FOREXBNB獲悉,近日,公安部、國家互聯網信息辦公室、民政部、文化和旅遊部、國家衛生健康委員會、國家廣播電視總局等六部門聯合公佈《國家網絡身份認證公共服務管理辦法》(以下簡稱《管理辦法》),自2025年7月15日起施行。
《管理辦法》共16條,主要規定了四個方面內容:一是明確了國家網絡身份認證公共服務及網號、網證的概念、申領方式;二是明確了使用國家網絡身份認證公共服務的效力、應用場景;三是強調了國家網絡身份認證公共服務平臺、互聯網平臺等對數據安全和個人信息保護的責任;四是對未成年人申領、使用國家網絡身份認證公共服務作出特殊規定。
原文如下:
國家網絡身份認證公共服務管理辦法
第一條 爲實施可信數字身份戰略,推進國家網絡身份認證公共服務建設,保護公民身份信息安全,支撐數字經濟健康有序發展,根據《網絡安全法》、《數據安全法》、《個人信息保護法》、《反電信網絡詐騙法》、《未成年人保護法》等法律法規,制定本辦法。
第二條 本辦法所稱國家網絡身份認證公共服務(以下簡稱“公共服務”),是指國家根據法定身份證件信息,依托国家统一建设的网络身份认证公共服務平台(以下簡稱“公共服務平台”),爲自然人提供申領網號、網證以及進行身份覈驗等服務。
本辦法所稱網號,是指與自然人身份信息相對應,由字母和數字組成、不含明文身份信息的網絡身份符號;網證,是指承載網號及自然人非明文身份信息的網絡身份認證憑證。網號、網證可用于在互联网服务及有关部门、行業管理、服務中非明文登記、覈驗自然人真實身份信息。
第三條 國務院公安部門、國家網信部門會同國務院民政、文化和旅遊、衛生健康、廣播電視等部門依照本辦法和有關法律、行政法規的規定,在各自職責範圍內負責網絡身份認證公共服務有關工作。
第四條 持有有效法定身份證件的自然人,可以自願向公共服務平臺申領網號、網證。
不滿十四周歲的自然人申領網號、網證的,應當取得其父母或者其他監護人同意,並由其父母或者其他監護人代爲申領。
已滿十四周歲未滿十八週歲的自然人申領網號、網證的,應當在其父母或者其他監護人的監護下申領。
第五條 根據法律、行政法規規定,在互聯網服務中需要登記、覈驗用戶真實身份信息的,可以使用網號、網證依法進行登記、覈驗。
不滿十四周歲的自然人使用網號、網證登記、覈驗真實身份信息的,應當取得其父母或者其他監護人同意。
第六條 鼓勵有關主管部門、重點行業按照自願原則推廣應用網號、網證,爲用戶提供安全、便捷的身份登記和核驗服務,通過公共服務培育網絡身份認證應用生態。
有關主管部門、重點行業在管理、服務中,應當保留、提供現有的或者其他合法方式進行登記、覈驗真實身份。
第七條 鼓勵互聯網平臺按照自願原則接入公共服務,用以支持用戶使用網號、網證登記、覈驗用戶真實身份信息,依法履行个人信息保护和覈驗用戶真實身份信息的义务。
互聯網平臺接入公共服務後,用戶選擇使用網號、網證登記、覈驗真實身份信息並通過驗證的,互聯網平臺不得要求用戶另行提供明文身份信息,法律、行政法規另有規定或者用戶同意提供的除外。
互聯網平臺應當保障未使用網號、網證但通過其他方式登記、覈驗真實身份的用戶與使用網號、網證的用戶享有同等服務。
第八條 互聯網平臺需要依法覈驗用戶真實身份信息但無需留存用戶法定身份證件信息的,公共服務平臺應當僅提供用戶身份覈驗結果。
根據法律、行政法規規定,互聯網平臺確需獲取、留存用戶法定身份證件信息的,經用戶授權或者單獨同意,公共服務平臺應當按照最小化原則提供。
未經自然人單獨同意,互聯網平臺不得擅自處理或者對外提供相關數據、信息,法律、行政法規另有規定的除外。
第九條 公共服務平臺僅限收集網絡身份認證所必需的信息,處理個人信息或者向自然人提供公共服務,應當依法履行告知義務並取得其同意。處理敏感個人信息,應當取得個人的單獨同意,法律、行政法規規定應當取得書面同意的,從其規定。
未經自然人單獨同意,公共服務平臺不得擅自處理或者對外提供相關數據、信息,不得將相關數據用於用戶登記、覈驗真實身份以外的目的,法律、行政法規另有規定的除外。
公共服務平臺應當依照法律、行政法規規定或者用戶要求,及時刪除用戶個人信息。
第十條 涉及未成年人、老年人等用戶的,公共服務平臺可以依法向互聯網平臺提供年齡標識信息,用於支持互聯網平臺履行相應的法律義務。
