如何在具体的业务场景里落地实名认证的合规要求,又如何兼顾业务合规与用户体验成为互联网服务提供者的重要关切。实名认证已经逐渐成为互联网行业的发展趋势,一定场景下,实现“实名认证”甚至是企业稳健发展必不可少的一环。
导语
随着网络实名制的严格推进,企业合规责任逐步升级。如何在具体的业务场景里落地实名认证的合规要求,又如何兼顾业务合规与用户体验成为互联网服务提供者的重要关切。
本篇主要围绕以下问题展开探讨:
1.为何需要进行实名认证?
2.应该采取何种方式进行实名认证?
3.引入实名认证是否会带来其他合规风险,如何规避?
01实名认证制度的缘由
实名认证已经逐渐成为互联网行业的发展趋势,一定场景下,实现“实名认证”甚至是企业稳健发展必不可少的一环。
导语
—实名认证相关法律法规(重点列举)—
实名认证的推行,可以说既有外部监管压力的考量,也有企业内部合规风控的需要。在一定程度上,实名认证存在外部监管与内在需求的一致性,推行实名认证也是企业业务经营、风险内控所需考量的事项。比如:
◆避免未成年人用户注册使用服务软件;
◆净化社区环境,降低违规内容传播风险;
◆减少社交欺诈风险,保障用户交易资金及人身安全;
◆为实名用户提供高级服务功能,提升用户体验,增加用户黏性等。
02常见的实名认证方式
实名认证的应用场景非常广泛,包括但不限于网络游戏、网络直播、网络社交、内容发布场景等。大体而言,对个人或他人权益有显著影响的,对社会公共利益、网络空间秩序等产生直接影响的,均属于实名认证应用场景的范畴。
目前实践中,主要存在以下几种常见的实名认证方式,这几种方式所需要的个人信息以及实名认证的准确性依次递增。
—常见的实名认证方式—
03实名认证的合规指引
目前,国家仅为网络游戏行业提供了统一的身份认证系统,其他行业尚无类似统一的权威“接口”,具体认证方式的选择及落地只能由互联网服务提供商自行探索。在“强监管”与“弱指引”的局势之下,运营者何时需要引入实名认证系统以及如何选择合适的实名认证方式,都是合规实践中不可回避的问题。据此,本文梳理如下建议,以供参考:
一、不同场景下的实名认证层级
实践中,并非所有互联网服务都需以实名认证作为提供服务的前提,即使是存在实名认证的合规需求,也可以根据不同的业务场景选择适当的认证层级。目前,可以适用“高风险”场景强认证、“低风险”场景弱认证的原则来指导具体的合规落地。
1. “高风险”场景
常见的高风险场景包括但不限于:金融机构平台、政府事务平台(交管)、直播平台、涉税相关平台(个人所得税App)、网络游戏平台等。在此类特殊场景下,一般需要选择基于身份证的实名认证方式及基于视频活体检测实人的认证方式。
—腾讯游戏的实名认证—
—个人所得税App的实名认证—
2. “一般风险”场景
一般风险场景通常包括公众广泛使用的网购、社交、论坛等互联网服务。
若用户希望使用这些产品的基础业务功能(如“小红书”App的评论、发布笔记等),则需通过基本的实名认证(如提供手机号、微信、华为账号等多种方式)完成注册登录,取得自己的App账户,然后才能使用这些基本业务功能。此时,App运营者可基于用户选择的实名认证方式收集手机号、第三方账号等个人信息。
若用户想要使用这些产品的敏感业务功能时,一般需要通过高强度的实名认证。比如用户需要开启“小红书”App的直播、收益提现、创作者认证等功能,则需要通过”姓名+身份证号+人脸识别”的实名认证方式,以满足监管需求。
—小红书的实名认证—
3. “低风险”场景
低风险场景的一个典型例子就是纯浏览模式(区别于上传、发布、传播信息等)场景。如微博,在用户未注册登录的游客模式下,仍可浏览微博热搜、微博评论,却不能使用匿名发帖、评论、打赏等功能;再如携程旅行App,该产品声明用户在未注册登录状态下可以使用搜索、浏览功能,但出于保护商业信息目的,产品页面上的部分详细信息需要用户注册账户并登录后才可以进行查看。
