【内容提要】在过去三十年的中国互联网治理中，双重认证机制让国家得以用更小的财政成本谋求更大的公共安全收益，但其实效往往取决于行为认证主体所实际掌握的自由裁量权。这种自由裁量权越大，国家治理所遭遇的挑战也越大。本文揭示了旨在协调国家认证与社会认证之间关系的双重认证机制的形成过程，并探讨了这一机制对网络空间的“可治理性”的价值，及其给政府、作为网民的公民、企业与网络基础架构之间关系带来的新变化，以及社会的自我保护需求所催生的新政治、新法律和新政策。

【关键词】身份认证；行为认证；双重认证；法律规制；互联网治理

在新冠肺炎疫情暴发之前，人脸识别等新技术的兴起，掌握海量个人网络身份、行为和财产信息的互联网平台巨头的崛起，已经引发中国社会的广泛关注，中国政府也因此正在强化对个人信息保护、生物信息安全和具有准公共物品性质的商业数据安全的立法。在新冠肺炎疫情暴发之后，出于防疫需要收集的个人信息在疫情结束后如何处理，也备受社会各界重视。这些方面都凸显了新的认证机制在互联网治理中的重要作用。

一、通过认证的互联网治理

二十余年前，斯坦福大学互联网与社会研究中心创始人、哈佛大学法学院罗伊·弗曼法学与领导学讲席教授劳伦斯·莱西格（Lawrence Lessig），在其堪称互联网法律研究奠基之作的《代码》中提出：有了数字身份技术，互联网的基础架构将更容易控制和规制。2006年，莱西格又在其《代码2.0》中重申了这一判断。诚哉斯言。人们惯常所见的，往往是数据迷雾所创造的匿名幻象，或是信息爆炸所缔造的技术乌托邦或网络空间的“去中心化”。人们常常忽略信息技术其实是一把双刃剑，可以同时强化“去中心化”与“再中心化”、“去规制化”与“再规制化”、“去治理化”与“再治理化”。在现实层面，1968-1998年，人们更重视互联网的“不可治理性”。从1999年起，人们更侧重互联网的“可治理性”。莱西格所坚持的，正是这一认知转折的关键所在。他所说的数字身份技术，就是信息技术革命所催生的新认证机制。

所谓认证，是指国家通过收集、识别、确认和证明人（自然人、法人）、财（固定或流动财产）、物（自然物、人造物）、行（犯罪、社会和经济行为）、事（社会经济事务）等基本社会事实，建立起数据与人的对应关系，减少信息与权力的双重不对称现象，提升人之于国家的“可治理性”的政治过程。美国的社会安全号码、英国的国民健康号码、瑞典的个人信息码和中国的公民身份号码等，就是这种由中央政府代表国家建立的现代认证机制。这种现代认证机制通过固定人的生物、社会和经济特征及其变化，并把这些个人资料整合在政府维护的各类基础公共数据库中，用数字标示人，用编码代表人。简言之，认证意味着现代人的生物、社会和经济特征及其变化成为“国家基础权力的基础”，成为解决大规模社会治理困境的抓手，成为最具公共性的公共物品。

在互联网治理领域，最基本的认证主要包括身份认证和行为认证两大类。身份认证，是指对标示网络用户生物特征和社会特征的信息的收集、识别、确认和证明。生物特征包括姓名、年龄、住所、地址、体质、体貌、照片、衣着、文身、指纹、掌纹、声纹、血型、脱氧核糖核酸等；社会特征包括性别、民族、种族、语言、宗教、就业、阶级阶层、教育程度、性取向、社会身份、职业技能等。作为身份认证的基本机制，公民身份依赖政府颁发的各类证照号码文件获得确证，比如出生证、结婚证、离婚证、社保证、死亡证、身份证、学生证、工作证、驾驶证、护照、通行证、交通卡，以及纳税号码、社保号码、医保号码等。在互联网世界中，用户的姓名、住址、出生日期、身份号码、电话号码、账号、接入网络的终端编码以及使用互联网服务的时间和地点等个人信息，均可单独或与其他信息结合来识别用户的真实身份。

