物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

個(gè)人隱私信息泄露存隱患 eID應(yīng)用推廣迫在眉睫

作者:葛江濤 馬雪婷
來(lái)源:《瞭望東方周刊》
日期:2015-07-15 10:47:00
摘要:eID是英文“Electronic Identity”的英文簡(jiǎn)稱,國(guó)際上通常定義為“由政府頒發(fā)給公民的用于線上和線下識(shí)別身份的證件”。目前,新發(fā)行的工商銀行金融IC借記卡同時(shí)還是一張eID卡,只要持卡人選擇開(kāi)通該業(yè)務(wù),即可獲得一個(gè)eID網(wǎng)絡(luò)電子身份標(biāo)識(shí)。

  如果你在中國(guó)工商銀行申領(lǐng)新的金融IC借記卡,會(huì)發(fā)現(xiàn)卡背面多了一個(gè)兩環(huán)相扣的圖標(biāo),圖案顯示出“eID”三個(gè)字母。

  eID是英文“Electronic Identity”的英文簡(jiǎn)稱,國(guó)際上通常定義為“由政府頒發(fā)給公民的用于線上和線下識(shí)別身份的證件”。目前,新發(fā)行的工商銀行金融IC借記卡同時(shí)還是一張eID卡,只要持卡人選擇開(kāi)通該業(yè)務(wù),即可獲得一個(gè)eID網(wǎng)絡(luò)電子身份標(biāo)識(shí)。

  為確??ㄆ捅救艘恢?,這張可以標(biāo)識(shí)個(gè)人網(wǎng)絡(luò)電子身份的卡片只能由本人在線下申請(qǐng)辦理,在線上應(yīng)用時(shí),eID只是一串有證書(shū)保護(hù)的無(wú)意義的數(shù)字,而這串無(wú)意義數(shù)字所對(duì)應(yīng)的個(gè)人信息,只掌握在“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”數(shù)據(jù)庫(kù)里。

  也就是說(shuō),持卡人通過(guò)eID登錄網(wǎng)站或者APP的時(shí)候,是以密碼技術(shù)而不是直接以姓名、性別、身份證號(hào)碼等個(gè)人的具體信息為信任基礎(chǔ)。這樣,即便網(wǎng)站或者APP遭到攻擊,eID持卡人的身份信息不會(huì)被泄露。

  目前,我國(guó)的第二代身份證只具備線下個(gè)人身份識(shí)別和防偽的功能,而線上應(yīng)用普遍采用以姓名、身份證號(hào)、手機(jī)號(hào)碼等個(gè)人信息間的關(guān)聯(lián)關(guān)系識(shí)別身份,因此留下個(gè)人信息泄露的隱患。

  “eID的目標(biāo)就是在保護(hù)公民身份信息的前提下,快速有效地實(shí)現(xiàn)線上身份識(shí)別?!惫膊康谌芯克W(wǎng)絡(luò)身份技術(shù)事業(yè)部書(shū)記嚴(yán)則明告訴《瞭望東方周刊》,如果不從技術(shù)體系和基礎(chǔ)設(shè)施建設(shè)著手解決這個(gè)問(wèn)題,網(wǎng)絡(luò)的信任體系就非常脆弱,在線高附加值的商業(yè)服務(wù)的成本就會(huì)非常高,電子商務(wù)、電子政務(wù)和網(wǎng)絡(luò)征信的發(fā)展已經(jīng)面臨著嚴(yán)重的制約,“要么承擔(dān)個(gè)人身份信息泄露的風(fēng)險(xiǎn),要么一些對(duì)真實(shí)身份有要求的行業(yè)無(wú)法發(fā)展;同時(shí),如果不徹底改變互聯(lián)網(wǎng)應(yīng)用的信任體系直接基于身份信息,那么竊取、買賣個(gè)人信息,以及電信和網(wǎng)絡(luò)詐騙的案件就不可能根除。

