近期,在微信、支付寶里躺了兩年的 “網(wǎng)證”,再次進入公眾視野。
據(jù)中新網(wǎng)報道,在本周舉行的互聯(lián)網(wǎng)之光博覽會上,公安部第一研究所會展工作人員介紹,以后在上網(wǎng)或使用 App 時,將可以使用網(wǎng)證代替輸入身份信息進行認證,能夠有效保護個人隱私。
但值得思考的是,大數(shù)據(jù)時代的個人信息保護涉及到多方面因素,僅靠一張網(wǎng)絡(luò)身份憑證,是否真能解決這一難題?
1 何為網(wǎng)證?有何用處?
尋求這一問題解答之前,需要先了解什么是網(wǎng)證。
網(wǎng)證,即居民身份證網(wǎng)上功能憑證,是由 CTID 平臺(中國電子身份證認證平臺)簽發(fā)給個人的權(quán)威網(wǎng)絡(luò)身份憑證。
網(wǎng)證的本質(zhì)是一個數(shù)據(jù)文件,是通過算法將實體身份證里的信息變換成沒有明文信息的、不可逆的、完全脫敏的一個定長的數(shù)據(jù),且這一數(shù)據(jù)與身份信息 “唯一綁定”。
但需要注意的是,網(wǎng)證不能替代實體身份證。
目前,微信和支付寶是 “網(wǎng)證”的兩大主流載體。在實際應(yīng)用場景中,網(wǎng)證在部分試點地區(qū)中可以適用于線上、線下政務(wù)服務(wù),住宿登記、物流寄件等有實名制要求的場景。
不過,這些片段式的應(yīng)用場景并非網(wǎng)證推出的真正意義所在,其更長遠目標(biāo)在于打造網(wǎng)絡(luò)身份認證生態(tài)產(chǎn)業(yè)鏈。
信任域的不同會造成互聯(lián)網(wǎng)身份認證效率不高,提高認證成本等問題,由此,需要一個構(gòu)件一個可信體系,使得各個應(yīng)用場景能夠在統(tǒng)一的信任根的基礎(chǔ)上衍生發(fā)展,相互關(guān)聯(lián),相互信任;即以身份證為根的中國特色網(wǎng)絡(luò)可信體系。
公安部第一研究所副所長于銳在接受《法制日報》采訪時介紹道:
所謂有中國特色的網(wǎng)絡(luò)可信體系,就是以居民身份證為根來構(gòu)建,圍繞這個根構(gòu)建三層體系,根層是國家法定證件——身份證。
中間是第三方作證層,是可用來司法采證使用的身份認證憑證,像 CA(電子簽名認證證書)。
第三層業(yè)務(wù)憑證層,像手機號、QQ 號等,這樣就形成了一個生態(tài)鏈,不同的應(yīng)用根據(jù)可信程度需求的不同,采取安全級別、強度不同的身份認證方法,實現(xiàn)不同層級的信任傳遞。
2017 年 11 月,公安部第一研究院牽頭成立了中關(guān)村安信網(wǎng)絡(luò)身份認證產(chǎn)業(yè)聯(lián)盟(OIDAA),會員覆蓋社會公共安全、電子政務(wù)、電子商務(wù)、金融、電信、終端設(shè)備、芯片等多個領(lǐng)域,三大運營商,阿里巴巴、騰訊、聯(lián)想、螞蟻金服等企業(yè)均包括其中。
據(jù)悉,這一聯(lián)盟將推動建立中國特色網(wǎng)絡(luò)身份認證體系,將網(wǎng)絡(luò)身份認證從碎片化信任域時代過渡到統(tǒng)一體系下身份認證時代。
如今,網(wǎng)證再邁出關(guān)鍵一步——用戶在上網(wǎng)或使用 App 時,使用網(wǎng)證代替輸入身份信息進行認證,能夠在不泄露身份信息的前提下實現(xiàn)在線身份認證,以此有效保護個人隱私。
公安部第一研究所工作人員表示,當(dāng)前已不是僅在福建、廣東等地開展試點,而是在正常地推行運用,未來會慢慢地推行到全國。
那么,網(wǎng)證是如何保障個人身份信息安全?
2 如何保障安全?
