网络实名制”认证模式的入刑风险（上）