身份认证主要发生在互联网的物理层，权力主体是国家，行为主体或授权主体是有权代表国家的政府。由于身份认证直接关涉公民资格、公民身份和公民权利，身份认证权直接影响国家主权的完整性、有效性和正当性，无论由个人还是商业公司、社会组织掌握都极易引发纠纷，只有归于国家，才能避免社会层面陷入全面对抗的利维坦状态。因此，公民身份信息属于国家权威的微观基础，身份认证属于国家权力和公共服务，身份数据库可以说是最基础的公共物品，身份认证是一种非常明显而必要的“国家认证”。

行为认证，是指对互联网用户的网页浏览、网络游戏、网络视听、网络买卖、信息沟通、上传下载、影像传播等网上行为的收集、识别、确认和证明。行为认证更多发生在互联网的代码层，由于其频率非常高、规模非常大，且与作为公民的网民的通畅、便利、有效的信息沟通权利直接相关，主体往往是互联网运营者，这种社会主体承担的行为认证可称为“社会认证”。

事实上，不仅现实世界须臾离不开认证，在互联网这个“信息乌托邦”里，认证也无处不在，它是互联网治理链条的第一环，并嵌入信息网络系统的每个环节、每个层次的基础组织架构。因此，认证堪称互联网治理的基石，由身份认证、行为认证所构成的双重认证机制及其内部关系的协调，对于建构合理有效的互联网治理体系尤为关键。

二、嵌入身份认证

中国的互联网治理嵌入身份认证是个渐进的过程。1987年9月，中国学术网在北京计算机应用技术研究所正式建成中国第一个国际互联网电子邮件节点。9月14日中国第一封电子邮件发出，内容如下：“Across the Great Wall we can reach every comer in the world（越过长城，走向世界）”，这一电邮似乎在无意中预示了中国互联网治理的重心演变。

1994年4月20日，随着北京市海淀区中关村教育与科研示范网络工程接入互联网，中国首次开通互联网的全功能服务。在此两个月前，1994年2月18日，国务院发布第一部互联网法规《中华人民共和国计算机信息系统安全保护条例》，旨在确保物理“系统”的安全，包含设备、设施、环境和信息安全及正常运行，重点维护国家事务、经济建设、国防建设、尖端科技，并创立沿用至今的等级保护制度。这部以安全为首要目标的法规，标志着以公安部为主要执法主体之一的中国互联网治理从物理层开始了。

1996年2月1日，国务院发布《中华人民共和国计算机信息网络国际联网管理暂行规定》，确立了中国的国际联网原则：统筹规划、统一标准、分级管理、促进发展，在管理上采取“新旧区分”。已建立的互联网络，分别由邮电部、电子工业部、国家教育委员会和中国科学院管理。新建的互联网络，由国务院信息化工作领导小组作为执法主体，由其负责协调解决国际出入口信道提供单位、互联单位、接入单位和用户的权利、义务、责任及检查监督等问题。该法规的实施细则首次规定在物理层向传输层过渡时，要进行身份认证：用户向接入单位申请国际联网时，应提供有效的身份证明或者其他证明文件，并填写用户登记表。这是身份认证在中国互联网治理中的首次亮相。

1999年10月7日，国务院发布《商业密码管理条例》。针对不涉及国家秘密的信息进行加密保护或者安全认证所使用的密码技术和密码产品，由国家密码管理机构负责管理。商用密码的科研、生产均是指定型的特许业务，并在其销售环节设置了针对销售者的身份认证要求：用户的名称（姓名）、地址（住址）、组织机构代码（居民身份证号码）以及每台商用密码产品的用途，并将登记情况报国家密码管理机构备案。这一行政法规主要规范物理层。

可以看出，1994-1999年为中国互联网的起步期，认证主要嵌入物理层的治理，并在从物理层向传输层过渡之际，设置了身份认证，既针对法人，也针对自然人。而内容层规制则不以身份认证为前提条件，尽管治理对身份认证有内在要求。

