PRODUCTS产品及服务
认识eID
什么是eID
eID的生成和发放
eID的使用
eID身份服务体系
eID身份服务
eID安全服务
eID隐私服务
帮助中心
热点问题
支持设备
安全贴士
这样上网很危险
如何防止黑客盗走自己的“一切”
守护信息安全十大攻略
安全扫码,不乱填个人信息
手机丢失了怎么办?
手机应用安全须知
京东事件提醒如何保护自己的数据?
公共WiFi安全警醒
eID真正的网络安全卫士
金联周讯
金联周讯(2017年第0901号)
金联周讯(2017年第0825号)
金联周讯(2017年第0818号)
金联周讯(2017年第0811号)
金联周讯(2017年第0728号)
金联周讯(2017年第0721号)
金联周讯(2017年第0714号)
金联周讯(2017年第0707号)
金联周讯(2017年第0630号)
金联周讯(2017年第0616号)
金联周讯(2017年第0609号)
金联周讯(2017年第0526号)
金联周讯(2017年第0519号)
金联周讯(2017年第0512号)
金联周讯(2017年第0505号)
金联周讯(2017年第0428号)
金联周讯(2017年第0421号)
金联周讯(2017年第0414号)
金联周讯(2017年第0407号)
金联周讯(2017年第0331号)
金联周讯(2017年第0324号)
金联周讯(2017年第0317号)
金联周讯(2017年第0310号)
金联周讯(2017年第0303号)
金联周讯(2017年第0224号)
金联周讯(2017年第0217号)
金联周讯(2017年第0210号)
金联周讯(2017年第0120号)
金联周讯(2017年第0113号)
金联周讯(2017年第0106号)
金联周讯(2016年第1230号)
金联周讯(2016年第1223号)
金联周讯(2016年第1216号)
金联周讯(2016年第1209号)
金联周讯(2016年第1202号)
金联周讯(2016年第1125号)
金联周讯(2016年第1118号)
专家视点
方滨兴:推广eID是我国网络身份管理
严则明:eID将通过银行卡、社保卡被
胡永涛:eID网络身份认证技术分析
热点事件
eID与中国食品安全指数研究工程办公
公安部·金联汇通·中德宏泰战略合
eID与银联数据达成战略合作
金联汇通:eID服务机构破局港股远程
香港证监会:准许以eID核实身份远程

胡传平:eID与网络实名制的进化论

—— 专访公安部第三研究所所长、研究员胡传平

       对于离不开互联网的我们,“网络实名制”本是一剂治理网络的“良方”,可实施过程中却导致了个人隐私信息的大量泄露,怎么办?“虚拟世界”如何不再成为“法外之地”?快来看看权威解读。

  “网络实名制”的实施带来了公民隐私信息泄露的副作用

  人民论坛:2012年全国人大常委通过《关于加强网络信息保护的决定》以来,“网络实名制”是否达到了净化网络环境、治理网络秩序的目的?

  胡传平:为了保护公民隐私,消除虚假、违法的信息传播,净化网络环境,达到治理网络秩序的目的,20121228日,全国人大常委通过了《关于加强网络信息保护的决定》,特别强调了公民隐私信息保护和“网络实名制”要求(分别见第一和第六条),主要包括了收集、使用、保存公民个人信息的行为应当遵循“规则明示公开、征得对方同意、确保信息安全”等要求,以及用户在通信接入和信息发布环节强制推行实名注册制度。然而,由于缺少能够保护公民隐私信息的身份认证基础设施,“网络实名制”的实施目前看来并未达到网络治理的预期目的,事实上我国有关部门和地方出于同样的目标,提出并实施“网络实名制”由来已久,但效果十分有限。在具体操作过程中,有关服务机构只强调“实名制”而疏于对这些个人信息的有效保护,在互联网上简单的搜集、验证公民个人信息,最终反而带来了公民隐私信息泄露的副作用。



 

“网络实名制”事实上演变成了“网络真名制”,但真名背后不一定是本人

  人民论坛:在大多数人心中,“网络实名制”本是一剂治理网络的“良方”,在实施的过程中为何会产生这些副作用?

