浅析我国的网络实名制
前言
网络的诞生很大程度上便利了人们的生活,也为生活在当代社会的人们提供了一个虚拟空间。在这个虚拟空间内,人们可以自由表达、自由地宣泄情绪,甚至是“自由”地发表不当言论。虚拟空间内的匿名性,大大地增加了不法分子利用网络实行犯罪行为的可能性,也为许多现实生活中受到道德约束的人提供了一个发泄的途径。许多人在网络中肆无忌惮、毫无顾忌地大肆谩骂,有时甚至会演变成为网络暴力。为了净化网络环境、保持对网络空间的治理和管控,国家出台了“网络实名制”制度。作为国家规制网络空间的一个措施,引起社会各方的热议,其中有支持的也有反对的。本文希望通过对国家网络实名制的相关规范、做法等进行梳理,期望能为关注这一制度及问题的人提供有益参考。
一、 网络实名制的基本概念
1、网络
本文所说的网络,指的是通常所说的互联网,即计算机网络,也包括了移动互联网在内。在技术领域,通用的“网络”的定义是指用通信线路将地理位置不同并具有独立功能的多台计算机及其外部设备互相连接,按照网络协议进行数据通信,目的是实现资源共享的信息系统。移动互联网本质上也是计算机网络,在技术上只是设备的不同,是计算机网络与移动通信技术结合的产物,是计算机网络在移动终端上的延伸。
下文所有的“网络”都是在该概念和意义下来使用。
2、实名制
实名制包含两层概念,即“实名”和“制度”。“实名”来源于我国《民法典》第一千零一十二条规定“自然人享有姓名权,有权依法决定、使用、变更或者许可他人使用自己的姓名,但是不得违背公序良俗”。姓名权这一权利区分了个人主体与群体,拥有基本身份识别、权利义务指向明确、便于国家管理等法律价值,所以自然人的姓名受到国家法律的保护,也成为了“实名”的基础。因此,在法律意义上,“实名”是在国家机关登记在册的、能识别自然人身份信息且有明确指向性的自然人姓名资料。
“实名制”是在实名的基础上,一种规范姓名使用规则、保护个人姓名等身份识别信息不被冒用、盗用的制度。在此制度之下,个人必须使用自己的真实姓名进行相关活动,否则将会因无法识别其真实身份而被拒绝提供服务。例如,在我国手机卡开卡业务中,个人必须提供开卡人真实的实名信息[①]。
“实名”相对的是非实名,即有假名、匿名、花名、曾用名等。个人常使用非实名在社会交往活动中,是个人对姓名权行使的另一种方式。在法律意义上,实名制即是否认上述姓名使用的一种规则。
3、网络实名制的定义
综合前文所述,在狭义的层面上讲,网络实名制是国家有权机构、法人或非法人组织要求自然人在进行网络活动时使用的可以唯一指向其个人的真实身份信息的一种网络管理制度。在广义上讲,网络实名制还应当包括网络服务提供者(即ISP,如三大运营商中国联通、中国移动和中国电信)等直接接入互联网的法人。而这些组织的设立需要满足法定程序和条件,取得相应的营业执照,对这些机构的管理,国家有相应的法律法规[②]。因此,本文所指的网络实名制是从狭义的层面出发,规制的对象是自然人,并不包括法人等组织[③]。
4、网络实名制的实施主体
网络实名制既然作为一项网络管理制度,所以,笔者认为,能够实施该项制度的应当是在国家层面上的公权力机构,如公安机关。[④]但由于网络用户数量庞大,而公权力机关如果对每一个网民进行网络实名制检测,既不现实也没有技术条件。因此,当前通用的做法是公安机关将公民信息做成可被调用的实名认证信息库,有实名认证需求的网站或网络公司可以进行调用。因为网络用户在使用网络服务进行注册和登陆时,与其直接订立用户协议的是网站或网络公司,虽然目前有手机短信验证、填写姓名身份证号、居民身份证上传等认证方式,但并无法确保用户的真实性和有效性[⑤]。所以,只要网站或网络公司能够采用公安机关提供的实名认证接口,便可以实现初步的认证。关于详细的网络实名制的实施方式,将在下文详细探讨。
5、网络实名制中身份信息库的内容
