• 设为首页
  • 加入收藏

安全学习

首页 > 安全学习 > 安全头条 > 正文

安全头条

身份核验如何合规?专家建议遵循高风险强认证,低风险弱认证

来源:“隐私护卫队”微信公众号        发布时间:2022-05-10        点击量:

在电信网络诈骗、侵犯未成年人合法权益以及网络暴力等网络恶性事件频发的当下,打造以实名制为基础的网络空间治理体系已成为大势所趋。为加强国家互联网安全治理,切实保障用户权益,各平台对用户的身份认证和核验环节提出了更高要求。

近日,CCIA数据安全工作委员会举办专题研讨会,探讨如何在治理支撑、安全风控的过程中,平衡开展身份核验与最小化处理个人信息的原则。有与会专家指出,实名认证本质上是通过让渡用户隐私来实现对其权益的保护,属于“灰色地带”,而要完成这一网络生态治理过程,需要各方合力。

根据风险高低决定实名认证强弱

近年来,为实现安全风控,保障公众利益,《中华人民共和国反电信网络诈骗法》《互联网用户账号名称信息管理规定》等法律法规相继征求意见,拟规定提高互联网平台对用户账号身份实名认证和核验的准确性、实时性要求,对监测识别的异常账号应当采取重新核验、限制功能、暂停服务等处置措施。

在此之前,首先需要解答的问题是:身份认证、身份核验分别指什么?二者有何区别?

与会专家指出,身份认证是指首次确定一个人身份时所进行的认证,可能包括身份证号、人脸识别认证等;而此后再进行的验证则称为身份核验,收集的个人信息通常不应超过认证阶段。因此,在使用服务的过程中,身份核验并不会导致过度收集个人信息,但可能“过度打扰用户”。

此外,“身份核验的层级也不一样。”有专家介绍,目前身份核验大概包括三种方式。一是效力最弱的非实名认证,如早期互联网时代设置的简单账号和密码;二是通过手机号和验证码进行认证;三是使用微信、支付宝等第三方平台登录验证。

谈及身份核验的具体应用场景,一位企业法务强调,以游戏行业为例,其必须对用户进行强实名认证,即验证用户姓名和身份证号,而手机号作为弱验证手段不被包括在内。为了实现保护未成年人的实际业务需求,防止未成年人冒用家长身份登录账号,许多互联网企业会主动增加手机号及人脸识别等活体验证环节。

自去年6月起施行的未成年人保护法规定,网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当针对未成年人使用其服务设置相应的时间管理、权限管理、消费管理等功能。

不过有与会专家直言,在实践过程中,互联网企业要实现上述合规面临着多重困境。

她指出,目前国家仅为网络游戏行业提供了统一身份认证系统,其他行业尚无类似“接口”,如果企业自行寻找替代渠道,成本和风险较高,效果也无法保障。因此,直播、短视频等行业仅需手机号就能完成注册,是否开启青少年模式可以由用户自选——这意味着大部分未成年人网络沉迷问题只能主要依赖家长监督和个人自觉,缺乏外力强制。

多位专家认为,如果用于落实法律法规要求的配套资源无法保障,企业又缺乏较为安全、稳定的身份认证“接口”和处理大量用户敏感个人信息的能力,那么普遍实行包括人脸识别在内的实名认证就可能导致严重的信息泛滥和泄露问题。

比如目前有不少小平台做的是“假身份核验”,即只收集或只做逻辑核验,不通过调用权威的第三方资源对所收集的身份证号或银行卡号等信息进行真实性校验。

值得一提的是,在平衡实名认证强度和业务需求方面,有企业法务指出,互联网的实名认证遵循高风险强认证、低风险弱认证的基本原则。她举例子解释,如果卖一个毛绒玩具被要求刷脸,这个身份认证强度和风险大小是不匹配的;如果卖的是被认为有虚拟货币炒作风险的代币,被要求进行刷脸等强认证就是合理的。

实名认证是生态治理需各方合力

在核验身份的过程中,用户可能面临不通过则无法使用的困境。与会专家指出,当下用户对过度收集个人信息的状况较为担忧,因而对人脸识别等实名认证的认可度不高,相关投诉数量较多。那么,如何才能兼顾身份核验过程的合规和履责所需,提高用户接受度?

有与会专家建议,对于未通过实名认证或未使用真实信息登录的用户,可以采取重复告知的办法。首先告知用户需要再次核验其身份的理由,如法律法规中有关用户实名认证的义务,强调其账户正面临高风险,需为安全考虑等;其后可以再告知用户不接受上述要求可能导致的严重后果等。

此外,对于“不通过则无法使用”的情况,企业应提供相应的救济渠道。当用户账号行使权益受到限制时,应提供多次验证机会,更换其他同等强度的验证方式,并建立人工申诉渠道。

自我国全面实行实名制以来,身份核验所表现出的矛盾性就成为互联网治理的一大难题。一位企业法务在会上指出,实名认证的本质是让网络中以数字为代表符号的个体与现实世界中的个体之间实现逐一映射,从而把控其在虚拟世界中的行为,使网民所应承担的法律责任能从现实世界延续到虚拟世界中去。

事实上,用户在实名认证过程中所产生的对个人信息泄露的担忧并非空穴来风。一位与会专家坦言,究其本质,实名认证要求用户以让渡部分个人信息为代价使自身账号安全得到保障或本人身份得到证实。

因此,有法务人员指出,企业应尽可能将对用户的隐私侵犯程度降至最低,将保护合法权益的收益放到最大,平衡实名认证的优势和劣势——而这是需要各方共同治理后达到的综合效果。他表示,互联网实名认证是一个生态治理过程,互联网服务提供者、基础电信运营商以及移动智能终端系统生产商等主体都应加入到实名认证的治理中。

“不要认为实名认证是一个非黑即白的东西,它其实是从侵犯个人信息到保护权益之间的‘灰色地带’。要想把它停留在最合适的位置,就一定需要各方合力,不能单独指望互联网服务提供者等任何一方。”他说道。



如有侵权,请联系删除!

关闭

版权所有:西安交通大学网络安全专题网    电话:82664996
地址:陕西省西安市咸宁西路28号西安交通大学 主楼1703    邮编:710049