兩個14号文，讓網絡遊戲APP陷入兩難困境。

國信辦秘字〔2021〕14号：四部門[1]發布并且于2021年5月1号生效的《常見類型移動互聯網應用程序必要個人信息範圍規定》明确要求，網絡遊戲類APP必要個人信息為注冊用戶移動電話号碼。

國新出發〔2021〕14号：國家新聞出版署發布并且于2021年9月1日生效的《國家新聞出版署關于進一步嚴格管理切實防止未成年人沉迷網絡遊戲的通知》明确要求，所有網絡遊戲用戶必須使用真實有效身份信息進行遊戲賬号注冊并登錄網絡遊戲，網絡遊戲企業不得以任何形式（含遊客體驗模式）向未實名注冊和登錄的用戶提供遊戲服務。

想必網絡遊戲類APP運營者頓時頭大如鬥，落實國信辦14号文處理個人信息的“最小必要原則”，則會被中央宣傳部、國家新聞出版署等部門“約談”；落實國新出發14号文的“實名認證”要求，則面臨被網信辦等部門“通報、下架”APP的風險。

網絡遊戲APP運營者們在“被約談”與“被下架”的夾縫中舉步維艱，該類困境亦是所有APP運營者普遍面臨的問題。

可是，為保護個人信息提出的最小必要原則，是否真的是實名認證的“攔路虎”？

一、實名認證原則的前世今生

網絡并非法外之地。然而，卻存在部分網絡用戶利用虛拟的網絡空間，實施網絡暴力、造謠诽謗、購買水軍、傳播違法侵權視頻圖片等行為，嚴重侵害了他人的合法權益與社會公共利益。為治理網絡不良現象，淨化網絡空間，我國相關政府主管部門采用以網絡用戶實名認證為基礎的網絡實名制的管理方式，2015年3月1日生效的《互聯網用戶賬号名稱管理規定》強調“互聯網信息服務提供者應當按照“後台實名、前台自願”的原則，要求互聯網信息服務使用者通過真實身份信息認證後注冊賬号。”自此，對互聯網信息服務提供者明确了“後台實名、前台自願”的實名認證原則。

實踐中，目前存在以下以下四種主流的實名認證方式：

(一)基于手機号的實名認證方式

這是最簡單、最基本的實名認證方式。指互聯網平台運營者通過收集用戶的實名認證的手機号并轉給第三方服務商，由第三方服務商向用戶發送驗證碼，如果用戶輸入驗證碼一緻，則證明用戶是在使用已經實名認證的手機号注冊。

(二)基于第三方應用接口的實名認證方式

指互聯網平台運營者提供用戶從第三方應用接口注冊登錄方式，例如微信、支付寶等接口登錄，以獲得第三方的相關實名認證信息。

(三)基于身份證實名認證方式

在此種模式下，根據對于實名認證信息真實性的要求不同，與第三方身份驗證服務商合作，通過收集二要素（姓名和身份證号碼）、三要素（姓名、身份證号碼、銀行卡）、四要素（姓名、身份證号碼、銀行卡、手機預留号碼）等信息進行實名認證。

(四)基于視頻活體檢測實人認證方式

如果說實名認證是為了證明注冊某賬号使用的身份信息是真實的，那麼實人認證就是為了證明持證者本人在使用此賬号，通常會采用活體檢測、人臉識别等方式，多用于金融機構（如支付寶）、政府機構（如随申辦、交管12123）、網絡遊戲未成年人防沉迷系統等。

上述四種實名認證方式所需要的個人信息以及實名認證的準确性依次遞增，一般而言，APP運營者通過“基于手機号的實名認證方式”即滿足了最基本的實名認證要求，如APP所處行業類型需要遵守更加嚴格的安全要求，亦可增加更加準确的實名認證方式。

二、最小必要原則的細化解讀

實名認證環節能夠實現互聯網用戶的網絡虛拟身份與社會現實身份的統一，使得上網足迹“事過留痕”，極大的淨化了網絡空間，已經成為各大互聯網平台的标配。

然而，實名認證在制約和規範網絡行為的同時，也帶來了個人信息洩露的隐憂，使得騙子實現“精準詐騙”。中國信息通信研究院發布的《新形勢下電信網絡詐騙治理研究報告(2020年)》指出：近年來，“精準”詐騙越來越普遍，而個人信息洩露是其得以實施的關鍵。據統計，目前超過7成的電信網絡詐騙與個人信息洩漏或被竊取有關，且該比例呈現持續上升趨勢。

