2024年7月26日,公安部和国家互联网信息办公室联合发布《国家网络身份认证公共服务管理办法(征求意见稿)》(以下简称《管理办法》),向社会公开征求意见。
一石激起千层浪,很多人担忧“持证上网”的潜在风险和可能侵害,也有各路专家为《管理办法》辩护,说担忧者不懂技术,也没领会到国家的良苦用心。
不管怎么样,起草者勇于向社会公开征求意见,推进“民主立法”,还是值得点赞的。既然是公开征求意见,就应该允许有不同的声音,真理越辩越明,这也是“科学立法”的内在要求。
讲述丨翟志勇,北京航空航天大学教授
来源丨看理想节目《文明的刻度:法律简史30讲》
01.
最大的问题
《管理办法》最大的问题不在于推行网络身份认证,而是授权唯一的平台统一签发“网号”“网证”。在唯一统一之下,所谓的自愿原则就非常容易变成被迫自愿,民众提出各种担忧也就在所难免了。
因此问题的核心是,《管理办法》是否有权规定唯一的平台统一签发“网号”“网证”?就目前起草者公布的立法依据看,答案可能是否定的。
《管理办法》第一条规定了立法的目的和依据:
“为实施网络可信身份战略,推进国家网络身份认证公共服务建设,保护公民身份信息安全,促进数字经济发展,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,制定本办法”。
在两部门同时发布了《关于起草<国家网络身份认证公共服务管理办法>(征求意见稿)》的说明》,开篇讲了“起草的必要性”:
“为全面贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》中关于国家实施网络可信身份战略、推进网络身份认证公共服务建设等有关规定,国家组织建设网络身份认证公共服务基础设施,旨在建成国家网络身份认证公共服务平台,形成国家网络身份认证公共服务能力,为社会公众统一签发‘网号’‘网证’,提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标”。
上述内容给人的印象是,《管理办法》有充分的法律依据,因为四部法律涉及到“网络可信身份战略”、“网络身份认证”。但问题是,四部法律是否授权由一个服务平台“为社会公众统一签发‘网号’‘网证’”?答案是否定的。
《第二十条》
《网络安全法》第二十四条第二款规定:
“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”。
这是《管理办法》列出的最重要的法律依据,所以排在第一位。“网络可信身份战略”依赖于“电子身份认证”,但“推动不同电子身份认证之间的互认”意味着,“网络可信身份战略”不但没有指定唯一的“电子身份认证”服务平台,而且预设了应该有不同的“电子身份认证”,并且要推动它们之间的互认。
澄清这点非常重要,因为《管理办法》违背了这个条款的规定,试图指定一个服务平台“为社会公众统一签发‘网号’‘网证’”。那么另外三部法律是否为“统一签发‘网号’‘网证’”作了授权呢?答案同样是否定的。
《数据安全法》第十八条规定:
“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动”。
《个人信息保护法》第六十二条规定:
“国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:……(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设”;《反电信网络诈骗法》第三十三条规定:“国家推进网络身份认证公共服务建设,支持个人、企业自愿使用……”。
三部法律都没有要求促进、支持、推进“统一”的身份认证技术,而且在数据安全方面,已经有多家提供数据安全检测评估、认证的专业机构了。
因此,对上述规定的合理解释应该是,身份认证可以有不同的技术方案,也可以有不同的服务主体,至于哪种技术方案可行、哪些主体可以从事认证服务,有关部门可以制定规章加以管理,但法律没有授权有关部门指定唯一的服务主体和唯一的技术方案。
有学者指出,在公安部内部,就有第一研究所的CTID(居民身份网络可信凭证)方案和第三研究所的eID(公民网络电子身份标识)方案。
《让子弹飞》
02.
