作者：張明芮,《微型計算機》

近幾年，個人信息泄露事件頻頻發(fā)生，國家相關部門也在積極出臺應對措施。比如，公安部第三研究所就研發(fā)了獨立于公民身份信息系統(tǒng)之外的“公安部公民網絡身份識別系統(tǒng)”，并通過了國家密碼管理局的安全審查，相關部門和金融機構開始向公民簽發(fā)eID（公民網絡電子身份標識）。此舉的用意在于推廣公民的虛擬身份，避免公民個人信息泄露。目前，eID技術的應用試點已經廣泛開展，eID的一些優(yōu)勢也在逐步體現(xiàn)。然而，要想大規(guī)模普及這門技術，道路還很漫長。

網絡實名與隱私的對立

在現(xiàn)實社會中，一人對應一個專屬的身份信息，這是全世界的通用做法，政府管理和公共服務的基礎都是身份。在我國，早期是以戶籍制度進行人口管理。改革開放之后，人口流動規(guī)模的加劇，“戶口本”已經難以管理和服務于人口的流動。1984年，我國依托公安的戶籍管理體系發(fā)行了居民身份證。作為一級證件，公民在定契約、購房購車、就業(yè)、申領社會保障、登記結婚、銀行開戶、機場登記、入住酒店等各種場合都需要身份證，申領出國護照、駕駛執(zhí)照等二級證件時也離不開身份證。沒有身份證，個人在現(xiàn)實社會幾乎寸步難行，而對于整個社會活動的運行、管理，也難以想象。

一代和二代身份證均定位于現(xiàn)場身份核實，在互聯(lián)網時代出現(xiàn)諸多不便。

進入21世紀，伴隨網絡基礎設施建設、信息技術的發(fā)展和應用，早已形成一個龐大、活躍的網絡虛擬社會。據(jù)CNNIC的報告，截止2016年6月我國網民規(guī)模已達7.1億，我們的生活、工作已經離不開網絡。有人的地方即是江湖，隨之而來的是大量的黑客、病毒、木馬、釣魚網站導致網民帳號丟失、信息資料被竊、資金被盜、電腦癱瘓等頻繁發(fā)生。怎樣管理網絡這個虛擬社會，我國一直在探索行之有效的辦法。早在2003年，網吧管理部門就要求客戶必須提供身份證實名登記，以及辦理一卡通、IC卡等；2004年中國互聯(lián)網協(xié)會提出郵件帳號實名制登記；2009年5月，杭州市人大頒布的《杭州市計算機信息網絡安全保護管理條例》，要求發(fā)帖、寫博客、注冊網游要提供有效身份證明；2010年7月至9月，國家工商總局、文化部、工信部及財政部相繼密集出臺“網店實名”、“網游實名”、“手機實名”及“彩票實名”等法規(guī)。

“在互聯(lián)網上沒人知道你是一條狗?！边@則原載于《紐約客》雜志的漫畫曾生動描述了互聯(lián)網的迷人之處，但現(xiàn)在已經不再適用了。

我們不好評價這些法規(guī)是否夠完善，但各種場合都需要實名，也實實在在提高了隱私泄露的風險，“在互聯(lián)網上沒人知道你是一條狗”的時代一去不復返。越來越多的網站注冊會員都需要提供姓名和手機號，有些還需要提供身份證號甚至家庭住址，對于涉及資金交易的網站還必須提供銀行賬戶信息。而這些信息都是保存在網站上，這些網站的可靠性就成了問題。前年攜程網的信息泄密事件以及“2000萬條數(shù)據(jù)”鬧得人心惶惶，恐怕還引起了不少的家庭糾紛。

網絡實名和隱私保護一直是個矛盾。在互聯(lián)網這種開放環(huán)境，隱私一旦泄露，根本無法查找源頭和肇事者。除非你不上網，否則很難不留下什么隱私痕跡。因為有需求才有市場，許多公司的營銷部門都會想方設法，以合法或非法手段弄到客戶信息。其實就算你不上網也不見得個人隱私就安全了。你在一個地方看了房并留下訂購意向，會接到其他的N個樓盤售樓人員的電話；你買了房，立馬會有人電話問你要不要裝修；你的汽車上了牌，隨后就有人電話告訴你可以退稅；你的保險快要到期，各家保險公司會紛紛打電話來推銷。至于網上購物更是重災區(qū)，電商背后的什么客戶大數(shù)據(jù)共享平臺，那早就不是秘密。?

