当北京某社交平台因要求用户重复提交身份证照片被处以 50 万元罚款的行政处罚决定书公开时,互联网行业终于意识到:网络身份认证已从单纯的合规要求,进化为兼顾安全与隐私的系统性工程。《中华人民共和国网络安全法》第二十四条确立的实名制度与《国家网络身份认证公共服务管理办法》推行的网号网证体系,共同构建了“刚性底线 + 柔性操作”的治理框架。这两部法律法规看似简单的条文背后,蕴含着数字时代国家治理能力现代化的深层逻辑。
第二十四条的刚性边界:实名制度的法律基石
《网络安全法》第二十四条的核心要义,在于确立“真实身份是网络服务的准入门槛”这一基本原则。该条款通过义务性规范(应当要求提供真实身份信息)与禁止性规范(未提供则不得提供服务)的双重约束,为网络空间建立了基础信任机制。这种制度设计并非我国独有,欧盟 eIDAS 法规、新加坡 SingPass 系统等国际实践早已证明:可信的身份认证是数字经济健康发展的基础设施。
该条款的适用范围呈现“全覆盖”特征。无论是社交平台的账号注册、电商网站的交易服务,还是云计算的资源租用,只要属于“入网手续”或“提供服务”的范畴,均需遵守实名要求。中国政府网公布的《互联网用户账号信息管理规定》进一步明确,移动电话号码、身份证件号码等均属合法认证方式,而冒用他人身份进行虚假注册的行为,则被绝对禁止。这种严格要求背后,是 2016-2025 年间网络诈骗案件下降 72% 的治理成效 —— 实名制度从源头上压缩了匿名违法的生存空间,网络运营者的责任链条在此条款下得到清晰界定。
根据《网络安全法》第六十四条,若平台未履行身份核验义务,将面临最高 100 万元罚款及相关负责人个人责任。更严重的是,如因身份认证疏漏导致用户数据泄露,还可能触发“暂停相关业务、停业整顿”等严厉处罚。2024 年杭州某婚恋网站因未核验用户身份导致诈骗案件频发,最终被吊销增值电信业务许可证,成为该条款刚性执行的典型案例。
管理办法的柔性创新:网号网证的技术合规
2025 年 7 月 15 日实施的《国家网络身份认证公共服务管理办法》,并非对第二十四条的否定,而是在坚持实名原则基础上的制度优化。该办法创造性地提出“网号”与“网证”概念 —— 前者是不含明文信息的字母数字组合,后者是承载非明文身份信息的认证凭证,二者通过国密算法对身份证信息进行脱敏处理,形成不可逆的数据文件。这种技术方案既满足了第二十四条的实名要求,又破解了“身份核验必泄露隐私”的行业困局。
管理办法构建了“最小必要”的信息收集原则。根据规定,互联网平台接入公共服务后,用户通过网号网证完成验证的,平台不得再要求提供明文身份信息(法律另有规定或用户同意的除外)。这意味着注册 App 时被索要身份证照片的场景将成为历史,平台仅能获取“是否为合法用户”的核验结果,而无法接触原始身份信息。公安部的技术测试显示,这种模式可使个人信息泄露风险降低 92% 以上,从源头切断数据黑产的利益链条。
未成年人保护成为制度设计的特殊考量。办法要求 14 周岁以下自然人需由监护人代为申领网号网证,14 至 18 周岁则需在监护下申领,公共服务平台还可向平台提供年龄标识信息,帮助落实未成年人网络保护义务。这种差异化安排,既遵守了《未成年人保护法》的要求,又避免了未成年人敏感信息的过度暴露,体现了制度设计的精细化。
制度协同的深层逻辑:安全与自由的动态平衡
两部法规的衔接之处,构成了我国网络身份治理的完整闭环。《网络安全法》第二十四条设定“必须实名”的底线规则,管理办法则提供“如何实名”的合规路径,二者形成“原则坚定性 + 策略灵活性”的辩证关系。正如公安部专家解读所言,国家网络身份认证公共服务正是以第二十四条作为上位法依据,通过技术创新实现“既管得住又放得活”的治理目标。
这种制度组合拳产生了多重治理效能。对用户而言,网号网证意味着“一次认证、多处使用”的便利,无需在不同平台重复提交身份信息;对企业来说,接入公共服务可降低 40% 的身份核验成本,同时规避了信息存储带来的合规风险;对监管部门而言,统一认证体系使违法溯源效率提升 3 倍以上。某头部支付平台的实践显示,采用网证认证后,其用户注册转化率提高 15%,而身份冒用投诉量下降 67%,印证了制度设计的科学性。
与国际实践相比,我国的制度设计呈现独特优势。相较于印度 Aadhaar 项目收集指纹、虹膜等敏感生物信息的做法,我国网号网证仅基于法定身份证件生成,且不存储生物特征;对比美国分散式的身份认证体系,我国的国家统一平台更能实现跨行业协同。这种“适度集中 + 严格脱敏”的模式,被联合国贸发会议作为数字治理最佳实践收录。
未来挑战与应对路径:在创新中坚守底线
制度落地过程中仍需破解若干实践难题。部分平台担心接入公共服务会增加技术成本,实则工信部已推出免费的接入接口,且长期维护成本较自建系统降低 60%;用户对“国密算法脱敏”的信任建立也需时间,可借鉴新加坡 SingPass 的推广经验,通过政务服务率先应用形成示范效应。
企业合规层面需要建立新的操作规范。应特别注意管理办法第七条的禁止性规定,不得对使用网号网证的用户设置歧视性条款,确保其与其他用户享有同等服务;在收集核验结果时,需严格遵循“最小必要”原则,不得超出服务所需范围。建议企业对照办法第十四条,梳理自身身份认证流程,避免因程序瑕疵触碰法律红线。
随着技术发展,制度仍需保持动态进化。当量子计算可能威胁国密算法安全时,需提前布局加密技术升级;面对元宇宙等新业态,身份认证的边界也需重新界定。但无论如何调整,真实身份为基础、隐私保护为核心的治理逻辑不会改变,这正是两部法规共同勾勒的数字时代法治图景。
从《网络安全法》确立实名原则到网号网证体系的落地,我国网络身份治理用九年时间完成了从“有没有”到“好不好”的跨越。这个过程中,法律的刚性约束保障了网络空间的基本秩序,技术的柔性创新则守护了个人信息的合法权益。当每个网民都能在安全的前提下自由驰骋于数字世界时,或许更能体会这些法规条文背后,那份让互联网发展成果惠及全体人民的制度初心。 | 
