近幾年，個(gè)人信息泄露事件頻頻發(fā)生，國家相關(guān)部門也在積極出臺(tái)應(yīng)對(duì)措施。比如，公安部第三研究所就研發(fā)了獨(dú)立于公民身份信息系統(tǒng)之外的“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”，并通過了國家密碼管理局的安全審查，相關(guān)部門和金融機(jī)構(gòu)開始向公民簽發(fā)eID(公民網(wǎng)絡(luò)電子身份標(biāo)識(shí))。此舉的用意在于推廣公民的虛擬身份，避免公民個(gè)人信息泄露。目前，eID技術(shù)的應(yīng)用試點(diǎn)已經(jīng)廣泛開展，eID的一些優(yōu)勢(shì)也在逐步體現(xiàn)。然而，要想大規(guī)模普及這門技術(shù)，道路還很漫長(zhǎng)。

　　網(wǎng)絡(luò)實(shí)名與隱私的對(duì)立

　　在現(xiàn)實(shí)社會(huì)中，一人對(duì)應(yīng)一個(gè)專屬的身份信息，這是全世界的通用做法，政府管理和公共服務(wù)的基礎(chǔ)都是身份。在我國，早期是以戶籍制度進(jìn)行人口管理。改革開放之后，人口流動(dòng)規(guī)模的加劇，“戶口本”已經(jīng)難以管理和服務(wù)于人口的流動(dòng)。1984年，我國依托公安的戶籍管理體系發(fā)行了居民身份證。作為一級(jí)證件，公民在定契約、購房購車、就業(yè)、申領(lǐng)社會(huì)保障、登記結(jié)婚、銀行開戶、機(jī)場(chǎng)登記、入住酒店等各種場(chǎng)合都需要身份證，申領(lǐng)出國護(hù)照、駕駛執(zhí)照等二級(jí)證件時(shí)也離不開身份證。沒有身份證，個(gè)人在現(xiàn)實(shí)社會(huì)幾乎寸步難行，而對(duì)于整個(gè)社會(huì)活動(dòng)的運(yùn)行、管理，也難以想象。

 

攜程網(wǎng)信息泄密事件，充分說明了現(xiàn)行的網(wǎng)站驗(yàn)證機(jī)制很不靠譜

一代和二代身份證均定位于現(xiàn)場(chǎng)身份核實(shí)，在互聯(lián)網(wǎng)時(shí)代出現(xiàn)諸多不便

　　進(jìn)入21世紀(jì)，伴隨網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、信息技術(shù)的發(fā)展和應(yīng)用，早已形成一個(gè)龐大、活躍的網(wǎng)絡(luò)虛擬社會(huì)。據(jù)CNNIC的報(bào)告，截止2016年6月我國網(wǎng)民規(guī)模已達(dá)7.1億，我們的生活、工作已經(jīng)離不開網(wǎng)絡(luò)。有人的地方即是江湖，隨之而來的是大量的黑客、病毒、木馬、釣魚網(wǎng)站導(dǎo)致網(wǎng)民帳號(hào)丟失、信息資料被竊、資金被盜、電腦癱瘓等頻繁發(fā)生。怎樣管理網(wǎng)絡(luò)這個(gè)虛擬社會(huì)，我國一直在探索行之有效的辦法。早在2003年，網(wǎng)吧管理部門就要求客戶必須提供身份證實(shí)名登記，以及辦理一卡通、IC卡等;2004年中國互聯(lián)網(wǎng)協(xié)會(huì)提出郵件帳號(hào)實(shí)名制登記;2009年5月，杭州市人大頒布的《杭州市計(jì)算機(jī)信息網(wǎng)絡(luò)安全保護(hù)管理?xiàng)l例》，要求發(fā)帖、寫博客、注冊(cè)網(wǎng)游要提供有效身份證明;2010年7月至9月，國家工商總局、文化部、工信部及財(cái)政部相繼密集出臺(tái)“網(wǎng)店實(shí)名”、“網(wǎng)游實(shí)名”、“手機(jī)實(shí)名”及“彩票實(shí)名”等法規(guī)。

　　“在互聯(lián)網(wǎng)上沒人知道你是一條狗。”這則原載于《紐約客》雜志的漫畫曾生動(dòng)描述了互聯(lián)網(wǎng)的迷人之處，但現(xiàn)在已經(jīng)不再適用了。