另辟蹊徑的eID

細想起來，所有的隱私泄露問題，都是網站保存了用戶信息卻又無法妥善保管引起的。既然個人信息讓網站保管不靠譜，那不如所有的信息由一個權威部門來保管和核實。因此公安部第三研究所用了5年時間技術攻關，研發(fā)出網絡身份證eID識別技術，并建立全國唯一的“公安部公民網絡身份識別系統(tǒng)”。

公安三所eID技術展示現(xiàn)場

eID全稱electronic Identity，直譯為電子身份標識或電子身份證件。按照國內外對網絡身份管理的現(xiàn)狀和趨勢，eID應具有唯一性和信息不可否認性。說簡單點，就是專門在網上使用的身份證。

2014年在上海召開的第16屆中國國際工業(yè)博覽會上，公安部第三研究所技術人員現(xiàn)場展示了eID技術的應用。這是一張搭載了特殊芯片的銀行卡，將它貼在支持NFC的手機上讀取之后，便完成了《航旅縱橫》和《安保泓物流聯(lián)盟》兩款App的個人身份認證流程，不需要用戶再提交自己的姓名、住址、電話、身份證號碼甚至銀行賬戶等個人信息。認證之后，《航旅縱橫》為航旅人士提供了安全的航旅動態(tài)信息服務；《安保泓物流聯(lián)盟》依靠eID的電子簽名技術作為物流快遞行業(yè)簽收、派發(fā)物品的依據(jù)，有效避免了用戶隱私信息在中間環(huán)節(jié)泄露的風險，物品的遞送狀態(tài)一目了然。

公安三所eID項目負責人嚴則明主任介紹，eID采用“國密SM2”算法，由智能芯片生成私鑰，確保無法被讀取、復制、篡改或非法使用，從而保證芯片載體及其持有人一對應。它由公安部門統(tǒng)一簽發(fā)證書、并經現(xiàn)場身份審核、發(fā)放給公民，是公民可用于在網上遠程證實身份的、可靠的、普適性的網絡電子身份證件。它符合我國《電子簽名法》第十三、十四條的規(guī)定，具有數(shù)字簽名及抗否認的法律效力。

從表面上看，NFC讀取eID信息并驗證，似乎也跟瀏覽器記錄表單的行為相似，其實不然。在整個過程中，網站壓根兒就不知道任何用戶信息，它只是提供一個認證通道。當用戶向網站提交eID信息時，網站將該信息提交給公安機關或相應的權威部門進行認證，然后通知網站是否認證通過。因此網站不需要保存公民的個人信息。這樣一來，就算網站遇到內鬼或黑客，也得不到任何用戶信息。

那么提交eID的數(shù)據(jù)被截取怎么辦？北京郵電大學教授吳旭表示，“eID的加密算法在理論上是不可破解的，即使被讀出來，也只是沒有意義的字符串。”另一方面，eID內其實也不存儲任何個人隱私信息，就算黑客利用天頂星科技讀出了eID的內容，也只能知道這個eID代表誰，不會有更多的收獲。

eID的發(fā)展現(xiàn)狀

eID是全世界都很重視的課題，國外eID建設都由各國的安全部門主導。歐盟在2005年要求各成員國政府主導，分別建設eID管理體系，并要求各國的eID在成員國之間得到承認并互通，在電子政務和電子商務領域得到普及應用。比利時動作比歐盟更快，是早快推行eID的國家之一，該國依據(jù)《國家個人登記處組織法》從2003 年開始至2009年初發(fā)行了覆蓋了其總人口的80％以上的eID。比利時現(xiàn)行法律的規(guī)定，其公民必須擁有eID。

?