   個(gè)人隱私信息泄露存隱患 eID應(yīng)用推廣迫在眉

  個(gè)人隱私信息泄露隱患

  嚴(yán)則明告訴本刊記者,目前,如何在保護(hù)個(gè)人隱私、建立網(wǎng)上信任體系,是很多國(guó)家都在探索的問(wèn)題。

  比如韓國(guó)就在2007年啟動(dòng)線上個(gè)人信息認(rèn)證,實(shí)現(xiàn)網(wǎng)絡(luò)注冊(cè)實(shí)名化。因?yàn)閭€(gè)人認(rèn)證信息均為真實(shí)而明確的信息,很快韓國(guó)門戶網(wǎng)站“NATE”、社交網(wǎng)站“Cyberworld”等遭到黑客攻擊,造成3500萬(wàn)名用戶的個(gè)人信息泄露。

  目前中國(guó)的互聯(lián)網(wǎng)用戶已經(jīng)超過(guò)6.5億,諸多關(guān)系個(gè)人社交、交易的網(wǎng)站均需提供個(gè)人身份信息。而信息泄露事件也曾多次發(fā)生,比如2014年攜程網(wǎng)、12360網(wǎng)站等的用戶信息泄接連發(fā)生,更著名的則是2000萬(wàn)酒店開(kāi)房數(shù)據(jù)被泄露后掛在網(wǎng)上供人查詢事件。

  根據(jù)360互聯(lián)網(wǎng)安全中心統(tǒng)計(jì),從2011年到2014年底,被證實(shí)已泄漏的中國(guó)公民個(gè)人信息多達(dá)11.27億條,內(nèi)容包括賬號(hào)密碼、電子郵件地址、電話號(hào)碼,甚至還包括家庭住址、身份證號(hào)碼等信息。

  個(gè)人隱私信息的泄露直接導(dǎo)致了這些年電信和網(wǎng)絡(luò)犯案由騷擾轉(zhuǎn)為精準(zhǔn)的詐騙,另外,利用他人身份向信用卡機(jī)構(gòu)、P2P小額貸款機(jī)構(gòu)進(jìn)行詐騙也多有發(fā)生?!?015年第一季度網(wǎng)絡(luò)詐騙犯罪數(shù)據(jù)研究報(bào)告》顯示,超過(guò)三成網(wǎng)絡(luò)詐騙案與個(gè)人信息泄露相關(guān)。

  “eID網(wǎng)絡(luò)電子身份標(biāo)識(shí)正是針對(duì)這些問(wèn)題的?!眹?yán)則明說(shuō),公安部第三研究所從2009底年就開(kāi)始網(wǎng)絡(luò)身份管理的研究,目前,“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”已通過(guò)國(guó)家密碼管理局的安全審查,并依托中國(guó)工商銀行的借記卡向公民試點(diǎn)簽發(fā)eID卡。

  早在2006年,歐盟委員會(huì)即發(fā)布《2010泛歐洲eID管理框架路線圖》,從頂層統(tǒng)籌規(guī)劃eID管理框架。為配合上述線路圖,2010年德國(guó)出臺(tái)《電子身份證條例》,對(duì)eID卡基礎(chǔ)設(shè)施的安全性和數(shù)據(jù)保護(hù)提出明確要求。奧地利和英國(guó)也分別推出類似法案。

  2012年,歐盟進(jìn)一步提出《電子簽名和電子身份證法規(guī)》草案,圍繞電子簽名和電子身份證兩項(xiàng)基本要素,提出無(wú)國(guó)界的歐盟數(shù)字市場(chǎng),在尊重隱私和保護(hù)數(shù)據(jù)安全的基礎(chǔ)上,保障各成員國(guó)的民眾和企業(yè)能夠使用本國(guó)簽發(fā)的電子身份證獲得其他國(guó)家提供的等同服務(wù)。