第十一條 公共服務平臺在處理用戶個人信息前,應當通過用戶協議等書面形式,以顯著方式、清晰易懂的語言真實、準確、完整地向用戶告知下列事項:
(一)公共服務平臺的名稱和聯繫方式;
(二)用戶個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;
(三)用戶依法行使其個人信息相關權利的方式和程序;
(四)法律、行政法規規定應當告知的其他事項。
處理敏感個人信息的,還應當向個人告知處理的必要性以及對個人權益的影響,法律另有規定的除外。
公共服務平臺處理個人信息,有法律、行政法規規定應當保密或者不需要告知的情形的,可以不向個人告知本條第一款規定的事項。
緊急情況下爲保護自然人的生命健康和財產安全無法及時向個人告知的,公共服務平臺應當在緊急情況消除後及時告知。
第十二條 公共服務平臺應當加強網絡運行安全、數據安全和個人信息保護,建立並落實安全管理制度與技術防護措施,完善監督制度,有效保護網絡運行安全、數據安全和個人信息權益。
公共服務平臺處理的重要數據和個人信息應當在境內存儲;因業務需要確需向境外提供的,應當按照國家有關規定進行安全評估。
公共服務平臺發生網絡運行安全、數據安全事件的,應當按照國家有關規定,立即啓動應急預案,採取必要措施消除安全隱患,及時告知用戶並向有關部門報告。
第十三條 公共服務平臺的建設和服務涉及密碼的,應當符合國家密碼管理有關要求。
第十四條 違反本辦法第七條、第八條、第九條、第十一條、第十二條規定,依照《網絡安全法》、《數據安全法》、《個人信息保護法》,由國務院公安部門、國家網信部門在各自職責範圍內依法予以處罰、處分;構成犯罪的,依法追究刑事責任。
有關主管部門、重點行業在網絡身份認證公共服務有關工作中翫忽職守、濫用職權的,依法追究責任。
第十五條 本辦法所稱法定身份證件,包括居民身份證、定居國外的中國公民的護照、港澳居民來往內地通行證、臺灣居民來往大陸通行證、港澳居民居住證、臺灣居民居住證、外國人永久居留身份證等身份證件。
第十六條 本辦法自2025年7月15日起施行。
公安部有關部門負責人就《國家網絡身份認證公共服務管理辦法》答記者問
近日,公安部、國家互聯網信息辦公室、民政部、文化和旅遊部、國家衛生健康委員會、國家廣播電視總局等六部門聯合公佈《國家網絡身份認證公共服務管理辦法》(以下簡稱《管理辦法》),自2025年7月15日起施行。公安部有關部門負責人就《管理辦法》相關問題回答了記者提問。
一、問:請簡要介紹一下《管理辦法》的出臺背景
答:隨着互聯網的普及和數字經濟的蓬勃發展,互聯網全面融入社會方方面面,驅動我們的生產生活方式和社會治理方式發生深刻變革。與此同時,爲了在網絡空間對個人身份進行有效識別,基於個人真實身份信息的認證服務需求出現爆發式增長,部分滿足了網絡空間辦理業務的信任基礎,但也引發了新的問題,如互聯網平臺難以找到權威、可靠、便捷的公民身份認證方式;個人身份信息被非法採集;數字經濟缺乏可信數字身份作爲支撐等。針對這些問題,多個國家出臺相關政策,通過建設國家網絡身份認證體系推動落實可信數字身份戰略,保護公民身份信息安全。
黨中央、國務院高度重視可信數字身份和公民個人信息保護。黨的二十大報告指出,“提高公共安全治理水平,加強個人信息保護”。《“十四五”國家信息化規劃》中明確,“推進社會公衆數字身份管理體系建設,加大數字身份管理體系標準化整合銜接”。《中共中央國務院關於構建數據基礎制度更好發揮數據要素作用的意見》要求,“推動個人信息匿名化處理,保障使用個人信息數據時的信息安全和個人隱私”。
爲此,公安部、國家互聯網信息辦公室等部門建設了國家網上身份認證基礎設施,向社會提供國家網絡身份認證公共服務,滿足人民羣衆在數字化、網絡化、智能化條件下安全、便捷證明個人身份的需求,有效保護個人信息安全,促進數字經濟高質量發展。
目前,國家網絡身份認證公共服務已在部分互聯網平臺和政務服務、教育考試、文化旅遊、醫療衛生、郵政寄遞、交通出行等行業領域開展了試點應用。爲進一步規範國家網絡身份認證公共服務的使用範圍、使用方式、使用場景、使用原則,明確相關方的權利義務、職責任務、法律責任,公安部、國家互聯網信息辦公室等六部門制定了《管理辦法》。
二、問:推行國家網絡身份認證公共服務有哪些法律依據?
