搜索
Table_bottom

标签云
Table_bottom

分类
Table_bottom

声明
文章若未特別註明,皆採用 知识共享许可协议 請自覺遵守
Table_bottom

存档
Table_bottom

匆匆过客
30546
Table_bottom

功能
Table_bottom

【知乎】百度于6月1日全面实行实名制,这是百度还是政府的要求,还会使用百度吗?

人云E云 posted @ 2017年7月11日 20:44 in , 36 阅读

回答於6月1日前。該回答於6月8日處於“建議修改”狀態(回答建议修改经权利人投诉侵权,内容涉嫌侵犯他人合法权益),但修改始終無法通過。發私信給知乎管理員詢問,也不回覆任何信息。已放棄。

 

 

簡短版:國家要求收集信息,但沒有要求必須且必定收集手機號,所以這是百度自己的想法。所以要麼是百度對法律理解不到位,要麼是有人/機構強行要求百度這麼做,要麼百度的程序員編程能力有問題導致他們無法寫出非手機號的認證方式(或者百度懶得去寫別的?爲什麼懶呢?)。(另外,我個人覺得要求互聯網服務收集用戶個人信息這種行爲弊大於利。)

 

不知道這個6.1的是百度全局還是僅百度部分業務。

互聯網公司從來都是無權去“要求”(也就是強制)用戶“提供手機號”的(在沒有法律直接要求的情況下,這屬於“收集与其提供的服务无关的个人信息”,是違法行爲),只有政府有。除非其業務直接和手機(通信服務)相關。

 

按照(去年人民代表們通過,要在今年6.1實行的)《中华人民共和国网络安全法》(第二十四條)的規定

网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

百度的業務有百度貼吧、百度知道需要用戶“真实身份信息”(因爲這兩項涉及“信息发布”)。不過考慮到百度整體是一個賬號,所以百度全局要求也是(按照他們的邏輯)合理的。

然而整個問題好笑在哪呢?在於百度將“(中華人民共和國大陸)手機號”和“真实身份信息”等價起來。

 

<del>整個法律中,都沒有提及什麼叫“真实身份信息”</del>該法律的附則中寫了

个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

但整個法律中沒有規定什麼服務要收集什麼信息,也沒有提及如何收集如何確認“真实身份信息”(當然,由於整個法律涉及的不僅僅是因特網,而且由於信息技術尤其是網絡服務的特性,這些也不可能統一)。所以其實可以看出來,法律上要求的僅僅是(對於特定服務)“能夠確認這個賬號的擁有者/用戶是誰”,而沒有要求(對於特定服務)“要收集這個賬號擁有者的哪些信息”。

所以百度強制要求所有用戶提供(僅能提供)(中華人民共和國大陸手機號的這一做法並無法可依。而且同樣是根據這部《中华人民共和国网络安全法》,說不定百度這種做法其實是違法的:

第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

就我所見,百度並沒有“公开收集、使用规则,明示收集、使用信息的目的、方式和范围”,所以涉嫌違法。

而如果百度不妥善管理這部分收集到的信息,很可能還會違反這條:

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。

我們再看看這部法律是怎麼規定處罰的:

第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

 

所以百度強制收集手機號並不是國家要求,沒有法律支持,甚至可能違法(因爲百度的互聯網服務和手機號並沒有關係,收集手機號屬於“收集与其提供的服务无关的个人信息”);而即使不違反上面這條,如果不“公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”也是一樣的違法;而且如果百度不妥善保管手機號(也就是僅僅保存在自己數據庫中,不“泄露……其收集的个人信息”),那更是繼續違法。

 

而且用手機號作爲用戶標識這種行爲很腦殘,個人完全無法理解爲什麼要這麼做:

1. 如果一個人(由於各種因素)一段時間之內沒有“手機”號(比如是個未成年人),那麼那個用戶就不能使用“因特網”服務了?

2. 更換手機號是一個人的正常行爲,而用手機號作爲用戶標識導致用戶更換手機號前後要多一步麻煩事。而且類似上一條,用手機號作爲用戶標識就強迫用戶必須在前一個手機號的服務未結束前開通另一個手機號的服務。

3. 如果手機被盜或者丟失,那麼用手機號作爲標識則導致犯罪分子可以無障礙通過驗證,進而非法使用甚至更改他人網絡服務賬號。

4. 如果一個人出國(比如旅遊)期間有緊急狀況,需要對自己的網絡服務賬號信息進行變更,而變更需要“手機驗證碼”,則這個人很有可能無法完成(更嚴重地,如果連登錄都需要“手機驗證”,那甚至連登錄都不行)。而這時候由於互聯網服務提供商人爲設置的障礙(要求手機驗證)導致用戶權益受到危害(比如被盜號),那麼這個責任誰來承擔?賠償應該由誰來進行?

5. 地球上另外幾十億不可能有中華人民共和國(大陸)手機號的人要怎麼辦?不允許他們使用我朝的網絡服務?就算不考慮學習中國文化的外國人,華人華僑怎麼辦?港臺的人怎麼辦?

