2024年7月26日,公安部和國家網際網路信息辦公室聯合發布《國家網絡身份認證公共服務管理辦法(徵求意見稿)》(以下簡稱《管理辦法》),向社會公開徵求意見。
一石激起千層浪,很多人擔憂「持證上網」的潛在風險和可能侵害,也有各路專家為《管理辦法》辯護,說擔憂者不懂技術,也沒領會到國家的良苦用心。
不管怎麼樣,起草者勇於向社會公開徵求意見,推進「民主立法」,還是值得點讚的。既然是公開徵求意見,就應該允許有不同的聲音,真理越辯越明,這也是「科學立法」的內在要求。
講述丨翟志勇,北京航空航天大學教授
來源丨看理想節目《文明的刻度:法律簡史30講》
01.
最大的問題
《管理辦法》最大的問題不在於推行網絡身份認證,而是授權唯一的平臺統一籤發「網號」「網證」。在唯一統一之下,所謂的自願原則就非常容易變成被迫自願,民眾提出各種擔憂也就在所難免了。
因此問題的核心是,《管理辦法》是否有權規定唯一的平臺統一籤發「網號」「網證」?就目前起草者公布的立法依據看,答案可能是否定的。
《管理辦法》第一條規定了立法的目的和依據:
「為實施網絡可信身份戰略,推進國家網絡身份認證公共服務建設,保護公民身份信息安全,促進數字經濟發展,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》等法律法規,制定本辦法」。
在兩部門同時發布了《關於起草<國家網絡身份認證公共服務管理辦法>(徵求意見稿)》的說明》,開篇講了「起草的必要性」:
「為全面貫徹落實《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國反電信網絡詐騙法》中關於國家實施網絡可信身份戰略、推進網絡身份認證公共服務建設等有關規定,國家組織建設網絡身份認證公共服務基礎設施,旨在建成國家網絡身份認證公共服務平臺,形成國家網絡身份認證公共服務能力,為社會公眾統一籤發『網號』『網證』,提供以法定身份證件信息為基礎的真實身份登記、核驗服務,達到方便人民群眾使用、保護個人信息安全、推進網絡可信身份戰略的目標」。
上述內容給人的印象是,《管理辦法》有充分的法律依據,因為四部法律涉及到「網絡可信身份戰略」、「網絡身份認證」。但問題是,四部法律是否授權由一個服務平臺「為社會公眾統一籤發『網號』『網證』」?答案是否定的。
《第二十條》
《網絡安全法》第二十四條第二款規定:
「國家實施網絡可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認」。
這是《管理辦法》列出的最重要的法律依據,所以排在第一位。「網絡可信身份戰略」依賴於「電子身份認證」,但「推動不同電子身份認證之間的互認」意味著,「網絡可信身份戰略」不但沒有指定唯一的「電子身份認證」服務平臺,而且預設了應該有不同的「電子身份認證」,並且要推動它們之間的互認。
澄清這點非常重要,因為《管理辦法》違背了這個條款的規定,試圖指定一個服務平臺「為社會公眾統一籤發『網號』『網證』」。那麼另外三部法律是否為「統一籤發『網號』『網證』」作了授權呢?答案同樣是否定的。
《數據安全法》第十八條規定:
「國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動」。
《個人信息保護法》第六十二條規定:
「國家網信部門統籌協調有關部門依據本法推進下列個人信息保護工作:……(三)支持研究開發和推廣應用安全、方便的電子身份認證技術,推進網絡身份認證公共服務建設」;《反電信網絡詐騙法》第三十三條規定:「國家推進網絡身份認證公共服務建設,支持個人、企業自願使用……」。
三部法律都沒有要求促進、支持、推進「統一」的身份認證技術,而且在數據安全方面,已經有多家提供數據安全檢測評估、認證的專業機構了。
因此,對上述規定的合理解釋應該是,身份認證可以有不同的技術方案,也可以有不同的服務主體,至於哪種技術方案可行、哪些主體可以從事認證服務,有關部門可以制定規章加以管理,但法律沒有授權有關部門指定唯一的服務主體和唯一的技術方案。
有學者指出,在公安部內部,就有第一研究所的CTID(居民身份網絡可信憑證)方案和第三研究所的eID(公民網絡電子身份標識)方案。
《讓子彈飛》
02.