　　我們不好評(píng)價(jià)這些法規(guī)是否夠完善，但各種場(chǎng)合都需要實(shí)名，也實(shí)實(shí)在在提高了隱私泄露的風(fēng)險(xiǎn)，“在互聯(lián)網(wǎng)上沒人知道你是一條狗”的時(shí)代一去不復(fù)返。越來越多的網(wǎng)站注冊(cè)會(huì)員都需要提供姓名和手機(jī)號(hào)，有些還需要提供身份證號(hào)甚至家庭住址，對(duì)于涉及資金交易的網(wǎng)站還必須提供銀行賬戶信息。而這些信息都是保存在網(wǎng)站上，這些網(wǎng)站的可靠性就成了問題。前年攜程網(wǎng)的信息泄密事件以及“2000萬條數(shù)據(jù)”鬧得人心惶惶，恐怕還引起了不少的家庭糾紛。

　　網(wǎng)絡(luò)實(shí)名和隱私保護(hù)一直是個(gè)矛盾。在互聯(lián)網(wǎng)這種開放環(huán)境，隱私一旦泄露，根本無法查找源頭和肇事者。除非你不上網(wǎng)，否則很難不留下什么隱私痕跡。因?yàn)橛行枨蟛庞惺袌?chǎng)，許多公司的營銷部門都會(huì)想方設(shè)法，以合法或非法手段弄到客戶信息。其實(shí)就算你不上網(wǎng)也不見得個(gè)人隱私就安全了。你在一個(gè)地方看了房并留下訂購意向，會(huì)接到其他的N個(gè)樓盤售樓人員的電話;你買了房，立馬會(huì)有人電話問你要不要裝修;你的汽車上了牌，隨后就有人電話告訴你可以退稅;你的保險(xiǎn)快要到期，各家保險(xiǎn)公司會(huì)紛紛打電話來推銷。至于網(wǎng)上購物更是重災(zāi)區(qū)，電商背后的什么客戶大數(shù)據(jù)共享平臺(tái)，那早就不是秘密。

　　另辟蹊徑的eID

　　細(xì)想起來，所有的隱私泄露問題，都是網(wǎng)站保存了用戶信息卻又無法妥善保管引起的。既然個(gè)人信息讓網(wǎng)站保管不靠譜，那不如所有的信息由一個(gè)權(quán)威部門來保管和核實(shí)。因此公安部第三研究所用了5年時(shí)間技術(shù)攻關(guān)，研發(fā)出網(wǎng)絡(luò)身份證eID識(shí)別技術(shù)，并建立全國唯一的“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”。

目前我國公民申領(lǐng)的eID卡，就是普通銀行卡上嵌入了eID芯片

公安三所eID技術(shù)展示現(xiàn)場(chǎng)

　　eID全稱electronic Identity，直譯為電子身份標(biāo)識(shí)或電子身份證件。按照國內(nèi)外對(duì)網(wǎng)絡(luò)身份管理的現(xiàn)狀和趨勢(shì)，eID應(yīng)具有唯一性和信息不可否認(rèn)性。說簡(jiǎn)單點(diǎn)，就是專門在網(wǎng)上使用的身份證。

　　2014年在上海召開的第16屆中國國際工業(yè)博覽會(huì)上，公安部第三研究所技術(shù)人員現(xiàn)場(chǎng)展示了eID技術(shù)的應(yīng)用。這是一張搭載了特殊芯片的銀行卡，將它貼在支持NFC的手機(jī)上讀取之后，便完成了《航旅縱橫》和《安保泓物流聯(lián)盟》兩款A(yù)pp的個(gè)人身份認(rèn)證流程，不需要用戶再提交自己的姓名、住址、電話、身份證號(hào)碼甚至銀行賬戶等個(gè)人信息。認(rèn)證之后，《航旅縱橫》為航旅人士提供了安全的航旅動(dòng)態(tài)信息服務(wù);《安保泓物流聯(lián)盟》依靠eID的電子簽名技術(shù)作為物流快遞行業(yè)簽收、派發(fā)物品的依據(jù)，有效避免了用戶隱私信息在中間環(huán)節(jié)泄露的風(fēng)險(xiǎn)，物品的遞送狀態(tài)一目了然。

　　公安三所eID項(xiàng)目負(fù)責(zé)人嚴(yán)則明主任介紹，eID采用“國密SM2”算法，由智能芯片生成私鑰，確保無法被讀取、復(fù)制、篡改或非法使用，從而保證芯片載體及其持有人一對(duì)應(yīng)。它由公安部門統(tǒng)一簽發(fā)證書、并經(jīng)現(xiàn)場(chǎng)身份審核、發(fā)放給公民，是公民可用于在網(wǎng)上遠(yuǎn)程證實(shí)身份的、可靠的、普適性的網(wǎng)絡(luò)電子身份證件。它符合我國《電子簽名法》第十三、十四條的規(guī)定，具有數(shù)字簽名及抗否認(rèn)的法律效力。

