身份信息给不给？当“实名认证”遇到拦路虎：“最小必要原则”

2022-01-11

两个14号文，让网络游戏APP陷入两难困境。

国信办秘字〔2021〕14号：四部门^[1]发布并且于2021年5月1号生效的《常见类型移动互联网应用程序必要个人信息范围规定》明确要求，网络游戏类APP必要个人信息为注册用户移动电话号码。

国新出发〔2021〕14号：国家新闻出版署发布并且于2021年9月1日生效的《国家新闻出版署关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》明确要求，所有网络游戏用户必须使用真实有效身份信息进行游戏账号注册并登录网络游戏，网络游戏企业不得以任何形式（含游客体验模式）向未实名注册和登录的用户提供游戏服务。

想必网络游戏类APP运营者顿时头大如斗，落实国信办14号文处理个人信息的“最小必要原则”，则会被中央宣传部、国家新闻出版署等部门“约谈”；落实国新出发14号文的“实名认证”要求，则面临被网信办等部门“通报、下架”APP的风险。

网络游戏APP运营者们在“被约谈”与“被下架”的夹缝中举步维艰，该类困境亦是所有APP运营者普遍面临的问题。

可是，为保护个人信息提出的最小必要原则，是否真的是实名认证的“拦路虎”？

一、实名认证原则的前世今生

网络并非法外之地。然而，却存在部分网络用户利用虚拟的网络空间，实施网络暴力、造谣诽谤、购买水军、传播违法侵权视频图片等行为，严重侵害了他人的合法权益与社会公共利益。为治理网络不良现象，净化网络空间，我国相关政府主管部门采用以网络用户实名认证为基础的网络实名制的管理方式，2015年3月1日生效的《互联网用户账号名称管理规定》强调“互联网信息服务提供者应当按照“后台实名、前台自愿”的原则，要求互联网信息服务使用者通过真实身份信息认证后注册账号。”自此，对互联网信息服务提供者明确了“后台实名、前台自愿”的实名认证原则。

实践中，目前存在以下以下四种主流的实名认证方式：

(一)基于手机号的实名认证方式

这是最简单、最基本的实名认证方式。指互联网平台运营者通过收集用户的实名认证的手机号并转给第三方服务商，由第三方服务商向用户发送验证码，如果用户输入验证码一致，则证明用户是在使用已经实名认证的手机号注册。

(二)基于第三方应用接口的实名认证方式

指互联网平台运营者提供用户从第三方应用接口注册登录方式，例如微信、支付宝等接口登录，以获得第三方的相关实名认证信息。

(三)基于身份证实名认证方式

在此种模式下，根据对于实名认证信息真实性的要求不同，与第三方身份验证服务商合作，通过收集二要素（姓名和身份证号码）、三要素（姓名、身份证号码、银行卡）、四要素（姓名、身份证号码、银行卡、手机预留号码）等信息进行实名认证。

(四)基于视频活体检测实人认证方式

如果说实名认证是为了证明注册某账号使用的身份信息是真实的，那么实人认证就是为了证明持证者本人在使用此账号，通常会采用活体检测、人脸识别等方式，多用于金融机构（如支付宝）、政府机构（如随申办、交管12123）、网络游戏未成年人防沉迷系统等。

上述四种实名认证方式所需要的个人信息以及实名认证的准确性依次递增，一般而言，APP运营者通过“基于手机号的实名认证方式”即满足了最基本的实名认证要求，如APP所处行业类型需要遵守更加严格的安全要求，亦可增加更加准确的实名认证方式。

二、最小必要原则的细化解读

实名认证环节能够实现互联网用户的网络虚拟身份与社会现实身份的统一，使得上网足迹“事过留痕”，极大的净化了网络空间，已经成为各大互联网平台的标配。

然而，实名认证在制约和规范网络行为的同时，也带来了个人信息泄露的隐忧，使得骗子实现“精准诈骗”。中国信息通信研究院发布的《新形势下电信网络诈骗治理研究报告(2020年)》指出：近年来，“精准”诈骗越来越普遍，而个人信息泄露是其得以实施的关键。据统计，目前超过7成的电信网络诈骗与个人信息泄漏或被窃取有关，且该比例呈现持续上升趋势。