德國在2010年11月開始發(fā)行電子身份證，可享受需要身份認證的各種網上服務和在線簽署購買合同或遞交各種申請。美國在2010年6月發(fā)布了“國家網絡安全網絡空間可信身份的國家戰(zhàn)略”（NSTIC）草案，目標是建立以用戶為中心的網絡身份生態(tài)認證系統(tǒng)。俄羅斯在2012年1月1日開始發(fā)行普適性的身份證，具有醫(yī)療保險、學生證件、公交卡和借記卡的功能，并包含公民唯一的eID并支持多層次的身份驗證。 終目的是取代目前的國家身份系統(tǒng)。韓國于2012年開始發(fā)行電子身份證，計劃2017年發(fā)行完畢。

從目前來看，eID認證有著許多的優(yōu)越性。除了前述的“認證不留痕”以外，辦理其他業(yè)務時能快速證明“你是你”。例如你的帳號被盜，要找回帳號需要找客服投訴，但客服怎么知道你是你？相信大部分人都遇到過QQ帳號申訴時令人崩潰的證明流程。但如果用eID登錄，分分鐘就能證實你的身份。?

此外，eID還有撤銷機制。如果你的eID丟失，向網絡身份管理中心掛失之后，該eID將立刻被凍結或失效。相關部門還正在研究eID的回溯機制，意思是在丟失eID期間，其他人用你的eID做的任何事情都將無效。而目前的二代身份證是做不到這一點的，丟失身份證補辦之后，原來丟失的照樣可以用。當然，實際情況是，就算丟失了eID，別人不知道口令，也無法使用，口令輸錯幾次之后eID會自動作廢。

根據(jù)公安三所嚴則明主任的介紹，eID由公安部門的網絡身份管理中心統(tǒng)一簽發(fā)，而網絡身份管理中心面向社會所有具有相關資質的第三方認證機構開放接口，而且根據(jù)這些機構的所處行業(yè)的法規(guī)、條例向其提供不同權限的身份信息認證服務。例如，只向一般機構提供eID的狀態(tài)（是否在有效期內、是否掛失）；向有實名法規(guī)要求的機構，如銀行、網店等進一步提供真實姓名和身份證號；對于網游只提供年齡屬性服務（防止青少年沉迷于網絡游戲），而其它隱私信息除持證人自愿外一概不予提供。這樣一來，就杜絕了現(xiàn)行網絡注冊時需要提供大量個人隱私信息而遇到被濫用的風險。

典型的信息壁壘：每家銀行都有不同的U盾，無法通用。無論攜帶還是記憶口令，都是個問題。

普及路漫漫

2012年，北京郵電大學創(chuàng)建了高校第一個eID示范應用試點，向全校師生發(fā)放了近3萬個eID USB Key。之后通過工行等金融機構試點發(fā)行了超過600萬張的eID，但這些試點并沒有取得預期效果，發(fā)行eID的銀行網點、開通eID功能的用戶和接入的互聯(lián)網服務機構還是很少。

思維模式不同是導致eID普及難的重要原因之一。互聯(lián)網信息傳播呈現(xiàn)即時化、扁平化和全局化的特性，而傳統(tǒng)的行政管理體系以行政區(qū)劃，按條、線、面，分層級的分割模式，信息管理仍局限在這一舊有的框架之內，這就導致了信息壁壘并形成了“信息孤島”，使得信息共享成為一句空話。

傳統(tǒng)的行政框架并不太適合互聯(lián)網信息傳播模式

嚴則明主任以我國第三方數(shù)字認證中心（CA）為例來說明這種信息壁壘。行業(yè)CA由部委或行業(yè)巨頭主導，服務于各自行業(yè)，如：商務部的國富安CA、中國電信的CTCA、中國人民銀行的中國金融認證中心（CFCA）等；地方CA由各省、直轄市政府主導，服務于地方的電子政務及地方企業(yè)的電子稅務；還有各大商業(yè)銀行自建并服務于自身銀行的專業(yè)CA等。發(fā)展至今，全國已有30家行業(yè)性和地方性CA，形成了條塊割據(jù)的局面。這30家CA在全國頒發(fā)的個人數(shù)字證書總數(shù)量不到800萬張，一方面?zhèn)€人證書發(fā)不出去，另一方面又缺少應用，各地CA難以互通互聯(lián)。這些都是因為“行政區(qū)劃”的思維分隔了本應“互聯(lián)”的網絡所造成的。而服務于網絡的eID，如果不能在全國范圍內互通互聯(lián)，則失去了意義。

法制不健全是另一個原因。中國社會科學院哲學研究所研究員張曉明認為，在涉及社會安全的措施里，很多是沒有經過人大授權、立法的。eID這種基礎性的設施，以后與商業(yè)性的技術體系都會掛鉤，因此更要經過人大的討論、授權才能廣泛推廣，以避免出現(xiàn)更大的漏洞。