鑒于此，國家機關在大力推進實名認證實施的同時，通過《個人信息保護法》等法律法規确定知情同意、最小必要等個人信息處理原則，其中，最小必要原則能夠從源頭上遏制互聯網平台等個人信息處理者超範圍收集個人信息，降低信息洩露風險。

何謂“最小必要原則”？

根據《個人信息保護法》的規定，最小必要原則指的是“處理個人信息應當具有明确、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小範圍，不得過度收集個人信息。”

除《個信法》之外，相關主管部門亦通過制定部門規章、國家标準等文件從必要個人信息範圍、最小影響、直接關聯、最小類型、最小頻度、最小數量、最小權限等維度，從個人信息的收集、儲存、使用、删除等生命周期，對于“最小必要原則”進行了細化解讀。

三、“攔”在實名認證前的最小必要原則

粗粗看來，實名認證與最小必要原則在平衡個人信息保護與維護網絡安全方面相得益彰，但理想很豐滿，現實很骨感，上述兩個原則在落地時，亦存在着矛盾與沖突。

(一) 最小必要原則的落地難題

雖然相關法律法規及國家标準已經對于最小必要原則有所細化，在個人信息處理者實際應用該原則的過程中，還是不少難關。

必要性難以判定。在《個人信息安全規範》中，将必要性描述為“收集的個人信息的類型應與實現産品或服務的業務功能有直接關聯”；國信辦14号文更是列出了常見類型APP的基本功能與必要個人信息範圍。然而，如今互聯網領域的商業模式飛速發展，單個APP往往集成了多種功能，如“高德地圖”APP中就集成了導航、打車、代駕等功能，并在打車功能中可以提供即時通信服務，那應當依據什麼判斷其歸屬的APP類型并确定必要的個人信息範圍？

最小範圍難以判定。以最小頻度為例，《APP違法違規收集使用個人信息認定方法》中明确指出收集個人信息頻度不得超出實際業務功能需要，可應當如何判斷“實際業務功能需要”？如在“随申辦”APP中，每隔一段時間通過該APP打開健康碼，總是需要重新進行人臉識别認證，該APP人臉識别的頻度具體如何計算？是否可歸于“超出實際業務功能需要”的範疇？

(二)難以落地的最小必要原則給履行實名認證義務帶來的阻礙

由于APP運營者根據最小必要原則運用至産品中時，存在“必要性”和“最小範圍”難以判定的難題，具體至實名認證環節，亦存在如下疑問：

1.何時需要進行實名認證？

《網絡安全标準實踐指南—移動互聯網應用程序（App）收集使用個人信息自評估指南》将“如提供無需注冊即可使用的服務模式（如僅浏覽、遊客模式），當用戶拒絕同意該類服務模式以外的個人信息收集行為時，不影響其使用僅浏覽等功能”作為“是否遵循必要原則”的一個評估點。

我們将其理解為，根據最小必要原則，在如浏覽、遊客模式時，App運營者不應收集個人信息；可在實名認證相關規定的檢索中，卻未檢索到對該類行為無需進行實名認證進行明文規定。

2.實名認證過程中，需要收集哪些個人信息？

在上文中，我們分析了四種主流的實名認證方式，對應收集不同的個人信息（甚至包括身份證、銀行卡号等敏感個人信息），在單個APP集成多種功能的情況下，APP運營者如何認定自身産品類型進而确定選取的實名認證方式亦成為一個争論焦點。

四、讓“攔路虎”變成“順風車”

不落實最小必要原則将面臨APP被下架、最高可達上一年營業額5%處罰的風險；而不落實實名認證原則，亦面臨被監管部門約談的窘境。APP運營者應當如何将“攔路虎”變為“順風車”？

（一）在遵循最小必要原則前提下進行實名認證

首先，在确定業務功能的必要性方面，APP運營者應明确自身業務類型與核心功能（區别于增值附加功能），厘清其需要履行的實名認證方面的監管、信息報送、信息留存、行業關于實名認證的特殊要求等法定義務（如網絡遊戲APP具有特殊的實名認證義務，不得為未實名認證用戶提供包括遊客體驗在内的任何服務），以及個人信息收集、儲存、使用、删除等全周期的個人信息保護義務。