6. 盜用他人手機號一樣能通過這種“實名”,所以究竟“實名”在哪?

 

另外一種常用方式是收集身份證號。這種方式比收集手機號危害更大:

身份證是一個公民的唯一標識,沒有任何辦法修改。一旦服務提供商將身份證號泄漏(無論是有意還是無意),得到身份證號的人(可能是不法分子,也可能是某些其他公司/團體)可以利用身份證號做的事太多太多。


 

你以爲我上面說的只是百度?不,我朝的相當多網站(網絡服務提供商)都是一樣的狀況。

我能怎麼辦?很簡單,不用就行了唄,難道他們還能威脅你用不成?沒有哪個互聯網服務是不可替代的,只有“你不知道替代品都有什麼”而已。

再怎麼說,他們都叫“互聯網服務提供商”,他們的資金都直接或間接來自於“用戶”(也就是每一個人)。當用戶大量消失以後他們就混不下去了,就這麼簡單。


 

======分割線======

其實這部法律內容就很奇怪:提出許多具有很大風險的要求,但卻完全不提及一旦發生風險之事將給權利受侵犯者(公民)提供什麼賠償(無論是法律的制定、監督者給的賠償,還是侵犯的導致者給的賠償)。

對此問題的最佳(事實上是除了“不要求實名”以外的唯一)解決方案就是:不讓下游網站獲取到用戶信息,從而也沒機會出賣/泄漏用戶信息。在此方式下,爲了仍然要求實名,政府可以出面建立一套可信的統一“認證”措施/站點,而各個網站僅僅獲取認證結果(而不是具體信息)。然而政府不知是不願意承擔“自己開發的軟件系統出了問題”的責任,還是意識到自己沒能力建立一套統一的可信可靠的認證站點,似乎並沒有相應的措施,而該法律中只有輕飄飄的一句

国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。

(哦,不要甩鍋給“沒人願意做”。我聲明:我是學計算機的,我願意做。嗯,當然接下來就該說“你算老幾”了……)

 

當然了,稍微瞭解過近年網絡新興身份認證的人應該知道,有很多新方法好方法(比如【算是略老但似乎是支持最廣泛的】OpenID)可以算“安全、方便的电子身份认证技术”,並且也可以“不同电子身份认证之间的互认”,然而至今沒有一個完美合用的(不然全球知名的技術類網站早就支持這麼一個最優選擇了)。

其實我個人是不覺得政府有能力建立一套統一的可靠的認證系統的(更遑論公開了)。不是因爲我朝政府,而是因爲信息技術的特性,尤其是網絡服務的特性,導致這種做法會承擔極大風險——一旦該站點崩潰(不一定是遭受攻擊,負載太大或者軟件bug也可以崩的),則會影響所有其他(和該站點所提供服務無關的)站點的正常使用(新用戶註冊)。這種情況叫single point of failure(單點故障),是網絡服務應該竭力避免的。

 

------源自評論中對策略的推論------

是的,我也認爲給其他公司提供手機號相對提供身份證號更安全。國家要求提供真實身份信息,但沒有規定具體怎麼做。相對而言,我更傾向於政府建立統一的認證平臺,然後有相關要求的企業接入。不過這仍然有問題,而且(個人覺得)很嚴重:

1.這樣一種中心化的認證服務,很容易出問題(無論是信息泄漏還是崩潰),當出問題時候怎麼辦?

2.要求實名+要求所有有實名需求的網站都接入該平臺,相當於是一種壟斷(只不過不是商業公司在壟斷),那時候如何保證(認證平臺的)相關負責人不會藉機漁利?

3.從廣義上說,整個互聯網(其實是整個人類社會)都是“信息發佈”。那麼難道要求所有網站都進行實名認證?且不說對公民的負擔還有對隱私的憂慮,光是這種做法無疑大大加大了初創網站的負擔,導致大公司更容易壟斷。而壟斷則無疑會影響發展。

所以我覺得其實整個實名要求都是在外行領導內行(因爲我這種不算很頂尖的搞計算機的人都能看到,大牛們能看不到?搞經濟的人能看不到?),只看到了現在維穩(或許還有反恐)的需求,而沒有考慮其他東西(比如發展)。

 

==========附============

------多次修改,從2017-6-6開始

接百度當事人的舉報(知乎私信通知),我修改一下回答,去除其中的確可能包含“大量不实推测和对百度的恶意诽谤”的部分。

“德不孤,必有鄰。”

嗯我知道沒人看我回答的一部分原因是我沒用簡化字,但如我在評論中所說:簡化字只有2千多個,漢字有數萬個,不要顛倒咯。先看到相同之處,後看到不同之處,而不是反過來。

而且,“君子生非異也,擅假於物也”,爲什麼不藉助在線簡繁轉換工具呢?

 

另,評論區中一些評論消失了?不過至少我可以坦率地說我不刪評論……

  • 无匹配

登录 *


loading captcha image...
(输入验证码)
or Ctrl+Enter