关于实名认证法规相关

hotacmoi

既然喜欢说法，那和你说说，一下法规都是在17年《互联网论坛社区服务管理规定》之后实行的新法，无特殊规定新法优于《互联网论坛社区服务管理规定》 旧法。

《中华人民共和国个人信息保护法》中

第十七条个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的，应当将变更部分告知个人。

；请依法公示上述信息

第六条处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。
以及《中华人民共和国数据安全法》第三十二条　任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。
在常见类型移动互联网应用程序必要个人信息范围规定中 （四）网络社区类，基本功能服务为“博客、论坛、社区等话题讨论、信息分享和关注互动”，必要个人信息为：注册用户移动电话号码。

；常见论坛社区都是以手机号为实名认证的信息，贵坛过度收集个人信息理由为

@Sheep-realms 在 对《关于实名认证》及《隐私政策》的勘误和疑问 中说：

而正因为该验证方式的薄弱，直接导致违法用户成功穿透了安全防护进行攻击，最终酿成站点被迫停运惨剧。因此，有关实名验证这一点，新站点不可能采取比当前方案更简单的方案。

事实上，在国内大多数合法合规运行的网站均采用了身份证实名验证，而几乎所有的手游运营方也均是如此，直播网站更是有需进行手持身份证件拍照的严苛要求。相对而言，当前论坛的验证强度是符合站点合法开设最低限制的。

事实上大多数论坛等社交站 都是手机还进行验证，手游与直播在 《常见类型移动互联网应用程序必要个人信息范围规定中 》中另有规定，直播网站设计金融打赏，贵坛也要开设打赏功能吗？ 你们都不是一种类型的为何鸡同鸭比？ 对于内容审核有更优解的云审核，为何将超限于实现处理目的的最小范围的信息收集风险转嫁到用户？这种行为并不能在事前都多好的防范，过度收集是否另有目的？

第五十一条　个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：
（一）制定内部管理制度和操作规程；
（二）对个人信息实行分类管理；
（三）采取相应的加密、去标识化等安全技术措施；
（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；
（五）制定并组织实施个人信息安全事件应急预案；
（六）法律、行政法规规定的其他措施。

第五十二条　处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

；对于管理人员与接触用户信息人员是否做到了符合规定的管理？是否向公安部门进行报备？

《个人信息安全规范》

7.8 个人信息主体注销账户
对个人信息控制者的要求包括：
a) 通过注册账户提供服务的个人信息控制者，应向个人信息主体提供注销账户的
方法，且该方法应简便易操作；
b) 个人信息主体注销账户后，应删除其个人信息或做匿名化处理。

；账号进行了注销操作是否会完整删除信息？

10.3 数据安全能力
个人信息控制者应根据有关国家标准的要求，建立适当的数据安全能力，落实必
要的管理和技术措施，防止个人信息的泄漏、损毁、丢失。
10.4 人员管理与培训
对个人信息控制者的要求包括：
a) 应与从事个人信息处理岗位上的相关人员签署保密协议，对大量接触个人敏感
信息的人员进行背景审查；
b) 应明确内部涉及个人信息处理不同岗位的安全职责，以及发生安全事件的处罚
机制；
c) 应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时，继续履
行保密义务；
d) 应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求，与其签
署保密协议，并进行监督；
e) 应定期（至少每年一次）或在隐私政策发生重大变化时，对个人信息处理岗位
上的相关人员开展个人信息安全专业化培训和考核，确保相关人员熟练掌握隐
私政策和相关规程。

；内部人员是否按照规定进行处理？依法
并且依法应有隐私政策 在非强制措施下主动向个人信息主体外任何组织个人披露个人信息如何取得用户同意?

对于管理人员的回复我会实时记录并存档整理一并提交至网信办网安部以及人民检察院进行审查处理。请网站组织者认真回复处理。

Sheep-realms

您文章中指出《常见类型移动互联网应用程序必要个人信息范围规定》，针对的是移动类型应用程序即APP，本站并非移动类型应用程序。

同时依据 2022 年 6 月 27 日发布，2022 年 8 月 1 日开始实行，现行有效《互联网用户账号信息管理规定》中第九条：

互联网信息服务提供者为互联网用户提供信息发布、即时通讯等服务的，应当对申请注册相关账号信息的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息，或者冒用组织机构、他人身份信息进行虚假注册的，不得为其提供相关服务。

