近幾年，個人信息泄露事件頻頻發(fā)生，國家相關(guān)部門也在積極出臺應(yīng)對措施。比如，公安部第三研究所就研發(fā)了獨立于公民身份信息系統(tǒng)之外的“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”，并通過了國家密碼管理局的安全審查，相關(guān)部門和金融機構(gòu)開始向公民簽發(fā)eID(公民網(wǎng)絡(luò)電子身份標識)。此舉的用意在于推廣公民的虛擬身份，避免公民個人信息泄露。目前，eID技術(shù)的應(yīng)用試點已經(jīng)廣泛開展，eID的一些優(yōu)勢也在逐步體現(xiàn)。然而，要想大規(guī)模普及這門技術(shù)，道路還很漫長。

　　網(wǎng)絡(luò)實名與隱私的對立

　　在現(xiàn)實社會中，一人對應(yīng)一個專屬的身份信息，這是全世界的通用做法，政府管理和公共服務(wù)的基礎(chǔ)都是身份。在我國，早期是以戶籍制度進行人口管理。改革開放之后，人口流動規(guī)模的加劇，“戶口本”已經(jīng)難以管理和服務(wù)于人口的流動。1984年，我國依托公安的戶籍管理體系發(fā)行了居民身份證。作為一級證件，公民在定契約、購房購車、就業(yè)、申領(lǐng)社會保障、登記結(jié)婚、銀行開戶、機場登記、入住酒店等各種場合都需要身份證，申領(lǐng)出國護照、駕駛執(zhí)照等二級證件時也離不開身份證。沒有身份證，個人在現(xiàn)實社會幾乎寸步難行，而對于整個社會活動的運行、管理，也難以想象。

 

攜程網(wǎng)信息泄密事件，充分說明了現(xiàn)行的網(wǎng)站驗證機制很不靠譜

一代和二代身份證均定位于現(xiàn)場身份核實，在互聯(lián)網(wǎng)時代出現(xiàn)諸多不便

　　進入21世紀，伴隨網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、信息技術(shù)的發(fā)展和應(yīng)用，早已形成一個龐大、活躍的網(wǎng)絡(luò)虛擬社會。據(jù)CNNIC的報告，截止2016年6月我國網(wǎng)民規(guī)模已達7.1億，我們的生活、工作已經(jīng)離不開網(wǎng)絡(luò)。有人的地方即是江湖，隨之而來的是大量的黑客、病毒、木馬、釣魚網(wǎng)站導(dǎo)致網(wǎng)民帳號丟失、信息資料被竊、資金被盜、電腦癱瘓等頻繁發(fā)生。怎樣管理網(wǎng)絡(luò)這個虛擬社會，我國一直在探索行之有效的辦法。早在2003年，網(wǎng)吧管理部門就要求客戶必須提供身份證實名登記，以及辦理一卡通、IC卡等;2004年中國互聯(lián)網(wǎng)協(xié)會提出郵件帳號實名制登記;2009年5月，杭州市人大頒布的《杭州市計算機信息網(wǎng)絡(luò)安全保護管理條例》，要求發(fā)帖、寫博客、注冊網(wǎng)游要提供有效身份證明;2010年7月至9月，國家工商總局、文化部、工信部及財政部相繼密集出臺“網(wǎng)店實名”、“網(wǎng)游實名”、“手機實名”及“彩票實名”等法規(guī)。

　　“在互聯(lián)網(wǎng)上沒人知道你是一條狗?！边@則原載于《紐約客》雜志的漫畫曾生動描述了互聯(lián)網(wǎng)的迷人之處，但現(xiàn)在已經(jīng)不再適用了。