少見的規章制定
上述四部法律並沒有授權任何部門或機構「為社會公眾統一籤發『網號』『網證』」,公安部和網信辦可以為落實「網絡可信身份戰略」和「網絡身份認證」制定部門規章,但不能通過部門規章指定唯一服務平臺「為社會公眾統一籤發『網號』『網證』」。
而《管理辦法》的核心內容就是「依託國家統一建設的網絡身份認證公共服務平臺」,「為社會公眾統一籤發『網號』『網證』」。種種跡象標明,這個「公共服務平臺」就是公安部第一研究所下屬全資子公司北京中盾安信科技發展有限公司所建立的「CTID平臺」(「網際網路+」可信身份認證平臺),這個平臺的APP名是「國家網絡身份認證」。
由此可見,《管理辦法》將「網絡可信身份戰略」窄化為「CTID平臺」戰略,將「網絡身份認證」窄化為「CTID平臺」認證,這不僅沒有法律上的依據,而且專門為一個公共服務平臺制定一部規章,這在規章制定的歷史上是少見的。
可能有人會說,即便《管理辦法》專為一個平臺而制定,但「網絡身份認證」是自願的,是否申領「網號」「網證」取決於自然人的意願。但《管理辦法》第三條第二款規定:
「國務院民政、文化和旅遊、廣播電視、衛生健康、鐵路、郵政等部門依照本辦法和有關法律、行政法規的規定,在各自職責範圍內負責國家網絡身份認證公共服務的推廣應用和監督管理工作」。
《我不是潘金蓮》
如果這些部門真的承擔起「推廣應用和監督管理工作」,那相應的網際網路平臺必然要接入「網絡身份認證」,這時自然人可能就要「被迫」自願申領「網號」「網證」了。
這裡要補充說明一下,兩部門是否有權力為國務院其他部門設定行政職責呢?這是需要討論的一個法律問題。從法理上講,兩部門只能在自己職權範圍內製定規章,無權通過自己制定的規章為其他部委設定職責。
03.
如何落實「網絡可信身份戰略」?
綜上所述,兩部門可以制定規章推行「網絡可信身份戰略」和「網絡身份認證」,但要想「依法立法」,從而使《管理辦法》具有合法性,可能需要在內容上做些重大調整:
第一,應該制定一部開放的規章,鼓勵不同的機構採取不同的技術方案,通過市場競爭的方式提供「網絡身份認證」,兩部委只要提出標準並做好監管即可。
既然「網絡身份認證」關涉公民的個人信息安全,那麼就將選擇權交給個人,任由他們自己選擇自己信任的「網絡身份認證」服務平臺,或者不選擇任何認證服務,依然用個人身份信息直接註冊登陸。
第二,如果真心貫徹「自願」原則,《管理辦法》不僅不應該要求其他部委「推廣應用和監督管理」,而且應該規定沒有法律法規的明確要求,任何國家機關、社會組織均不得要求用戶必須使用某一「網絡身份認證」服務平臺,不得要求用戶必須使用「網號」「網證」註冊登陸。
第三,《管理辦法》在「鼓勵網際網路平臺按照自願原則接入公共服務」的同時,還應規定,任何網際網路平臺都不得強迫用戶必須使用「網號」「網證」註冊登陸,並提供「網號」「網證」註冊登陸之外的其他方式,不得歧視或不公正對待使用其他註冊登陸方式的用戶。
《監視資本主義:智能陷阱》
簡單總結一下,《立法法》第九十一條第二款規定:
「部門規章規定的事項應當屬於執行法律或者國務院的行政法規、決定、命令的事項。沒有法律或者國務院的行政法規、決定、命令的依據,部門規章不得設定減損公民、法人和其他組織權利或者增加其義務的規範,不得增加本部門的權力或者減少本部門的法定職責」。
《管理辦法》中所列出的四部法律顯然沒有授權任何機構或任何平臺「為社會公眾統一籤發『網號』『網證』」,希望起草者能提出更充分的法律依據或者制定一份開放的《管理辦法》,否則《管理辦法》就屬於「沒有法律或者國務院的行政法規、決定、命令的依據」。
如果設定了減損公民權利或者增加其義務的規範,增加了本部門的權力或者減少本部門的法定職責,不要說通過合憲性審查了,可能連合法性審查都無法通過。