进入21世纪，中国互联网治理的身份认证水平在物理层进一步提升。2003（，掌握域名规制权的信息产业部发布《中国互联网域名管理公告》，规定互联网信息服务提供者网站的互联网域名或IP地址下所包括的信息内容必须合法，强化了域名注册申请者的身份认证要求：域名注册信息必须真实、准确、完整，并与域名注册服务机构签订用户注册协议。2005年，信息产业部发布《互联网IP地址备案管理办法》，规定法人和自然人均须报备包含完整身份认证信息的IP地址信息。2006年，信息产业部发布《互联网电子邮件服务管理办法》，规定中国对互联网电子邮件服务提供者的电子邮件服务器IP地址，实行向电信管理机构登记管理的制度。2009年，工业和信息化部发布《通信网络安全防护管理办法》，要求电信业务经营者和互联网域名服务提供者管理和运行的公用通信网和互联网的网络安全防护工作，均须接受电信管理机构监管。很明显，这一时期身份认证的重心是互联网信息服务提供者，对法人的身份认证要求明显高于自然人。

此后，身份认证重心开始从法人转向自然人。2013年9月1日，工业和信息化部制定的《电话用户真实身份信息登记规定》开始实施。2014年8月，国家互联网信息办公室发布《即时通信工具公众信息服务发展管理暂行规定》，即时通信工具服务提供者按照“后台实名、前台自愿”原则，要求用户通过真实身份信息认证后注册账号。即时通信工具服务使用者注册账号时，应与即时通信工具服务提供者签订协议，承诺遵守法律法规、社会主义制度、国家利益、公民合法权益、公共秩序、社会道德风尚和信息真实性“七条底线”。随后，2014年8月26日，国务院授权重新组建的国家互联网信息办公室负责全国互联网信息内容管理和监督管理执法，身份认证原则得到进一步强化。

2014年5月9日，中央网信办发布《关于加强党政机关网站安全管理的通知》，把身份认证设定为党政机关网站安全管理的重要内容。2015年4月，中共中央办公厅、国务院办公厅发布《关于加强社会治安防控体系建设的意见》，将身份认证作为信息网络防控网建设的重要环节，其作用首次在社会治理意义上得以确认。

三、嵌入行为认证

2004年，国家广播电影电视总局发布《互联网等信息网络传播视听节目管理办法》，针对以互联网协议（IP）作为主要技术形态，以计算机、电视机、手机等各类电子设备为接收终端，通过移动通信网、固定通信网、微波通信网、有线电视网、卫星或其他城域网、广域网、局域网等信息网络，从事开办、播放（含点播、转播、直播）、集成、传输、下载视听节目服务等活动。2005年，国务院新闻办公室、信息产业部联合发布《互联网新闻信息服务管理规定》，针对互联网新闻信息服务单位登载、发送的新闻信息或者提供的时政类电子公告服务，规定了与2001年信息产业部电子公告服务审批管理制大致相同的行为认证要求。同年，信息产业部专门针对移动通信网络不良信息传播治理发布部门规章，确立了针对违法信息内容发布的行为认证原则：“谁经营、谁负责”，要求经营者从技术上强化行为认证：加强对移动通信网络所接入和传输的文字、声音、图像和视频等信息的日常动态监测和实时监测。这是在社会安全意义上确保法律与秩序的一般原则。

除了出于社会安全目的要求企业进行违法信息内容发布者的行为认证以外，互联网信息服务的一般行为认证规则也逐渐清晰。2011年，工业和信息化部通过《规范互联网信息服务市场秩序若干规定》，确立了针对一般互联网信息服务的行为认证三大基本原则：同意原则、正当原则、安全原则。同意原则，是指未经用户同意，互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户的信息，不得将用户个人信息提供给他人，法律、行政法规另有规定的除外。正当原则，是指即使用户同意收集个人信息，也应当明确告知用户收集和处理用户个人信息的方式、内容和用途，不得收集其提供服务所必需以外的信息，不得将用户个人信息用于其提供服务之外的目的。安全原则，是指互联网信息服务提供者须加强系统安全防护，依法维护用户上载信息的安全，保障用户对上载信息的使用、修改和删除。互联网信息服务提供者不得无正当理由擅自修改或者删除用户上载信息；不得未经用户同意，向他人提供用户上载信息，但是法律、行政法规另有规定的除外；不得擅自或者假借用户名义转移用户上载信息，或者欺骗、误导、强迫用户转移其上载信息；不得有其他危害用户上载信息安全的行为。