少见的规章制定
上述四部法律并没有授权任何部门或机构“为社会公众统一签发‘网号’‘网证’”,公安部和网信办可以为落实“网络可信身份战略”和“网络身份认证”制定部门规章,但不能通过部门规章指定唯一服务平台“为社会公众统一签发‘网号’‘网证’”。
而《管理办法》的核心内容就是“依托国家统一建设的网络身份认证公共服务平台”,“为社会公众统一签发‘网号’‘网证’”。种种迹象标明,这个“公共服务平台”就是公安部第一研究所下属全资子公司北京中盾安信科技发展有限公司所建立的“CTID平台”(“互联网+”可信身份认证平台),这个平台的APP名是“国家网络身份认证”。
由此可见,《管理办法》将“网络可信身份战略”窄化为“CTID平台”战略,将“网络身份认证”窄化为“CTID平台”认证,这不仅没有法律上的依据,而且专门为一个公共服务平台制定一部规章,这在规章制定的历史上是少见的。
可能有人会说,即便《管理办法》专为一个平台而制定,但“网络身份认证”是自愿的,是否申领“网号”“网证”取决于自然人的意愿。但《管理办法》第三条第二款规定:
“国务院民政、文化和旅游、广播电视、卫生健康、铁路、邮政等部门依照本办法和有关法律、行政法规的规定,在各自职责范围内负责国家网络身份认证公共服务的推广应用和监督管理工作”。
《我不是潘金莲》
如果这些部门真的承担起“推广应用和监督管理工作”,那相应的互联网平台必然要接入“网络身份认证”,这时自然人可能就要“被迫”自愿申领“网号”“网证”了。
这里要补充说明一下,两部门是否有权力为国务院其他部门设定行政职责呢?这是需要讨论的一个法律问题。从法理上讲,两部门只能在自己职权范围内制定规章,无权通过自己制定的规章为其他部委设定职责。
03.
如何落实“网络可信身份战略”?
综上所述,两部门可以制定规章推行“网络可信身份战略”和“网络身份认证”,但要想“依法立法”,从而使《管理办法》具有合法性,可能需要在内容上做些重大调整:
第一,应该制定一部开放的规章,鼓励不同的机构采取不同的技术方案,通过市场竞争的方式提供“网络身份认证”,两部委只要提出标准并做好监管即可。
既然“网络身份认证”关涉公民的个人信息安全,那么就将选择权交给个人,任由他们自己选择自己信任的“网络身份认证”服务平台,或者不选择任何认证服务,依然用个人身份信息直接注册登陆。
第二,如果真心贯彻“自愿”原则,《管理办法》不仅不应该要求其他部委“推广应用和监督管理”,而且应该规定没有法律法规的明确要求,任何国家机关、社会组织均不得要求用户必须使用某一“网络身份认证”服务平台,不得要求用户必须使用“网号”“网证”注册登陆。
第三,《管理办法》在“鼓励互联网平台按照自愿原则接入公共服务”的同时,还应规定,任何互联网平台都不得强迫用户必须使用“网号”“网证”注册登陆,并提供“网号”“网证”注册登陆之外的其他方式,不得歧视或不公正对待使用其他注册登陆方式的用户。
《监视资本主义:智能陷阱》
简单总结一下,《立法法》第九十一条第二款规定:
“部门规章规定的事项应当属于执行法律或者国务院的行政法规、决定、命令的事项。没有法律或者国务院的行政法规、决定、命令的依据,部门规章不得设定减损公民、法人和其他组织权利或者增加其义务的规范,不得增加本部门的权力或者减少本部门的法定职责”。
《管理办法》中所列出的四部法律显然没有授权任何机构或任何平台“为社会公众统一签发‘网号’‘网证’”,希望起草者能提出更充分的法律依据或者制定一份开放的《管理办法》,否则《管理办法》就属于“没有法律或者国务院的行政法规、决定、命令的依据”。
如果设定了减损公民权利或者增加其义务的规范,增加了本部门的权力或者减少本部门的法定职责,不要说通过合宪性审查了,可能连合法性审查都无法通过。