　　從表面上看，NFC讀取eID信息并驗(yàn)證，似乎也跟瀏覽器記錄表單的行為相似，其實(shí)不然。在整個(gè)過程中，網(wǎng)站壓根兒就不知道任何用戶信息，它只是提供一個(gè)認(rèn)證通道。當(dāng)用戶向網(wǎng)站提交eID信息時(shí)，網(wǎng)站將該信息提交給公安機(jī)關(guān)或相應(yīng)的權(quán)威部門進(jìn)行認(rèn)證，然后通知網(wǎng)站是否認(rèn)證通過。因此網(wǎng)站不需要保存公民的個(gè)人信息。這樣一來，就算網(wǎng)站遇到內(nèi)鬼或黑客，也得不到任何用戶信息。

　　那么提交eID的數(shù)據(jù)被截取怎么辦?北京郵電大學(xué)教授吳旭表示，“eID的加密算法在理論上是不可破解的，即使被讀出來，也只是沒有意義的字符串。”另一方面，eID內(nèi)其實(shí)也不存儲(chǔ)任何個(gè)人隱私信息，就算黑客利用天頂星科技讀出了eID的內(nèi)容，也只能知道這個(gè)eID代表誰，不會(huì)有更多的收獲。

　　在《航旅縱橫》這款A(yù)PP上，已經(jīng)有eID的登陸方式。

　　eID的發(fā)展現(xiàn)狀

　　eID是全世界都很重視的課題，國外eID建設(shè)都由各國的安全部門主導(dǎo)。歐盟在2005年要求各成員國政府主導(dǎo)，分別建設(shè)eID管理體系，并要求各國的eID在成員國之間得到承認(rèn)并互通，在電子政務(wù)和電子商務(wù)領(lǐng)域得到普及應(yīng)用。比利時(shí)動(dòng)作比歐盟更快，是最早最快推行eID的國家之一，該國依據(jù)《國家個(gè)人登記處組織法》從2003 年開始至2009年初發(fā)行了覆蓋了其總?cè)丝诘?0%以上的eID。比利時(shí)現(xiàn)行法律的規(guī)定，其公民必須擁有eID。

　　德國在2010年11月開始發(fā)行電子身份證，可享受需要身份認(rèn)證的各種網(wǎng)上服務(wù)和在線簽署購買合同或遞交各種申請(qǐng)。美國在2010年6月發(fā)布了 “國家網(wǎng)絡(luò)安全網(wǎng)絡(luò)空間可信身份的國家戰(zhàn)略”(NSTIC)草案，目標(biāo)是建立以用戶為中心的網(wǎng)絡(luò)身份生態(tài)認(rèn)證系統(tǒng)。俄羅斯在2012年1月1日開始發(fā)行普適性的身份證，具有醫(yī)療保險(xiǎn)、學(xué)生證件、公交卡和借記卡的功能，并包含公民唯一的eID并支持多層次的身份驗(yàn)證。 最終目的是取代目前的國家身份系統(tǒng)。韓國于2012年開始發(fā)行電子身份證，計(jì)劃2017年發(fā)行完畢。

　　從目前來看，eID認(rèn)證有著許多的優(yōu)越性。除了前述的“認(rèn)證不留痕”以外，辦理其他業(yè)務(wù)時(shí)能快速證明“你是你”。例如你的帳號(hào)被盜，要找回帳號(hào)需要找客服投訴，但客服怎么知道你是你?相信大部分人都遇到過QQ帳號(hào)申訴時(shí)令人崩潰的證明流程。但如果用eID登錄，分分鐘就能證實(shí)你的身份。

　　此外，eID還有撤銷機(jī)制。如果你的eID丟失，向網(wǎng)絡(luò)身份管理中心掛失之后，該eID將立刻被凍結(jié)或失效。相關(guān)部門還正在研究eID的回溯機(jī)制，意思是在丟失eID期間，其他人用你的eID做的任何事情都將無效。而目前的二代身份證是做不到這一點(diǎn)的，丟失身份證補(bǔ)辦之后，原來丟失的照樣可以用。當(dāng)然，實(shí)際情況是，就算丟失了eID，別人不知道口令，也無法使用，口令輸錯(cuò)幾次之后eID會(huì)自動(dòng)作廢。

