打铁还需自身硬

——通过严格的个人信息保护措施赢得信任

（北京理工大学教授洪延青）

《国家网络身份认证公共服务管理办法》于7月15日正式施行。“国家网络身份认证”App也已运行一段时间，我国公民可以通过此App自愿申领网络身份认证凭证（简称网证）。所谓的网证，即是“承载网号及自然人非明文身份信息的网络身份认证凭证”。进一步，国家网络身份认证公共服务平台是落实《个人信息保护法》第六十二条第三款“支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证公共服务建设”的具体举措。关于此条款的立法目的，2021年8月全国人民代表大会宪法和法律委员会关于《中华人民共和国个人信息保护法（草案三次审议稿）》修改意见的报告有明确的论述：“有关部门提出，为减少网络身份认证中对个人信息的过度采集，有关方面遵循自愿原则正在试点应用网络身份认证公共服务，建议在草案中增加相应规定。宪法和法律委员会经研究，建议在草案三次审议稿第六十二条中增加规定，国家网信部门统筹协调有关部门“推进网络身份认证公共服务建设”。

既然通过国家网络身份认证公共服务平台为我国公民提供网证的核心目标是“减少网络身份认证中对个人信息的过度采集”，显然有必要明确网络身份认证App本身在个人信息处理方面的做法是否符合《个人信息保护法》的相关要求，特别是第六条的规定——“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”

第一，网络身份认证App通过《网络身份认证App个人信息和隐私保护规则》（以下简称“《保护规则》”）较为完整地提供了App个人信息处理活动的全貌。首先，《保护规则》包括“收集、使用您的信息”“存储、保护您的信息”“如何向第三方提供您的信息”“如何管理您的个人信息”“未成年人个人信息保护”“如何联系我们”这几个部分，完整地覆盖了App的个人信息处理的全生命周期。其次，《保护规则》对具体个人信息处理活动的描述，并没有使用笼统概况的语言。以“如何收集、使用您的信息”这个部分为例，《保护规则》进一步区分了网证申领、App登录管理、网证管理、网络身份认证、在线客服和意见反馈、消息告知、确认本人操作的方式、智能终端（设备）权限管理、收集的智能终端（设备）信息这些环节。针对每个环节，《保护规则》非常明确地描述了收集的个人信息的类型，每个个人信息类型所用于的业务目的，个人用户所拥有的选择选项，以及App所申请调用的系统权限和所用于的目的等。

第二，从《保护规则》所述的情况来看，网络身份认证App遵循了《个人信息保护法》所规定的“实现处理目的的最小范围”的要求。由于身份认证及在网络空间认证特定个人的身份，天然需要确保操作人与其声称的法定身份实现统一（即所谓的人证合一），网络身份认证App在生成网证时，不可避免需要同时收集法定身份信息和操作人的生物识别信息。但在随后的各种使用场景中，网络身份认证App在确认操作人真实身份时，很大程度上避免再次收集操作人的生物识别信息。即便是操作人通过人像验证来使用网络身份认证App，《保护规则》也清晰地确认“完成比对后，本应用将删除人像信息”。这样的公开承诺，体现了网络身份认证App的宗旨。

第三，从《保护规则》所述的情况来看，网络身份认证App最大程度上避免了向第三方提供个人信息。众所周知，我们日常使用的App在很大程度上会使用第三方代码或插件，这就很难杜绝App与第三方的个人信息传输行为，而掌握个人信息的主体越多，显然个人信息保护的风险点就越多。网络身份认证App不可避免也纳入了第三方SDK，对此，《保护规则》在第三部分有明确列举。但非常难得的是，《保护规则》承诺“采取了SDK私有化部署等方式，以满足目的所必需的个人信息类型或开启的权限、最低收集频率、最短存储期限等最小化原则处理相关信息”。私有化部署对个人信息保护有利，但也会增加运营成本。因此，这样的承诺本身也体现出了网络身份认证App对个人信息保护的高度重视。

从这三个方面来看，国家网络身份认证App因个人信息保护的目标应运而生，其本身的个人信息处理活动和保护措施也经过精心设计。这既体现出服务方对《个人信息保护法》规定的高度重视，也是赢得用户信任的必由之路。我们期待在实际运行过程中，国家网络身份认证App能不断根据情况变化提升其本身个人信息保护的水平，最终成为老百姓网络空间身份认证的“守护者”。