首个网络身份认证公共服务国家标准公开征求意见
近日,根据全国网络安全标准化技术委员会(简称“网安标委”)网站公布的消息,国家标准《网络安全技术网络身份认证公共服务应用接入规范》已形成征求意见稿。为确保标准质量,网安标委秘书处面向社会广泛征求意见,截止日期为2024年11月11日。
据悉,国家标准《网络安全技术网络身份认证公共服务应用接入规范》是为了解决多种应用接入国家网络身份认证公共服务平台过程中非授权接入、网络安全、数据泄露问题,支撑《国家网络身份认证公共服务管理办法》的落地实施,按照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规要求,并参考《信息安全技术网络安全等级保护基本要求》等国家标准制定,旨在便于接入机构快速理解、指导应用高效接入,增强应用安全,达到保障公民个人信息和公共服务平台安全目的。该标准给出了多种应用接入国家网络身份认证公共服务平台的总体接入框架、接入流程和安全测试方法,规定了接入国家网络身份认证公共服务平台的应用服务的安全要求,适用于对接国家网络身份认证公共服务平台的应用服务的设计、开发、测试、运行。
《国家网络身份认证公共服务管理办法》是为实施网络可信身份战略,推进国家网络身份认证公共服务建设,保护公民身份信息安全,促进数字经济发展,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》、《中华人民共和国反电信网络诈骗法》等法律法规,制定的办法。2024年7月26日《国家网络身份认证公共服务管理办法》(征求意见稿)开始面向社会公开征求意见。征求意见稿起草说明指出,国家组织建设网络身份认证公共服务基础设施,旨在建成国家网络身份认证公共服务平台,形成国家网络身份认证公共服务能力,为社会公众统一签发“网号”“网证”,提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。基于国家网络身份认证公共服务,自然人在互联网服务中依法需要登记、核验真实身份信息时,可通过国家网络身份认证APP自愿申领并使用“网号”“网证”进行非明文登记、核验,无需向互联网平台等提供明文个人身份信息。由此,可以最大限度减少互联网平台以落实“实名制”为由超范围采集、留存公民个人信息。
《国家网络身份认证公共服务管理办法》(征求意见稿)明确了使用“网号”“网证”进行网络身份认证方式,并对“网号”“网证”的申领条件、公共服务的使用场景、法定身份证件范围、数据和个人信息安全保护义务等基础性事项作出规定。还明确了公共服务平台采集个人信息的“最小化和必要性原则”,明确公共服务平台处理用户个人信息时的解释告知、数据保护等义务,充分保障用户知情权、选择权、删除权等个人信息相关权利。
全国网络安全标准化技术委员会是在网络安全技术专业领域内,从事网络安全标准化工作的技术工作组织。委员会主要工作范围包括:网络安全技术、机制、服务、管理、评估等领域的标准化技术工作。截至2024年9月,国家网安标委归口管理并发布389项网络安全国家标准,涵盖密码技术鉴别与授权、网络安全评估、通信安全、网络安全管理、数据安全、新技术安全等领域。并在需求基础上,提出网络安全国家标准体系框架,包含了3个一级子类、9个二级子类、46个三级子类。
飞天诚信是网安标委WG3、WG4、WG5工作组成员,先后参与起草了GB/T25069-2022《信息安全技术术语》、GB/T43696-2024《网络安全技术零信任参考体系架构》等多项网络安全国家标准。