国家网络身份认证公共服务
国家网络身份认证公共服务
为促进数字经济发展、保护个人信息安全,公安部会同有关部门组织建设了国家网络身份认证公共服务平台,为全社会提供安全、便捷、权威、高效的网络身份认证公共服务。
服务简介
国家网络身份认证公共服务,是指国家根据法定身份证件信息,依托统一建设的网络身份认证公共服务平台,为自然人提供申领网号、网证以及进行身份核验等服务。
网号,是指与自然人身份信息一一对应,由字母和数字组成、不含明文身份信息的网络身份符号。
网证,是指承载网号及自然人非明文身份信息的网络身份认证凭证。
国家网络身份认证App(试点版)是国家网络身份认证公共服务平台的移动客户端。
通过国家网络身份认证App可体验和使用国家网络身份认证公共服务。在手机中安装国家网络身份认证App,申领网号、网证等,结合口令、人像、动态验证码等多种认证因子,即可在不输入、不留存、不透露个人姓名、公民身份号码等明文身份信息的情况下,在互联网服务及有关部门、行业管理、服务中登记、核验真实身份。
主要特点
较其它身份认证平台及服务模式,国家网络身份认证公共服务具有以下特点和优势。
权威性:使用法定身份证件信息和国家人口基础信息,并结合多种要素核验身份,确保结果权威可信。
安全性:不使用个人明文身份信息,避免被相关方过度采集、留存和冒用,有效保护个人信息和隐私安全。
便利性:使用智能手机便可核验身份,方便人民群众在数字化、网络化、智能化条件下办理事项。
应用场景
目前,国家网络身份认证公共服务正处于试点阶段,公安部积极会同有关主管部门研究适用的应用场景,包括互联网用户账号实名注册、登录,对存在异常的互联网账号的用户身份重新进行核验,网上办理政务服务事项时的身份核验等。
已上线的试点应用涵盖政务、出行、寄递、文旅、医疗、社交、电商、直播、娱乐、新闻、工具等多个类别。具体应用场景可通过国家网络身份认证App相关页面查阅。
法律法规支撑
1、2021年11月1日施行的《个人信息保护法》第六十二条第(三)项:支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设。
2、2022年12月1日施行的《反电信网络诈骗法》第三十三条:国家推进网络身份认证公共服务建设,支持个人、企业自愿使用,电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者对存在涉诈异常的电话卡、银行账户、支付账户、互联网账号,可以通过国家网络身份认证公共服务对用户身份重新进行核验。
3、2023年1月10日施行的《互联网信息服务深度合成管理规定》第九条:深度合成服务提供者应当基于移动电话号码、身份证件号码、统一社会信用代码或者国家网络身份认证公共服务等方式,依法对深度合成服务使用者进行真实身份信息认证,不得向未进行真实身份信息认证的深度合成服务使用者提供信息发布服务。
4、2024年7月1日施行的《互联网政务应用安全管理规定》第三十条:互联网政务应用应当对注册用户进行真实身份信息认证。国家鼓励互联网政务应用支持用户使用国家网络身份认证公共服务进行真实身份信息注册。
5、2022年11月14日发布的《中华人民共和国社会信用体系建设法(向社会公开征求意见稿)》第四十七条:互联网领域主管部门应当培育依法办网、诚信用网理念,对违反网络信息安全、网络运行安全、网络数据安全和个人信息保护法律、行政法规、部门规章的个人和组织及相关从业人员,采取限制从事互联网服务、网上行为限制、行业禁入等措施,依法通报相关部门公开曝光。国家建设网络身份认证服务基础设施,为国家机关和社会提供网络身份认证服务。
6、2023年8月8日发布的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》第四条:使用人脸识别技术验证个人身份、辨识特定自然人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。
7、2024年7月26日发布《国家网络身份认证公共服务管理办法(征求意见稿)》,共16条,主要包括四个方面的内容:一是明确了公共服务和“网号”“网证”等概念;二是明确了公共服务的使用方式和场景;三是强调了公共服务平台和互联网平台的数据和个人信息保护义务;四是明确了公共服务平台和互联网平台违反数据和个人信息保护义务的法律责任。
8、2024年9月30日发布的《网络数据安全管理条例》第四十三条:国家推进网络身份认证公共服务建设,按照政府引导、用户自愿原则进行推广应用。鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。
热点问题 专家解析
1、网号、网证热点六问——详解《国家网络身份认证公共服务管理办法(征求意见稿)》
新华社记者:
近期,公安部、国家网信办等研究起草的《国家网络身份认证公共服务管理办法(征求意见稿)》,向社会公开征求意见,引发广泛关注。
网号、网证是什么?将对公众和数字经济发展产生怎样的影响?新华社记者梳理当前公众关心的热点问题,采访了有关权威专家。
问题一:网号、网证是什么?