　　根據(jù)公安三所嚴(yán)則明主任的介紹，eID由公安部門的網(wǎng)絡(luò)身份管理中心統(tǒng)一簽發(fā)，而網(wǎng)絡(luò)身份管理中心面向社會(huì)所有具有相關(guān)資質(zhì)的第三方認(rèn)證機(jī)構(gòu)開放接口，而且根據(jù)這些機(jī)構(gòu)的所處行業(yè)的法規(guī)、條例向其提供不同權(quán)限的身份信息認(rèn)證服務(wù)。例如，只向一般機(jī)構(gòu)提供eID的狀態(tài)(是否在有效期內(nèi)、是否掛失);向有實(shí)名法規(guī)要求的機(jī)構(gòu)，如銀行、網(wǎng)店等進(jìn)一步提供真實(shí)姓名和身份證號(hào);對(duì)于網(wǎng)游只提供年齡屬性服務(wù)(防止青少年沉迷于網(wǎng)絡(luò)游戲)，而其它隱私信息除持證人自愿外一概不予提供。這樣一來，就杜絕了現(xiàn)行網(wǎng)絡(luò)注冊(cè)時(shí)需要提供大量個(gè)人隱私信息而遇到被濫用的風(fēng)險(xiǎn)。

　　典型的信息壁壘：每家銀行都有不同的U盾，無法通用。無論攜帶還是記憶口令，都是個(gè)問題。

　　普及路漫漫

　　2012年，北京郵電大學(xué)創(chuàng)建了高校第一個(gè)eID示范應(yīng)用試點(diǎn)，向全校師生發(fā)放了近3萬個(gè)eID USB Key。之后通過工行等金融機(jī)構(gòu)試點(diǎn)發(fā)行了超過600萬張的eID，但這些試點(diǎn)并沒有取得預(yù)期效果，發(fā)行eID的銀行網(wǎng)點(diǎn)、開通eID功能的用戶和接入的互聯(lián)網(wǎng)服務(wù)機(jī)構(gòu)還是很少。

　　思維模式不同是導(dǎo)致eID普及難的重要原因之一。互聯(lián)網(wǎng)信息傳播呈現(xiàn)即時(shí)化、扁平化和全局化的特性，而傳統(tǒng)的行政管理體系以行政區(qū)劃，按條、線、面，分層級(jí)的分割模式，信息管理仍局限在這一舊有的框架之內(nèi)，這就導(dǎo)致了信息壁壘并形成了“信息孤島”，使得信息共享成為一句空話。

　　傳統(tǒng)的行政框架并不太適合互聯(lián)網(wǎng)信息傳播模式

　　嚴(yán)則明主任以我國第三方數(shù)字認(rèn)證中心(CA)為例來說明這種信息壁壘。行業(yè)CA由部委或行業(yè)巨頭主導(dǎo)，服務(wù)于各自行業(yè)，如：商務(wù)部的國富安 CA、中國電信的CTCA、中國人民銀行的中國金融認(rèn)證中心(CFCA)等;地方CA由各省、直轄市政府主導(dǎo)，服務(wù)于地方的電子政務(wù)及地方企業(yè)的電子稅務(wù);還有各大商業(yè)銀行自建并服務(wù)于自身銀行的專業(yè)CA等。發(fā)展至今，全國已有30家行業(yè)性和地方性CA，形成了條塊割據(jù)的局面。這30家CA在全國頒發(fā)的個(gè)人數(shù)字證書總數(shù)量不到800萬張，一方面?zhèn)€人證書發(fā)不出去，另一方面又缺少應(yīng)用，各地CA難以互通互聯(lián)。這些都是因?yàn)椤靶姓^(qū)劃”的思維分隔了本應(yīng)“互聯(lián)”的網(wǎng)絡(luò)所造成的。而服務(wù)于網(wǎng)絡(luò)的eID，如果不能在全國范圍內(nèi)互通互聯(lián)，則失去了意義。

　　法制不健全是另一個(gè)原因。中國社會(huì)科學(xué)院哲學(xué)研究所研究員張曉明認(rèn)為，在涉及社會(huì)安全的措施里，很多是沒有經(jīng)過人大授權(quán)、立法的。eID這種基礎(chǔ)性的設(shè)施，以后與商業(yè)性的技術(shù)體系都會(huì)掛鉤，因此更要經(jīng)過人大的討論、授權(quán)才能廣泛推廣，以避免出現(xiàn)更大的漏洞。