网络实名制的发展历程
随着互联网的发展,网络实名制作为一项网络空间治理手段,在预防网络犯罪和网络暴力、塑造和谐健康的网络环境上起到了积极的作用。近年来,我国先后发布的《互联网上网服务营业场所管理条例》、《中华人民共和国网络安全法》、《互联网新闻信息服务管理规定》、《互联网用户账号信息管理规定》、《中华人民共和国反电信网络诈骗法》等法律法规中提出了网络实名制要求,并在实践中逐步得到落实。其中,《互联网用户账号名称管理规定》指出,互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。《中华人民共和国网络安全法》规定网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。2023年10月31日,微信、快手、抖音、微博、B站、小红书、百度等多家公司齐发公告,称将引导部分头部自媒体账号完善真实身份认证信息,并于个人账号资料页展示。自此,我国网络实名制呈现出“后台实名、前台自愿”和“前台实名制”并存趋势。
人脸实名认证可能对个人造成的权益影响
常见的网络实名制方法有身份证+姓名比对、人脸识别认证、三网手机实名认证、银行卡三/四要素核验等。其中,人脸识别认证是用户输入姓名、身份证号以及提供人脸信息,系统与公安数据源进行三要素一致性对比,并基于此进行业务判断是否为同一人的一种方法。伴随着人脸识别技术的成熟,基于人脸识别的实名认证方法在便捷性和安全性上凸显出优势,成为各大平台和行业广泛应用的网络实名制方式。基于人脸识别的实名认证需要采集用户的姓名、身份证号和人脸信息,个人信息处理者通过公安实名认证接口获得实名认证结果。通常调用公安实名认证接口的公司要求具备一定的资质和条件,因此企业大多委托具备相应资质的第三方公司完成人脸信息的采集以及公安接口调用,间接获得公安机关反馈的实名认证结果。针对上述这类场景,可以概括为“调用人脸识别接口用于实名认证”。
常见的网络实名制方法有身份证+姓名比对、人脸识别认证、三网手机实名认证、银行卡三/四要素核验等。其中,人脸识别认证是用户输入姓名、身份证号以及提供人脸信息,系统与公安数据源进行三要素一致性对比,并基于此进行业务判断是否为同一人的一种方法。伴随着人脸识别技术的成熟,基于人脸识别的实名认证方法在便捷性和安全性上凸显出优势,成为各大平台和行业广泛应用的网络实名制方式。基于人脸识别的实名认证需要采集用户的姓名、身份证号和人脸信息,个人信息处理者通过公安实名认证接口获得实名认证结果。通常调用公安实名认证接口的公司要求具备一定的资质和条件,因此企业大多委托具备相应资质的第三方公司完成人脸信息的采集以及公安接口调用,间接获得公安机关反馈的实名认证结果。针对上述这类场景,可以概括为“调用人脸识别接口用于实名认证”。
《中华人民共和国个人信息保护法》第55条规定了个人信息处理者涉及以下情形的应当事前进行个人信息保护影响评估,并对处理情况进行记录。包括(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》将处理个人信息对个人权益影响分为“限制个人自主决定权”、“引发差别性待遇”、“个人名誉受损或遭受精神压力”和“人身财产受损”四个维度。对于“调用人脸识别接口用于实名认证”场景,通常对个人信息主体权益的“影响个人自主决策权”和“引发差别性待遇”影响较小或者无影响,但在“个人名誉受损或遭受精神压力”和“人身财产受损”维度方面存在影响,主要表现在:一是通过实名认证后,个人信息主体在网络上的行为可关联到真实自然人,如网络上主页可查看真实姓名,以及用户在网络上的点赞记录、评论等均可被查看等,若被收集和分析,可对个人习惯、喜好等进行分析,一定程度上可能造成个人名誉受损和精神压力;二是某些平台设置了用户只有完成实名认证后才可以发起购买和打赏等涉及到消费行为或者其他关键行为的机制,个人信息主体通过实名认证后可能被利用发生误操作或诱导性操作,造成一定程度上的财产受损。
调用人脸识别接口用于实名认证的合规要点
2024年9月,受上海哔哩哔哩科技有限公司(以下简称“B站”)委托,国家网络与信息系统安全产品质量检验检测中心对其“调用人脸识别接口用于实名认证”场景开展了个人信息保护影响评估工作,结合本次评估工作实践,对“调用人脸识别接口用于实名认证”场景的合规要点建议如下:
处理个人信息前征得个人信息主体同意
以B站为例,通过《哔哩哔哩隐私政策》、《实名认证服务协议》、《人脸识别服务协议》、《哔哩哔哩未成年人个人信息保护指引》中对个人信息处理的目的、影响等进行了明确、详细的阐述,并特别说明委托第三方公司处理人脸信息的情况、第三方公司名称等;采集个人信息前,应用页面提示阅读并需勾选同意相关文件方可进行下一步操作。
与第三方公司签订人脸识别认证相关协议明确双方责任义务
以B站为例,委托第三方公司收集用户面部识别特征,并由其将收集和获取到的信息通过公安接口进行比对核验。B站与第三方公司签订《数据安全承诺函》,就数据接收方的数据处理范围、数据跨境、数据删除、合规记录与审计、协助义务、数据安全、数据主体权利响应等方面做出相关约束。
第三方公司应具备一定的个人信息安全保护能力
为保障个人信息处理全流程的安全性,第三方公司在接收到个人信息数据后应具备保护个人信息安全的能力。以B站为例,第三方公司提供了网络安全等级保护三级测评报告、ISO 27001 信息安全管理体系证书、ISO 27701 隐私信息管理认证证书、 ISO 9001 质量管理体系认证证书、人脸识别安全相关测评等,用以支持证明个人信息接收方的安全保护能力。
采用密码算法保证个人信息传输和存储的完整性和保密性
对于姓名、身份证号、人面部识别特征等个人信息,由于数据泄露对个人信息主体可能造成比较大的影响,因此建议数据处理者采取措施保障数据的完整性和保密性。以B站为例,在对外提供身份证、姓名等数据时使用加密协议进行传输,同时还包括签名值以保障数据完整性和抗抵赖性;B站本地存储身份证号和姓名使用加密处理保障本地数据的保密性和完整性。针对人脸信息,由于委托第三方公司处理,《数据安全尽调问卷》中明确了该业务场景下第三方公司仅使用和传输个人信息,不存储个人信息,且在《人脸识别服务协议》中明确要求第三方处理完个人信息后立即进行删除。
与第三方公司建立安全事件通知机制
以B站为例,与第三方公司签署了《数据安全承诺函》,针对数据安全事件(包括但不限于遭遇第三方网络攻击导致的网络瘫痪、数据泄露等)建立完善的应急响应机制(一旦发生数据安全事件,数据接收方将及时启动应急响应预案),包括安全事件通知机制,通知内容应当包括该数据安全事件的性质,包括其涉及的个人信息及其他信息的种类、规模;该数据安全事件可能的后果;已经采取的补救措施等。
要求第三方公司建立响应个人信息主体权利的途径
以B站为例,与第三方公司签署了《数据安全承诺函》,其中明确了个人信息主体权利响应的要求,包括但不限于访问权、更正权、删除权、撤回同意权和账户注销权。同时要求第三方公司履行相应的义务,如配合响应个人信息主体的投诉、权利要求等。
声明:本文来自国家网安检测中心服务号,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。