《网络身份认证管理规范(试行)》

《网络身份认证管理规范(试行)》网络身份认证活动的参与主体包括网络服务提供者、网络用户及第三方认证服务机构。网络服务提供者是指通过互联网向用户提供信息发布、交易支付、社交互动等服务，需对用户身份进行核验的法人或其他组织；第三方认证服务机构是指专门从事网络身份认证技术支持、信息核验等服务的专业机构；网络用户是指使用网络服务并接受身份认证的自然人、法人或非法人组织。网络身份认证应遵循以下基本原则：一是真实性原则，认证过程需确保用户提供的身份信息与真实身份一致，禁止虚假或冒用身份通过认证；二是最小必要原则，网络服务提供者收集、使用用户身份信息的范围应限于实现认证目的的最小必要程度，不得过度收集；三是用户知情同意原则，收集、使用用户身份信息前需以清晰、易懂的方式向用户明示信息收集的目的、方式、范围及存储期限，取得用户明确同意；四是安全可控原则，认证系统需具备必要的安全防护能力，保障身份信息在收集、传输、存储、使用等全生命周期中的安全，防止泄露、篡改或非法使用。网络服务提供者开展身份认证前需完成以下准备：具有合法的主体资格，依法取得相关行政许可或备案（如互联网信息服务提供者需取得ICP备案或许可证）；建立健全网络安全管理制度和操作规程，明确身份认证相关岗位职责；配备符合国家网络安全等级保护要求的技术设施，关键信息基础设施运营者的认证系统需通过三级及以上等级保护测评；与公安、通信、金融等权威身份信息源建立合法、安全的信息核验接口，确保核验结果的准确性和时效性。用户身份信息的收集范围应根据认证目的确定，基础身份信息包括姓名、有效身份证件号码（如居民身份证号、护照号）、手机号码等；需增强认证强度时，可收集生物特征信息（如指纹、人脸图像）、动态令牌信息等补充信息。收集生物特征信息时，应符合以下要求：仅在非生物特征信息无法满足认证强度时收集；明确告知用户生物特征信息的使用方式、存储期限及安全保障措施；采用符合国家标准的技术手段采集（如人脸图像分辨率不低于1280×720像素，灰度等级不低于256级）；禁止将生物特征信息用于认证以外的用途。身份信息核验应通过与权威数据源的实时或批量比对完成，核验流程需满足：基础身份信息（如姓名与身份证号）需通过公安人口信息数据库核验，核验结果需在系统中留存记录；手机号码需通过电信运营商数据库核验，确认号码与用户身份的绑定关系；生物特征信息核验需采用符合《信息安全技术人脸识别数据安全要求》（GB/T41479-2022）的算法，核验失败时需提供人工复核渠道，人工复核应在24小时内完成并记录复核过程。身份认证结果的有效期根据认证场景的风险等级确定：低风险场景（如信息查询类服务）认证有效期不超过30日；中风险场景（如社交平台账号登录）有效期不超过7日；高风险场景（如网络支付、金融交易）需采用多因素认证（如静态密码+动态验证码+生物特征），且单次认证有效期不超过1小时。认证有效期届满后，需重新完成身份核验流程。身份信息的存储应符合以下要求：采用加密技术存储，静态存储时使用AES-256或SM4对称加密算法，密钥由专人管理且生命周期不超过90日；生物特征信息原则上不存储原始数据，需存储时应进行不可逆转换（如生成特征模板），特征模板与原始图像不得关联存储；身份信息存储介质需符合《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中对应等级的防护要求，关键信息基础设施运营者的存储系统需实现异地灾备，备份数据每季度至少验证一次有效性。身份信息的传输需通过安全信道进行，采用TLS1.2及以上版本协议加密，传输过程中禁止明文传输身份证件号码、生物特征模板等敏感信息；第三方认证服务机构参与信息传输时，需与网络服务提供者签订数据安全协议，明确传输数据的范围、方式及安全责任，禁止第三方留存或使用传输的身份信息。网络服务提供者应建立身份认证日志管理系统，完整记录认证时间、用户标识、认证方式、核验结果等信息，日志留存期限不少于6个月；关键操作日志（如生物特征信息修改、认证规则调整）需留存不少于1年，日志存储期间禁止篡改或删除。网络服务提供者需建立身份信息安全事件应急响应机制，发生信息泄露、篡改等安全事件时，应立即启动应急预案，采取阻断泄露路径、通知受影响用户等措施，并在4小时内向属地网信部门、公安机关报告；造成用户损失的，需依法承担赔偿责任。用户发现身份信息被冒用或认证异常时，可向网络服务提供者提出异议，网络服务提供者应在收到异议后3个工作日内进行核查，核查结果需书面告知用户，确认为冒用的应立即终止异常认证关联的服务权限。第三方认证服务机构需具备国家密码管理部门认可的密码使用资质，提供的认证服务需符合《网络身份认证服务密码应用技术规范》（GM/T0054-2018）；不得将受托的身份认证服务转包或变相转包给其他机构；需配合监管部门的监督检查，按要求提供认证系统运行日志、用户信息处理记录等材料。网络服务提供者违反本规范的，由网信部门、公安机关等监管部门根据情节轻重，采取警告、责令限期改正、暂停相关业务、罚款（对单位处10万元以上100万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款）等处罚措施；情节严重的，依法吊销相关业务许可证或吊销营业执照；构成犯罪的，依法追究刑事责任。用户冒用他人身份信息通过认证，或恶意攻击认证系统的，由公安机关依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。本规范中“