數安條例百問86：關于網絡身份認證公共服務基礎設施

小貝案語

11月14日，國家互聯網信息辦公布了《網絡數據安全管理條例（征求意見稿）》。為此，小貝說安全設立《網絡數據安全管理條例（征求意見稿）》（后文簡稱《條例》）解讀專欄，以百問百答的形式對《條例》進行系列解讀。

需要指出，這些解讀只是專家個人觀點，不代表官方意見；且這些解讀針對的是征求意見稿，未來條文本身可能會發生變化，不排除會有新增和刪除

對應條款

第五十條 國家建設網絡身份認證公共服務基礎設施，按照政府引導、網民自愿原則，提供個人身份認證公共服務。

互聯網平臺運營者應當支持并優先使用國家網絡身份認證公共服務基礎設施提供的個人身份認證服務。

解讀

《個人信息保護法》第六十二條提出，國家網信部門統籌協調有關部門依據推進下列個人信息保護工作：

（一）制定個人信息保護具體規則、標準；

（二）針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術、新應用，制定專門的個人信息保護規則、標準；

（三）支持研究開發和推廣應用安全、方便的電子身份認證技術，推進網絡身份認證公共服務建設；

（四）推進個人信息保護社會化服務體系建設，支持有關機構開展個人信息保護評估、認證服務；

（五）完善個人信息保護投訴、舉報工作機制。

為了落實上述第（三）項要求，《條例》第五十條指出，國家建設網絡身份認證公共服務基礎設施，并鼓勵優先使用該基礎設施。

如何理解這項工作，有以下幾個要點：

一是，網絡身份認證公共服務建設十分必要。信任是社會互動的橋梁，是社會建設與發展的基礎。當前，貿易、購物、交友等越來越多的社會活動由現實世界遷移到網絡空間中進行，迫切需要構建網絡空間信任體系。其前提則是對自然人網絡身份進行認證，以確保網絡身份可信，這是一項基礎性工作。

二是，網絡身份認證公共服務建設是保護個人信息的重大課題。不同歷史時期，網絡身份認證面臨的任務有很大差異。最初，由于互聯網的匿名性，“沒人知道你是條狗”。而如今，由于每個人在互聯網上的活動留下了太多痕跡，非法收集濫用個人信息的情況嚴重，已經“人人知道你是條狗”。甚至因為認證系統的使用反而帶來了更多的個人信息泄露問題，例如人臉識別濫用將導致嚴重后果。這種情況下，需要有科學合理的網絡身份認證公共服務系統，既有效提升網絡安全水平，又能自身防范個人信息受侵害。

三是，網絡身份認證公共服務系統一定要有法定可信的“根”。由認證的原理所決定，信任要有源頭，要有“根”。現實生活中，身份證是可信的身份證明文件，因為其由公安機關制作、發放，法律地位由《居民身份證法》所保證。到了網上怎么辦？雖然實踐中已有這樣那樣的方案，但很多“根”其實不可靠，或者說沒有在法律上獲得承認。例如，某單位自己蓋個章來證明某人的身份，社會上會承認嗎？因此，建設網絡身份認證公共服務系統，也一定要以法律承認的身份證明即法定身份證件作為“信任根”，這依然是身份證。

四是，網絡身份認證公共服務系統是國家基礎設施，是統一而不是分散的。由于歷史的原因，我國已經建設了多種不同的網上身份認證系統，如很多地方CA和行業CA。為了增強互認，后來還出現了“橋CA”的建設思路。《個人信息保護法》和《條例》規定的網絡身份認證公共服務系統與其不同，是在國家有關部門的組織下，統一建設的國家級網絡身份認證工程，是國家網絡空間安全的基礎設施，由國家權威機構負責運營。

五是，網絡身份認證公共服務建設不排斥現有各種身份認證方案。建立了網絡身份認證公共服務后，是不是其他身份認證方案就不能使用了？答案是否定的。網絡身份認證公共服務扮演的是身份認證基礎設施角色，將給各類網絡應用提供身份認證服務接口，供各類應用所調用。此外，也可在其上根據實際場景開發不同的身份認證方案，或由現有各種身份認證方案直接調用其服務。這也體現了“公共服務”的內涵。

六是，應當大力推動網絡身份認證公共服務系統的普及應用。國家建成網絡身份認證公共服務后，是不是必須使用其服務呢？《條例》并未規定其為強制使用。但從安全性、可靠性、權威性等角度而言，其一定優于其他身份認證系統。因此，國家將大力推動網絡身份認證公共服務的普及應用，扶持相關產業發展，構建技術產業生態，最終達到全面應用的狀態。

七是，網絡身份認證公共服務建設不是取消網絡空間的匿名性。《網絡安全法》第二十四條確定的“實名制”是網絡身份認證公共服務建設的法律基礎，但公民在網絡活動中依然保持匿名，只是后臺實名。以前實名制的實施中，“后臺實名”指發起身份認證的網絡運營者在自己的服務器后臺可以看到用戶的實名注冊信息，這實際上存在很多風險隱患。網絡身份認證公共服務實施后，即使網絡運營者在自己的服務器后臺也無法看到用戶的實名注冊信息，更好地保護了用戶個人信息。

相關文章：

數安條例百問 1：關于《條例》的定位

數安條例百問 2：關于《條例》的結構

數安條例百問3、4：關于“網絡數據”和“數據處理者”

數安條例百問5、6：關于《條例》的適用范圍

數安條例百問7、8：關于數據分類分級保護制度和管理

數安條例百問9、10、11、12：關于重要數據

數安條例百問13、14：關于數據開發利用和交易管理

數安條例百問15、16、17、18、19：關于數據處理者安全保護義務

數安條例百問20、21、22：關于向第三方提供個人信息

數安條例百問23、24、25、26：關于網絡安全審查

數安條例百問27、28、29、30：關于“一般要求”中的幾個特定考慮

數安條例百問31、32：關于“合法、正當、必要”原則

數安條例百問33、34、35、36：關于個人信息處理規則

數安條例百問37、38、39、40：關于“同意”

數安條例百問41、42、關于“刪除”

數安條例百問43、44、45：關于個人行權

數安條例百問46、47、48：關于生物特征應用和一百萬人以上個人信息處理者的適用

數安條例百問49、50、51：關于重要數據處理者義務

數安條例百問52、53、54：關于備案、培訓與采購

數安條例百問55、56、57、58、59：關于年度評估與對外提供數據的風險評估

數安條例百問60、61：關于征得主管部門同意要求及云安全評估要求

數安條例百問62、63：關于數據出境的概念

數安條例百問64、65：關于數據出境的幾種條件和例外情況

數安條例百問66、67、68：關于數據出境的單獨同意、評估條件與國際協議

數安條例百問69、70：關于數據出境安全管理義務與安全報告

數安條例百問71、72、73：關于數據出境安全技術監管措施

數安條例百問74、75、76、77、78：關于平臺規則、隱私政策和算法策略

數安條例百問79、80：關于先行賠付與個人通信

數安條例百問81、82、83：關于反不正當競爭、應用程序分發管理和數據互通

數安條例百問84、85：關于個性化推薦

數安條例百問86：關于網絡身份認證公共服務基礎設施

數安條例百問87、88：關于公共數據與公共信息

數安條例百問89、90：關于大型互聯網平臺審計與新技術評估