其次，在确定個人信息的最小範圍方面，在明确業務類型與核心功能後，應據此選擇适當的實名認證方式，僅收集滿足監管要求最低限度的個人信息。如對于金融機構平台、政府事務平台、直播平台、涉稅相關平台、網絡拍賣平台、網絡遊戲平台等特殊場景下，需要收集的注冊用戶的實名認證信息往往高于其他互聯網平台，一般需要選擇基于身份證的實名認證方式及基于視頻活體檢測實人認證方式；而一般類型的APP，則可選擇基于手機号或第三方接口的實名認證方式。

（二）根據APP内設功能選擇适當的實名認證方式

上述分析，是基于不同APP類别，我們提出根據APP自身業務類型與核心功能選擇适當的實名認證方式；除此之外，針對單個APP，亦應當根據其内設功能闆塊的不同分出不同的實名認證層級。

遊客身份——内容展示及浏覽功能——無需實名認證

遊客身份即在未注冊某APP時，該APP提供的服務内容展示與浏覽功能，在此種情況下，除有特殊規定（如網絡遊戲APP），APP運營者無需收集個人信息亦可提供信息展示及浏覽服務，因而不應收集個人信息;同時，由于不提供評論、發帖等業務功能，自然也無進行實名認證的必要。如微博，在用戶未注冊登錄時，仍可浏覽微博熱搜、微博評論，卻不能匿名發帖、評論、打賞。

注冊用戶身份——核心業務功能——基礎實名認證

若用戶希望使用某APP核心業務功能（如在微博社區中評論、發帖），則需注冊登錄，通過基本的實名認證（如提供手機号、郵箱、微信等多種方式）即可以取得自己的APP賬戶，在享有發帖、評論或其他基本業務功能。此時，APP運營者可基于用戶選擇的實名認證方式收集手機号、郵箱地址等個人信息。

注冊用戶身份——敏感業務功能——精準實名認證

如用戶需要使用直播、打賞、信貸等監管力度較高的某些敏感業務功能，則需要提供身份證号甚至人臉數據進行驗證，确保“人證合一”。如“小紅書”APP，用戶注冊時僅需提供手機号 驗證碼或通過微信登錄，即可注冊賬号、發布筆記，但若需要開啟直播、打賞、創作者認證等功能，則需要通過”姓名 身份證号 人臉識别”的實名認證方式，以滿足監管需求。

（三）做好全生命周期的個人信息保護措施。

從實名認證信息收集時确保用戶的知情同意權，其中涉及到敏感個人信息應當取得單獨同意；到實名認證信息儲存時做到分類儲存、加密傳輸并明确最小時間限制；再到實名認證信息使用時對内最小管理權限及對外限制實名認證信息的使用範圍，但凡超出身份認證目的的，應當重新取得用戶同意；最後明确用戶注銷賬号或超出儲存期限實名認證信息的删除及匿名化處理路徑。

鑒于《個人信息保護法》明确規定，個人信息處理者造成個人信息權益損害的，适用舉證責任倒置規則，建議個人信息處理者采取的個人信息安全保護措施，在實名認證信息丢失時，以便“自證清白”。（詳見：《個人數據“丢失”，平台如何“自證清白”》）

五、結語

為維護健康有序的網絡環境，按照相關監管要求，APP運營者應當對注冊用戶實行“後台實名，前台自願”的實名認證措施。雖然應該收集實名認證信息，但亦應“取之有道”，謹遵最小必要原則，根據确定的業務類型及APP内設功能分層級的選擇适當的實名認證方式，并做好個人信息保護措施，方可将“攔路虎”變成“順風車”，降低被監管部門“請喝茶”的頻率。

文中備注：

[1]國家互聯網信息辦公室、工業和信息化部、公安部、國家市場監督管理總局等。

本文作者：

高亞平，德恒上海稅法業務中心負責人之一，德恒上海辦公室合夥人、律師；專注于稅務籌劃、境内外上市與并購重組，擅長于電商平台、靈活用工平台等新經濟平台合規運營稅務籌劃、投融資相關法律服務，是國内最早從事社交電商、靈活用工及平台内經營者主體及業務合規運營及稅務籌劃法律服務的律師。

徐晶，德恒上海辦公室律師助理；主要專業領域為新經濟平台流量合規、合規風控、個人信息保護等領域。

聲明：

本文由德恒律師事務所律師原創，僅代表作者本人觀點，不得視為德恒律師事務所或其律師出具的正式法律意見或建議。如需轉載或引用本文的任何内容，請注明出處。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!