根据征求意见稿起草说明,网号是由字母和数字组成、不含明文身份信息的网络身份符号;网证是承载网号及自然人非明文身份信息的网络身份认证凭证。
通俗地说,网号是用户在网络空间中的身份编码,同时隐去了个人身份信息;网证是一种简化版的数字证书,在网络社交、即时通讯等法定实名制领域以及其他需要验证身份的场景,作为一种可选择的身份认证方式。
公安部第一研究所研究员于锐介绍:“用户不是‘持证’才能‘上网’,而是在需要证明身份的场景中多了一种更加安全、方便的选择,不需要反复向各个平台提供明文的个人身份信息。同时,原有的身份认证方式仍可继续使用,没有网号、网证也可正常上网。”
问题二:国家网络身份认证公共服务相比现有认证方式有哪些优势?
根据有关规定,目前,用户使用网络服务遵循“后台实名、前台自愿”原则,需向不同的互联网平台以明文方式重复提供个人真实身份信息。
国家信息中心研究员李新友表示,对于传统的身份认证方式,互联网平台从前端采集到后台存储链条较长、环节较多,并且网络传输环境较为复杂,个人信息安全保障有难度,泄露事件时有发生。
推行网号、网证,旨在减少互联网平台收集姓名、身份证件号码、人脸等个人身份信息,实现公民身份信息的“可用但不可见”。
电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者可使用国家网络身份认证公共服务,对涉诈等异常账号进行动态身份认证,最大限度减少“实名不实人”的情况,提高网络黑灰产违法犯罪的成本。
于锐表示,国家网络身份认证公共服务的工作原理,是基于国家人口基础信息库对用户身份进行远程比对核验,人口信息是国家本已掌握的信息。用户在申领、使用网号、网证的过程中,公共服务按照“最小必要”原则,仅采集与用户身份认证密切相关的信息,如通过NFC功能识读证件来验证证件真伪,通过人脸识别来验证用户本人操作,通过手机号来确认本人意愿和应急联络,通过手机参数来确认运行环境的安全性,除此之外,不采集其他个人信息。
在用户注销网号、网证时,相关个人信息将全部删除。而且,对上述个人信息,国家投入强大的技术力量保证信息安全。
问题三:国家网络身份认证公共服务能给用户带来哪些便利?
李新友表示,与其他身份认证服务相比,国家网络身份认证公共服务具有很大的便利性,使用智能手机即可证明身份,方便人民群众在数字化、网络化、智能化条件下办理事项。
比如,网上购买门票时,通常需要输入姓名、身份证件号码等信息,比较繁琐,如果依托国家网络身份认证公共服务,经点击跳转即可完成认证。此外,国家网络身份认证公共服务还可跨应用、跨平台使用,有效减少记忆各种网站和互联网平台账户、口令的负担。
在一些需要出示身份证进入场馆的场景中,参观者可以使用国家网络身份认证App快速通行,在一定程度上减轻了携带实体身份证件的负担,也避免了一些个人身份信息泄露等安全风险。
问题四:如何保障个人基于自愿原则使用网号、网证?