  胡传平:众所周知,在实体社会中,居民身份证是验证当事人身份,建立相互间信任的最有效凭证。随着互联网的迅速普及,尤其是各种智能终端的大面积使用,我国信息化人口已经达到七亿、各类服务网站达到近四百万的规模,而网络身份识别公共基础设施却未同步跟上!在大规模开放的网络环境下,出于安全的需要,网络服务提供机构验证用户身份的方法和手段不断升级,由最普遍的要求用户上传姓名+身份证号码,发展到进一步要求用户上传手机号+短信回复,甚至发展到在前述基础上要求由本人自拍或持居民身份证件自拍等奇葩手段,目前又开始滥用生物特征技术来作为远程核验公民网络身份的手段,使得大量的网络服务提供者掌握了数量达亿级的与公民身份相关的信息,从而频频导致公民隐私信息大规模泄露事件的发生。

  在缺少基础设施条件下推行“网络实名制”,无论是采用“前台匿名,后台实名”或其它什么手段,事实上都演变成了“网络真名制”,网络实名注册只是用户网络身份由原来的“虚拟身份”变为了“真实身份”,但由于技术和管理上的缺陷,“真名”的背后并不一定是操作者本人。这使得“网络实名制”根本无法达到网络治理的初衷,与此相反,由于公民身份信息的严重泄露,网上窃取、买卖个人信息的犯罪行为泛滥,犯罪份子利用掌握的大量公民信息进行电信和网络的精准诈骗、网络造谣、刷票、抢票,甚至冒用公民身份远程注册账户骗取贷款。

  韩国推行“网络实名制”失败的惨痛教训应当引起我们高度的警示

  人民论坛:世界上有哪些国家推行过“网络实名制”?哪些国家的经验或教训对我国最有启发?

  胡传平:韩国是全球互联网基础设施最发达、应用活跃度最高和上网人口最普及的国家之一,也是全球第一个推行“网络实名制”的国家,但是,自2004年以来,韩国约有80%人口的身份信息通过大型互联网社交网站和银行等泄露出去。问题的根源在于韩国没有采用正确的,基于密码的网络身份识别技术,而普遍采用基于身份信息的手段来推行;同时韩国政府没有承担起国家应有的网络身份识别服务基础设施建设的责任,却由几家大型商业网站基于身份信息来组织实施,这种做法使得公民信息随着商业机构信息系统被“拖库”而严重泄露,随之而来的是网络上身份冒用、盗用泛滥,网络和电信诈骗案件频发,网络信任体系面临崩溃。20128月,韩国高院判定该国“网络实名制”违宪,随后,其身份证体系也被迫推倒重来,韩国政府正计划给17岁以上的公民发放新的身份证,整个重建过程将耗资几十亿美元、耗时10年以上!韩国推行“网络实名制”失败的惨痛教训应当引起我们高度警觉。

  而欧盟的实践非常值得我国借鉴,欧盟早在2006年就发布了《2010泛欧洲eID管理框架路线图》,统筹了各主权国家互通互认的网络电子身份(eID)(以下简称“eID")的实施标准和整体规划,目前,在各成员国的支持和推动下,欧盟eID应用取得了长足的进展,德国、意大利、西班牙、比利时、奥地利、爱沙尼亚等成员国采用eID来解决网络应用中身份鉴别、认证、电子签名、数据保护等问题。据欧洲智能卡协会统计数据显示,截止到2014年处,欧盟各国累计发行的eID超过1.5亿张(欧盟共7.4亿人口)2016年欧盟的eID将在电子政务、电子商务、金融支付等众多领域进入应用爆发期。

  eID可保障公民在享受网络提供的各项服务的同时,确保其身份信息不被泄露和盗用

  人民论坛:习总书记强调:“网络安全和信息化是一体之两翼、驱动之双轮。”据了解,公安部第三研究所在公安部、科技部、国家发改委、国家密码管理局等部门支持下,于2009年底启动了具有完全自主知识产权的、基于国产密码技术的eID的研发工作。与缺少基础设施的“网络实名制”相比,基于eID的网络身份管理体系能够克服哪些弊端?未来将会在哪些领域使用这一体系?会给我们的生活带来哪些变化?