鉴于此，国家机关在大力推进实名认证实施的同时，通过《个人信息保护法》等法律法规确定知情同意、最小必要等个人信息处理原则，其中，最小必要原则能够从源头上遏制互联网平台等个人信息处理者超范围收集个人信息，降低信息泄露风险。

何谓“最小必要原则”？

根据《个人信息保护法》的规定，最小必要原则指的是“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”

除《个信法》之外，相关主管部门亦通过制定部门规章、国家标准等文件从必要个人信息范围、最小影响、直接关联、最小类型、最小频度、最小数量、最小权限等维度，从个人信息的收集、储存、使用、删除等生命周期，对于“最小必要原则”进行了细化解读。

三、“拦”在实名认证前的最小必要原则

粗粗看来，实名认证与最小必要原则在平衡个人信息保护与维护网络安全方面相得益彰，但理想很丰满，现实很骨感，上述两个原则在落地时，亦存在着矛盾与冲突。

(一) 最小必要原则的落地难题

虽然相关法律法规及国家标准已经对于最小必要原则有所细化，在个人信息处理者实际应用该原则的过程中，还是不少难关。

必要性难以判定。在《个人信息安全规范》中，将必要性描述为“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联”；国信办14号文更是列出了常见类型APP的基本功能与必要个人信息范围。然而，如今互联网领域的商业模式飞速发展，单个APP往往集成了多种功能，如“高德地图”APP中就集成了导航、打车、代驾等功能，并在打车功能中可以提供即时通信服务，那应当依据什么判断其归属的APP类型并确定必要的个人信息范围？

最小范围难以判定。以最小频度为例，《APP违法违规收集使用个人信息认定方法》中明确指出收集个人信息频度不得超出实际业务功能需要，可应当如何判断“实际业务功能需要”？如在“随申办”APP中，每隔一段时间通过该APP打开健康码，总是需要重新进行人脸识别认证，该APP人脸识别的频度具体如何计算？是否可归于“超出实际业务功能需要”的范畴？

(二)难以落地的最小必要原则给履行实名认证义务带来的阻碍

由于APP运营者根据最小必要原则运用至产品中时，存在“必要性”和“最小范围”难以判定的难题，具体至实名认证环节，亦存在如下疑问：

1.何时需要进行实名认证？

《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南》将“如提供无需注册即可使用的服务模式（如仅浏览、游客模式），当用户拒绝同意该类服务模式以外的个人信息收集行为时，不影响其使用仅浏览等功能”作为“是否遵循必要原则”的一个评估点。

我们将其理解为，根据最小必要原则，在如浏览、游客模式时，App运营者不应收集个人信息；可在实名认证相关规定的检索中，却未检索到对该类行为无需进行实名认证进行明文规定。

2.实名认证过程中，需要收集哪些个人信息？

在上文中，我们分析了四种主流的实名认证方式，对应收集不同的个人信息（甚至包括身份证、银行卡号等敏感个人信息），在单个APP集成多种功能的情况下，APP运营者如何认定自身产品类型进而确定选取的实名认证方式亦成为一个争论焦点。

四、让“拦路虎”变成“顺风车”

不落实最小必要原则将面临APP被下架、最高可达上一年营业额5%处罚的风险；而不落实实名认证原则，亦面临被监管部门约谈的窘境。APP运营者应当如何将“拦路虎”变为“顺风车”？