征求意见稿规定,持有有效法定身份证件的自然人,可自愿向公共服务平台申领网号、网证;鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证;鼓励互联网平台按照自愿原则接入公共服务。
于锐表示,特别是反电信网络诈骗法等上位法规定,国家推进网络身份认证公共服务建设,支持个人、企业自愿使用。对存在涉诈异常的卡、号,电信业务经营者、互联网服务提供者等“可以”而不是“应当”通过国家网络身份认证公共服务对用户身份重新进行核验。这充分体现了用户自愿使用网号、网证的原则。国家网络身份认证公共服务管理办法作为下位的部门规章,不可能在该问题上突破上位法规定。
于锐介绍,用户接受或者退出国家网络身份认证服务,完全基于用户自愿。从App操作层面,国家网络身份认证App自愿下载、申领,并不会强制或强迫用户使用。从推广应用层面,互联网企业、接入单位也是自愿使用,可将公共服务作为可选项而非唯一项,保留现有其他方式。
问题五:国家网络身份认证公共服务有何法律依据?
于锐介绍,国家网络身份认证公共服务在网络安全法、个人信息保护法、反电信网络诈骗法等法律中均有相关规定和依据。
网络安全法第二十四条提出“国家实施网络可信身份战略”,明确了网络可信身份的概念。
个人信息保护法第六十二条规定“支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设”,明确在国家层面建设网络身份认证公共服务。
反电信网络诈骗法第三十三条规定,“国家推进网络身份认证公共服务建设,支持个人、企业自愿使用,电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者对存在涉诈异常的电话卡、银行账户、支付账户、互联网账号,可以通过国家网络身份认证公共服务对用户身份重新进行核验”,明确了国家网络身份认证公共服务在打击电信网络诈骗中的地位。
根据上述法律,公安部、国家网信办会同有关部门组织建设了国家网络身份认证公共服务平台,并在相关领域开展了试点应用。同时,为了规范公共服务的运行管理,进一步保护用户的个人信息权益,研究制定部门规章——国家网络身份认证公共服务管理办法。
问题六:国家网络身份认证公共服务将对数字经济产生怎样的影响?
数据要素是发展数字经济的关键和核心,激活数据要素、实现数据要素流动的前提是明确数据权属,其基础便是个人身份的确认。李新友表示,基于国家网络身份认证公共服务,个人可实现对数据的有效确权和授权,进而形成并固化自身数据资产,以此促进数据要素的有序流动和增值,助力数字经济发展。
数字经济时代,信任是基石。李新友认为,国家网络身份认证公共服务为网络交易、在线服务等提供了更加可靠的身份验证手段,减少了因身份冒用带来的经济损失,通过提高网络诚信水平改善营商环境。同时,由国家提供身份认证服务,为企业降本增效,促使其把更多精力投入到提高产品服务质量、提升用户体验感中,推动互联网产业和数字经济持续健康发展。
李新友表示,将构建可信数字身份体系作为发展数字经济的重要措施,这是当前世界各国的通行做法。欧盟的eID、新加坡的SingPass、印度的Aadhaar已形成具有自身特色的可信数字身份体系,其经验做法值得我们学习借鉴。
2、“网号网证”要来了,会怎样?
胡凌:根据《网络安全法》第二十四条,《电子商务法》第二十七条,《反电信网络诈骗法》第二十一条等规定,网络运营者在提供相应网络服务的时候,应当要求用户提供真实身份信息,也就是实名制管理。相当长一段时间里,通过手机号验证是我们向互联网平台提供身份核验的主要方式,因为手机号是需要以实名身份购买并且绑定的,相当于真实身份信息被电信运营商这个环节掌握,而其他环节的网络服务可以间接地使用这一身份标识进行验证。目前我们看到的网络服务基本上是围绕手机号搭建起来的识别系统。还有一种情况是,大厂APP的账号因为具有一定程度的影响,也会被用来登录第三方服务平台,实现可信身份验证,进而跨平台共享用户数据。
“网号”“网证”服务形态比较接近于之前公安部第一研究所承建的可信身份认证平台(CTID),后者是以身份证制证数据为基础,与实体身份证芯片对应的电子映射;前者根据《征求意见稿》中的定义,也是与自然人身份信息一一对应的。用户在申领“网号”“网证”后可在需要登录的第三方平台进行核验,此时相关个人认证信息根据法律、行政法规规定,有时会保留在平台,有时仅由公安部后台数据库验证后向平台回馈验证结果,即可证明自己作为自然人和线下公民身份的唯一性。目前两个系统是同时并存的,都是基于用户自愿原则进行申领,关键还是看使用的场景。