　　我們不好評價這些法規(guī)是否夠完善，但各種場合都需要實名，也實實在在提高了隱私泄露的風(fēng)險，“在互聯(lián)網(wǎng)上沒人知道你是一條狗”的時代一去不復(fù)返。越來越多的網(wǎng)站注冊會員都需要提供姓名和手機號，有些還需要提供身份證號甚至家庭住址，對于涉及資金交易的網(wǎng)站還必須提供銀行賬戶信息。而這些信息都是保存在網(wǎng)站上，這些網(wǎng)站的可靠性就成了問題。前年攜程網(wǎng)的信息泄密事件以及“2000萬條數(shù)據(jù)”鬧得人心惶惶，恐怕還引起了不少的家庭糾紛。

　　網(wǎng)絡(luò)實名和隱私保護一直是個矛盾。在互聯(lián)網(wǎng)這種開放環(huán)境，隱私一旦泄露，根本無法查找源頭和肇事者。除非你不上網(wǎng)，否則很難不留下什么隱私痕跡。因為有需求才有市場，許多公司的營銷部門都會想方設(shè)法，以合法或非法手段弄到客戶信息。其實就算你不上網(wǎng)也不見得個人隱私就安全了。你在一個地方看了房并留下訂購意向，會接到其他的N個樓盤售樓人員的電話;你買了房，立馬會有人電話問你要不要裝修;你的汽車上了牌，隨后就有人電話告訴你可以退稅;你的保險快要到期，各家保險公司會紛紛打電話來推銷。至于網(wǎng)上購物更是重災(zāi)區(qū)，電商背后的什么客戶大數(shù)據(jù)共享平臺，那早就不是秘密。

　　另辟蹊徑的eID

　　細想起來，所有的隱私泄露問題，都是網(wǎng)站保存了用戶信息卻又無法妥善保管引起的。既然個人信息讓網(wǎng)站保管不靠譜，那不如所有的信息由一個權(quán)威部門來保管和核實。因此公安部第三研究所用了5年時間技術(shù)攻關(guān)，研發(fā)出網(wǎng)絡(luò)身份證eID識別技術(shù)，并建立全國唯一的“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”。

目前我國公民申領(lǐng)的eID卡，就是普通銀行卡上嵌入了eID芯片

公安三所eID技術(shù)展示現(xiàn)場

　　eID全稱electronic Identity，直譯為電子身份標識或電子身份證件。按照國內(nèi)外對網(wǎng)絡(luò)身份管理的現(xiàn)狀和趨勢，eID應(yīng)具有唯一性和信息不可否認性。說簡單點，就是專門在網(wǎng)上使用的身份證。

　　2014年在上海召開的第16屆中國國際工業(yè)博覽會上，公安部第三研究所技術(shù)人員現(xiàn)場展示了eID技術(shù)的應(yīng)用。這是一張搭載了特殊芯片的銀行卡，將它貼在支持NFC的手機上讀取之后，便完成了《航旅縱橫》和《安保泓物流聯(lián)盟》兩款A(yù)pp的個人身份認證流程，不需要用戶再提交自己的姓名、住址、電話、身份證號碼甚至銀行賬戶等個人信息。認證之后，《航旅縱橫》為航旅人士提供了安全的航旅動態(tài)信息服務(wù);《安保泓物流聯(lián)盟》依靠eID的電子簽名技術(shù)作為物流快遞行業(yè)簽收、派發(fā)物品的依據(jù)，有效避免了用戶隱私信息在中間環(huán)節(jié)泄露的風(fēng)險，物品的遞送狀態(tài)一目了然。

　　公安三所eID項目負責(zé)人嚴則明主任介紹，eID采用“國密SM2”算法，由智能芯片生成私鑰，確保無法被讀取、復(fù)制、篡改或非法使用，從而保證芯片載體及其持有人一對應(yīng)。它由公安部門統(tǒng)一簽發(fā)證書、并經(jīng)現(xiàn)場身份審核、發(fā)放給公民，是公民可用于在網(wǎng)上遠程證實身份的、可靠的、普適性的網(wǎng)絡(luò)電子身份證件。它符合我國《電子簽名法》第十三、十四條的規(guī)定，具有數(shù)字簽名及抗否認的法律效力。

