FOREXBNB获悉,近日,公安部、国家互联网信息办公室、民政部、文化和旅游部、国家卫生健康委员会、国家广播电视总局等六部门联合公布《国家网络身份认证公共服务管理办法》(以下简称《管理办法》),自2025年7月15日起施行。
《管理办法》共16条,主要规定了四个方面内容:一是明确了国家网络身份认证公共服务及网号、网证的概念、申领方式;二是明确了使用国家网络身份认证公共服务的效力、应用场景;三是强调了国家网络身份认证公共服务平台、互联网平台等对数据安全和个人信息保护的责任;四是对未成年人申领、使用国家网络身份认证公共服务作出特殊规定。
原文如下:
国家网络身份认证公共服务管理办法
第一条 为实施可信数字身份战略,推进国家网络身份认证公共服务建设,保护公民身份信息安全,支撑数字经济健康有序发展,根据《网络安全法》、《数据安全法》、《个人信息保护法》、《反电信网络诈骗法》、《未成年人保护法》等法律法规,制定本办法。
第二条 本办法所称国家网络身份认证公共服务(以下简称“公共服务”),是指国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台(以下简称“公共服务平台”),为自然人提供申领网号、网证以及进行身份核验等服务。
本办法所称网号,是指与自然人身份信息相对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证,是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。
第三条 国务院公安部门、国家网信部门会同国务院民政、文化和旅游、卫生健康、广播电视等部门依照本办法和有关法律、行政法规的规定,在各自职责范围内负责网络身份认证公共服务有关工作。
第四条 持有有效法定身份证件的自然人,可以自愿向公共服务平台申领网号、网证。
不满十四周岁的自然人申领网号、网证的,应当取得其父母或者其他监护人同意,并由其父母或者其他监护人代为申领。
已满十四周岁未满十八周岁的自然人申领网号、网证的,应当在其父母或者其他监护人的监护下申领。
第五条 根据法律、行政法规规定,在互联网服务中需要登记、核验用户真实身份信息的,可以使用网号、网证依法进行登记、核验。
不满十四周岁的自然人使用网号、网证登记、核验真实身份信息的,应当取得其父母或者其他监护人同意。
第六条 鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证,为用户提供安全、便捷的身份登记和核验服务,通过公共服务培育网络身份认证应用生态。
有关主管部门、重点行业在管理、服务中,应当保留、提供现有的或者其他合法方式进行登记、核验真实身份。
第七条 鼓励互联网平台按照自愿原则接入公共服务,用以支持用户使用网号、网证登记、核验用户真实身份信息,依法履行个人信息保护和核验用户真实身份信息的义务。
互联网平台接入公共服务后,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息,法律、行政法规另有规定或者用户同意提供的除外。
互联网平台应当保障未使用网号、网证但通过其他方式登记、核验真实身份的用户与使用网号、网证的用户享有同等服务。
第八条 互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的,公共服务平台应当仅提供用户身份核验结果。
根据法律、行政法规规定,互联网平台确需获取、留存用户法定身份证件信息的,经用户授权或者单独同意,公共服务平台应当按照最小化原则提供。
未经自然人单独同意,互联网平台不得擅自处理或者对外提供相关数据、信息,法律、行政法规另有规定的除外。
第九条 公共服务平台仅限收集网络身份认证所必需的信息,处理个人信息或者向自然人提供公共服务,应当依法履行告知义务并取得其同意。处理敏感个人信息,应当取得个人的单独同意,法律、行政法规规定应当取得书面同意的,从其规定。
未经自然人单独同意,公共服务平台不得擅自处理或者对外提供相关数据、信息,不得将相关数据用于用户登记、核验真实身份以外的目的,法律、行政法规另有规定的除外。
公共服务平台应当依照法律、行政法规规定或者用户要求,及时删除用户个人信息。
第十条 涉及未成年人、老年人等用户的,公共服务平台可以依法向互联网平台提供年龄标识信息,用于支持互联网平台履行相应的法律义务。