本站亦不存在过度收集用户信息的行为。

《个人信息保护法》第十七条，关联法规为《民法典》第一千零三十五条：

处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

至于本站联系方式，本站隐私协议已有相关说明。

本站隐私协议第四大项第三条：

您理解并同意，我们希望提供给您的服务是完善及安全的，为了安全保障，我们会将您的信息用于身份验证、安全防范、反诈骗监测、存档备份、客户的安全服务等用途。如果某一需要收集您的个人信息的功能或产品/服务未能在本隐私政策中予以说明的，我们会通过更新本隐私政策、页面提示、弹窗、网站公告等方式另行向您说明该信息收集的目的、内容、使用方式和范围，并为您提供自主选择同意的方式，且在征得您明示同意后收集。在此过程中，如果您对相关事宜有任何疑惑的，可以通过本隐私政策第十条提供的方式联系我们，我们会尽快为您作出解答。

附则第十项内容：

十、联系我们

如您对本隐私政策的内容或使用我们的产品/服务时遇到的与隐私保护相关的事宜有任何疑问或进行咨询或投诉时，您可以通过向我们开通的【反馈专区】发送反馈与我们联系；

我们会在收到您的意见及建议后，15个工作日内尽快向您回复。此外，您理解并知悉，在与个人信息有关的如下情形下，我们将无法回复您的请求：
2.1 与国家安全、国防安全有关的；

2.2 与公共安全、公共卫生、重大公共利益有关的；

2.3 与犯罪侦查、起诉和审判等有关的；

2.4 有充分证据表明您存在主观恶意或滥用权利的；

2.5 响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的；

2.6 涉及商业秘密的；

2.7 法律法规等规定的其他情形。

有关问题提出者在最后写明的向网安和人民检察院提交文件进行审查处理，本站做以下答复：

1. 本站已通过公安部网络安全备案审核。
2. 人民检察院直接受理控告、举报的范围：贪污贿赂犯罪，国家工作人员的渎职犯罪，国家机关工作人员利用职权实施的非法拘禁、刑讯逼供、报复陷害、非法搜查侵犯公民人身权利的犯罪以及侵犯公民民主权利的犯罪。

问题提出者提出的问题可能不在人民检察院直接受理的范围内，如果是使用搜索引擎了解相关法条提出问题的，建议先了解清楚背景。

古明地兔

利益相关，隔壁苦力怕论坛皇帝，跟中继站的几位管理也还算熟悉。
借此机会简单聊一下为什么要支持接入强实名（如支付宝实名认证），以及为什么苦力怕论坛仅作弱实名（如+86手机绑定）

平台的运营主体对平台用户的言论等负有审查义务，苦力怕现在执行的是腾讯云数据万象的内容审核+弱实名的方式，即便每个月的sms服务和数据万象服务的费用都超过4位数，但仍频繁被定点爆破，苦力怕论坛运营团队没少因此被公安及其他部门警告甚至处罚。
但是隔壁的现状：
弱实名方案的费用甚至高于强实名方案，但是我们动不了，没法改成强实名。因为苦力怕论坛90%以上的用户都是未成年人，至少有50%的用户连身份证都没有。
因此苦力怕论坛其实也想做强实名方案，只是社区定位不允许。因此对你“常见论坛社区都是以手机号为实名认证的信息”的理由，本人不太认可。

对于咱们这种社区来说，无论是为了合规还是管理，实名是必须的，弱实名、强实名都合法，只要确保不会造成数据泄露即可。

hotacmoi

偷换概念——混淆“或”与“必须”**

• 法规原文（第9条）明确真实身份认证可采用 “移动电话号码、身份证件号码或者统一社会信用代码等方式”，三者是 并列选项（“或”），而非 强制要求叠加收集！
• 平台错误逻辑：将“或”偷换为“必须”，强行要求用户同时提供手机号+身份证号，属于 过度收集，直接违反《个人信息保护法》第6条（最小必要原则）
  未履行敏感信息处理的法定义务**
• 即使选择身份证号认证，也必须遵守《个人信息保护法》对敏感信息的特殊要求：
• 单独告知：需在隐私政策中明确说明收集身份证号的 具体目的（例如“内容审核”还是“商业用途”），而非含糊其辞！
• 单独同意：必须设置独立于用户协议的勾选项，不得捆绑默认同意！
• 安全措施：需说明身份证号如何存储（如加密或脱敏），但平台政策中只字未提，涉嫌违规！
  完全忽视“最小必要”原则**
• 根据《规定》第8条，普通用户仅需 “后台实名”，而 手机号已与身份证号绑定（通过运营商实名制），完全可满足法规要求！
• 平台狡辩：以“版块发起者需身份备案”为由扩大至全体用户，属于 滥用条款！普通用户发帖根本无需身份证号