我理解“网号”“网证”和现有的网络身份认证方式是一种平行关系,意味着多了一个供大家选择的入口。我们已经看到,国家网络身份认证APP(试点版)服务界面包括可以打码的网号、虚拟证件凭证和动态的二维码,从而实现数字化证件的两种主要功能:展示功能(人读)和后台验证(机读)。未来在登录APP的时候,在操作上可能出现跳转国家网络身份认证APP进行认证的选项。在线下一些场合,如果忘记携带身份证件,也可以通过展示手机界面或刷二维码的方式进行核验。
推行“网号”“网证”可能意味着网络身份核验不再以手机号码为核心,会增加平台通过手机号直接对应到具体个人的成本,只能通过账户推送广告信息,降低了手机号和其他身份信息泄露的风险。对用户而言,相当多日常生活相关的APP已经实名制注册登录过,因此影响不大,更重要的是可以帮助推动解决过去一些因为认证成本高而无法实现的身份认证问题,例如难以追踪到电诈团伙,或者无法为未成年人提供有效身份等。
3、李新友:网号、网证界定“最小化提供原则”有助强化个人信息保护
【网络强国·百人谈——聚焦“网络身份认证”系列①】
近日,为强化公民个人信息保护,推进并规范国家网络身份认证公共服务建设应用,加快实施网络可信身份战略,根据网络安全法、数据安全法、个人信息保护法、反电信网络诈骗法等法律法规,公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法(征求意见稿)》(简称“《办法》”),面向社会公开征求意见。
《办法》明确了身份核验结果信息的“最小化提供原则”和依法处理要求。对于“最小化提供原则”如何界定并实现?如何实现“上下打通”“左右互认”?近日,光明网记者采访了国家信息中心研究员李新友。
李新友介绍,国家组织建设网络身份认证公共服务基础设施,旨在建成国家网络身份认证公共服务平台,形成国家网络身份认证公共服务能力,为社会公众签发网号、网证,提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。
4、解读 | 强化个人身份信息和隐私保护,构建国家网络身份认证公共服务能力
网号的推行可大幅降低落实实名制管理要求的合规成本。
从成本角度看,平台企业落实实名制管理要求的成本主要包括用户实名数据核验的渠道成本和系统开发及数据保护成本,其中用户实名数据核验的渠道成本较高。平台企业落实实名制管理要求,一般会通过公安部相关机构、三大运营商、银联等渠道进行用户实名数据核验,每次实名核验一般都会发起付费查询,成本较高。
从身份信息核验方式看,从最基础的身份证二要素(姓名、身份证号)逐渐拓展到运营商三要素(姓名、身份证号、手机号)、银行卡三要素(姓名、身份证号、银行卡号)、银行卡四要素(姓名、身份证号、银行卡号、银行预留手机号),另外人脸识别比对方式也逐步普及开来。大型互联网平台自身资本、人才和技术实力都比较雄厚,也舍得投入,个人身份信息保护能力比较强,总体来讲落实实名制管理要求比较到位。中小互联网平台企业由于资本、人才和技术实力较弱,生存和竞争压力较大,个人身份信息保护能力建设方面投入较少,收集的用户身份信息数据泄露事件频繁发生,个人身份信息保护状况堪忧。国家建设统一的网络身份认证公共服务平台,在由国家平台统筹对接和落实各行业实名制管理要求的同时,可以有效保护个人信息及数据安全。企业仅需接入国家平台并按需使用国家平台提供的身份认证服务,即可满足各行业实名制管理要求;同时,由于不再留存用户身份数据,数据安全保护的压力自然也减轻了不少。
综上,采用网号核验用户真实身份后,将大幅降低企业落实网络实名制和数据保护的合规成本。
5、网络身份认证≠“网络身份证”,一字之差区别很大!
网号与网证相结合的网络身份认证,就是“网络身份证”吗?
何延哲表示,网号与网证只是一个身份凭证,并不包含原始的个人身份信息,不能看做是“网络身份证”。但这种身份凭证也具有唯一性,应用程序接入网络身份认证公共服务即可用于验证个人真实身份,与原始的个人身份信息有着同等效用。何延哲说,身份认证是一个基础的网络安全技术措施。国家网络身份认证服务将为互联网服务网络身份认证机制带来新的变化,其兼具安全与便捷的特点也将为网民进行网络身份认证带来新选择。
6、静态号码+动态认证,解密网络身份认证背后技术创新
《国家网络身份认证公共服务管理办法(征求意见稿)》提出网号、网证的应用能够最大限度减少互联网平台超范围采集留存公民个人信息,保护公民个人信息安全。从技术层面看这是怎样做到的?