与此同时，中国互联网治理还将行为认证嵌入代码层，嵌入重要信息系统的安全维护。2003年，微软公司与中国政府签署政府安全协议，向中国政府提供操作系统的源代码。2009年，工业和信息化部发布《互联网网络安全信息通报实施办法》，将重要信息系统界定为“政府部门、军队以及银行、海关、税务、电力、铁路、证券、保险、民航等关系国计民生的重要行业使用的信息系统”。2014年，中国银行业监督管理委员会发布《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》和《银行业应用安全可控信息技术推进指南（2014-2015年度）》，提出为实现2019年安全可控信息技术在银行业总体达到不低于75%的使用率，银行业金融机构要能够掌握重要信息系统的设计原理、设计架构、源代码等核心知识和关键技术，拥有该系统完备可用的资料，具有自行开展系统维护的能力，因此，信息技术企业要向银监会备案源代码。2015年，国际商业机器公司（IBM）接受中国政府的要求，工业与信息化部将审查其产品的源代码。这确立了中国针对关键信息基础设施的行为认证原则：互联网信息服务提供者在代码层的行为认证，必须接受中国政府的源代码安全审查。关键信息基础设施的定义在2016年《中华人民共和国网络安全法》中进一步扩展，包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施

2016年，《中华人民共和国网络安全法》在网络信息安全专章中，设定了包括严格保密、合法、正当、必要、同意和匿名使用等在内的网络运营者行为认证原则（第四十至四十二条），行为认证原则从部门规章上升为国家法律。

四、构筑双重认证

双重认证机制的形成，同样是个渐次推进的过程。1997年，公安部制定《计算机信息网络国际联网安全保护管理办法》，在执行细则中规定：“具有保存3个月以上系统网络运行日志和用户使用日志记录功能，内容包括IP地址分配及使用情况，交互式信息发布者、主页维护者、邮箱使用者和拨号用户上网的起止时间和对应IP地址。”“交互式栏目的信息等开设交互式信息栏目的，具有身份登记和识别确认功能。”行为认证和身份认证并列为“安全保护技术措施”，这是双重认证机制在部门规章层级的雏形。

2000年国务院发布《互联网信息服务管理办法》，对互联网信息服务提供者的身份和行为确立了双重认证原则。2012年的修订版征求意见稿重申并强化了这一原则。

2000年通过的《中华人民共和国电信条例》，堪称中国信息网络治理的基本法，它既规制物理层，也规制内容层，既规制传统的固定电话、移动网络电话、卫星通信、互联网以及带宽、波长、光纤、光缆、管道等网络物理层，也规制利用这些公共网络物理层提供电信和信息服务的内容层。因此，这里的“电信”无所不包，覆盖利用基于无线电频）、卫星轨道位）、电信网码号的有线或无线电磁系统或广电系统等稀缺资源，收发语音、文字、图像等一切信息的活动。电信条例的基本法地位，赋予1998年成立的信息产业部巨大的信息网络空间治理权。2000年，信息产业部发布《互联网电子公告服务管理规定》，双重认证机制的雏形在这一中国首部内容层规制法中至关重要，但二者的地位并不平衡，行为认证优于身份认证。行为认证包括多个环节：发现违法信息，保存信息内容记录及其发布时间，然后立即删除违法信息，向国家机关报告。身份认证有两类：一是针对法人的，记录互联网地址或域名；二是针对自然人的，记录上网时间、用户账号、互联网地址或域名和主叫电话号码，用以识别发布者的身份。此时，并未要求用户在发布信息前的账户注册时必须使用真实的身份信息，也就是说，从物理层到传输层的身份认证还不是法律义务。