在现行法律下，普通论坛若无特殊需求（如金融、直播），收集并存储用户身份证号通常违规
身份证号属敏感信息，需“单独同意+必要性证明”（普通发帖无需）；
实名认证可通过手机号（已绑身份证）实现，直接收集涉嫌过度；
存储明文信息若泄露，平台将面临高额罚款。
除非涉及高风险业务，否则不应当收集证件号码

///

第五十二条　处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

请依法公开能处理个人信息管理员或版主的个人信息以及个人联系方式、而不是挂个公开邮箱草草了事。

///

另外，检察院受理无明确法律规定的案件监督检查、

Sheep-realms

就问题提出者所提问题，之前已经回复过本站有关协议中的相关内容，在此不重复叙述。就本条回复中 “平台狡辩：以 ‘版块发起者需身份备案’ 为由扩大至全体用户，属于 滥用条款！普通用户发帖根本无需身份证号” 本站社区指南帖子当中已有发布过相关说明，详见：《互联网跟帖评论服务管理规定》第四条（一）：

按照 “后台实名、前台自愿” 原则，对注册用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证，不得向未认证真实身份信息或者冒用组织机构、他人身份信息的用户提供跟帖评论服务。

法规中规定仅需提供个人信息保护负责人的联系方式，无需公开个人信息保护负责人的身份信息，请勿过度解读法规。如对本条仍有疑问，可参考腾讯或其他大型网络服务公司的协议内容，附图为腾讯游戏隐私保护指引个人信息保护负责人条目。

闲散人员

@hotacmoi

转人工

秋风残叶

快开学了，寒假作业做完了没有

BaimoQilin

个人认为实名认证的方案没什么问题。
同样是强实名，SakuraFRP就没有受到大规模的反对和质疑：由此可见，部分用户反对的焦点可能并非单纯的隐私安全，或许还掺杂了对原站的一些情绪。我承认原站确实有不少管理人员倒卖绿宝石，和各种“神权”问题，但批评应聚焦于相关管理人员的具体行为，而不应泛化到整个论坛和管理组，甚至波及到论坛精神延续者的合理举措。

质疑值得鼓励，但不能为了质疑而质疑，为了批评而批评。红石中继站确实有不少欠妥当的政策，比如 禁止帖子编辑#791 ，我就认为坛方没能说清楚原因，只以“监管和管理成本的考虑”云云搪塞，毫无逻辑，更难以服众。我认为如果您有闲时，完全可以在这些真正大大影响到论坛使用体验的问题上周旋，而不是在实名认证上钻牛角尖。

dndndn666

@Sheep-realms
1 如何保证信息不会被随意查询，是否有完整的信息查询流程手续以及备案，信息查询记录保留时间保存多久，用户如何查询自己的信息查询记录。
2 查询信息是否是多人审核之后才能查询，管理请截图公开查询信息的后台什么样子，有没有做到如腾讯查询 一人提交查询申请并且附带查询理由以及证据如警方协查通知等上传至页面，另一位管理信息的管理员审核通过后才能显示信息？

另外建议隐私政策好好的写 认准自己的定位是个非经营性论坛 没有进行论坛经营性icp备案 不要举例出现如：
（例如《电子商务法》规定：商品和服务信息、交易信息保存时间自交易完成之日起不少于三年）。
此类条例 如果法律没有明确标明保存时间就请不要写 要写就写你所运营有关的规定。你现在既没有电商资质也没有金融资质甚至也不是经营性论坛你写这个法律是要打算做什么呢？

闲散人员

@dndndn666 没听说过腾讯有线上的司法协查平台啊？能不能截图看看？

Sheep-realms

本站已通过公安部网安备案，备案号在网页底部有公示，可以查询。

同时可以查看本站隐私协议：

五、我们如何共享、转让、公开披露您的个人信息

1.共享

我们重视对您的个人信息的保护，您的个人信息是我们为您提供产品与/或服务的重要依据和组成部分，对于您的个人信息，我们仅在本隐私政策所述目的和范围内或根据法律法规的要求收集和使用，并严格保密。 通常情况下，我们不会与任何公司、组织和个人共享您的个人信息，但以下情况除外：