答:國家網絡身份認證公共服務具有充足的法律依據。《網絡安全法》第24條規定“國家實施網絡可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認”;《個人信息保護法》第62條規定“支持研究開發和推廣應用安全、方便的電子身份認證技術,推進網絡身份認證公共服務建設”;《反電信網絡詐騙法》第33條規定,“国家推進網絡身份認證公共服務建設,支持個人、企業自願使用,電信業務經營者、銀行業金融機構、非銀行支付機構、互聯網服務提供者對存在涉詐異常的電話卡、銀行賬戶、支付賬戶、互聯網賬號,可以通過國家網絡身份認證公共服務對用戶身份重新進行覈驗”。
根據上述法律,爲規範國家網絡身份認證公共服務平臺的運行管理,保護用戶個人信息權益,公安部、國家互聯網信息辦公室等六部門研究制定了《管理辦法》。
三、問:《管理辦法》的主要內容有哪些?
答:《管理辦法》共16條,主要包括四個方面的內容:一是明確了國家網絡身份認證公共服務及網號、網證的概念、申領方式;二是明確了使用國家網絡身份認證公共服務的效力、應用場景;三是強調了國家網絡身份認證公共服務平臺、互聯網平臺等對數據安全、個人信息保護的責任;四是對未成年人申領、使用國家網絡身份認證公共服務作出特殊規定。
四、問:《管理辦法》對國家網絡身份認證公共服務平臺等保護和處理個人信息,是如何規定的?
答:《管理辦法》嚴格依照《個人信息保護法》等法律規定,充分保障公民個人信息權益。
一是在信息收集方面,《管理辦法》規定,對用戶選擇使用網號、網證登記、覈驗真實身份的,除法律、行政法规另有規定或者用户同意外,互聯網平臺不得要求用戶另行提供明文身份信息,從而減少互聯網平臺收集個人身份信息帶來的安全風險。同時,《管理辦法》也明確,國家網絡身份認證公共服務平臺應當按照“最小必要”原則收集信息,所收集的信息僅限網絡身份認證所必要的信息,不得收集其他信息。
二是在信息提供方面,《管理辦法》規定,國家網絡身份認證公共服務平臺應當堅持“最小化提供”原則,對依法需要覈驗用戶真實身份但無需留存法定身份證件信息的,僅向互聯網平臺提供覈驗的結果,不提供其他信息;對依法確需獲取、留存用戶法定身份證件信息的,經用戶單獨同意,公共服務平臺可以向互聯網平臺提供必要的明文身份信息。此外,對法律、行政法规規定应当履行协助义务的,公共服務平臺應當依法提供相關信息,但提供的信息僅限網號、網證對應的真實身份信息和認證日誌信息。
三是在其他信息處理方面,《管理辦法》規定,國家網絡身份認證公共服務平臺處理個人信息或者向自然人提供公共服務,應當依法履行告知義務並取得其同意。處理敏感個人信息的還應當取得個人單獨同意。
五、問:《管理辦法》對國家網絡身份認證公共服務平臺保護數據安全,是如何規定的?
答:《管理辦法》嚴格依照《數據安全法》等法律規定,要求國家網絡身份認證公共服務平臺採取有力措施,保護數據安全。
一是公共服務平臺應當建立並落實安全管理制度與技術防護措施,健全完善監督制度,有效保護網絡運行安全、數據安全和個人信息安全。
二是公共服務平臺處理的重要數據和個人信息應當在境內存儲;因業務需要確需向境外提供的,應當按照國家有關規定進行安全評估。
三是公共服務平臺發生網絡運行安全、數據安全事件的,應當按照國家有關規定,立即啓動應急預案,採取必要措施消除安全隱患,及時告知用戶並向有關部門報告。
四是公共服務平臺的建設和服務涉及密碼的,應當符合國家密碼管理有關要求。
六、問:《管理辦法》徵求意見和採納吸收的情況?