这一疏漏很快得到补正。2001年，信息产业部发文提出电子公告服务审批管理制，强化了身份认证和行为认证，前者通过用户登记制度进行，要求提供真实、准确、最新的个人信息，包括姓名、电话、身份证号码，后者则以列举方式说明具体环节，包括栏目明确、版主负责、规则张贴、安全过滤，新闻、出版、教育、医疗保健、药品和医疗器械等特殊专业互联网信息服务审核制，以及工作责任、工作联系、违法处罚等。2001年教育部《高等学校计算机网络电子公告服务管理规定》也采纳了上述机制。

双重认证机制同样出现在对网吧、游戏、音乐等特殊物理层和内容层的治理上。2002年，文化部牵头，会同工商总局、公安部、信息产业部、教育部、财政部、广电总局、法制办、中央文明办、共青团中央，成立全国网吧等互联网上网服务营业场所专项整治工作协调小组，通过《互联网上网服务营业场所管理条例》，首次同时设定身份认证和行为认证。2003年5月10日发布的《互联网文化管理暂行规定》，将进口网络游戏产品的内容规制权授予文化部。2006年，文化部又获得进口网络音乐的内容规制权。2007年，文化部、国家工商行政管理总局、公安部、信息产业部、教育部、财政部、监察部、卫生部、中国人民银行、国务院法制办公室、新闻出版总署、中央文明办、中央综治办、共青团中央联合禁止网吧接纳未成年人，通过网吧现场检查记录制度、网吧日常检查频度最低标准制度和网吧违法经营案件处理公示制度，违法经营网吧的黑名单制度，信息安全管理制度，以及可以暂停互联网接入服务制度。2010年，文化部在《贯彻实施〈网络游戏管理暂行办法〉的通知》中，要求网络游戏运营企业要建立、完善有效的实名注册系统，包括网络游戏用户的真实姓名、有效身份证件号码、联系方式等信息，保存上述信息，并在实名注册系统中向用户明确告知个人信息及隐私保护政策。

作为对过去18年治理经验和教训的总结，全国人大常委会于2012年12月发布《关于加强网络信息保护的决定》，为双重认证机制提供了最高权力机关层级的法律确认。

图片

如图1所示，双重认证机制出现在互联网接入服务、内容服务两个环节和物理层、传输层、内容层多个层级，具体表现为：在信息从物理层转向传输层、从传输层转向内容层之际，信息服务提供者必须就用户信息的真实性进行两次身份认证，这样就可以识别内容发布主体；从内容层转向传输层之际，信息服务提供商承担法定责任，必须针对用户的信息发布做行为认证，这样就可以确认发布或传输的合法性。两个环节的身份认证和多个环节的行为认证，共同构成了中国互联网治理的双重认证机制。

四年后，全国人大常委会将双重认证机制写入了2016年《中华人民共和国网络安全法》，并在此后至今颁布的一部法律、两份行政法规、三十五个部门规章中反复确认，广泛适用于网络安全、上网、直播、微博客、新闻信息、论坛社区、跟帖评论、群组信息、公众账号、网络游戏、电子证据、移动互联网应用程序、网约车、区块链等信息服务领域。

在双重认证机制正式确认之前，中国互联网治理的责任政府模式愈加明显，及时回应来自家长、学校、用户、大众的社会压力成为常态化的治理理由。发展与治理并重乃至成为后者的前提，治理水平在跌跌撞撞中逐步提升。中国互联网治理架构大致可以分为两个阶段。第一个阶段是1994-2013年。如图2所示，这一时期的互联网治理总体上是分而治之，以“对口管理、分工共治”为主要特征，具有互联网治理权的部门包括国务院信息化工作领导小组（国家互联网信息办公室）、国务院新闻办、公安部、国家密码管理局、工业与信息化部（原信息产业部）、国家广播电影电视总局、新闻出版总署、教育部、文化部、卫生部、国家食品药品监督管理局和互联网协会。这些部门按照既有的块块分工，分别行使互联网行政执法权、行政立法权，但在内容治理上存在多重交叉。全国人大常委会分别于2000年和2012年在互联网安全和网络信息保护领域上行使了国家立法权。