1.1 事先已获得您的明确授权或同意；

1.2 根据适用的法律法规、法律程序、政府的强制命令或司法裁定而需共享您的个人信息；

1.3 在法律要求或允许的范围内，为了保护我们的产品及其用户或社会公众的利益、财产或安全免遭损害而有必要提供您的个人信息给第三方；

1.4 您的个人信息可能会在我们的关联公司之间共享。我们只会共享必要的个人信息，且这种共享亦受本隐私政策声明目的的约束。关联公司如要改变个人信息的处理目的，将再次征求您的授权同意。

本站未听说过腾讯有线上司法协查平台，如有，可能是与公安直接接入的协查平台。腾讯线下司法协查平台有专职人员与专门的办公地点接待来访人员，来访人员需为司法公职人员、律师事务所律师且持有公职证明或律师执业证、法院调查令等一切必要的身份证明和司法文件，经审核非伪造身份、伪造文件以后才允许调取相应资料。

法律法规并不禁止相关协议中出现举例说明情况的行为，因各类规定信息保存期限不同，故进行举例说明。

Wu You

@BaimoQilin 在 关于实名认证法规相关 中说：

个人认为实名认证的方案没什么问题。
同样是强实名，SakuraFRP就没有受到大规模的反对和质疑：由此可见，部分用户反对的焦点可能并非单纯的隐私安全，或许还掺杂了对原站的一些情绪。我承认原站确实有不少管理人员倒卖绿宝石，和各种“神权”问题，但批评应聚焦于相关管理人员的具体行为，而不应泛化到整个论坛和管理组，甚至波及到论坛精神延续者的合理举措。

质疑值得鼓励，但不能为了质疑而质疑，为了批评而批评。红石中继站确实有不少欠妥当的政策，比如 禁止帖子编辑#791 ，我就认为坛方没能说清楚原因，只以“监管和管理成本的考虑”云云搪塞，毫无逻辑，更难以服众。我认为如果您有闲时，完全可以在这些真正大大影响到论坛使用体验的问题上周旋，而不是在实名认证上钻牛角尖。

有点偷换概念了 SakuraFrp作为内网穿透运营商
涉及的业务是在国内被重点监管的IDC/ISP业务
执行接触式强实名是可以理解的 因为不只是Frp 几乎任何有国内业务的IDC/ISP都要求执行接触式强实名
但中继站作为一个游戏社交类型的论坛 执行的居然也是接触式强实名
加上在泥潭时代部分管理员的一些令人引起争议的行为
使得执行接触式强实名是显得过度的
与其接着找出各种法律法条来开辩论 不如将实名政策更换为非接触式强实名 并且支付宝也提供了相关的接口 允许在论坛侧不接触实名信息的情况下完成对用户的身份验证

Sheep-realms

目前论坛使用的强实名策略，已是强实名策略中的最低标准。

据我们所了解到的支付宝实名认证接口都必须由我们主动传递身份信息，支付宝只负责核对信息。

以下提供支付宝相关文档：

https://opendocs.alipay.com/open/02ahjy?pathHash=ed72e8ea&ref=api&scene=common

happy

作为一个普通网民我是不会在这个站提交实名的，因为感觉没必要且不安全，如果不实名会影响到我的正常使用，那我会选择不用，相信大多数人也都是这样。

SnowCutieOwO

@happy 没有人强求你身份验证。只有发布资源时才会要求你进行身份核验，其他情况如下载、浏览、回复等不需要。

happy重生锚

@Wu-You 我也好奇为什么“发布资源”的功能在论坛中需要进行强实名，这和 IDC/ISP 这种较为敏感的业务相比显然不是一回事。何况资源发布也需要进行审核，有了审核这一步骤，强实名似乎显得没那么必要，因为包含违规内容的资源在审核这一步就会被退回封号了，若情节严重也可以通过手机号报告给相关部门。似乎手机号弱实名就足矣满足这个场景了。（就像在B站上发布视频也只需要进行手机号弱实名一样，不过也不排除由于平台性质与体量不同导致需要遵守不同规则的可能性）

BaimoQilin

@Wu-You 你好！论坛因其言论自由属性,受到政府与网站建设同等程度的严格监管。

混乱Chaos

@happy重生锚 因为手机号在实际情况中很难锁定违法犯罪者，存在虚拟手机号、业务用无实名手机号、盗用他人手机号等规避情况，其仿冒成本相比于实名认证要低得多。