前面提到,網(wǎng)證的本質(zhì)是一個數(shù)據(jù)文件,能夠與個人身份信息實現(xiàn)唯一綁定,但這個數(shù)據(jù)文件沒有任何明文,不包含個人隱私。
另外,雖然這個 “網(wǎng)證”數(shù)據(jù)文件存放于互聯(lián)網(wǎng)上,但其數(shù)據(jù)文件并非完整數(shù)據(jù),更為重要的是,即使遭到黑客攻擊,被獲得了完整數(shù)據(jù),也無法逆推得出用戶信息,單向性的特征給網(wǎng)證安全再加一層保障。
據(jù)于銳介紹,數(shù)據(jù)文件的作用只是鏈接實體身份證和互聯(lián)網(wǎng) + 可信身份認證平臺,而作為整個體系技術(shù)數(shù)據(jù)支撐的居民身份證明文數(shù)據(jù)是存放在公安信息網(wǎng)里,是國家專業(yè)機關(guān)的專業(yè)網(wǎng),與互聯(lián)網(wǎng)物理隔離。
并且,公安專網(wǎng)是單向的、只進不出的,確保了公民身份證制證數(shù)據(jù)安全。
另外,網(wǎng)證還能夠?qū)崿F(xiàn) “一證多存”和 “多證存一”。
其中,“一證多存”指向存放于不同應(yīng)用、不同端口中,既可以存放在微信卡包、支付寶等應(yīng)用中,也支持存放于華為錢包等手機應(yīng)用,或者是移動端之外的 iPad、電腦里。
“多證存一”指一家人的 “網(wǎng)證”都可以存在一個手機里。因此,一旦家庭成員出現(xiàn)手機丟失的情況,也能夠通過別的終端進行掛失,且立即生效。
在網(wǎng)證安全性中,采用“刷臉”進行實人認證也是一大容易出現(xiàn)隱患的環(huán)節(jié),如果人臉特征信息在傳輸過程中遭到竊取,則后患無窮。
對此,于銳對《法制日報》解釋稱,由于身份證中金具有照片和指紋兩個生物特征,在線上進行網(wǎng)證實人認證時如果采用指紋形式,其安全風(fēng)險較高,容易通過指紋特征逆向偽造指紋圖像。
而人臉屬于弱隱私特征,通過人臉特征難以逆向獲得用戶個人圖像。于銳表示:
人臉識別技術(shù)用的是神經(jīng)網(wǎng)絡(luò)的深度學(xué)習(xí)算法,想通過人臉的深度學(xué)習(xí)特征去回推出人的容貌,目前不可能。
正是因為人臉這種特定的特點,現(xiàn)在全世界線上認證大多使用人臉識別?,F(xiàn)在我們正在結(jié)合聲紋、眼紋來加強活體認證的準(zhǔn)確性。
可見,網(wǎng)證在誕生之初,就已做好了充分的準(zhǔn)備。
但是,在 “道高一尺魔高一丈”的互聯(lián)網(wǎng)環(huán)境中,網(wǎng)證或許還存在著一些值得審視的問題。
3 上網(wǎng)用 “網(wǎng)證”,數(shù)據(jù)隱私就安全了嗎?
有觀點認為,在網(wǎng)證推行之前,大多數(shù)網(wǎng)站、App 已經(jīng)錄入了用戶的身份證信息,如果使用網(wǎng)證登錄,是否會獲得網(wǎng)證與身份證信息的聯(lián)結(jié)對應(yīng),使得與身份信息唯一綁定的網(wǎng)證遭到 “污染”,這是問題之一。
另外,多數(shù) App 的注冊頁面采用手機號登入,而手機號目前已與身份證信息實現(xiàn)了綁定,那么,即便無需進行身份證驗證的場景,僅通過手機登陸,是否會形成 “手機號—身份證—網(wǎng)證”這一鏈路,同樣值得深思。
總的來說,如何解決用戶已經(jīng)半公開的隱私信息與網(wǎng)證之間的聯(lián)結(jié)關(guān)系,是網(wǎng)證需要解決的隱私難題。
另外,即便沒有形成對應(yīng)聯(lián)結(jié),對于已在互聯(lián)網(wǎng)上登陸過的用戶身份信息,將如何進行處理,同樣值得審視。
以人臉數(shù)據(jù)為例,據(jù)央視新聞報道,只要花 2 元錢就能買到上千張人臉照片,而 5000 多張人臉照片的標(biāo)價還不到 10 元,平均下來一份人臉信息僅有 0.002 元。
而這些已經(jīng)泄露的人臉數(shù)據(jù)又是否會影響 “網(wǎng)證”的推行,這也是癥結(jié)所在。
雖然在群眾討論中網(wǎng)證仍存在一些尚待解決的不確定性問題,但從網(wǎng)證推進的步伐來看,躺在用戶微信、支付寶里的網(wǎng)證,用處越來越多了。