2025年5月,我国《国家网络身份认证公共服务管理办法》正式公布,将于7月15日起实施。这一新规旨在建立统一的网络身份认证体系,通过网号、网证实现安全便捷的身份核验。办法明确规定不满14周岁未成年人需监护人代领网号,14-18岁需监护下申领,并强调处理敏感信息需单独同意,重要数据原则上境内存储。
《管理办法》共16条,主要规定了四个方面内容:
- 一是明确了国家网络身份认证公共服务及网号、网证的概念、申领方式;
- 二是明确了使用国家网络身份认证公共服务的效力、应用场景;
- 三是强调了国家网络身份认证公共服务平台、互联网平台等对数据安全和个人信息保护的责任;
- 四是对未成年人申领、使用国家网络身份认证公共服务作出特殊规定。
《国家网络身份认证公共服务管理办法》的出台是数字身份管理的重要一步,具有积极意义:
- 强化隐私保护:通过网号、网证实现“可用不可见”,减少明文身份信息暴露,符合《个人信息保护法》最小化原则,降低数据滥用风险。
- 推动生态建设:鼓励多方自愿接入,平衡推广与用户选择权,保留传统核验方式,避免强制替代,有利于逐步构建可信网络环境。
- 特殊群体保障:对未成年人设置监护同意机制,体现对弱势群体的保护,同时为平台履行年龄相关义务(如防沉迷)提供支持。
- 责任明确:严格限定平台数据收集范围,强调“告知-同意”机制,违规处罚条款清晰,有助于压实主体责任。
但数治网认为,还需关注实施中的挑战:用户习惯培养、平台接入成本及技术兼容性可能影响推广效果,需配套细则和监管跟进确保落地实效。
与此同时,在《合规路漫漫:外卖破千万自营却盗用信息在阿里战投平台注册?》一文中,京东外卖业务快速扩张之际,其自营旗舰店却曝出个人信息违规处理问题。
4月13日,客户在京东下单上门测量服务后,个人信息未经同意被转至阿里战投的第三方平台注册。这明显违反了《个人信息保护法》的”告知-同意”原则,也暴露出平台在数据伦理方面的缺失。
两起事件形成鲜明对比:一方面国家在加强身份信息保护制度建设,另一方面企业实践中仍存在违规操作。新规实施后,公共服务平台将承担更重责任,需建立完善的安全管理制度。而企业更应主动遵守国标GB/T 44588等规范,指定专人负责合规审计。
从京东事件可以看出,即使大型互联网平台,在业务快速扩张时也容易忽视数据安全。这提醒我们,法律规范要落到实处,需要企业内化合规意识,建立有效的数据治理框架。未来,随着网络身份认证体系的推广,个人信息保护将进入新阶段,但前提是所有参与者都能真正重视用户权益。
国家网络身份认证公共服务管理办法
第一条 为实施可信数字身份战略,推进国家网络身份认证公共服务建设,保护公民身份信息安全,支撑数字经济健康有序发展,根据《网络安全法》、《数据安全法》、《个人信息保护法》、《反电信网络诈骗法》、《未成年人保护法》等法律法规,制定本办法。
第二条 本办法所称国家网络身份认证公共服务(以下简称“公共服务”),是指国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台(以下简称“公共服务平台”),为自然人提供申领网号、网证以及进行身份核验等服务。
本办法所称网号,是指与自然人身份信息相对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证,是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。
第三条 国务院公安部门、国家网信部门会同国务院民政、文化和旅游、卫生健康、广播电视等部门依照本办法和有关法律、行政法规的规定,在各自职责范围内负责网络身份认证公共服务有关工作。
第四条 持有有效法定身份证件的自然人,可以自愿向公共服务平台申领网号、网证。
不满十四周岁的自然人申领网号、网证的,应当取得其父母或者其他监护人同意,并由其父母或者其他监护人代为申领。
已满十四周岁未满十八周岁的自然人申领网号、网证的,应当在其父母或者其他监护人的监护下申领。
第五条 根据法律、行政法规规定,在互联网服务中需要登记、核验用户真实身份信息的,可以使用网号、网证依法进行登记、核验。
不满十四周岁的自然人使用网号、网证登记、核验真实身份信息的,应当取得其父母或者其他监护人同意。
