数安条例百问86：关于网络身份认证公共服务基础设施

小贝案语

11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除

对应条款

第五十条 国家建设网络身份认证公共服务基础设施，按照政府引导、网民自愿原则，提供个人身份认证公共服务。

互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。

解读

《个人信息保护法》第六十二条提出，国家网信部门统筹协调有关部门依据推进下列个人信息保护工作：

（一）制定个人信息保护具体规则、标准；

（二）针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；

（三）支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设；

（四）推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务；

（五）完善个人信息保护投诉、举报工作机制。

为了落实上述第（三）项要求，《条例》第五十条指出，国家建设网络身份认证公共服务基础设施，并鼓励优先使用该基础设施。

如何理解这项工作，有以下几个要点：

一是，网络身份认证公共服务建设十分必要。信任是社会互动的桥梁，是社会建设与发展的基础。当前，贸易、购物、交友等越来越多的社会活动由现实世界迁移到网络空间中进行，迫切需要构建网络空间信任体系。其前提则是对自然人网络身份进行认证，以确保网络身份可信，这是一项基础性工作。

二是，网络身份认证公共服务建设是保护个人信息的重大课题。不同历史时期，网络身份认证面临的任务有很大差异。最初，由于互联网的匿名性，“没人知道你是条狗”。而如今，由于每个人在互联网上的活动留下了太多痕迹，非法收集滥用个人信息的情况严重，已经“人人知道你是条狗”。甚至因为认证系统的使用反而带来了更多的个人信息泄露问题，例如人脸识别滥用将导致严重后果。这种情况下，需要有科学合理的网络身份认证公共服务系统，既有效提升网络安全水平，又能自身防范个人信息受侵害。

三是，网络身份认证公共服务系统一定要有法定可信的“根”。由认证的原理所决定，信任要有源头，要有“根”。现实生活中，身份证是可信的身份证明文件，因为其由公安机关制作、发放，法律地位由《居民身份证法》所保证。到了网上怎么办？虽然实践中已有这样那样的方案，但很多“根”其实不可靠，或者说没有在法律上获得承认。例如，某单位自己盖个章来证明某人的身份，社会上会承认吗？因此，建设网络身份认证公共服务系统，也一定要以法律承认的身份证明即法定身份证件作为“信任根”，这依然是身份证。

四是，网络身份认证公共服务系统是国家基础设施，是统一而不是分散的。由于历史的原因，我国已经建设了多种不同的网上身份认证系统，如很多地方CA和行业CA。为了增强互认，后来还出现了“桥CA”的建设思路。《个人信息保护法》和《条例》规定的网络身份认证公共服务系统与其不同，是在国家有关部门的组织下，统一建设的国家级网络身份认证工程，是国家网络空间安全的基础设施，由国家权威机构负责运营。

五是，网络身份认证公共服务建设不排斥现有各种身份认证方案。建立了网络身份认证公共服务后，是不是其他身份认证方案就不能使用了？答案是否定的。网络身份认证公共服务扮演的是身份认证基础设施角色，将给各类网络应用提供身份认证服务接口，供各类应用所调用。此外，也可在其上根据实际场景开发不同的身份认证方案，或由现有各种身份认证方案直接调用其服务。这也体现了“公共服务”的内涵。

六是，应当大力推动网络身份认证公共服务系统的普及应用。国家建成网络身份认证公共服务后，是不是必须使用其服务呢？《条例》并未规定其为强制使用。但从安全性、可靠性、权威性等角度而言，其一定优于其他身份认证系统。因此，国家将大力推动网络身份认证公共服务的普及应用，扶持相关产业发展，构建技术产业生态，最终达到全面应用的状态。

七是，网络身份认证公共服务建设不是取消网络空间的匿名性。《网络安全法》第二十四条确定的“实名制”是网络身份认证公共服务建设的法律基础，但公民在网络活动中依然保持匿名，只是后台实名。以前实名制的实施中，“后台实名”指发起身份认证的网络运营者在自己的服务器后台可以看到用户的实名注册信息，这实际上存在很多风险隐患。网络身份认证公共服务实施后，即使网络运营者在自己的服务器后台也无法看到用户的实名注册信息，更好地保护了用户个人信息。

相关文章：

数安条例百问 1：关于《条例》的定位

数安条例百问 2：关于《条例》的结构

数安条例百问3、4：关于“网络数据”和“数据处理者”

数安条例百问5、6：关于《条例》的适用范围

数安条例百问7、8：关于数据分类分级保护制度和管理

数安条例百问9、10、11、12：关于重要数据

数安条例百问13、14：关于数据开发利用和交易管理

数安条例百问15、16、17、18、19：关于数据处理者安全保护义务

数安条例百问20、21、22：关于向第三方提供个人信息

数安条例百问23、24、25、26：关于网络安全审查

数安条例百问27、28、29、30：关于“一般要求”中的几个特定考虑

数安条例百问31、32：关于“合法、正当、必要”原则

数安条例百问33、34、35、36：关于个人信息处理规则

数安条例百问37、38、39、40：关于“同意”

数安条例百问41、42、关于“删除”

数安条例百问43、44、45：关于个人行权

数安条例百问46、47、48：关于生物特征应用和一百万人以上个人信息处理者的适用

数安条例百问49、50、51：关于重要数据处理者义务

数安条例百问52、53、54：关于备案、培训与采购

数安条例百问55、56、57、58、59：关于年度评估与对外提供数据的风险评估

数安条例百问60、61：关于征得主管部门同意要求及云安全评估要求

数安条例百问62、63：关于数据出境的概念

数安条例百问64、65：关于数据出境的几种条件和例外情况

数安条例百问66、67、68：关于数据出境的单独同意、评估条件与国际协议

数安条例百问69、70：关于数据出境安全管理义务与安全报告

数安条例百问71、72、73：关于数据出境安全技术监管措施

数安条例百问74、75、76、77、78：关于平台规则、隐私政策和算法策略

数安条例百问79、80：关于先行赔付与个人通信

数安条例百问81、82、83：关于反不正当竞争、应用程序分发管理和数据互通

数安条例百问84、85：关于个性化推荐

数安条例百问86：关于网络身份认证公共服务基础设施

数安条例百问87、88：关于公共数据与公共信息

数安条例百问89、90：关于大型互联网平台审计与新技术评估