第十一条 公共服务平台在处理用户个人信息前,应当通过用户协议等书面形式,以显著方式、清晰易懂的语言真实、准确、完整地向用户告知下列事项:
(一)公共服务平台的名称和联系方式;
(二)用户个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)用户依法行使其个人信息相关权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
处理敏感个人信息的,还应当向个人告知处理的必要性以及对个人权益的影响,法律另有规定的除外。
公共服务平台处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知本条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,公共服务平台应当在紧急情况消除后及时告知。
第十二条 公共服务平台应当加强网络运行安全、数据安全和个人信息保护,建立并落实安全管理制度与技术防护措施,完善监督制度,有效保护网络运行安全、数据安全和个人信息权益。
公共服务平台处理的重要数据和个人信息应当在境内存储;因业务需要确需向境外提供的,应当按照国家有关规定进行安全评估。
公共服务平台发生网络运行安全、数据安全事件的,应当按照国家有关规定,立即启动应急预案,采取必要措施消除安全隐患,及时告知用户并向有关部门报告。
第十三条 公共服务平台的建设和服务涉及密码的,应当符合国家密码管理有关要求。
第十四条 违反本办法第七条、第八条、第九条、第十一条、第十二条规定,依照《网络安全法》、《数据安全法》、《个人信息保护法》,由国务院公安部门、国家网信部门在各自职责范围内依法予以处罚、处分;构成犯罪的,依法追究刑事责任。
有关主管部门、重点行业在网络身份认证公共服务有关工作中玩忽职守、滥用职权的,依法追究责任。
第十五条 本办法所称法定身份证件,包括居民身份证、定居国外的中国公民的护照、港澳居民来往内地通行证、台湾居民来往大陆通行证、港澳居民居住证、台湾居民居住证、外国人永久居留身份证等身份证件。
第十六条 本办法自2025年7月15日起施行。
公安部有关部门负责人就《国家网络身份认证公共服务管理办法》答记者问
近日,公安部、国家互联网信息办公室、民政部、文化和旅游部、国家卫生健康委员会、国家广播电视总局等六部门联合公布《国家网络身份认证公共服务管理办法》(以下简称《管理办法》),自2025年7月15日起施行。公安部有关部门负责人就《管理办法》相关问题回答了记者提问。
一、问:请简要介绍一下《管理办法》的出台背景
答:随着互联网的普及和数字经济的蓬勃发展,互联网全面融入社会方方面面,驱动我们的生产生活方式和社会治理方式发生深刻变革。与此同时,为了在网络空间对个人身份进行有效识别,基于个人真实身份信息的认证服务需求出现爆发式增长,部分满足了网络空间办理业务的信任基础,但也引发了新的问题,如互联网平台难以找到权威、可靠、便捷的公民身份认证方式;个人身份信息被非法采集;数字经济缺乏可信数字身份作为支撑等。针对这些问题,多个国家出台相关政策,通过建设国家网络身份认证体系推动落实可信数字身份战略,保护公民身份信息安全。
党中央、国务院高度重视可信数字身份和公民个人信息保护。党的二十大报告指出,“提高公共安全治理水平,加强个人信息保护”。《“十四五”国家信息化规划》中明确,“推进社会公众数字身份管理体系建设,加大数字身份管理体系标准化整合衔接”。《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》要求,“推动个人信息匿名化处理,保障使用个人信息数据时的信息安全和个人隐私”。
为此,公安部、国家互联网信息办公室等部门建设了国家网上身份认证基础设施,向社会提供国家网络身份认证公共服务,满足人民群众在数字化、网络化、智能化条件下安全、便捷证明个人身份的需求,有效保护个人信息安全,促进数字经济高质量发展。
目前,国家网络身份认证公共服务已在部分互联网平台和政务服务、教育考试、文化旅游、医疗卫生、邮政寄递、交通出行等行业领域开展了试点应用。为进一步规范国家网络身份认证公共服务的使用范围、使用方式、使用场景、使用原则,明确相关方的权利义务、职责任务、法律责任,公安部、国家互联网信息办公室等六部门制定了《管理办法》。
二、问:推行国家网络身份认证公共服务有哪些法律依据?