　　從表面上看，NFC讀取eID信息并驗證，似乎也跟瀏覽器記錄表單的行為相似，其實不然。在整個過程中，網(wǎng)站壓根兒就不知道任何用戶信息，它只是提供一個認證通道。當(dāng)用戶向網(wǎng)站提交eID信息時，網(wǎng)站將該信息提交給公安機關(guān)或相應(yīng)的權(quán)威部門進行認證，然后通知網(wǎng)站是否認證通過。因此網(wǎng)站不需要保存公民的個人信息。這樣一來，就算網(wǎng)站遇到內(nèi)鬼或黑客，也得不到任何用戶信息。

　　那么提交eID的數(shù)據(jù)被截取怎么辦?北京郵電大學(xué)教授吳旭表示，“eID的加密算法在理論上是不可破解的，即使被讀出來，也只是沒有意義的字符串?！绷硪环矫妫琫ID內(nèi)其實也不存儲任何個人隱私信息，就算黑客利用天頂星科技讀出了eID的內(nèi)容，也只能知道這個eID代表誰，不會有更多的收獲。

　　在《航旅縱橫》這款A(yù)PP上，已經(jīng)有eID的登陸方式。

　　eID的發(fā)展現(xiàn)狀

　　eID是全世界都很重視的課題，國外eID建設(shè)都由各國的安全部門主導(dǎo)。歐盟在2005年要求各成員國政府主導(dǎo)，分別建設(shè)eID管理體系，并要求各國的eID在成員國之間得到承認并互通，在電子政務(wù)和電子商務(wù)領(lǐng)域得到普及應(yīng)用。比利時動作比歐盟更快，是最早最快推行eID的國家之一，該國依據(jù)《國家個人登記處組織法》從2003 年開始至2009年初發(fā)行了覆蓋了其總?cè)丝诘?0%以上的eID。比利時現(xiàn)行法律的規(guī)定，其公民必須擁有eID。

　　德國在2010年11月開始發(fā)行電子身份證，可享受需要身份認證的各種網(wǎng)上服務(wù)和在線簽署購買合同或遞交各種申請。美國在2010年6月發(fā)布了 “國家網(wǎng)絡(luò)安全網(wǎng)絡(luò)空間可信身份的國家戰(zhàn)略”(NSTIC)草案，目標是建立以用戶為中心的網(wǎng)絡(luò)身份生態(tài)認證系統(tǒng)。俄羅斯在2012年1月1日開始發(fā)行普適性的身份證，具有醫(yī)療保險、學(xué)生證件、公交卡和借記卡的功能，并包含公民唯一的eID并支持多層次的身份驗證。 最終目的是取代目前的國家身份系統(tǒng)。韓國于2012年開始發(fā)行電子身份證，計劃2017年發(fā)行完畢。

　　從目前來看，eID認證有著許多的優(yōu)越性。除了前述的“認證不留痕”以外，辦理其他業(yè)務(wù)時能快速證明“你是你”。例如你的帳號被盜，要找回帳號需要找客服投訴，但客服怎么知道你是你?相信大部分人都遇到過QQ帳號申訴時令人崩潰的證明流程。但如果用eID登錄，分分鐘就能證實你的身份。

　　此外，eID還有撤銷機制。如果你的eID丟失，向網(wǎng)絡(luò)身份管理中心掛失之后，該eID將立刻被凍結(jié)或失效。相關(guān)部門還正在研究eID的回溯機制，意思是在丟失eID期間，其他人用你的eID做的任何事情都將無效。而目前的二代身份證是做不到這一點的，丟失身份證補辦之后，原來丟失的照樣可以用。當(dāng)然，實際情況是，就算丟失了eID，別人不知道口令，也無法使用，口令輸錯幾次之后eID會自動作廢。

