用戶賬號實名新規：是否必須收集“身份證號”實施認證？

2022年6月27日，國家網信辦發布《互聯網用戶賬號信息管理規定》，其中第九條規定“互聯網信息服務提供者為互聯網用戶提供信息發布、即時通訊等服務的，應當對申請注冊相關賬號信息的用戶進行基于移動電話號碼、身份證件號碼或者統一社會信用代碼等方式的真實身份信息認證”，此條引發了行業普遍的疑惑。

疑惑的核心就在于：自該規定開始，相關實名認證是否必須以“手機號+身份證號”雙重認證的方式實施？若答案是，則顯然和以往常規的基于手機號進行實名認證有巨大的差別。

《互聯網用戶賬號信息管理規定》認證模式探討

本文僅表達個人一些觀點，不論對錯僅供大家探討。基于新規，個人認為基于“移動電話號碼”和“身份證件號碼”認證的方式均屬于真實身份認證，新規本意并非要求產品必須一并收集“移動電話號碼”和“身份證件號碼”后才允許為用戶提供信息發布或即時通訊服務，仍需要區別場景而適用不同的認證方式。大致思考是：

1. 原《互聯網用戶賬號名稱信息管理規定（征求意見稿）》 中僅要求“提供真實身份信息”，且明確“未成年人注冊賬號時，應當取得其監護人的同意并提供未成年人本人居民身份證號碼用于真實身份信息核驗”。這說明，“身份證號”在驗證未成年人等場景中還是有必要性的，其它的例如在直播主播認證時就不能只使用手機號碼，而須以身份證號等實施認證。
2. “、”號的目的是用于確保法規能夠涵蓋各個場景，不是用來要求“并列”收集。
3. 假設新規確是要求“一并”收集后認證，則明顯和目前39類必要個人信息規范中的必要信息有所矛盾。例如，即時通訊類產品中的必要個人信息就不包括“身份證號”。若后續強制收集用戶身份證號，確仍然有可能引發產品的個人信息處理風險。
4. 同樣，假設假設新規確是要求“一并”收集后認證，則何類產品應當適用？僅限信息發布產品和即時通訊產品，“等服務”也該如何理解呢？這會陷入無盡的難以捉摸之中。
5. 現有效的《微博客信息服務管理規定》第七條規定：“微博客服務提供者應當按照“后臺實名、前臺自愿”的原則，對微博客服務使用者進行基于組織機構代碼、身份證件號碼、移動電話號碼等方式的真實身份信息認證、定期核驗。微博客服務使用者不提供真實身份信息的，博客服務提供者不得為其提供信息發布服務。”這里也并列了身份證件號碼、移動電話號碼，但實際上，相關微信客產品也不是必須兩者都必須收集后才能提供服務。
6. 基于手機號碼的后臺實名，就屬于真實身份，也是行業的實踐，“立法”中也有明確。如《網絡安全標準實踐指南—移動互聯網應用程序（App）個人信息安全防范指引（征求意見稿）》（未：未生效）直接擬明確：針對一些沒有高風險的區域、場所或不涉及高風險人群，疫情防控App宜盡可能縮小身份登記的個人信息填寫范圍，達到可追溯的目的即可。例如，收集個人信息可參考“前臺匿名，后臺實名”等方式，用戶可提供手機號，無需填寫身份證號或上傳身份證圖片。
7. 其實，不僅《互聯網用戶賬號信息管理規定》如此規定，剛發布的《移動互聯網應用程序信息服務管理規定》第六條也規定：“應用程序提供者為用戶提供信息發布、即時通訊等服務的，應當對申請注冊的用戶進行基于移動電話號碼、身份證件號碼或者統一社會信用代碼等方式的真實身份信息認證。”

關于實名制

用白話文來說，實名制的意思不言而喻，就是在網絡中識別某個賬號或用戶所對應的線下主體是誰，即真實身份，不過中國法律法規中其實并沒有所謂嚴格的“實名制”概念。實名制反映到法律法規之中，主要適配如下一些用詞：“真實身份信息”（網絡安全法）、“客戶身份”（反恐法）、“身份、地址、聯系方式、行政許可等真實信息”（電商法）、“用戶賬號”（互聯網信息服務辦法）、“實名登記”（食品安全法）、“有效身份證件進行實名注冊”（網絡游戲）、“用戶實名制度”或“真實身份信息認證”（網絡直播）、“有效身份證件進行實名注冊”（網絡表演）等等，不一而足，從這些復雜的用語中，我們其實可以倒吸一口涼氣——“咱合規犯迷糊啊！”

要了解實名制，其實我們不妨來看看什么是非實名制吧。常見的非實名制有如下一些類型：一是拿起硬件或打開網頁、安裝（應用）軟件就可以直接查閱和使用，沒有任何注冊環節的介入，用戶無須向服務商主動提供任何信息，很多工具類（例如拍攝、計算器）、效率、開發類軟件以及咨訊信息類平臺就無須注冊而直接瀏覽使用；二是使用自定義昵稱、用戶名或郵箱，或者服務商自動分配賬號名（例如原QQ號碼）的方式進行用戶注冊，這類注冊在PC端時代是非常常見的用戶注冊方式，這類注冊往往可以隨心所欲的使用任何昵稱進行，基本很難從服務商核實注冊人的具體信息。目前像GOOGLE、臉書等全球知名企業仍然是支持使用電子郵件進行賬號注冊的，但國內目前已經幾無可見了，也不建議在產品的用戶（C端）注冊開發中使用郵件進行注冊。