答:国家网络身份认证公共服务具有充足的法律依据。《网络安全法》第24条规定“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”;《个人信息保护法》第62条规定“支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设”;《反电信网络诈骗法》第33条规定,“国家推进网络身份认证公共服务建设,支持个人、企业自愿使用,电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者对存在涉诈异常的电话卡、银行账户、支付账户、互联网账号,可以通过国家网络身份认证公共服务对用户身份重新进行核验”。
根据上述法律,为规范国家网络身份认证公共服务平台的运行管理,保护用户个人信息权益,公安部、国家互联网信息办公室等六部门研究制定了《管理办法》。
三、问:《管理办法》的主要内容有哪些?
答:《管理办法》共16条,主要包括四个方面的内容:一是明确了国家网络身份认证公共服务及网号、网证的概念、申领方式;二是明确了使用国家网络身份认证公共服务的效力、应用场景;三是强调了国家网络身份认证公共服务平台、互联网平台等对数据安全、个人信息保护的责任;四是对未成年人申领、使用国家网络身份认证公共服务作出特殊规定。
四、问:《管理办法》对国家网络身份认证公共服务平台等保护和处理个人信息,是如何规定的?
答:《管理办法》严格依照《个人信息保护法》等法律规定,充分保障公民个人信息权益。
一是在信息收集方面,《管理办法》规定,对用户选择使用网号、网证登记、核验真实身份的,除法律、行政法规另有规定或者用户同意外,互联网平台不得要求用户另行提供明文身份信息,从而减少互联网平台收集个人身份信息带来的安全风险。同时,《管理办法》也明确,国家网络身份认证公共服务平台应当按照“最小必要”原则收集信息,所收集的信息仅限网络身份认证所必要的信息,不得收集其他信息。
二是在信息提供方面,《管理办法》规定,国家网络身份认证公共服务平台应当坚持“最小化提供”原则,对依法需要核验用户真实身份但无需留存法定身份证件信息的,仅向互联网平台提供核验的结果,不提供其他信息;对依法确需获取、留存用户法定身份证件信息的,经用户单独同意,公共服务平台可以向互联网平台提供必要的明文身份信息。此外,对法律、行政法规规定应当履行协助义务的,公共服务平台应当依法提供相关信息,但提供的信息仅限网号、网证对应的真实身份信息和认证日志信息。
三是在其他信息处理方面,《管理办法》规定,国家网络身份认证公共服务平台处理个人信息或者向自然人提供公共服务,应当依法履行告知义务并取得其同意。处理敏感个人信息的还应当取得个人单独同意。
五、问:《管理办法》对国家网络身份认证公共服务平台保护数据安全,是如何规定的?
答:《管理办法》严格依照《数据安全法》等法律规定,要求国家网络身份认证公共服务平台采取有力措施,保护数据安全。
一是公共服务平台应当建立并落实安全管理制度与技术防护措施,健全完善监督制度,有效保护网络运行安全、数据安全和个人信息安全。
二是公共服务平台处理的重要数据和个人信息应当在境内存储;因业务需要确需向境外提供的,应当按照国家有关规定进行安全评估。
三是公共服务平台发生网络运行安全、数据安全事件的,应当按照国家有关规定,立即启动应急预案,采取必要措施消除安全隐患,及时告知用户并向有关部门报告。
四是公共服务平台的建设和服务涉及密码的,应当符合国家密码管理有关要求。
六、问:《管理办法》征求意见和采纳吸收的情况?