要实行网络实名制,就必然要建立起一套实名认证的信息库。正如现实生活中我们要识别一个唯一的人,需要建立起一套公民个人信息资料库。
个人信息按照《个人信息保护法》(草案)征求意见稿中的定义,是指“电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,此处并没有明确罗列具体包括哪些信息。在2017年正式出台的《网络安全法》中,明确定义了个人信息并予以了罗列,是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,其中包括了“自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。
依据这部目前已经生效的法律,公安部2019年4月发布的《互联网个人信息安全保护指南》也明确,个人信息包括“自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”,并在注明中补充了“信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等”。
由以上法律法规可知,在网络空间中,姓名首先是直接识别个人的重要依据,但即使在现实世界中,我们还需要其他信息如性别、年龄、肖像等其他个人资料,才能准确地“定位”一个确切的人。因此,网络空间中进行网络实名登记的信息除了包含身份证上的基础信息,还应包括肖像、性别、经常居住地等,这些应当属于网络用户身份信息库的必要内容。
而有些个人信息虽然能够直接或间接地识别出个人,但并不是识别一个自然人的必要信息,所以除非自然人主动提供或同意采集外,不应作为网络实名身份信息库的必要内容。主要包括生物信息、政治、宗教、疾病信息、刑事犯罪等敏感信息[⑥]。
事实上,我国公安机关除了建立线上实名认证信息库和档案库之外,也在制定详细的信息收集、利用和处理制度。我们不应当拒绝网络实名制,而应该由公安部门等机关对实名信息库进行严格的管理,在合法、正当且适度的前提下使用身份信息库。
二、 网络实名制的相关立法
从我国2005年公安机关在全国推行网吧上网实名制以来,网络实名制的全国性立法和地方性立法都陆续出台了。下文笔者将对有代表性的法律法规进行简单的梳理总结。
(一)全国性法律
2012年12月28日,《全国人民代表大会常务委员会关于加强网络信息保护的决定》公布并实施,其中明确要求“网络服务提供者”通过用户协议等形式,“要求用户提供真实身份信息”。该规定虽然没有更多的实施细则,但却给我国推行网络实名制拉开了序幕。
2013年7月16日,工业和信息化部发布了《电信和互联网用户个人信息保护规定》以及《电话用户真实身份信息登记规定》。这两个规定加大了对网络参与者身份的管理,同时规定了手机用户采用实名登记制,开启了我国个人手机号实名认证的时代,为我国网络实名制的认证渠道铺垫了道路。
2014年8月7日,国家互联网信息办公室(以下简称网信办)发布了《即时通信工具公众信息服务发展管理暂行规定》。这个规定被称为“微信十条”,是我国在即时通信领域实施网络实名制的规范性文件。这个规定主要的规制对象是在我国境内“从事即时通信工具公众信息服务”的主体,即我们大众所熟知的微信公众号,实行注册实名的形式。该规定下发之后腾讯立即响应,处理了一大批不规范的公众号,对当时市场上公号乱象的治理有一定的效果。但该规定依然未解决微博、知乎等平台上自然人账号的实名制问题,且当时的社会条件也并不具备推行自然人用户的网络实名制,自然人用户普遍对网络平台强制实名制提出反对。
2015年3月1日,网信办出台了《互联网用户账号名称管理规定》。该规定确立了两个原则:1、确立“后台实名、前台自愿”的原则;2、账号的名称、头像等不得存在违法和不良信息。根据第一项原则,网民只需要在注册认证时,向互联网信息服务提供者备注自己的实名,但是账号昵称即网名不受限制。但同时,账号昵称、头像等信息不得存在违法和不良信息,例如“本·拉登”或上传色情、暴力图片作为头像等。账号的使用范围包括博客、微博客、即时通信工具、论坛、贴吧、跟帖评论等互联网信息服务。
