身份核驗如何合規？專家建議遵循高風險強認證，低風險弱認證

在電信網絡詐騙、侵犯未成年人合法權益以及網絡暴力等網絡惡性事件頻發的當下，打造以實名制為基礎的網絡空間治理體系已成為大勢所趨。為加強國家網際網路安全治理，切實保障使用者權益，各平台對使用者的身份認證和核驗環節提出了更高要求。

近日，CCIA資料安全工作委員會舉辦專題研讨會，探讨如何在治理支撐、安全風控的過程中，平衡開展身份核驗與最小化處理個人資訊的原則。有與會專家指出，實名認證本質上是通過讓渡使用者隐私來實作對其權益的保護，屬于“灰色地帶”，而要完成這一網絡生态治理過程，需要各方合力。

1

根據風險高低決定實名認證強弱

近年來，為實作安全風控，保障公衆利益，《中華人民共和國反電信網絡詐騙法》《網際網路使用者賬号名稱資訊管理規定》等法律法規相繼征求意見，拟規定提高網際網路平台對使用者賬号身份實名認證和核驗的準确性、實時性要求，對監測識别的異常賬号應當采取重新核驗、限制功能、暫停服務等處置措施。

在此之前，首先需要解答的問題是：身份認證、身份核驗分别指什麼？二者有何差別？

與會專家指出，身份認證是指首次确定一個人身份時所進行的認證，可能包括身份證号、人臉識别認證等；而此後再進行的驗證則稱為身份核驗，收集的個人資訊通常不應超過認證階段。是以，在使用服務的過程中，身份核驗并不會導緻過度收集個人資訊，但可能“過度打擾使用者”。

此外，“身份核驗的層級也不一樣。”有專家介紹，目前身份核驗大概包括三種方式。一是效力最弱的非實名認證，如早期網際網路時代設定的簡單賬号和密碼；二是通過手機号和驗證碼進行認證；三是使用微信、支付寶等第三方平台登入驗證。

談及身份核驗的具體應用場景，一位企業法務強調，以遊戲行業為例，其必須對使用者進行強實名認證，即驗證使用者姓名和身份證号，而手機号作為弱驗證手段不被包括在内。為了實作保護未成年人的實際業務需求，防止未成年人冒用家長身份登入賬号，許多網際網路企業會主動增加手機号及人臉識别等活體驗證環節。

自去年6月起施行的未成年人保護法規定，網絡遊戲、網絡直播、網絡音視訊、網絡社交等網絡服務提供者應當針對未成年人使用其服務設定相應的時間管理、權限管理、消費管理等功能。

不過有與會專家直言，在實踐過程中，網際網路企業要實作上述合規面臨着多重困境。

她指出，目前國家僅為網絡遊戲行業提供了統一身份認證系統，其他行業尚無類似“接口”，如果企業自行尋找替代管道，成本和風險較高，效果也無法保障。是以，直播、短視訊等行業僅需手機号就能完成注冊，是否開啟青少年模式可以由使用者自選——這意味着大部分未成年人網絡沉迷問題隻能主要依賴家長監督和個人自覺，缺乏外力強制。

多位專家認為，如果用于落實法律法規要求的配套資源無法保障，企業又缺乏較為安全、穩定的身份認證“接口”和處理大量使用者敏感個人資訊的能力，那麼普遍實行包括人臉識别在内的實名認證就可能導緻嚴重的資訊泛濫和洩露問題。

比如目前有不少小平台做的是“假身份核驗”，即隻收集或隻做邏輯核驗，不通過調用權威的第三方資源對所收集的身份證号或銀行卡号等資訊進行真實性校驗。

值得一提的是，在平衡實名認證強度和業務需求方面，有企業法務指出，網際網路的實名認證遵循高風險強認證、低風險弱認證的基本原則。她舉例子解釋，如果賣一個毛絨玩具被要求刷臉，這個身份認證強度和風險大小是不比對的；如果賣的是被認為有虛拟貨币炒作風險的代币，被要求進行刷臉等強認證就是合理的。

2

實名認證是生态治理需各方合力

在核驗身份的過程中，使用者可能面臨不通過則無法使用的困境。與會專家指出，當下使用者對過度收集個人資訊的狀況較為擔憂，因而對人臉識别等實名認證的認可度不高，相關投訴數量較多。那麼，如何才能兼顧身份核驗過程的合規和履責所需，提高使用者接受度？

有與會專家建議，對于未通過實名認證或未使用真實資訊登入的使用者，可以采取重複告知的辦法。首先告知使用者需要再次核驗其身份的理由，如法律法規中有關使用者實名認證的義務，強調其賬戶正面臨高風險，需為安全考慮等；其後可以再告知使用者不接受上述要求可能導緻的嚴重後果等。

此外，對于“不通過則無法使用”的情況，企業應提供相應的救濟管道。當使用者賬号行使權益受到限制時，應提供多次驗證機會，更換其他同等強度的驗證方式，并建立人工申訴管道。

自大陸全面實行實名制以來，身份核驗所表現出的沖突性就成為網際網路治理的一大難題。一位企業法務在會上指出，實名認證的本質是讓網絡中以數字為代表符号的個體與現實世界中的個體之間實作逐一映射，進而把控其在虛拟世界中的行為，使網民所應承擔的法律責任能從現實世界延續到虛拟世界中去。

事實上，使用者在實名認證過程中所産生的對個人資訊洩露的擔憂并非空穴來風。一位與會專家坦言，究其本質，實名認證要求使用者以讓渡部分個人資訊為代價使自身賬号安全得到保障或本人身份得到證明。

是以，有法務人員指出，企業應盡可能将對使用者的隐私侵犯程度降至最低，将保護合法權益的收益放到最大，平衡實名認證的優勢和劣勢——而這是需要各方共同治理後達到的綜合效果。他表示，網際網路實名認證是一個生态治理過程，網際網路服務提供者、基礎電信營運商以及移動智能終端系統生産商等主體都應加入到實名認證的治理中。

“不要認為實名認證是一個非黑即白的東西，它其實是從侵犯個人資訊到保護權益之間的‘灰色地帶’。要想把它停留在最合适的位置，就一定需要各方合力，不能單獨指望網際網路服務提供者等任何一方。”他說道。

采寫：南都見習記者樊文揚 記者蔣琳