答:2024年7月26日至8月25日,公安部、国家互联网信息办公室就《管理办法》向社会公开征求意见。期间,社会反响热烈,各渠道收到意见建议1.7万余条,媒体和网民认为此举有利于保护个人信息、净化网络环境。从国家网络身份认证公共服务核心指标来看,征求意见期间,“国家网络身份认证”APP下载量同比增长90.9%,网号网证申领量同比增长129.9%,客服咨询量同比增长295%,充分体现了广大网民对国家网络身份认证公共服务的支持和认可。另外,国家网络身份认证公共服务和网号网证是面向智能化、网络化、数字化时代保护个人信息安全、促进数字经济发展的创新措施,属于新生事物,社会上也出现了一些不同的声音,属于正常现象。
在收到的意见中,针对《管理办法》条款的建设性意见建议主要集中在确保网号网证使用的自愿性、保障未使用网号网证用户享有同等网络服务的权利、加强对公共服务平台自身的监管、加强数据安全保护、强化未成年人网络权益保护等。公安部、国家互联网信息办公室等部门对上述意见进行了全面梳理,并先后组织3场专家研讨会,充分听取网络技术、法律领域的专家学者以及互联网企业、行业领域代表等的意见建议,在充分尊重社会反馈意见的基础上,按照尽最大可能吸收的原则,对《管理办法》做了多轮次修改完善,重点增加确保网号网证使用的自愿性、确保未使用网号网证用户享有同等服务、加强公共服务平台数据安全监管、加强未成年人权益保护等内容。此外,根据有关法律专家、技术专家建议,并借鉴世界主要国家数字身份体系建设通行做法,将试点应用时国家网络身份认证APP图标中的“身份认证”修改为“数字身份”。
七、问:国家网络身份认证公共服务与现有认证方式相比,有什么优势?
答:国家网络身份认证公共服务以保护个人信息安全为首要目标,以匿名化的方式进行身份认证、身份登记,与其他身份认证服务相比具有以下特点:
一是权威性。国家网络身份认证公共服务基于法定身份证件信息和国家人口基础信息,为自然人提供网号网证的申领、认证服务,并结合生物特征等多个因子认证,确保认证结果权威。
二是安全性。国家网络身份认证公共服务以匿名方式认证身份,能够减少公民身份证号码、姓名等明文身份信息的直接使用,可有效避免相关方过度采集、留存个人身份信息,有效保护个人信息和隐私的安全。
三是可信性。国家网络身份认证公共服务附加了自然人的行为属性,每次认证需要本人参与以获得个人授权,自然人可在国家网络身份认证APP历史认证记录中查看近期在各个互联网平台的认证情况,具有可追溯性和抗抵赖性等特点。
四是便捷性。用户可使用智能手机调用国家网络身份认证公共服务核验身份,大大减少账号密码丢失、遗忘等问题,方便人民群众在数字化、网络化、智能化条件下,一键授权便捷办理事项。
五是公益性。国家网络身份认证公共服务有别于商业化、市场化服务,对法律要求的强实名认证场景,依规免费向企业提供,大大降低身份认证成本。此外,还可为企业适应数字经济发展、拓展数字空间业务深度、提升用户体验和服务效率提供支撑。
八、问:国家网络身份认证公共服务目前采取了哪些措施确保数据安全?
答:国家网络身份认证公共服务平台建立了较为完善的安全防护体系,对数据进行分级分类,开展全生命周期安全保护和监测审计,及时修复安全风险和漏洞,能够有效保护数据安全。
一是通过匿名化技术保护公民身份信息、数据,实现“数据可用不可见”。平台的身份数据基于国家标准密码算法和复杂的运算过程完成匿名转换,技术方案获得了有关主管部门评审认可。
二是通过体系化的数据安全方案实现数据的全生命周期安全保护。从业务性质、使用范围、关联影响、合规要求等维度对数据进行分级分类,建立全生命周期安全防护体系。
三是建立完善的数据运维安全流程,严格数据访问控制和审批管理。对数据使用全程审计,确保合法合规。严格数据运维人员管控,统一访问入口,依据角色级别及权限匹配身份鉴别措施,实现数据接触可管可控,确保数据访问行为全程可追溯。
四是坚持实战化攻防演练,实现主动防御的持续化数据安全防护。周期性开展实网攻防演练、安全风险评估、等级保护测评、商用密码评估等工作,保持联防联动的安全机制,不断提高网络安全意识和知识水平,及时发现和修补安全漏洞,提升系统整体数据安全水平。
本文编选自:国家互联网信息办公室官网及公安部网安局;FOREXBNB编辑:陈筱亦。