图片

随着信息网络在国内和国际各类事务上的应用和影响越来越大，以及国际互联网治理博弈的加剧，决策层的信息与网络安全意识逐渐强化，双重认证机制在中国互联网治理领域正式确立，认证开始深度嵌入物理层、传输层、内容层和代码层。2014年2月27日，中央网络安全与信息化领导小组正式成立，中央网络安全与信息化领导小组办公室和国家互联网信息办公室为“一个机构、两块牌子”。2014年8月26日，国务院授权国家互联网信息办公室行使全国互联网信息内容管理和监督管理执法权，中国互联网治理的第二阶段由此开始。2018年3月中央网络安全与信息化领导小组升格为中央网络安全与信息化委员会，中央网络安全与信息化委员会办公室为办事机构。如图3所示，中国互联网治理的基本模式发生巨大变化，从“对口管理、分工共治”转向“中央集中、对口分工”模式。

图片

这种模式初步解决了以往互联网治理权过于分散的问题，中央网络安全与信息化委员会统一行使互联网信息内容管理的行政立法权、指导权、监督权和部分执法权，2014年至今已经在互联网用户账号、互联网新闻信息服务及单位管理、外资金融信息服务管理、党政机关网站安全管理、互联网信息搜索、互联网直播、网络安全标准化、互联网信息内容管理执法程序、互联网新闻信息服务单位内容管理从业人员管理、互联网论坛社区、互联网跟帖评论、互联网群组信息、互联网用户公众账号信息、互联网新闻信息服务新技术新应用安全评估微博客信息、区块链信息等方面制定了二十余份行政法规。但是，在互联网治理架构理顺了中央部门的内部关系，走向“中央集中、对口分工”模式的过程中，也正在遭遇新的问题，“认证权不对称”就是其中之一。“认证权不对称”往往是身份认证与行为认证、国家认证与社会认证之间关系失衡的产物。

五、双重认证间关系

我们可以通过浙江省高院与阿里巴巴的“智慧法院”合作案例，观察这种身份认证与行为认证、国家认证与社会认证之间关系的失衡现象。2015年11月25日，《人民法院报》第1版发表了一篇题为《浙江高院联手阿里巴巴打造“智慧法院”》的报道，全文概括如下：

今后，司法文书可能再也不会因你填写虚假地址而无法被送达，而在法院的不良记录也可能让你再无法从网上购买奢侈品、机票和申请贷款，支付宝还会时时推送“还债”的温馨提示……通过大数据，这些司法方式走近我们身边。24日，浙江省高级人民法院与阿里巴巴集团签署战略合作框架协议，聚焦阿里巴巴旗下淘宝、阿里云和蚂蚁金服在云计算、大数据和用户方面的资源优势，帮助浙江法院构建司法领域的大数据服务体系，搭建符合信息时代特征的集网络、阳光、智能为一体的“智慧法院”。

双方将以审务云平台为依托，整合浙江法院案件数据资源，结合公安、政务、金融、电商、社交、交通等周边数据，形成跨界融合、全面覆盖、移动互联、智能应用的“智慧法院”大数据生态圈。全省法院丰富的案例资源结合互联网大数据的优势和阿里巴巴不断提升的多维度分析、数据可视化、深度机器学习、人工智能等方面的技术沉淀，……提高司法预测预判能力和应急响应能力，让数据为司法业务服务。双方还将……深度融合，充分利用阿里巴巴集团的大数据，助推法院在送达、审判和执行环节提升效率……浙江法院系统顺利对接阿里巴巴平台的海量数据，不但突破空间限制，实现电子商务纠纷从起诉到举证、庭审、判决、执行全流程在线解决，还能通过数据分析精确锁定被告人常用的收货电话和地址，帮助司法文书顺利送达。同时，浙江法院和蚂蚁金服平台的芝麻信用对接，利用在蚂蚁金服平台上沉淀大量用户的消费数据，逐步实现法院关于涉诉人员资产信息的在线查询、冻结等。相关人员一旦有了在法院的不诚信记录，在花呗申请贷款、通过支付宝购置机票和奢侈品都将成为奢谈。

