上传手持身份证的风险分析

最近在开通某网站部分功能时，笔者被要求上传手持身份证照片。对于日常谨小慎微连用微信或支付宝关联登录都要思考一下的笔者来说，看到这个要求大脑立刻按下了暂停键，研究起了其中的风险系数。现就梳理成果与大家分享~

为什么要上传手持身份证照片？有何法律依据？

大部分网络运营者给出的理由是为了满足法律法规要求的实名制规定。笔者查证，《网络安全法》第二十四条规定，“网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。”

这一条款的存在，成为网站或手机应用程序要求用户提供真实身份信息的主要法律依据。要求用户上传手持身份证照片的主要目的则是为了证明用户之前上传的信息（包括身份证等）和用户本人是相吻合的。不可否认的是，在互联网世界，这的确是一个快速的验证方法。

但“提供真实身份信息”是否一定要采取所谓上传“人证合一”照片的方式来处理？网络运营者是否只能通过这种方式来验证用户的真实信息，而通过电话回访、问题设置、短信验证这些手段是否都无法验证？还是某些运营商出于“节省回访资源”的目的，或者出于最大程度“数据经济化”的考虑来收集用户信息？这些问题恐怕都有待运营商们自证才能明确了。

上传后会有什么风险？

已有不少新闻报导过，网络上存在私下买卖成套手持身份证照片的黑色产业链。有些用户担心上传手持身份证照片后会导致信息泄露，进而被不法分子利用冒名办理贷款或恶意欠款。但实际上，仅凭手持身份证照片上的个人信息是无法申请贷款的。贷款需要绑定本人银行卡，而银行卡的办理则必须由本人持身份证原件办理。在此过程中，还需要用户进行一系列包括视频在内的认证。因此，仅凭个人信息或手持身份证信息照片就冒名被办理正规贷款的可能性极小。

但网络的信息快速传播性还是对个人信息有着各种未知的风险。例如，一旦“人证合一”的信息泄露还是有可能产生身份被冒用、账号被窃取以及产生的一系列交易安全问题等等。而“人证合一”信息若是由不法分子配合电话号码等信息，则可能产生各类的电话诈骗、非法网络营销等问题。

如何规避风险？

我们的日常生活因各类饮食、购物APP而变得便捷，但这也导致了各类管理水准参差不齐的网络运营商都掌握着大量的用户信息。为保护公民信息安全，我国在2017年正式实施的《网络安全法》，里面的第四章详细规定了包括网络运营者的责任与义务、其工作人员的责任义务等一系列在内的网络信息安全条款。主要的条款包括网络运营者应建立用户信息保护制度；应遵循必要性原则，不得收集任何非必要信息；使用用户信息必须以用户同意为前提；用户发现网络运营者违法或违反约定使用信息的，有权要求删除。

尽管我国法律已有规定，但要真正做到防范风险还是需要用户自己多加留心。

首先，对于要求上传“人证合一”信息的网站或APP有一定删选，尽量选择大型互联网公司或规范的手机应用程序，避免小作坊式网站根本没有能力维护用户信息安全。

其次，注意网络运营者所收集的信息是否必须，有无过度采集之嫌，比如有些手机应用会过度收集位置信息，默认用户始终同意取得位置信息。

再次，在注册时需要对网站或APP注册时要求勾选的冗长的“隐私条款”或“信息使用条款”加以注意。

笔者注意到不少网络运营商的“隐私安全条款”中，收集的个人信息除了会用于改善产品及服务、数据研究外，还会转授权“合作伙伴”（包括各类服务提供商、广告咨询服务商等等）。对此类行为，是否属于擦边球有待考证。最后，用户上传“人证合一”照片时应注意添加相关水印，比如注明仅供XXX注册使用等。

信息被违法违规使用，用户该如何处理？

用户一旦发现自己的信息被违法违规使用的，有权要求网站运营者停止使用。如涉及侵犯名誉权或隐私权的情况，还可向法院起诉要求网络运营者停止侵害、赔偿损失等。

同时在起诉或与运营者进行交涉前，注意保留侵权证据。必要时可对网站或APP的信息进行公证，确认截至到哪个时点，运营者的侵权行为持续发生。