  胡传平:从本质上讲,“网络实名制”的目的是在开放的网络环境中远程识别网络行为责任主体,并且要确保该责任主体的网络行为不可抵赖。然而,如果没有技术体系和基础设施做服务保障,直接基于身份信息的网络身份识别是不可能做到的。

  eID是以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别系统”签发给公民的网络电子身份标识,能够在不泄露身份信息的前提下在线远程识别身份。“公安部公民网络身份识别系统”是由国家密码管理局根据国家有关规定,针对公安部第三研究所承载的公民网络身份签发和服务系统经过严格的系统安全审查和专家评审后,向公安部第三研究所颁发的商密证书。

  相对于基于身份信息的网络身份识别方式,eID的主要优势在于以下三个方面:

  一是安全、可靠的网络身份识别技术。借助eID登记发行机构的渠道和严格的面签流程,利用上述系统向申领人统一审核签发唯一的eID。用户在网上远程自证身份时,除了需要使用eID载体,还要输入eID签名密码,即“你有什么,你知道什么”,这样,用户即可以远程自证身份又可以防止身份被冒用,为有实名认证、账号保护、交易保护等应用需求的网络应用机构提供有效的基础解决方案和身份认证服务。

  二是最大化的个人身份信息保护。eID是由国产密码算法对公民身份信息加密生成的不含身份信息的一串数字,不可逆向还原身份信息。用户使用eID在网上远程自证身份时,网络应用机构可从eID网络身份服务提供机构获得认证结果,而网络应用机构最终存储的只是以eID网络身份应用编码标识的数据记录,这样就最大程度地避免了用户身份和隐私信息泄露的风险。

  三是开放的技术体系可以充分调动社会资源。一是eID可以加载到银行卡、社保卡等智能安全芯片载体上,大大降低政府的发行成本。例如,我们同工商银行合作的、加载eID的金融IC卡,以每天近10万张的速度在全国发行了3200万张;二是eID的技术体系可以与电子认证服务机构(CA)的技术体系实现无缝对接,以帮助CA从相对封闭的条块业务发展到互联网上来。例如,同我们合作的eID运营服务机构已经签约了两家CA,这两家CA既可以利用eID发行自己的商业数字证书,以解决CA没有物理发行渠道而无法完成“客户面签”的难题;也可以直接利用eID做电子签名服务。

  在eID推广方面,我们已经在同有关政府部门合作着手开展以eID支撑的数字民生社会化服务平台,以打造电子政务数据安全开放门户;同工商总局合作的,以eID为支撑的全程电子化工商登记服务平台已经在江苏省落地;同某自贸区合作的,以eID为支撑的跨境电商服务平台年内也将落地试点;还有诸如航旅信息、安全快捷支付、电子合同、物流信息化等应用也已经小规模上线运行。

  最后,我们呼吁,应站在国家安全,站在我国网域空间安全和网域空间依法治理的高度,尽快将eID的体系建设上升为国家战略,加快部署基于eID的网络身份识别和服务公共基础设施的试点建设,尽快出台相应的支持和鼓励措施,扩展eID的发放和应用范围。同时应进一步明确eID的法律地位,明确将eID作为我国网络身份认证的核心手段,纳入正在起草的《网络安全法》,进一步支撑起全国人大《关于加强网络信息保护的决定》的落地实施。