　　根據(jù)公安三所嚴則明主任的介紹，eID由公安部門的網(wǎng)絡(luò)身份管理中心統(tǒng)一簽發(fā)，而網(wǎng)絡(luò)身份管理中心面向社會所有具有相關(guān)資質(zhì)的第三方認證機構(gòu)開放接口，而且根據(jù)這些機構(gòu)的所處行業(yè)的法規(guī)、條例向其提供不同權(quán)限的身份信息認證服務(wù)。例如，只向一般機構(gòu)提供eID的狀態(tài)(是否在有效期內(nèi)、是否掛失);向有實名法規(guī)要求的機構(gòu)，如銀行、網(wǎng)店等進一步提供真實姓名和身份證號;對于網(wǎng)游只提供年齡屬性服務(wù)(防止青少年沉迷于網(wǎng)絡(luò)游戲)，而其它隱私信息除持證人自愿外一概不予提供。這樣一來，就杜絕了現(xiàn)行網(wǎng)絡(luò)注冊時需要提供大量個人隱私信息而遇到被濫用的風(fēng)險。

　　典型的信息壁壘：每家銀行都有不同的U盾，無法通用。無論攜帶還是記憶口令，都是個問題。

　　普及路漫漫

　　2012年，北京郵電大學(xué)創(chuàng)建了高校第一個eID示范應(yīng)用試點，向全校師生發(fā)放了近3萬個eID USB Key。之后通過工行等金融機構(gòu)試點發(fā)行了超過600萬張的eID，但這些試點并沒有取得預(yù)期效果，發(fā)行eID的銀行網(wǎng)點、開通eID功能的用戶和接入的互聯(lián)網(wǎng)服務(wù)機構(gòu)還是很少。

　　思維模式不同是導(dǎo)致eID普及難的重要原因之一?；ヂ?lián)網(wǎng)信息傳播呈現(xiàn)即時化、扁平化和全局化的特性，而傳統(tǒng)的行政管理體系以行政區(qū)劃，按條、線、面，分層級的分割模式，信息管理仍局限在這一舊有的框架之內(nèi)，這就導(dǎo)致了信息壁壘并形成了“信息孤島”，使得信息共享成為一句空話。

　　傳統(tǒng)的行政框架并不太適合互聯(lián)網(wǎng)信息傳播模式

　　嚴則明主任以我國第三方數(shù)字認證中心(CA)為例來說明這種信息壁壘。行業(yè)CA由部委或行業(yè)巨頭主導(dǎo)，服務(wù)于各自行業(yè)，如：商務(wù)部的國富安 CA、中國電信的CTCA、中國人民銀行的中國金融認證中心(CFCA)等;地方CA由各省、直轄市政府主導(dǎo)，服務(wù)于地方的電子政務(wù)及地方企業(yè)的電子稅務(wù);還有各大商業(yè)銀行自建并服務(wù)于自身銀行的專業(yè)CA等。發(fā)展至今，全國已有30家行業(yè)性和地方性CA，形成了條塊割據(jù)的局面。這30家CA在全國頒發(fā)的個人數(shù)字證書總數(shù)量不到800萬張，一方面?zhèn)€人證書發(fā)不出去，另一方面又缺少應(yīng)用，各地CA難以互通互聯(lián)。這些都是因為“行政區(qū)劃”的思維分隔了本應(yīng)“互聯(lián)”的網(wǎng)絡(luò)所造成的。而服務(wù)于網(wǎng)絡(luò)的eID，如果不能在全國范圍內(nèi)互通互聯(lián)，則失去了意義。

　　法制不健全是另一個原因。中國社會科學(xué)院哲學(xué)研究所研究員張曉明認為，在涉及社會安全的措施里，很多是沒有經(jīng)過人大授權(quán)、立法的。eID這種基礎(chǔ)性的設(shè)施，以后與商業(yè)性的技術(shù)體系都會掛鉤，因此更要經(jīng)過人大的討論、授權(quán)才能廣泛推廣，以避免出現(xiàn)更大的漏洞。