2022年6月27日,国家网信办发布《互联网用户账号信息管理规定》,其中第九条规定“互联网信息服务提供者为互联网用户提供信息发布、即时通讯等服务的,应当对申请注册相关账号信息的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证”,此条引发了行业普遍的疑惑。

疑惑的核心就在于:自该规定开始,相关实名认证是否必须以“手机号+身份证号”双重认证的方式实施?若答案是,则显然和以往常规的基于手机号进行实名认证有巨大的差别。

《互联网用户账号信息管理规定》认证模式探讨

本文仅表达个人一些观点,不论对错仅供大家探讨。基于新规,个人认为基于“移动电话号码”和“身份证件号码”认证的方式均属于真实身份认证,新规本意并非要求产品必须一并收集“移动电话号码”和“身份证件号码”后才允许为用户提供信息发布或即时通讯服务,仍需要区别场景而适用不同的认证方式。大致思考是:

  1. 原《互联网用户账号名称信息管理规定(征求意见稿)》 中仅要求“提供真实身份信息”,且明确“未成年人注册账号时,应当取得其监护人的同意并提供未成年人本人居民身份证号码用于真实身份信息核验”。这说明,“身份证号”在验证未成年人等场景中还是有必要性的,其它的例如在直播主播认证时就不能只使用手机号码,而须以身份证号等实施认证。
  2. “、”号的目的是用于确保法规能够涵盖各个场景,不是用来要求“并列”收集。
  3. 假设新规确是要求“一并”收集后认证,则明显和目前39类必要个人信息规范中的必要信息有所矛盾。例如,即时通讯类产品中的必要个人信息就不包括“身份证号”。若后续强制收集用户身份证号,确仍然有可能引发产品的个人信息处理风险。
  4. 同样,假设假设新规确是要求“一并”收集后认证,则何类产品应当适用?仅限信息发布产品和即时通讯产品,“等服务”也该如何理解呢?这会陷入无尽的难以捉摸之中。
  5. 现有效的《微博客信息服务管理规定》第七条规定:“微博客服务提供者应当按照“后台实名、前台自愿”的原则,对微博客服务使用者进行基于组织机构代码、身份证件号码、移动电话号码等方式的真实身份信息认证、定期核验。微博客服务使用者不提供真实身份信息的,博客服务提供者不得为其提供信息发布服务。”这里也并列了身份证件号码、移动电话号码,但实际上,相关微信客产品也不是必须两者都必须收集后才能提供服务。
  6. 基于手机号码的后台实名,就属于真实身份,也是行业的实践,“立法”中也有明确。如《网络安全标准实践指南—移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》(未:未生效)直接拟明确:针对一些没有高风险的区域、场所或不涉及高风险人群,疫情防控App宜尽可能缩小身份登记的个人信息填写范围,达到可追溯的目的即可。例如,收集个人信息可参考“前台匿名,后台实名”等方式,用户可提供手机号,无需填写身份证号或上传身份证图片。
  7. 其实,不仅《互联网用户账号信息管理规定》如此规定,刚发布的《移动互联网应用程序信息服务管理规定》第六条也规定:“应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。”

关于实名制

用白话文来说,实名制的意思不言而喻,就是在网络中识别某个账号或用户所对应的线下主体是谁,即真实身份,不过中国法律法规中其实并没有所谓严格的“实名制”概念。实名制反映到法律法规之中,主要适配如下一些用词:“真实身份信息”(网络安全法)、“客户身份”(反恐法)、“身份、地址、联系方式、行政许可等真实信息”(电商法)、“用户账号”(互联网信息服务办法)、“实名登记”(食品安全法)、“有效身份证件进行实名注册”(网络游戏)、“用户实名制度”或“真实身份信息认证”(网络直播)、“有效身份证件进行实名注册”(网络表演)等等,不一而足,从这些复杂的用语中,我们其实可以倒吸一口凉气——“咱合规犯迷糊啊!”

要了解实名制,其实我们不妨来看看什么是非实名制吧。常见的非实名制有如下一些类型:一是拿起硬件或打开网页、安装(应用)软件就可以直接查阅和使用,没有任何注册环节的介入,用户无须向服务商主动提供任何信息,很多工具类(例如拍摄、计算器)、效率、开发类软件以及咨讯信息类平台就无须注册而直接浏览使用;二是使用自定义昵称、用户名或邮箱,或者服务商自动分配账号名(例如原QQ号码)的方式进行用户注册,这类注册在PC端时代是非常常见的用户注册方式,这类注册往往可以随心所欲的使用任何昵称进行,基本很难从服务商核实注册人的具体信息。目前像GOOGLE、脸书等全球知名企业仍然是支持使用电子邮件进行账号注册的,但国内目前已经几无可见了,也不建议在产品的用户(C端)注册开发中使用邮件进行注册。