第六条 鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证,为用户提供安全、便捷的身份登记和核验服务,通过公共服务培育网络身份认证应用生态。
有关主管部门、重点行业在管理、服务中,应当保留、提供现有的或者其他合法方式进行登记、核验真实身份。
第七条 鼓励互联网平台按照自愿原则接入公共服务,用以支持用户使用网号、网证登记、核验用户真实身份信息,依法履行个人信息保护和核验用户真实身份信息的义务。
互联网平台接入公共服务后,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息,法律、行政法规另有规定或者用户同意提供的除外。
互联网平台应当保障未使用网号、网证但通过其他方式登记、核验真实身份的用户与使用网号、网证的用户享有同等服务。
第八条 互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的,公共服务平台应当仅提供用户身份核验结果。
根据法律、行政法规规定,互联网平台确需获取、留存用户法定身份证件信息的,经用户授权或者单独同意,公共服务平台应当按照最小化原则提供。
未经自然人单独同意,互联网平台不得擅自处理或者对外提供相关数据、信息,法律、行政法规另有规定的除外。
第九条 公共服务平台仅限收集网络身份认证所必需的信息,处理个人信息或者向自然人提供公共服务,应当依法履行告知义务并取得其同意。处理敏感个人信息,应当取得个人的单独同意,法律、行政法规规定应当取得书面同意的,从其规定。
未经自然人单独同意,公共服务平台不得擅自处理或者对外提供相关数据、信息,不得将相关数据用于用户登记、核验真实身份以外的目的,法律、行政法规另有规定的除外。
公共服务平台应当依照法律、行政法规规定或者用户要求,及时删除用户个人信息。
第十条 涉及未成年人、老年人等用户的,公共服务平台可以依法向互联网平台提供年龄标识信息,用于支持互联网平台履行相应的法律义务。
第十一条 公共服务平台在处理用户个人信息前,应当通过用户协议等书面形式,以显著方式、清晰易懂的语言真实、准确、完整地向用户告知下列事项:
(一)公共服务平台的名称和联系方式;
(二)用户个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)用户依法行使其个人信息相关权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
处理敏感个人信息的,还应当向个人告知处理的必要性以及对个人权益的影响,法律另有规定的除外。
公共服务平台处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知本条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,公共服务平台应当在紧急情况消除后及时告知。
第十二条 公共服务平台应当加强网络运行安全、数据安全和个人信息保护,建立并落实安全管理制度与技术防护措施,完善监督制度,有效保护网络运行安全、数据安全和个人信息权益。
公共服务平台处理的重要数据和个人信息应当在境内存储;因业务需要确需向境外提供的,应当按照国家有关规定进行安全评估。
公共服务平台发生网络运行安全、数据安全事件的,应当按照国家有关规定,立即启动应急预案,采取必要措施消除安全隐患,及时告知用户并向有关部门报告。
第十三条 公共服务平台的建设和服务涉及密码的,应当符合国家密码管理有关要求。
第十四条 违反本办法第七条、第八条、第九条、第十一条、第十二条规定,依照《网络安全法》、《数据安全法》、《个人信息保护法》,由国务院公安部门、国家网信部门在各自职责范围内依法予以处罚、处分;构成犯罪的,依法追究刑事责任。
有关主管部门、重点行业在网络身份认证公共服务有关工作中玩忽职守、滥用职权的,依法追究责任。
第十五条 本办法所称法定身份证件,包括居民身份证、定居国外的中国公民的护照、港澳居民来往内地通行证、台湾居民来往大陆通行证、港澳居民居住证、台湾居民居住证、外国人永久居留身份证等身份证件。
第十六条 本办法自2025年7月15日起施行。
来源:中国网信网,本篇针对全文结合生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。图片:Aerps-com,Unsplash