答:2024年7月26日至8月25日,公安部、國家互聯網信息辦公室就《管理辦法》向社會公開徵求意見。期間,社會反響熱烈,各渠道收到意見建議1.7萬餘條,媒體和網民認爲此舉有利於保護個人信息、淨化網絡環境。從國家網絡身份認證公共服務核心指標來看,征求意见期間,“國家網絡身份認證”APP下載量同比增長90.9%,網號網證申領量同比增長129.9%,客服諮詢量同比增長295%,充分体现了广大网民对國家網絡身份認證公共服务的支持和认可。另外,國家網絡身份認證公共服务和网号网证是面向智能化、網絡化、數字化時代保護個人信息安全、促進數字經濟發展的創新措施,屬於新生事物,社會上也出現了一些不同的聲音,屬於正常現象。
在收到的意見中,針對《管理辦法》條款的建設性意見建議主要集中在確保網號網證使用的自願性、保障未使用網號網證用戶享有同等網絡服務的權利、加強對公共服務平臺自身的監管、加強數據安全保護、強化未成年人網絡權益保護等。公安部、國家互聯網信息辦公室等部門對上述意見進行了全面梳理,並先後組織3場專家研討會,充分聽取網絡技術、法律領域的專家學者以及互聯網企業、行業領域代表等的意見建議,在充分尊重社會反饋意見的基礎上,按照盡最大可能吸收的原則,對《管理辦法》做了多輪次修改完善,重點增加確保網號網證使用的自願性、確保未使用網號網證用戶享有同等服務、加強公共服務平臺數據安全監管、加強未成年人權益保護等內容。此外,根據有關法律專家、技術專家建議,並借鑑世界主要國家數字身份體系建設通行做法,將試點應用時國家網絡身份認證APP圖標中的“身份認證”修改爲“數字身份”。
七、問:國家網絡身份認證公共服務與現有認證方式相比,有什麼優勢?
答:國家網絡身份認證公共服務以保護個人信息安全爲首要目標,以匿名化的方式進行身份認證、身份登記,與其他身份認證服務相比具有以下特點:
一是權威性。國家網絡身份認證公共服務基於法定身份證件信息和國家人口基礎信息,爲自然人提供網號網證的申領、認證服務,並結合生物特徵等多個因子認證,確保認證結果權威。
二是安全性。國家網絡身份認證公共服務以匿名方式認證身份,能夠減少公民身份證號碼、姓名等明文身份信息的直接使用,可有效避免相關方過度採集、留存個人身份信息,有效保護個人信息和隱私的安全。
三是可信性。國家網絡身份認證公共服務附加了自然人的行爲屬性,每次認證需要本人蔘與以獲得個人授權,自然人可在國家網絡身份認證APP歷史認證記錄中查看近期在各個互聯網平臺的認證情況,具有可追溯性和抗抵賴性等特點。
四是便捷性。用戶可使用智能手機調用國家網絡身份認證公共服務覈驗身份,大大減少賬號密碼丟失、遺忘等問題,方便人民羣衆在數字化、網絡化、智能化條件下,一鍵授權便捷辦理事項。
五是公益性。國家網絡身份認證公共服務有別於商業化、市場化服務,對法律要求的強實名認證場景,依規免費向企業提供,大大降低身份認證成本。此外,還可爲企業適應數字經濟發展、拓展數字空間業務深度、提升用戶體驗和服務效率提供支撐。
八、問:國家網絡身份認證公共服務目前採取了哪些措施確保數據安全?
答:國家網絡身份認證公共服務平臺建立了較爲完善的安全防護體系,對數據進行分級分類,開展全生命週期安全保護和監測審計,及時修復安全風險和漏洞,能夠有效保護數據安全。
一是通過匿名化技術保護公民身份信息、數據,實現“數據可用不可见”。平台的身份數據基于国家标准密码算法和复杂的运算过程完成匿名转换,技術方案獲得了有關主管部門評審認可。
二是通過體系化的數據安全方案實現數據的全生命週期安全保護。從業務性質、使用範圍、關聯影響、合規要求等維度對數據進行分級分類,建立全生命週期安全防護體系。
三是建立完善的數據運維安全流程,嚴格數據訪問控制和審批管理。對數據使用全程審計,確保合法合規。嚴格數據運維人員管控,統一訪問入口,依據角色級別及權限匹配身份鑑別措施,實現數據接觸可管可控,確保數據訪問行爲全程可追溯。
四是堅持實戰化攻防演練,實現主動防禦的持續化數據安全防護。週期性開展實網攻防演練、安全風險評估、等級保護測評、商用密碼評估等工作,保持聯防聯動的安全機制,不斷提高網絡安全意識和知識水平,及時發現和修補安全漏洞,提升系統整體數據安全水平。
本文編選自:國家互聯網信息辦公室官網及公安部網安局;FOREXBNB編輯:陳筱亦。