（一）在遵循最小必要原则前提下进行实名认证

首先，在确定业务功能的必要性方面，APP运营者应明确自身业务类型与核心功能（区别于增值附加功能），厘清其需要履行的实名认证方面的监管、信息报送、信息留存、行业关于实名认证的特殊要求等法定义务（如网络游戏APP具有特殊的实名认证义务，不得为未实名认证用户提供包括游客体验在内的任何服务），以及个人信息收集、储存、使用、删除等全周期的个人信息保护义务。

其次，在确定个人信息的最小范围方面，在明确业务类型与核心功能后，应据此选择适当的实名认证方式，仅收集满足监管要求最低限度的个人信息。如对于金融机构平台、政府事务平台、直播平台、涉税相关平台、网络拍卖平台、网络游戏平台等特殊场景下，需要收集的注册用户的实名认证信息往往高于其他互联网平台，一般需要选择基于身份证的实名认证方式及基于视频活体检测实人认证方式；而一般类型的APP，则可选择基于手机号或第三方接口的实名认证方式。

（二）根据APP内设功能选择适当的实名认证方式

上述分析，是基于不同APP类别，我们提出根据APP自身业务类型与核心功能选择适当的实名认证方式；除此之外，针对单个APP，亦应当根据其内设功能板块的不同分出不同的实名认证层级。

游客身份——内容展示及浏览功能——无需实名认证

游客身份即在未注册某APP时，该APP提供的服务内容展示与浏览功能，在此种情况下，除有特殊规定（如网络游戏APP），APP运营者无需收集个人信息亦可提供信息展示及浏览服务，因而不应收集个人信息;同时，由于不提供评论、发帖等业务功能，自然也无进行实名认证的必要。如微博，在用户未注册登录时，仍可浏览微博热搜、微博评论，却不能匿名发帖、评论、打赏。

注册用户身份——核心业务功能——基础实名认证

若用户希望使用某APP核心业务功能（如在微博社区中评论、发帖），则需注册登录，通过基本的实名认证（如提供手机号、邮箱、微信等多种方式）即可以取得自己的APP账户，在享有发帖、评论或其他基本业务功能。此时，APP运营者可基于用户选择的实名认证方式收集手机号、邮箱地址等个人信息。

注册用户身份——敏感业务功能——精准实名认证

如用户需要使用直播、打赏、信贷等监管力度较高的某些敏感业务功能，则需要提供身份证号甚至人脸数据进行验证，确保“人证合一”。如“小红书”APP，用户注册时仅需提供手机号+验证码或通过微信登录，即可注册账号、发布笔记，但若需要开启直播、打赏、创作者认证等功能，则需要通过”姓名+身份证号+人脸识别”的实名认证方式，以满足监管需求。

（三）做好全生命周期的个人信息保护措施。

从实名认证信息收集时确保用户的知情同意权，其中涉及到敏感个人信息应当取得单独同意；到实名认证信息储存时做到分类储存、加密传输并明确最小时间限制；再到实名认证信息使用时对内最小管理权限及对外限制实名认证信息的使用范围，但凡超出身份认证目的的，应当重新取得用户同意；最后明确用户注销账号或超出储存期限实名认证信息的删除及匿名化处理路径。

鉴于《个人信息保护法》明确规定，个人信息处理者造成个人信息权益损害的，适用举证责任倒置规则，建议个人信息处理者采取的个人信息安全保护措施，在实名认证信息丢失时，以便“自证清白”。（详见：《个人数据“丢失”，平台如何“自证清白”》）

五、结语

为维护健康有序的网络环境，按照相关监管要求，APP运营者应当对注册用户实行“后台实名，前台自愿”的实名认证措施。虽然应该收集实名认证信息，但亦应“取之有道”，谨遵最小必要原则，根据确定的业务类型及APP内设功能分层级的选择适当的实名认证方式，并做好个人信息保护措施，方可将“拦路虎”变成“顺风车”，降低被监管部门“请喝茶”的频率。

文中备注：

[1]国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局等。

本文作者：

声明：            

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。