互聯網公司做到何種程度可以視為已經符合實名制的要求呢？這個問題其實過于復雜，其復雜不在于確實如何架構實名制，而在于要辨別不同的商業模式、領域及實名對象等維度下可能存在完全不同的實名制要求，其強弱有所不同。

間接實名

間接實名。所謂間接實名是指用戶注冊時提交的信息仍不足以準確確定特定主體，但通過第三方渠道可驗證其真實信息情況。目前最常見的間接實名方式是收集用戶手機號碼并作為賬戶登陸，很多人會誤認為單純收集用戶手機號碼的方式并不屬于實名認證，其實在特定業務場景下的手機號碼屬于合格的實名認證方式。

例如《移動互聯網應用程序信息服務管理規定》（注：原規定）規定移動互聯網應用程序提供者按照“后臺實名、前臺自愿”的原則，對注冊用戶進行基于移動電話號碼等真實身份信息認證。《互聯網用戶公眾賬號信息服務管理規定》也明確要基于移動電話號碼等真實身份信息進行認證，《區塊鏈信息服務管理規定》也明確“區塊鏈信息服務提供者應當按照《中華人民共和國網絡安全法》的規定，對區塊鏈信息服務使用者進行基于組織機構代碼、身份證件號碼或者移動電話號碼等方式的真實身份信息認證。用戶不進行真實身份信息認證的，區塊鏈信息服務提供者不得為其提供相關服務”，其它的還有《互聯網直播服務管理規定》等法律規范亦是如此。

司法判決中，在十九樓某案件【義烏天祥醫療東方醫院與十九樓網絡股份有限公司名譽權糾紛一審民事判決書，（2018）浙0782民初9873號】中法院就對這類間接實名的法律認可性進行了闡述：“由于手機已經推行實名認證且使用方便、功能全面，手機號碼可以作為電子身份認證方式。根據《移動互聯網應用程序信息服務管理規定》第七條規定，移動互聯網應用程序提供者依法履行以下義務：按照后臺實名、前臺自愿的原則，對注冊用戶進行基于移動電話號碼等真實身份信息認證。現被告已提供了用戶注冊的手機號碼、用戶名以及IP地址，應認定其已履行了管理義務。”

可以使用間接實名的網絡業務場景非常多，總體上，純信息發布和互動類（例如帖子、評論、點贊、即時通訊、鏈接分享、上傳、下載、存儲等等）產品，根據上述司法判決的要義，只需要使用手機號碼作為實名注冊即可符合法律規定。

直接實名

所謂直接實名是指從用戶注冊時提交的信息就可以直接明確其真實身份。在間接實名階段，因為非自然人C端用戶之信息基本均為可公開信息，故間接實名一般只涉及自然人C端用戶，而在直接實名的認證狀態下，自然就需要考慮到自然人和商戶主體（商家B端用戶和非商業主體）之間的認證區別問題了。

在所有涉及C端和B端用戶的混合型產品（個人和企業都可以使用的產品，例如釘釘、云服務等）中，合規的核心以及最重要的一步就是在注冊環節。

優秀互聯網產品的注冊環節，其實都完美地設計了商業、技術以及法律思維的融合，而商業思維一定會主導其它兩者。從商業思維上來看，互聯網產品注冊環節的設計已經和傳統網站完全不一樣，用戶在以往傳統網站注冊時，一張頁面會要求用戶花至少好幾分鐘去一次性填寫很多注冊信息，這在互聯網時代簡直是無法忍受的，因為互聯網產品的替代性在絕大多數情況下都比較大，用戶對于一款APP的注意力和興趣時間也許只有10秒鐘，如果在用戶注冊環節就要投入大量的時間，80%以上的用戶就會迅速流失到競品，產品的“拉新”就算是徹底地失敗。所以，優秀互聯網產品在注冊環節變得越來越簡便，甚至驗證碼都能自動提交（用戶要先授權讀取短信），而這只是注冊環節的第一階段。

在第二階段，才是特定產品（不是所有產品都必備）的認證階段，但認證的入口一定是多維的，即在用戶使用產品最投入的時間點，例如要購買產品、觀看電影、借款放款等等功能環節，才實時呈現或提示用戶進行認證，提交更為復雜的注冊信息，例如身份證、銀行卡、送貨地址等深度信息，以便展開各類經營交易。

而在第三階段，需要對前兩個階段獲得的數據進行“活化”，這些外部的各類驗證渠道，雖然有成本，但在特定的業務場景中，仍然是值得投入的必要合規成本。這些外部的數據不像前兩個階段的數據完全是由用戶自行提供的，而是互聯網公司對接外部數據庫進行，例如針對B端用戶的零錢認證法，就是在驗證時，由互聯網企業向B端用戶的對公賬戶匯入一筆零錢，企業收到零錢金額后填入驗證系統，若顯示金額相符，則說明B端用戶當地提交的注冊信息的可信性。同樣道理，在產品的使用階段，各類微信或支付寶掃碼登陸也是一種活數據的驗證方式。

例如，映客互娛在其香港聯交所招股說明書中，就披露了其活數據的驗證方式：“我們與芝麻信用合作進行實名認證。過往，我們亦與支付寶合作進行該程序。申請成為主播后，用戶將被自動重新引導至芝麻信用網站完成實名認證程序。對于未能使用芝麻信用完成實名認證程序的海外用戶而言，彼等可以向我們提供實名及電話號碼，并將清晰的護照或身份證照片上傳至系統。我們的內部認證團隊會處理彼等提供的材料，并決定有關用戶是否可獲認證。”