数安条例百问86：关于网络身份认证公共服务基础设施

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除

对应条款
第五十条 国家建设网络身份认证公共服务基础设施，按照政府引导、网民自愿原则，提供个人身份认证公共服务。

互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。

解读
《个人信息保护法》第六十二条提出，国家网信部门统筹协调有关部门依据推进下列个人信息保护工作：
  
（一）制定个人信息保护具体规则、标准；
（二）针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准；
（三）支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设；
（四）推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务；
（五）完善个人信息保护投诉、举报工作机制。
  
为了落实上述第（三）项要求，《条例》第五十条指出，国家建设网络身份认证公共服务基础设施，并鼓励优先使用该基础设施。
  
如何理解这项工作，有以下几个要点：
  
一是，网络身份认证公共服务建设十分必要。信任是社会互动的桥梁，是社会建设与发展的基础。当前，贸易、购物、交友等越来越多的社会活动由现实世界迁移到网络空间中进行，迫切需要构建网络空间信任体系。其前提则是对自然人网络身份进行认证，以确保网络身份可信，这是一项基础性工作。
  
二是，网络身份认证公共服务建设是保护个人信息的重大课题。不同历史时期，网络身份认证面临的任务有很大差异。最初，由于互联网的匿名性，“没人知道你是条狗”。而如今，由于每个人在互联网上的活动留下了太多痕迹，非法收集滥用个人信息的情况严重，已经“人人知道你是条狗”。甚至因为认证系统的使用反而带来了更多的个人信息泄露问题，例如人脸识别滥用将导致严重后果。这种情况下，需要有科学合理的网络身份认证公共服务系统，既有效提升网络安全水平，又能自身防范个人信息受侵害。
  
三是，网络身份认证公共服务系统一定要有法定可信的“根”。由认证的原理所决定，信任要有源头，要有“根”。现实生活中，身份证是可信的身份证明文件，因为其由公安机关制作、发放，法律地位由《居民身份证法》所保证。到了网上怎么办？虽然实践中已有这样那样的方案，但很多“根”其实不可靠，或者说没有在法律上获得承认。例如，某单位自己盖个章来证明某人的身份，社会上会承认吗？因此，建设网络身份认证公共服务系统，也一定要以法律承认的身份证明即法定身份证件作为“信任根”，这依然是身份证。
  
四是，网络身份认证公共服务系统是国家基础设施，是统一而不是分散的。由于历史的原因，我国已经建设了多种不同的网上身份认证系统，如很多地方CA和行业CA。为了增强互认，后来还出现了“桥CA”的建设思路。《个人信息保护法》和《条例》规定的网络身份认证公共服务系统与其不同，是在国家有关部门的组织下，统一建设的国家级网络身份认证工程，是国家网络空间安全的基础设施，由国家权威机构负责运营。
  
五是，网络身份认证公共服务建设不排斥现有各种身份认证方案。建立了网络身份认证公共服务后，是不是其他身份认证方案就不能使用了？答案是否定的。网络身份认证公共服务扮演的是身份认证基础设施角色，将给各类网络应用提供身份认证服务接口，供各类应用所调用。此外，也可在其上根据实际场景开发不同的身份认证方案，或由现有各种身份认证方案直接调用其服务。这也体现了“公共服务”的内涵。
  
六是，应当大力推动网络身份认证公共服务系统的普及应用。国家建成网络身份认证公共服务后，是不是必须使用其服务呢？《条例》并未规定其为强制使用。但从安全性、可靠性、权威性等角度而言，其一定优于其他身份认证系统。因此，国家将大力推动网络身份认证公共服务的普及应用，扶持相关产业发展，构建技术产业生态，最终达到全面应用的状态。
  
七是，网络身份认证公共服务建设不是取消网络空间的匿名性。《网络安全法》第二十四条确定的“实名制”是网络身份认证公共服务建设的法律基础，但公民在网络活动中依然保持匿名，只是后台实名。以前实名制的实施中，“后台实名”指发起身份认证的网络运营者在自己的服务器后台可以看到用户的实名注册信息，这实际上存在很多风险隐患。网络身份认证公共服务实施后，即使网络运营者在自己的服务器后台也无法看到用户的实名注册信息，更好地保护了用户个人信息。

【下期预告】
87、为什么要对互联网平台运营者收集、产生的数据的使用进行限制？
88、为什么要对公共数据、公共信息的调取、访问进行规范？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？
46、《条例》对生物特征应用的规定是基于什么考虑？
47、如何理解对生物特征识别的必要性、安全性评估？
48、如何理解重要数据处理者的要求适用于一百万人以上个人信息处理者？
49、如何理解《条例》对建立对个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？
52、如何理解重要数据处理者的备案要求？
53、如何理解对重要数据处理者的培训要求？
54、如何理解重要数据处理者采购网络产品和服务的要求？
55、如何理解对重要数据处理者和赴境外上市数据处理者的年度数据安全评估要求？
56、如何理解对外提供数据的风险评估要求？
57、对外提供数据前由谁实施风险评估？
58、对外提供数据前所作的风险评估报告怎么使用？
59、《条例》提出的数据安全风险评估与以前的风险评估有什么区别？
60、共享、交易、委托处理重要数据前需要遵循什么规定？
61、如何理解云计算安全评估制度？
62、为什么要单设“数据跨境安全管理”一章？
63、如何理解数据出境？
64、为什么在数据出境的“认证”条件中，要求数据接收方也要经过个人信息保护认证？
65、如何理解个人信息出境的例外要求？
66、如何理解向境外提供个人信息的“单独同意”要求？
67、什么情况下需要通过网信部门评估后数据才可出境？
68、为什么要对国际条约、协定规定例外？
69、如何理解数据出境的安全管理义务？
70、如何理解数据出境安全报告？
71、如何理解数据跨境安全网关？
72、为什么要求境内用户访问境内网络时，流量不得被路由至境外？
73、为什么要求数据处理者按照国家数据跨境安全监管要求，建立健全相关技术和管理措施？
74、所有网络平台运营者的平台规则、隐私政策、算法都需要进行披露吗？
75、网络平台运营者的规则、隐私政策往往改动频繁，均需公开征求意见吗？
76、官方网站、个人信息保护相关行业协会网站是选择关系还是并列关系？
77、为什么对日活用户超过1亿的大型互联网平台运营者的平台规则、隐私政策提出特殊要求？
78、大型互联网平台与《个人信息保护法》第58条提出的提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者是什么关系？
79、如何理解网络平台运营者在第三方造成损害时的先行赔偿责任？
80、什么叫做个人通信和非个人通信选择？
81、如何理解对反不正当竞争或限制所作的规定？
82、如何理解对应用程序分发管理的要求？
83、如何理解对用户数据互通的要求？
84、如何理解对个性化推荐所提的要求？
85、为什么要求个性化推荐时征得“单独同意”？

  总编辑|小贝