新经济与法｜App“实名认证”如何遵循“最小必要原则”澎湃研究所澎湃新闻

2021年出台的两个14号文，让网络游戏APP陷入两难困境。

想必网络游戏类APP运营者顿时头大如斗，落实国信办14号文处理个人信息的“最小必要原则”，则会被中央宣传部、国家新闻出版署等部门“约谈”；落实国新出发14号文的“实名认证”要求，则面临被网信办等部门“通报、下架”APP的风险。

网络游戏APP运营者们在“被约谈”与“被下架”的夹缝中举步维艰，该类困境亦是所有APP运营者普遍面临的问题。

可是，为保护个人信息提出的最小必要原则，是否真的是实名认证的“拦路虎”？

一、实名认证原则的前世今生

实践中，目前存在以下四种主流的实名认证方式：

1、基于手机号的实名认证方式。这是最简单、最基本的实名认证方式。指互联网平台运营者通过收集用户的实名认证的手机号并转给第三方服务商，由第三方服务商向用户发送验证码，如果用户输入验证码一致，则证明用户是在使用已经实名认证的手机号注册。

3、基于身份证实名认证方式。在此种模式下，根据对于实名认证信息真实性的要求不同，与第三方身份验证服务商合作，通过收集二要素（姓名和身份证号码）、三要素（姓名、身份证号码、银行卡）、四要素（姓名、身份证号码、银行卡、手机预留号码）等信息进行实名认证。

4、基于视频活体检测实人认证方式。如果说实名认证是为了证明注册某账号使用的身份信息是真实的，那么实人认证就是为了证明持证者本人在使用此账号，通常会采用活体检测、人脸识别等方式，多用于金融机构（如支付宝）、政府机构（如随申办、交管12123）、网络游戏未成年人防沉迷系统等。

上述四种实名认证方式所需要的个人信息以及实名认证的准确性依次递增，一般而言，APP运营者通过“基于手机号的实名认证方式”即满足了最基本的实名认证要求，如APP所处行业类型需要遵守更加严格的安全要求，亦可增加更加准确的实名认证方式。

二、最小必要原则的细化解读

实名认证环节能够实现互联网用户的网络虚拟身份与社会现实身份的统一，使得上网足迹“事过留痕”，极大地净化了网络空间，已经成为各大互联网平台的标配。

然而，实名认证在制约和规范网络行为的同时，也带来了个人信息泄露的隐忧，使得骗子实现“精准诈骗”。中国信息通信研究院发布的《新形势下电信网络诈骗治理研究报告(2020年)》指出：近年来，“精准”诈骗越来越普遍，而个人信息泄露是其得以实施的关键。据统计，目前超过7成的电信网络诈骗与个人信息泄漏或被窃取有关，且该比例呈现持续上升趋势。

鉴于此，国家机关在大力推进实名认证实施的同时，通过《个人信息保护法》等法律法规确定知情同意、最小必要等个人信息处理原则，其中，最小必要原则能够从源头上遏制互联网平台等个人信息处理者超范围收集个人信息，降低信息泄露风险。

何谓“最小必要原则”？

三、“拦”在实名认证前的最小必要原则

粗粗看来，实名认证与最小必要原则在平衡个人信息保护与维护网络安全方面相得益彰，但理想很丰满，现实很骨感，上述两个原则在落地时，亦存在着矛盾与冲突。

(一)最小必要原则的落地难题

必要性难以判定。在《个人信息安全规范》中，将必要性描述为“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联”；国信办14号文更是列出了常见类型APP的基本功能与必要个人信息范围。然而，如今互联网领域的商业模式飞速发展，单个APP往往集成了多种功能，如“高德地图”APP中就集成了导航、打车、代驾等功能，并在打车功能中可以提供即时通信服务，那应当依据什么判断其归属的APP类型并确定必要的个人信息范围？

(二)难以落地的最小必要原则给履行实名认证义务带来的阻碍

由于APP运营者根据最小必要原则运用至产品中时，存在“必要性”和“最小范围”难以判定的难题，具体至实名认证环节，亦存在如下疑问：

1、何时需要进行实名认证？

《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南》将“如提供无需注册即可使用的服务模式（如仅浏览、游客模式），当用户拒绝同意该类服务模式以外的个人信息收集行为时，不影响其使用仅浏览等功能”作为“是否遵循必要原则”的一个评估点。

2、实名认证过程中，需要收集哪些个人信息？

在上文中，我们分析了四种主流的实名认证方式，对应收集不同的个人信息（甚至包括身份证、银行卡号等敏感个人信息），在单个APP集成多种功能的情况下，APP运营者如何认定自身产品类型进而确定选取的实名认证方式亦成为一个争论焦点。

四、“拦路虎”如何变成“顺风车”

不落实最小必要原则将面临APP被下架、最高可达上一年营业额5%处罚的风险；而不落实实名认证原则，亦面临被监管部门约谈的窘境。APP运营者应当如何将“拦路虎”变为“顺风车”？

(一)在遵循最小必要原则前提下进行实名认证

首先，在确定业务功能的必要性方面，APP运营者应明确自身业务类型与核心功能（区别于增值附加功能），厘清其需要履行的实名认证方面的监管、信息报送、信息留存、行业关于实名认证的特殊要求等法定义务（如网络游戏APP具有特殊的实名认证义务，不得为未实名认证用户提供包括游客体验在内的任何服务），以及个人信息收集、储存、使用、删除等全周期的个人信息保护义务。

(二)根据APP内设功能选择适当的实名认证方式

上述分析，是基于不同APP类别，我们提出根据APP自身业务类型与核心功能选择适当的实名认证方式；除此之外，针对单个APP，亦应当根据其内设功能板块的不同分出不同的实名认证层级。