两份14号文件让网络游戏应用进退两难。
国信办迷字[2021]14号:四部门[1]发布2021年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》明确要求网络游戏应用是注册用户手机号。
国新启〔2021〕14号:国家新闻出版总署印发自2021年9月1日起施行的《国家新闻出版总署关于进一步严格管理切实防范未成年人沉迷网络游戏的通知》明确要求所有网络游戏用户必须使用真实有效的身份信息注册游戏账号和登录网络游戏,网络游戏企业不得以任何形式(包括旅游体验模式)向未注册用户提供游戏服务并使用他们的真实姓名登录。
想必网络游戏APP的运营商们一下子应接不暇了。执行国新办14号文发布的个人信息处理“最低限度必要原则”的,将接受中宣部、国家新闻出版总署等部门的“约谈”;如果14号文件要求“实名认证”,国家互联网信息办公室等部门将对该应用程序进行“通报和下架”。
网络游戏APP运营商在“被约谈”与“被下架”的夹缝中挣扎。这种困境也是所有APP运营者共同面临的问题。
然而,保护个人信息的最低必要原则真的是实名认证的“拦路虎”吗?
一、实名认证原则的前世今生
互联网不是法外之地。但也有部分网民利用虚拟网络空间实施网络暴力实名注册身份证,造谣诽谤、代购喷子,传播违法侵权视频图片,严重侵犯他人合法权益和社会公共利益。为治理网络不良现象,净化网络空间,我国政府有关部门采用了以网络用户实名认证为基础的网络实名制管理办法。服务提供者应当遵循“后台实名、前台自愿”的原则,要求互联网信息服务使用者在通过真实身份信息认证后注册账号。
在实践中,目前主流的实名认证方式有以下四种:
(一)基于手机号的实名认证方式
这是最简单最基本的实名认证方式。是指互联网平台运营商收集用户实名认证的手机号码并转给第三方服务商,由第三方服务商向用户发送验证码。如果用户输入的验证码一致,则证明用户使用的是实名手机号。手机号码注册。
(二)基于第三方应用接口的实名认证方式
指互联网平台经营者为用户提供第三方应用接口注册登录方式,如微信、支付宝等接口进行登录,获取第三方相关实名认证信息。
(3) 基于身份验证的Name-based authentication
该模式下,根据对实名认证信息真实性的不同要求,与第三方身份验证服务商合作采集二要素(姓名、身份证号)、三要素(姓名、身份证号、银行卡)、四要素(姓名、身份证号、银行卡、预留手机号)等信息进行实名认证。
(4) 基于视频活体检测的真人认证方法
如果说实名认证是为了证明用于注册账户的身份信息是真实的,那么实名认证则是为了证明持证人在使用该账户。通常会用到活体检测、人脸识别等,多用于金融机构。(如支付宝)、政府机关(如随心办、交管12123)、未成年人网络游戏防沉迷系统等。
以上四种实名认证方式所需的个人信息和实名认证的准确率依次递增。一般来说,APP运营商可以通过“手机号实名认证方式”满足最基本的实名认证需求。行业类型需要符合更严格的安全要求,也可以增加更准确的实名认证方式。
二、最低必要性原则详解
实名认证环节可实现网民网络虚拟身份与社会真实身份的统一,让网络足迹“留下往事痕迹”,极大净化网络空间,已成为各大互联网平台的标配。
然而,实名认证在限制和规范上网行为的同时,也带来了个人信息泄露的隐忧,使骗子能够实现“精准诈骗”。中国信息通信研究院发布的《新形势下电信与网络欺诈治理研究报告(2020年)》指出:近年来,“精准”欺诈日益普遍,个人信息泄露成为其实施的关键。据统计,超过70%的电信网络诈骗与个人信息泄露或被盗有关,且这一比例呈持续上升趋势。
鉴于此,国家机关在大力推进实名认证实施的同时,通过《个人信息保护法》等法律法规,确定了个人信息处理的知情同意、最低必要性等原则。信息处理者收集超出范围的个人信息,以降低信息泄露的风险。
什么是“最低必要原则”?
根据《个人信息保护法》的规定,最低必要性原则是指“处理个人信息应当有明确合理的目的,并与处理目的直接相关,采取的方式具有应当采取对个人权益影响最小的方式收集个人信息,应当将个人信息限制在达到处理目的的最小范围内,不得过度收集个人信息。
除《个人信函法》外,相关主管部门还从必要个人信息的范围、最小影响、直接联系、最小类型、最小频率、最小数量等维度制定了部门规章、国家标准等文件, 和最小权限。对个人信息的收集、存储、使用、删除的生命周期进行了“最低必要原则”的详细解读。
三、实名认证前“封堵”的最低必要原则
粗略地看,实名认证和最低必要原则在平衡个人信息保护和维护网络安全方面是相辅相成的。然而,理想很丰满,现实很骨感。上述两条原则在执行时也存在矛盾和冲突。
(1)最低必要原则的实施问题
尽管相关法律法规和国家标准对最低必要性原则进行了详细规定,但个人信息处理者在实际应用该原则的过程中仍存在诸多困难。
必要性很难确定。在《个人信息安全规范》中,必要性描述为“收集的个人信息类型应与产品或服务业务功能的实现直接相关”;国信办14号文件更是列出了常见类型APP的基本要求。必要的个人信息的功能和范围。然而,在互联网领域商业模式快速发展的今天,一个APP往往集成了多项功能。例如,“高德地图”APP集成了导航、打车、代驾等功能,并可在打车功能中提供即时通讯服务。,
最小范围很难确定。以最低频率为例,《APP违法违规收集、使用个人信息行为认定办法》明确规定,收集个人信息的频率不应超过实际业务功能需要,但“APP应当如何”实际业务功能需要”进行判断?比如在“随标”APP中,每隔一段时间通过APP打开健康码,总是需要重新进行人脸识别认证。这个app怎么计算人脸识别的频率?是否可以归类为“超出实际业务功能的需要”?