因此,游客模式下,除有特殊规定(如网络游戏企业不得以任何形式包括游客体验模式,向未实名注册和登录的用户提供游戏服务),基于最小必要原则,App无需收集用户个人信息进行实名认证。
—微博、携程的游客模式—
因此,互联网服务提供者应该明确自身业务类型与产品功能,厘清需要履行的实名认证相关监管、尤其是行业关于实名认证的特殊要求等法定义务,考量业务经营和风险内控的需要,并据此选择适当的实名认证方式。
二、第三方实名认证SDK接口
如上所述,在涉及某些敏感业务(如游戏)或敏感功能(如直播、打赏)场景时,高强度的实名认证不可避免,头部互联网企业因已有数据积淀、技术、资本等因素往往能更贴近合规要求,而中小型互联网企业可能并不具备此种技术能力,参照行业实践,通过集成具有认证服务能力和资质的第三方SDK,或许也是一种可行的解决方案。
未成年人身份核验是互联网服务行业的重点核查事项,数美科技从用户的全周期行为(文字聊天、语音、动态、发帖、评论、提问等)产生的UGC内容入手,为互联网企业提供用户年龄标签,帮助其有针对性地筛选未成年人用户并启动相应保护机制。
—数美科技未成年人识别机制—
互联网服务提供者在集成第三方实名认证SDK时,需要建立供应商评价体系,综合考虑供应商的数据来源的权威性、核验过程的安全性、用户体验的便捷性等。
三、其他合规建议
互联网服务提供者基于不同的风险场景选择适当的实名认证层级,并接入自有或引入外部的认证系统。除此之外,在落地实名认证合规要求的这一过程中,还有以下事项值得关注并具体落实,以最大限度降低合规风险。
◆1. 告知:
不论是基于履行法定义务,还是出于业务运营考量,实名认证均需提前告知以充分保障用户的知情权,获得用户的理解和信任。告知的内容可以包括相关法律法规的具体条文,对业务开展的必要性的说明,对所收集个人信息的安全措施、个人权利保障机制的说明,免责情形等。告知的方式可以类比隐私政策,在启动实名认证时,以用户主动勾选的方式展示《实名认证服务协议》。
◆2. 同意:
多数情况下,实名认证依然需要取得用户同意。互联网服务提供者可以将产品功能予以区分,当用户拒绝实名认证时,可以为其提供一些基础服务功能(法律规定禁止的情形除外,如前所述的游戏、直播等),从而兼顾降低合规风险与增加用户黏性的需要。
◆3. 保护:
实名认证不可避免的会收集用户个人信息,高强度认证下还会收集人脸等生物识别信息。互联网服务提供者应该严格按照数据全生命周期的合规要求对所收集的实名认证信息进行有效保护,尤其需要注意生物识别信息的合规要求(如不存储原始图像、仅存储摘要信息、加密分开存储等),构筑制度和技术的双重防护体系,最大限度规避由实名认证导致的衍生风险。
◆4. 救济:
实名认证机制下,提供便捷有效的救济渠道是保障用户体验的重要路径。在因技术问题或者其他原因造成用户无法通过实名验证的情形下,互联网服务提供者可以通过提供多次验证机会、更换同等强度的验证方式、人工渠道或线下沟通引导等进一步保障用户的选择权,提升实名认证过程中的用户体验。
04结语
实名认证制度之下的合规选择,既是外部监管的要求,也是企业内控的需求。基于“高风险”场景强认证、“低风险”场景弱认证的原则,互联网服务提供者可以在不同场景下适配不同的认证层级。
在实践层面,“实名认证”不仅是技术问题,更是一个关乎资源、成本问题的复杂、综合的网络生态治理命题,未来,还有待各方联动、协同推进,在探索中不断完善治理方案。
END
鄢树树
象星律师事务所实习律师
北京师范大学法律硕士,具有互联网科技行业与法律行业的复合工作背景,专注于企业数字化转型过程中的网络安全与数据合规研究,曾在多个项目中为企业合规管理体系的构建提供服务。
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,永久会员只需99元,全站资源免费下载 点击查看详情
站 长 微 信: hs105011