这一规定被互联网用户称为“账号十条”,它在尊重网民个性以及网络空间下用户个人权利的同时,也兼顾了公序良俗和法律法规的要求。
2017年6月1日,国家正式实施《中华人民共和国网络安全法》,在法律层面正式确立了网络实名制的要求,并配套了相应的处罚措施。在这一法律下,网络实名制成为了目前特定网络服务下,网络运营者以及用户所必须要履行的一项义务。
(二)地方性规定
地方上对于网络实名制的规定以深圳市为例,在2005年,深圳市公安局发布了《关于开展网络公共信息服务场所清理整治工作的通知》,主要针对QQ群等有限范围实施网络实名制。
此后,其他地方也陆续出台了针对网络实名制的立法文件。
其中主要有2005年7月10日深圳市公安局出台的行政文件《关于开展网络公共信息服务场所清理整治工作的通知》,规定了新建网络公共信息服务场所实名登记制度,验证申请者身份证号[⑦];2009年5月1日,杭州市出台的地方性法规《杭州市计算机信息网络安全保护条例》,规定了网上发帖、发布博客、注册网络游戏、注册即时通信账号要提供有效身份证明[⑧];2011年12月16日,北京市政府等部门发布《北京市微博客发展管理若干规定》,规定微博、博客等服务网站用户注册时必须使用真实身份信息[⑨]。
三、 网络实名制的实施方式
目前,我国的网络实名认证具体实施和操作是由公安机关进行,这与我们的国家现状有关,因为公安机关是唯一在公民身份信息上具有公信力的机构,并且在线下的公民身份信息的管理,也是由公安机关操作。
网络实名认证主要是由公安部下属的两个机构(公安一所和NCIIC[⑩])对外输出认证接口。2019年之后,由于市面上大量的非授权机构利用缓存的实名认证信息进行交易,NCIIC收紧了渠道,提供认证服务接口的条件更高了。
所以,现在市面上所有做实名认证的服务商,都是经由公安部下属机构授权的服务商对外提供的,该服务商除了基本的资质(大数据相关企业,具备大数据交易资质,有一定的国资背景等)以外,还必须具备保障数据流通安全的能力。
而鉴别服务商是否具有合法性的唯一方式就是公安部官方的授权,如图:
因此,有了公安部提供的身份认证信息接口,网络服务商可以很方便地通过官方途径获得用户的实名身份信息。那么网站是如何做实名认证的?
目前主要有三种认证方式:
1、身份证实名认证,即比对公安的身份信息库,如图:
2、 手机号实名认证,即姓名+手机号+身份证号来进行认证。与第一种方式比对流程类似,加入了手机号比对认证。这是因为有些认证服务商除了从公安获取了身份信息,也可以获取手机号信息,同时利用运营商的短信,来验证用户的真实身份信息。
3、 银行卡实名认证。此种认证方式加入了另一个数据来源,银行卡数据。部分服务商由于涉及金融、保险等行业,所以会向银联采购银行数据,来进行更严格、准确地身份验证。其验证流程如图:
以上介绍了目前最主要的三种网络实名制的认证方式,但是根据目前社会上不同行业的业务类型不同,所需要使用的认证方式也有所区别。如BBS等论坛性质的网站,其本身对身份认证的要求就不如网上银行、网上保险等行业的网站要求更高,所以直接采用身份证实名认证的方式更为方便快捷。
因此,不同类型的网络服务提供者所需要承担的责任是有区别的,网络服务提供者应当正确评估了自身的业务属性和商业特点后,正确落实网络实名制的相关要求。
结语
目前的网络已经自发形成了相对独立的网民准则和行为规范,要求用户在使用网络服务的时候进行实名认证,并且稍大一些的互联网公司都针对各自的商业特点制定了大量的准则要求用户遵循。比如网易发布的《网易跟帖自律公约》、知乎发布的《知乎社区管理规则》等,对注册用户的注册规则、实名认证规则、发言守则、禁言准则等进行了公告和公示。