(二)最低限度原则难以落实为实名认证义务履行带来障碍
由于APP运营商对产品适用最低必要性原则,因此存在判断“必要性”和“最低范围”的困难。具体来说,在实名认证方面,还存在以下问题:
1、什么时候需要实名认证?
《网络安全标准实务指南——移动互联网应用(App)收集和使用个人信息自评估指南》将“例如提供无需注册即可使用的服务模式(如仅浏览、访客模式),当用户拒绝同意此类服务方式以外方式收集个人信息时,将不影响使用“仅浏览”等功能作为“是否遵循必要原则”的评价点。
我们理解为,根据最低必要性原则,应用运营者不应在浏览和旅游模式下收集个人信息;在查找实名认证的相关规定中,我们并未发现此类行为不需要实名认证做出明示规定。
2、实名认证过程中需要收集哪些个人信息?
上面我们分析了四种主流的实名认证方式,分别对应不同的个人信息(甚至包括身份证、银行卡号等个人敏感信息)的收集。当单个APP集成多项功能时,APP运营商如何识别产品类型,进而确定选择的实名认证方式也成为争议焦点。
4、让“拦路虎”变成“搭便车”
未能落实最低必要性原则,将面临应用下架风险和最高上一年营业额5%的罚款;不落实实名认证原则,也将面临被监管部门约谈的困境。APP运营商该如何化“绊脚石”为“顺风车”?
(一)在遵循最低限度原则的前提下进行实名认证
首先,在确定业务功能的必要性方面,APP运营者应明确自身的业务类型和核心功能(区别于增值附加功能),明确实名认证监管、信息提交、信息留存、以及他们需要执行的行业相关法规。法律义务,如对实名认证的特殊要求(如网络游戏APP有特殊的实名认证义务,不得为未实名认证的用户提供包括旅游体验在内的任何服务),以及个人信息收集、存储、使用、删除的全周期。个人信息保护义务。
其次,在确定个人信息最小范围方面,在明确业务类型和核心功能后,应相应选择合适的实名认证方式,仅收集符合监管要求的最小个人信息。例如,在金融机构平台、政务平台、直播平台、涉税平台、网络拍卖平台、网络游戏平台等特殊场景下,往往需要采集注册用户的实名认证信息。高于其他互联网平台。身份证实名认证方法及基于视频活体检测的实人认证方法;和一般类型的APP,
(2)根据APP内置功能选择合适的实名认证方式
以上分析是基于不同的APP类别。我们建议根据APP自身的业务类型和核心功能选择合适的实名认证方式;此外,对于单个APP,应根据其内置的功能板块,将不同的实名认证方式区分开来。认证级别。
旅游身份-内容展示浏览功能-无需实名认证
游客身份是指应用未注册时,应用提供的服务内容展示和浏览功能。在这种情况下,除非有特殊规定(例如网络游戏类应用),应用运营者可以提供不收集个人信息的信息展示和浏览服务,因此不应收集个人信息;同时,由于不提供评论、发帖等业务功能,自然不需要实名认证。例如,在微博上实名注册身份证,用户在未注册登录的情况下,仍然可以浏览微博热搜和微博评论,但不能匿名发帖、评论和打赏。
注册用户身份-核心业务功能-基本实名认证
用户若想使用APP的核心业务功能(如在微博社区发表评论、发帖),需要注册登录,通过基本实名认证(如提供手机号)获取自己的号、邮箱、微信等)APP账号,享受发帖、评论等基本业务功能。此时,APP运营方可以根据用户选择的实名认证方式收集手机号码、邮箱等个人信息。
注册用户身份-敏感业务功能-精准实名认证
如果用户需要使用直播、打赏、积分等某些监管高度敏感的业务功能,则需要提供身份证号甚至人脸数据进行验证,以确保“人证合一”。例如“小红书”APP,用户在注册时,只需提供手机号+验证码或微信登录即可注册账号并发布备注。“姓名+身份证号+人脸识别”实名认证方式满足监管需求。
(三)做好个人信息全生命周期保护措施。
从收集实名认证信息以确保用户知情同意,涉及个人敏感信息的,应当单独征得同意;对实名认证信息存储、分类存储、加密传输、明确时限;对实名认证信息的使用 对外限制实名认证信息的最低管理权限和使用范围。超过身份认证目的的,应当再次征得用户同意;最后,明确了用户注销账户或超过保存期限时实名认证信息的删除和匿名化路径。
鉴于《个人信息保护法》明确规定,个人信息处理者造成个人信息权益损害的,适用举证责任倒置规则。已清零。”(详见:《个人资料“丢失”,平台如何“自证清白”》)
五、结语
为维护健康有序的网络环境,根据相关监管要求,APP运营者应对注册用户实行“后台实名、前台自愿”的实名认证措施。实名认证信息虽然需要收集,但也应以适当方式获取,遵循最低限度原则,根据确定的业务类型和APP内部功能选择合适的实名认证方式,保护个人信息只有采取措施,才能变“拦路虎”为“搭便车”,减少被监管部门“请喝茶”的频率。
文中备注:
[1] 国家互联网信息办公室、工业和信息化部、公安部、市场监管总局等