網絡實名與隐私的對立
在現實社會中,一人對應一個專屬的身份信息,這是全世界的通用做法,政府管理和公共服務的基礎都是身份。在我國,早期是以戶籍制度進行人口管理。改革開放之後,人口流動規模的加劇,“戶口本”已經難以管理和服務于人口的流動。1984年,我國依托公安的戶籍管理體系發行了居民身份證。作為一級證件,公民在定契約、購房購車、就業、申領社會保障、登記結婚、銀行開戶、機場登記、入住酒店等各種場合都需要身份證,申領出國護照、駕駛執照等二級證件時也離不開身份證。沒有身份證,個人在現實社會幾乎寸步難行,而對于整個社會活動的運行、管理,也難以想象。
進入21世紀,伴随網絡基礎設施建設、信息技術的發展和應用,早已形成一個龐大、活躍的網絡虛拟社會。據CNNIC的報告,截止2016年6月我國網民規模已達7.1億,我們的生活、工作已經離不開網絡。有人的地方即是江湖,随之而來的是大量的黑客、病毒、木馬、釣魚網站導緻網民帳号丢失、信息資料被竊、資金被盜、電腦癱瘓等頻繁發生。怎樣管理網絡這個虛拟社會,我國一直在探索行之有效的辦法。早在2003年,網吧管理部門就要求客戶必須提供身份證實名登記,以及辦理一卡通、IC卡等;2004年中國互聯網協會提出郵件帳号實名制登記;2009年5月,杭州市人大頒布的《杭州市計算機信息網絡安全保護管理條例》,要求發帖、寫博客、注冊網遊要提供有效身份證明;2010年7月至9月,國家工商總局、文化部、工信部及财政部相繼密集出台“網店實名”、“網遊實名”、“手機實名”及“彩票實名”等法規。
我們不好評價這些法規是否夠完善,但各種場合都需要實名,也實實在在提高了隐私洩露的風險,“在互聯網上沒人知道你是一條狗”的時代一去不複返。越來越多的網站注冊會員都需要提供姓名和手機号,有些還需要提供身份證号甚至家庭住址,對于涉及資金交易的網站還必須提供銀行賬戶信息。而這些信息都是保存在網站上,這些網站的可靠性就成了問題。前年攜程網的信息洩密事件以及“2000萬條數據”鬧得人心惶惶,恐怕還引起了不少的家庭糾紛。
網絡實名和隐私保護一直是個矛盾。在互聯網這種開放環境,隐私一旦洩露,根本無法查找源頭和肇事者。除非你不上網,否則很難不留下什麼隐私痕迹。因為有需求才有市場,許多公司的營銷部門都會想方設法,以合法或非法手段弄到客戶信息。其實就算你不上網也不見得個人隐私就安全了。你在一個地方看了房并留下訂購意向,會接到其他的N個樓盤售樓人員的電話;你買了房,立馬會有人電話問你要不要裝修;你的汽車上了牌,随後就有人電話告訴你可以退稅;你的保險快要到期,各家保險公司會紛紛打電話來推銷。至于網上購物更是重災區,電商背後的什麼客戶大數據共享平台,那早就不是秘密。
攜程網信息洩密事件,充分說明了現行的網站驗證機制很不靠譜。
一代和二代身份證均定位于現場身份核實,在互聯網時代出現諸多不便。
“在互聯網上沒人知道你是一條狗。”這則原載于《紐約客》雜志的漫畫曾生動描述了互聯網的迷人之處,但現在已經不再适用了。另辟蹊徑的eID
細想起來,所有的隐私洩露問題,都是網站保存了用戶信息卻又無法妥善保管引起的。既然個人信息讓網站保管不靠譜,那不如所有的信息由一個權威部門來保管和核實。因此公安部第三研究所用了5年時間技術攻關,研發出網絡身份證eID識别技術,并建立全國唯一的“公安部公民網絡身份識别系統”。
eID全稱electronicIdentity,直譯為電子身份标識或電子身份證件。按照國内外對網絡身份管理的現狀和趨勢,eID應具有唯一性和信息不可否認性。說簡單點,就是專門在網上使用的身份證。
2014年在上海召開的第16屆中國國際工業博覽會上,公安部第三研究所技術人員現場展示了eID技術的應用。這是一張搭載了特殊芯片的銀行卡,将它貼在支持NFC的手機上讀取之後,便完成了《航旅縱橫》和《安保泓物流聯盟》兩款App的個人身份認證流程,不需要用戶再提交自己的姓名、住址、電話、身份證号碼甚至銀行賬戶等個人信息。認證之後,《航旅縱橫》為航旅人士提供了安全的航旅動态信息服務;《安保泓物流聯盟》依靠eID的電子簽名技術作為物流快遞行業簽收、派發物品的依據,有效避免了用戶隐私信息在中間環節洩露的風險,物品的遞送狀态一目了然。
公安三所eID項目負責人嚴則明主任介紹,eID采用“國密SM2”算法,由智能芯片生成私鑰,确保無法被讀取、複制、篡改或非法使用,從而保證芯片載體及其持有人一對應。它由公安部門統一簽發證書、并經現場身份審核、發放給公民,是公民可用于在網上遠程證實身份的、可靠的、普适性的網絡電子身份證件。它符合我國《電子簽名法》第十三、十四條的規定,具有數字簽名及抗否認的法律效力。
從表面上看,NFC讀取eID信息并驗證,似乎也跟浏覽器記錄表單的行為相似,其實不然。在整個過程中,網站壓根兒就不知道任何用戶信息,它隻是提供一個認證通道。當用戶向網站提交eID信息時,網站将該信息提交給公安機關或相應的權威部門進行認證,然後通知網站是否認證通過。因此網站不需要保存公民的個人信息。這樣一來,就算網站遇到内鬼或黑客,也得不到任何用戶信息。