互联网公司做到何种程度可以视为已经符合实名制的要求呢?这个问题其实过于复杂,其复杂不在于确实如何架构实名制,而在于要辨别不同的商业模式、领域及实名对象等维度下可能存在完全不同的实名制要求,其强弱有所不同。

间接实名

间接实名。所谓间接实名是指用户注册时提交的信息仍不足以准确确定特定主体,但通过第三方渠道可验证其真实信息情况。目前最常见的间接实名方式是收集用户手机号码并作为账户登陆,很多人会误认为单纯收集用户手机号码的方式并不属于实名认证,其实在特定业务场景下的手机号码属于合格的实名认证方式。

例如《移动互联网应用程序信息服务管理规定》(注:原规定)规定移动互联网应用程序提供者按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证。《互联网用户公众账号信息服务管理规定》也明确要基于移动电话号码等真实身份信息进行认证,《区块链信息服务管理规定》也明确“区块链信息服务提供者应当按照《中华人民共和国网络安全法》的规定,对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的,区块链信息服务提供者不得为其提供相关服务”,其它的还有《互联网直播服务管理规定》等法律规范亦是如此。

司法判决中,在十九楼某案件【义乌天祥医疗东方医院与十九楼网络股份有限公司名誉权纠纷一审民事判决书,(2018)浙0782民初9873号】中法院就对这类间接实名的法律认可性进行了阐述:“由于手机已经推行实名认证且使用方便、功能全面,手机号码可以作为电子身份认证方式。根据《移动互联网应用程序信息服务管理规定》第七条规定,移动互联网应用程序提供者依法履行以下义务:按照后台实名、前台自愿的原则,对注册用户进行基于移动电话号码等真实身份信息认证。现被告已提供了用户注册的手机号码、用户名以及IP地址,应认定其已履行了管理义务。”

可以使用间接实名的网络业务场景非常多,总体上,纯信息发布和互动类(例如帖子、评论、点赞、即时通讯、链接分享、上传、下载、存储等等)产品,根据上述司法判决的要义,只需要使用手机号码作为实名注册即可符合法律规定。

直接实名

所谓直接实名是指从用户注册时提交的信息就可以直接明确其真实身份。在间接实名阶段,因为非自然人C端用户之信息基本均为可公开信息,故间接实名一般只涉及自然人C端用户,而在直接实名的认证状态下,自然就需要考虑到自然人和商户主体(商家B端用户和非商业主体)之间的认证区别问题了。

在所有涉及C端和B端用户的混合型产品(个人和企业都可以使用的产品,例如钉钉、云服务等)中,合规的核心以及最重要的一步就是在注册环节。

优秀互联网产品的注册环节,其实都完美地设计了商业、技术以及法律思维的融合,而商业思维一定会主导其它两者。从商业思维上来看,互联网产品注册环节的设计已经和传统网站完全不一样,用户在以往传统网站注册时,一张页面会要求用户花至少好几分钟去一次性填写很多注册信息,这在互联网时代简直是无法忍受的,因为互联网产品的替代性在绝大多数情况下都比较大,用户对于一款APP的注意力和兴趣时间也许只有10秒钟,如果在用户注册环节就要投入大量的时间,80%以上的用户就会迅速流失到竞品,产品的“拉新”就算是彻底地失败。所以,优秀互联网产品在注册环节变得越来越简便,甚至验证码都能自动提交(用户要先授权读取短信),而这只是注册环节的第一阶段。

在第二阶段,才是特定产品(不是所有产品都必备)的认证阶段,但认证的入口一定是多维的,即在用户使用产品最投入的时间点,例如要购买产品、观看电影、借款放款等等功能环节,才实时呈现或提示用户进行认证,提交更为复杂的注册信息,例如身份证、银行卡、送货地址等深度信息,以便展开各类经营交易。

而在第三阶段,需要对前两个阶段获得的数据进行“活化”,这些外部的各类验证渠道,虽然有成本,但在特定的业务场景中,仍然是值得投入的必要合规成本。这些外部的数据不像前两个阶段的数据完全是由用户自行提供的,而是互联网公司对接外部数据库进行,例如针对B端用户的零钱认证法,就是在验证时,由互联网企业向B端用户的对公账户汇入一笔零钱,企业收到零钱金额后填入验证系统,若显示金额相符,则说明B端用户当地提交的注册信息的可信性。同样道理,在产品的使用阶段,各类微信或支付宝扫码登陆也是一种活数据的验证方式。

例如,映客互娱在其香港联交所招股说明书中,就披露了其活数据的验证方式:“我们与芝麻信用合作进行实名认证。过往,我们亦与支付宝合作进行该程序。申请成为主播后,用户将被自动重新引导至芝麻信用网站完成实名认证程序。对于未能使用芝麻信用完成实名认证程序的海外用户而言,彼等可以向我们提供实名及电话号码,并将清晰的护照或身份证照片上传至系统。我们的内部认证团队会处理彼等提供的材料,并决定有关用户是否可获认证。”

撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接