  無(wú)法反推身份信息

  據(jù)公安部第三研究所eID事業(yè)部副主任胡永濤介紹,eID是以密碼技術(shù)為基礎(chǔ)、以智能芯片為載體、由“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”簽發(fā)給公民個(gè)人的網(wǎng)絡(luò)身份標(biāo)識(shí)。通俗地講,eID就是由公私密鑰保護(hù)的上網(wǎng)公民個(gè)人身份信息的密文代碼,使用eID的私鑰由上網(wǎng)公民本人掌握,而公鑰由權(quán)威機(jī)構(gòu)掌握、保障網(wǎng)絡(luò)身份的有效性。

  嚴(yán)則明告訴本刊記者,eID的加密算法很難被破解,“即便被讀出,也只是沒(méi)有實(shí)際意義的字符串,而且無(wú)法反推到個(gè)人身份信息”。

  他說(shuō),目前eID在密碼技術(shù)上是最高級(jí)別的安全類型,“存在的漏洞只可能是主動(dòng)泄露的風(fēng)險(xiǎn),即持卡人主動(dòng)把自己的eID卡和密碼交由他人使用。但即便如此,這個(gè)行為也是可以被追溯的?!?/p>

  eID在簽發(fā)過(guò)程中會(huì)留下錄像等痕跡,發(fā)行登記機(jī)構(gòu)會(huì)保留備查,一旦發(fā)生問(wèn)題即可追溯,這是此前網(wǎng)絡(luò)實(shí)名制難以做到的。

  用戶在申領(lǐng)和開(kāi)通eID業(yè)務(wù)后,就可以使用讀卡器或者帶NFC功能的智能手機(jī)接入應(yīng)用。“eID技術(shù)規(guī)范要求,接入eID網(wǎng)絡(luò)身份服務(wù)的互聯(lián)網(wǎng)應(yīng)用機(jī)構(gòu)后臺(tái)不能直接存儲(chǔ)用戶的身份信息,只能存儲(chǔ)用戶對(duì)應(yīng)的編碼,在個(gè)人隱私保護(hù)上形成一道防線?!眹?yán)則明說(shuō)。

  特別是在移動(dòng)互聯(lián)網(wǎng)領(lǐng)域,用戶只要把eID卡在具有NFC功能的手機(jī)背后一貼就可完成注冊(cè)和登錄,而無(wú)需記憶更多的賬號(hào)和密碼。

   個(gè)人隱私信息泄露存隱患 eID應(yīng)用推廣迫在眉

  突破推廣瓶頸

  據(jù)嚴(yán)則明介紹,目前中國(guó)工商銀行在全國(guó)累計(jì)發(fā)行eID卡達(dá)到2000萬(wàn)張,并以每天約10萬(wàn)張的幅度增長(zhǎng),“但是,在試點(diǎn)過(guò)程中,由于應(yīng)用場(chǎng)景少,開(kāi)通eID的比例不高,工行網(wǎng)點(diǎn)的發(fā)行體驗(yàn)和培訓(xùn)也沒(méi)有跟上,因此,公眾對(duì)eID的認(rèn)知還相當(dāng)欠缺,需要有強(qiáng)應(yīng)用來(lái)推動(dòng)?!?/p>

  應(yīng)用落地,是eID推廣的當(dāng)務(wù)之急。

  負(fù)責(zé)eID應(yīng)用推廣的金聯(lián)匯通信息技術(shù)有限公司總經(jīng)理亓文華告訴本刊記者,目前已經(jīng)有十余家互聯(lián)網(wǎng)服務(wù)企業(yè)開(kāi)始接入eID應(yīng)用。

  除個(gè)人用戶,亓文華說(shuō),以物流、證券以及金融信貸為代表的行業(yè),對(duì)eID的接入很有熱情?!皩?duì)網(wǎng)絡(luò)真實(shí)身份有剛性需求、對(duì)安全性要求比較高的行業(yè),比如證券公司的開(kāi)戶業(yè)務(wù)、網(wǎng)上金融支付業(yè)務(wù)等,積極性更高?!?/p>

  以物流行業(yè)為例。中國(guó)多年來(lái)未能出現(xiàn)占領(lǐng)絕對(duì)市場(chǎng)份額的大型企業(yè),統(tǒng)計(jì)數(shù)據(jù)顯示,2014年中國(guó)物流總額達(dá)到213.5萬(wàn)億元,其中中小物流企業(yè)占據(jù)90%的市場(chǎng)份額。