据了解，浙江高院此次还引入了阿里云存储技术，对法院的庭审直播视频数据、裁判文书等诉讼档案进行电子化存储，并通过网上法院平台实现案件审判流程信息、法院工作情况和公共信息、庭审视频及裁判文书的公开上网，打造更加开放、更加透明的阳光司法机制。签约当天，浙江高院审务云大数据平台还发布了危险驾驶犯罪案件和电子商务纠纷等大数据分析模型，正式上线运行支付宝余额查控和当事人互联网数据共享两项新功能。

这篇报道点出了法院所面临的身份认证困境，即当事人的地址信息不真实导致司法文书无法送达，解决的办法是法院借助商业公司提供的网络用户的行为数据，将自己变成“集网络、阳光、智能为一体的智慧法院”。“智慧法院”整合了全省法院的案件数据，结合公安、政务、金融、电商、社交、交通等周边数据，借助商业公司的信息处理技术，帮助法官做出科学的司法决策，还利用商业公司的大数据，提高法院的送达、审判和执行效率。这是法院与商业公司在信息网络空间的合作。

这篇报道详细描绘了法院与商业公司在现实世界的合作。合作涉及电子商务纠纷的全流程在线解决及数据分析、涉诉人员资产信息的在线查询和冻结、危险驾驶犯罪案件的数据分析、用户电子金融账户余额查控、当事人互联网数据共享以及利用阿里云存储技术推动司法公开。其中非常值得关注的是，通过商业公司的数据锁定被告人常用的收货电话和地址，利用该公司所拥有的海量用户行为数据，绘制包括身份信息、联系信息、消费数据、金融数据在内的涉诉人员信息画像，以顺利送达司法文书。

这为人们探讨互联网运营者的行为认证与国家政府的身份认证之间的关系提供了新的实例，具有非常鲜明的阶段性特点。其中，法院对网民的公民身份认证是通过企业所提供的行为认证信息实现的，换言之，政府部门的身份认证权的效力最终是由市场部门的行为认证所保障的。政府这么做是出于现实的需要，但这也在很大程度上意味着国家认证与社会认证之间关系的失衡，并且这种失衡广泛存在于网络安全、公共治理、电子金融、电子商务、药品安全监管、教育、个人社会信用等网络空间与现实世界的重叠交织地带，由此引发一系列值得深思的问题，比如，如何理解国家所掌握的身份认证权、社会主体所行使的行为认证权各自的边界及其相互关系？在什么情况下需要对身份认证、行为认证进行比对？双重认证机制是否能对网络安全的破坏者施加足够的法律威慑、是否能有效回应互联网用户对个人隐私的担忧、能否促进网络信息的依法有序自由流动？回答这些问题，有助于人们理解中国互联网治理的发展趋势。

结语

在过去三十年的中国互联网治理中，以身份认证为主要内容的国家认证日渐突出，以行为认证为主要内容的社会认证也愈加明显。国家提供真实、准确、完整的身份信息，并向社会主体施加行为认证的法律约束，这让行为认证更多体现为一种义务而非权利。这种关系架构让国家得以实现“俭省的治理”，用更小的财政成本谋求更大的公共安全收益。但是，这种治理的实效往往取决于行为认证主体所实际掌握的自由裁量权，这种自由裁量目前看来是非常大的，国家治理因此遭遇很大挑战。为了协调国家身份认证与社会行为认证的相互关系，双重认证机制应运而生。双重认证机制的形成，是中国互联网治理从物理层到传输层、再从内容层直至代码层一步一步“摸着石头过河”的结果，不是层际跃迁的结果，这也可以说是中国信息网络空间的政治、法律与政策体系的总体发展趋势。这一机制能否持续提升信息网络空间的“可治理性”，又将给政府、作为网民的公民、企业与网络基础架构之间的关系带来什么样的新变化，以及社会的自我保护需求又会催生何种新的政治、法律与政策，仍然值得进一步观察分析。