那麼提交eID的數據被截取怎麼辦?北京郵電大學教授吳旭表示,“eID的加密算法在理論上是不可破解的,即使被讀出來,也隻是沒有意義的字符串。”另一方面,eID内其實也不存儲任何個人隐私信息,就算黑客利用天頂星科技讀出了eID的内容,也隻能知道這個eID代表誰,不會有更多的收獲。
eID的發展現狀
eID是全世界都很重視的課題,國外eID建設都由各國的安全部門主導。歐盟在2005年要求各成員國政府主導,分别建設eID管理體系,并要求各國的eID在成員國之間得到承認并互通,在電子政務和電子商務領域得到普及應用。比利時動作比歐盟更快,是最早最快推行eID的國家之一,該國依據《國家個人登記處組織法》從2003年開始至2009年初發行了覆蓋了其總人口的80%以上的eID。比利時現行法律的規定,其公民必須擁有eID。
德國在2010年11月開始發行電子身份證,可享受需要身份認證的各種網上服務和在線簽署購買合同或遞交各種申請。美國在2010年6月發布了“國家網絡安全網絡空間可信身份的國家戰略”(NSTIC)草案,目标是建立以用戶為中心的網絡身份生态認證系統。俄羅斯在2012年1月1日開始發行普适性的身份證,具有醫療保險、學生證件、公交卡和借記卡的功能,并包含公民唯一的eID并支持多層次的身份驗證。最終目的是取代目前的國家身份系統。韓國于2012年開始發行電子身份證,計劃2017年發行完畢。
從目前來看,eID認證有着許多的優越性。除了前述的“認證不留痕”以外,辦理其他業務時能快速證明“你是你”。例如你的帳号被盜,要找回帳号需要找客服投訴,但客服怎麼知道你是你?相信大部分人都遇到過QQ帳号申訴時令人崩潰的證明流程。但如果用eID登錄,分分鐘就能證實你的身份。
目前我國公民申領的eID卡,就是普通銀行卡上嵌入了eID芯片。
公安三所eID技術展示現場
在《航旅縱橫》這款APP上,已經有eID的登陸方式。此外,eID還有撤銷機制。如果你的eID丢失,向網絡身份管理中心挂失之後,該eID将立刻被凍結或失效。相關部門還正在研究eID的回溯機制,意思是在丢失eID期間,其他人用你的eID做的任何事情都将無效。而目前的二代身份證是做不到這一點的,丢失身份證補辦之後,原來丢失的照樣可以用。當然,實際情況是,就算丢失了eID,别人不知道口令,也無法使用,口令輸錯幾次之後eID會自動作廢。
根據公安三所嚴則明主任的介紹,eID由公安部門的網絡身份管理中心統一簽發,而網絡身份管理中心面向社會所有具有相關資質的第三方認證機構開放接口,而且根據這些機構的所處行業的法規、條例向其提供不同權限的身份信息認證服務。例如,隻向一般機構提供eID的狀态(是否在有效期内、是否挂失);向有實名法規要求的機構,如銀行、網店等進一步提供真實姓名和身份證号;對于網遊隻提供年齡屬性服務(防止青少年沉迷于網絡遊戲),而其它隐私信息除持證人自願外一概不予提供。這樣一來,就杜絕了現行網絡注冊時需要提供大量個人隐私信息而遇到被濫用的風險。
普及路漫漫
2012年,北京郵電大學創建了高校第一個eID示範應用試點,向全校師生發放了近3萬個eIDUSBKey。之後通過工行等金融機構試點發行了超過600萬張的eID,但這些試點并沒有取得預期效果,發行eID的銀行網點、開通eID功能的用戶和接入的互聯網服務機構還是很少。
思維模式不同是導緻eID普及難的重要原因之一。互聯網信息傳播呈現即時化、扁平化和全局化的特性,而傳統的行政管理體系以行政區劃,按條、線、面,分層級的分割模式,信息管理仍局限在這一舊有的框架之内,這就導緻了信息壁壘并形成了“信息孤島”,使得信息共享成為一句空話。
嚴則明主任以我國第三方數字認證中心(CA)為例來說明這種信息壁壘。行業CA由部委或行業巨頭主導,服務于各自行業,如:商務部的國富安CA、中國電信的CTCA、中國人民銀行的中國金融認證中心(CFCA)等;地方CA由各省、直轄市政府主導,服務于地方的電子政務及地方企業的電子稅務;還有各大商業銀行自建并服務于自身銀行的專業CA等。發展至今,全國已有30家行業性和地方性CA,形成了條塊割據的局面。這30家CA在全國頒發的個人數字證書總數量不到800萬張,一方面個人證書發不出去,另一方面又缺少應用,各地CA難以互通互聯。這些都是因為“行政區劃”的思維分隔了本應“互聯”的網絡所造成的。而服務于網絡的eID,如果不能在全國範圍内互通互聯,則失去了意義。
法制不健全是另一個原因。中國社會科學院哲學研究所研究員張曉明認為,在涉及社會安全的措施裡,很多是沒有經過人大授權、立法的。eID這種基礎性的設施,以後與商業性的技術體系都會挂鈎,因此更要經過人大的讨論、授權才能廣泛推廣,以避免出現更大的漏洞。
典型的信息壁壘:每家銀行都有不同的U盾,無法通用。無論攜帶還是記憶口令,都是個問題。
傳統的行政框架并不太适合互聯網信息傳播模式