中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示,试行的国家网络身份认证公共服务App采用“静态号码+动态认证”的认证方式,当个人用户使用App时即可申领一个对个人身份信息做了加密处理的“网络身份认证凭证”与智能终端设备绑定。在何延哲看来过往通过手机号、身份证号或是人脸识别等技术开展的认证仅仅是一种认证形式,而网号与网证相结合的网络身份认证服务则在技术上实现一定的创新。
具体来说网号是静态不变的,网证中的二维码是动态变化的,即便网络身份认证凭证被窃取、泄露,由于认证二维码会失效而有效降低了泄露导致的安全风险。
7、网号+网证验证方式,是否增加数据安全风险
中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示,网号与网证相结合的网络身份认证方式不会创建新的数据库,而是在既有的数据库中构建新关联。可以将网号和网证相结合的身份认证方式看做在现有数据库中“多一个字段”,新增信息本身,并不会增加原始数据库敏感性。通俗来讲,即在验证过程中不再运用原始身份信息去核验从而增加了使用中的安全性。
8、郑方:网号、网证可降低运营成本,推动数据善治
郑方认为,此前,获取用户信息需要由企业平台自行来做,庞大的用户规模,导致采集、传输、存储、计算等方面都带了较大的成本。比如,企业为了保护用户的数据,防止被黑产灰产利用,需要投入大量的人力物力去保障数据安全。未来借助公共服务平台,可以帮助中小企业降低运营成本。“从这个意义上来讲,其实是给这些中小企业一个很大的解放。”
如何建立关于数据的善治,增强民众使用的积极性?郑方建议,后续可以从技术、管理、法律等方面开展工作,从而达到数据善治的目的。在技术层面,要界定数据采集的范围,通过多重技术手段来保障用户数据;在管理层面,由于是国家层面出台的平台,可以制定相应标准,便于后续推动各平台、行业之间的互认,降低资源浪费;在法律层面,要制定法律法规,惩处违反规定的行为。
9、网络身份认证公共服务开启网络空间治理新阶段
信任是社会中各类主体互动的桥梁,是社会建设与发展的基础,网络空间亦是如此。随着网络空间的发展,购物、交友、通信、娱乐等越来越多的社会活动由现实世界迁移到网络空间,迫切需要在网络空间建立可靠的信任体系,营造诚信网络环境。
这一体系的建设是一个长期的系统工程,首要问题是确保网络行为主体的身份可信,特别是自然人的身份可信,故需要对网络空间自然人身份的标识与认证。现实中,通过身份证便可解决该问题。但在网络空间,往往是各类应用系统分别对自然人进行认证,最终一个人会拥有相当多身份,而如果各个身份认证系统互不相通,将带来极大的社会成本。为此,有必要建立身份认证基础设施,统一提供身份认证服务,同时还要考虑到互联网匿名性、身份信息保护等需求。这项工作最初在《个人信息保护法》第六十二条规定(“推进网络身份认证公共服务建设”),目前在多个部门努力下已取得重大进展,进入了试点运行阶段。
网络身份认证公共服务系统是国家基础设施,是统一而不是分散的。由于历史的原因,我国已经建设了多种不同的网上身份认证系统,如很多地方CA和行业CA。为了增强互认,后来还出现了“桥CA”的建设思路。《个人信息保护法》规定的网络身份认证公共服务与其不同,是在国家有关部门的组织下,统一建设的国家级网络身份认证工程,是国家网络空间安全的基础设施,由国家权威机构负责运营。信任体系不需要也不可能太多,这是由“信任”的基本规律决定的,否则不同的信任体系之间如何信任和互联互通?前几年的疫情防控中,“万码奔腾”的现象已经让很多常出差的人疲惫不堪,应当吸取其中的经验教训。
最新修订时间:2024-10-30 19:21
目录
概述
服务简介
参考资料