热点点评 | 网络身份认证迎来“新路径”，保护个人身份信息有了

副站长

2024年7月26日，公安部、国家互联网信息办公室关于《国家网络身份认证公共服务管理办法（征求意见稿）》，向全社会公开征求意见，办法中所提出的国家网络身份认证公共服务成为社会关注的焦服务将对互联网服务网络身份认证机制带来新的变化，

其兼具安全与便捷的特点也将促使其可能成为广大网民进行网络身份认证的新选择，国家网络身份认证的推广应用将为网络空间治理和促进数字经济发展提供重要支撑（如下图）。

一、创新网络身份认证机制，避免原始个人身份信息使用，大幅度降低个人信息安全风险长期以来，依据法律和行政法规规定，或出于业务自身实际需要，网络身份认证在互联网服务过程中被广泛应用，身份认证所依赖的是个人真实的身份信息，包括真实姓名、证件、证件号及其它实名信息。

然而，实名个人身份信息具有唯一性，且属于原始明文信息，其被广泛收集将导致个人信息泄露、非法传播、滥用后的风险增加，对个人上网安全造成威胁。国家网络身份认证公共服务所提供的“新路径”，则有效降低了上述风险，究其原因如下。当个人用户使用国家网络身份认证App时，即可申领一个与智能终端设备绑定，并对个人身份信息加密处理后的“网络身份认证凭证”。如下图：

该凭证虽不包含原始的个人身份信息，但仍然具有唯一性，应用程序接入网络身份认证公共服务后即可用于验证个人真实身份，与原始的个人身份信息有着同等效用。从安全性视角来看，其优势体现在以下几个方面：

一是，用户申领网络身份认证凭证后用于出示、提供等使用场景不会涉及到原始个人身份信息处理，网络身份认证凭证无法被使用方或第三方还原为原始个人身份信息，这就大大降低了原始个人身份信息被泄露、非法传播、滥用的风险；

二是，网络身份认证凭证中的二维码是动态变化的，即便网络身份认证凭证相关信息即便出现被窃取、泄露等情形，由于认证使用二维码已经失效，则有效降低了泄露导致的安全风险；

三是，网络身份认证是动态过程，用户提供网络身份认证凭证或“网号+动态验证码”才能完成身份认证，这样可有效防范多个平台在用户未授权时使用静态的身份信息进行认证；

四是，网络身份认证后，各平台获取到的对同一用户的网络身份应用标识各不相同，可有效防止跨平台进行大数据聚合、关联、分析。

上述几点不但大大弥补了传统身份认证机制的不足，同时也与《个人信息保护法》所强调的最小必要、最小影响处理个人信息的原则相吻合。因此，应用程序接入并应用国家网络身份认证模式，也是践行了个人信息保护相关法律法规提出的原则。

二、推广网络身份认证应用，

简化了身份认证过程，

使用网络身份认证成为了用户新选择
国家网络身份认证公共服务是一套完备的身份认证机制，

在应用程序的开发者申请接入该机制，并在应用程序的身份认证环节增加“国家网络身份认证”选项后，使用国家网络身份认证App申领过网络身份认证凭证的用户即可直接通过这种新模式“一键”完成身份认证，无需再通过录入身份信息、输入手机号码及验证码、进行刷脸等额外操作，身份认证过程被大幅简化，用户体验更为友好。

应用程序的开发者在刚接入国家网络身份认证公共服务时，可选择多种身份认证并存的方式，以支持为此前通过传统方式进行身份认证的存量用户继续提供服务。

同时，应用程序的开发者可不断引导已完成真实身份认证的存量用户使用网络身份认证凭证进行身份核验，完成身份信息的关联后，即可删除此前收集的原始个人身份信息，减少原始个人身份信息的存储，进一步降低个人信息存储、使用的安全风险。

当前，国家网络身份认证公共服务已经在政务、购票、出行、账号登录等多个领域得到试点应用，服务机制的安全性、可靠性也得到了实践检验。

下一步，还需继续推广更大范围应用国家网络身份认证模式，一方面，需依托于相关的鼓励性政策制度和成熟的配套措施，培育更为成熟的生态；另一方面，需依托于当前广大网民广泛使用的互联网服务场景，通过典型场景的接入和使用，增加曝光率，使用户能够有更多体验机会。

推广应用中，应坚持用户自愿的原则，使用户能够在了解网络身份认证的优势后，自行选择使用新的网络身份认证方式，以减少原始个人身份信息的提供。

个人信息安全是广大网民上网安全的基础保障，最小化收集使用个人信息是广大网民隐私保护的重要关切。

国家网络身份认证公共服务所给出的解决方案，充分平衡了身份认证过程安全和便捷使用两个角度，是当下身份认证的最优选择，是保护广大网民个人身份信息一道坚实屏障。

（本文作者：中国电子技术标准化研究院网安中心 何延哲）CCIA数据安全工作委员会单位介绍中国电子技术标准化研究院是工信部直属事业单位，是从事电子信息技术领域标准化的基础性、公益性、综合性研究机构。

电子标准院网络安全研究中心是全国信安标委(TC260)、中国网络安全产业联盟（CCIA）秘书处单位，主要从事网络安全战略、政策、行业管理研究等方面的政府支撑工作，以及标准的研究制定、检测咨询等工作。

中心设有专门的数据安全部门及测评实验室，开展数据安全和个人信息保护的方向的具体业务。