笔者对网络实名制的实施秉持着积极推进、探索中改进的态度,虽然目前还有诸多例如个人信息保护、个人言论自由的保护等诸多法律和制度上的问题,但是推行网络实名制所能带来的规范、健康的网络环境是每一个公民所希望的。尤其是当下网络人肉搜索、网络暴力、饭圈文化盛行等问题受到越来越多人的关注,网络实名制是否能发挥其制度设计上的作用,我们可以拭目以待。
[①] 2013年《电话用户真实身份信息登记规定》第六条规定“电信业务经营者为用户办理入网手续时,应当要求用户出示有效证件、提供真实身份信息,用户应当予以配合。
[②] 相关法律规包括但不限于:《中华人民共和国电信条例》《互联网信息服务管理办法》《互联网电子公告服务管理规定》。
[③] 我国《民法典》第一千零一十三条规定“法人、非法人组织享有名称权……”,姓名权的人格属性是自然人独有的。
[④] 当然目前的实名认证也确实是由公安机关进行的,只不过公安有自己的认证接口可以供互联网主体进行调用,实现间接认证。
[⑤] 例如,网站只是要求填写姓名身份证号或上传身份证照片,但并未使用公安机关的认证服务,则起不到实时比对身份信息的效果。如果用户编造身份信息,也可以通过网站的“实名认证”。
[⑥] 《互联网个人信息安全保护指南》第6.7条g)规定“不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。”
[⑦] 该文件第(三)节第1条规定“落实新建网络公共信息服务场所实名登记制度。
(1)向申请网络公共信息服务场所的用户,公告公共信息服务场所服务协议。
(2)申请网络公共信息服务场所必须进行实名登记。要求申请者必须填写真实的个人证
明资料,同时对身份证号码进行校验”。
[⑧] 《杭州市计算机信息网络安全保护管理条例》第十九条“互联网信息服务提供者应当建立信息审核制度,明确信息审核人员,发现属于本条例第二十三条规定情形信息的,应当立即删除违法内容,保存相关记录,并向所在地公安机关报告。涉及其他部门的,向有关主管部门报告。
互联网信息服务提供者应当建立并落实以下安全保护制度和安全保护技术措施:
(一)提供新闻、出版以及电子公告等服务的,能够记录所发布信息的内容、时间及互联网网络地址或者域名,并留存六十日以上;
(二)开办政务、新闻、重点商务网站的,能够防范网站、网页被篡改,发现被篡改后能够立即恢复;
(三)提供电子公告、网络游戏和其他即时通信服务的,具有用户注册信息和发布信息审核功能,并如实登记向其申请开设上述服务的用户的有效身份证明;
(四)提供电子邮件和网上短信息服务的,具有信息群发限制措施,能够防范以群发方式发送伪造或者隐匿信息发送者真实标记的电子邮件或者短信息;
(五)提供电子公告服务或其他交互式信息服务的,其计算机信息网络应当使用固定的互联网网络地址。
前款所称的电子公告服务,是指在互联网上以论坛、聊天室、留言板、博客等交互形式为上网用户提供信息发布条件的行为。”
[⑨] 《北京市微博客发展管理若干规定》第九条“任何组织或者个人注册微博客账号,制作、复制、发布、传播信息内容的,应当使用真实身份信息,不得以虚假、冒用的居民身份信息、企业注册信息、组织机构代码信息进行注册。
网站开展微博客服务,应当保证前款规定的注册用户信息真实。”
[⑩] 即:全国公民身份证号码查询服务中心。是很多做实名认证服务商的主要接口来源。实际上由于公安网跟外网是隔绝的,所以公安部的接口绝对是不会直接对外的提供的。NCIIC是隶属于公安部的一个事业单位,可以直连国家人口基础信息库,其数据权威性主要表现在:数据更新准确,公民的出生、死亡、 姓名变更等信息都会第一时间更新,可以满足政府、金融等机构的对数据质量的高要求。所以NCIIC的授权范围,也主要集中在政府、银行、证券、保险等行业。