  “無(wú)法有效識(shí)別身份信息,是物流業(yè)的發(fā)展瓶頸?!卑脖c锪髀?lián)盟創(chuàng)始人白芷安告訴《瞭望東方周刊》,在傳統(tǒng)物流行業(yè)中,發(fā)貨人和收獲人的身份全憑一張手寫(xiě)的物流單據(jù)驗(yàn)證,而工作人員在送貨時(shí)往往憑借手機(jī)號(hào)碼來(lái)確認(rèn)收件人的身份,“丟件、錯(cuò)件現(xiàn)象屢見(jiàn)不鮮,出現(xiàn)糾紛后抵賴的現(xiàn)象也時(shí)有發(fā)生?!?/p>

  由于發(fā)件人責(zé)任主體不能確認(rèn),更嚴(yán)重的情況是快遞違禁物品。白芷安說(shuō),早年她曾在快遞集散地碰到過(guò)偽裝成正常貨物的毒品甚至槍支,“由于寄件人無(wú)法準(zhǔn)確追溯,往往不了了之?!?/p>

  她說(shuō),由于物流行業(yè)信用體系遠(yuǎn)不完善,保險(xiǎn)業(yè)務(wù)不愿意介入,銀行更不愿意授信和貸款。

  “物流行業(yè)對(duì)身份真實(shí)性的識(shí)別是剛性需求,eID便捷的網(wǎng)絡(luò)身份認(rèn)證恰好解決了這個(gè)難題?!卑总瓢舱f(shuō),包括發(fā)貨方、物流公司、收貨人等不同角色,均可以在NFC手機(jī)或者讀卡器上進(jìn)行eID認(rèn)證,過(guò)去無(wú)法實(shí)現(xiàn)的實(shí)名發(fā)貨、實(shí)名收件、實(shí)名運(yùn)輸、實(shí)名派送以及實(shí)名簽收,都迎刃而解,可以從根本上避免因身份問(wèn)題而導(dǎo)致的大量糾紛和官司。

  360手機(jī)助手選擇接入eID,是基于對(duì)行業(yè)的預(yù)測(cè)和對(duì)用戶習(xí)慣的分析。

  360公司手機(jī)助手事業(yè)部總經(jīng)理陶偉華告訴本刊記者,大量傳統(tǒng)行業(yè)紛紛以O(shè)2O的模式進(jìn)入互聯(lián)網(wǎng),“如果要長(zhǎng)久發(fā)展,首先要解決身份認(rèn)證。”

  以打車軟件為例,陶偉華說(shuō),如果不能解決身份認(rèn)證問(wèn)題,惡性事件發(fā)生的概率就會(huì)增加。調(diào)研顯示,目前中國(guó)的互聯(lián)網(wǎng)用戶中只有30%習(xí)慣在線支付,其中原因正是很多人對(duì)于網(wǎng)絡(luò)現(xiàn)狀的不信任。

  航旅縱橫是目前已經(jīng)實(shí)現(xiàn)eID接入的一個(gè)航班管理應(yīng)用APP。過(guò)去要使用這個(gè)服務(wù),需要上傳身份證照片并等待人工審核,至少需要12小時(shí),時(shí)有賬戶被搶注而導(dǎo)致個(gè)人隱私信息泄露的情況發(fā)生。現(xiàn)在即使賬戶被搶注或被盜,eID持卡人可以馬上“搶回”。

  “這些行業(yè)正是eID應(yīng)用落地的突破口?!必廖娜A告訴本刊記者,包括在線支付行業(yè)、物流行業(yè)、互聯(lián)網(wǎng)金融行業(yè)等,他們正與數(shù)十家互聯(lián)網(wǎng)應(yīng)用機(jī)構(gòu)洽談,“我們有信心,未來(lái)eID的應(yīng)用領(lǐng)域和前景將非常廣闊?!?/p>

人物訪談