个人隐私信息泄露存隐患 eID应用推广迫在眉睫
如果你在中国工商银行申领新的金融IC借记卡,会发现卡背面多了一个两环相扣的图标,图案显示出“eID”三个字母。
eID是英文“Electronic Identity”的英文简称,国际上通常定义为“由政府颁发给公民的用于线上和线下识别身份的证件”。目前,新发行的工商银行金融IC借记卡同时还是一张eID卡,只要持卡人选择开通该业务,即可获得一个eID网络电子身份标识。
为确保卡片和本人一致,这张可以标识个人网络电子身份的卡片只能由本人在线下申请办理,在线上应用时,eID只是一串有证书保护的无意义的数字,而这串无意义数字所对应的个人信息,只掌握在“公安部公民网络身份识别系统”数据库里。
也就是说,持卡人通过eID登录网站或者APP的时候,是以密码技术而不是直接以姓名、性别、身份证号码等个人的具体信息为信任基础。这样,即便网站或者APP遭到攻击,eID持卡人的身份信息不会被泄露。
目前,我国的第二代身份证只具备线下个人身份识别和防伪的功能,而线上应用普遍采用以姓名、身份证号、手机号码等个人信息间的关联关系识别身份,因此留下个人信息泄露的隐患。
“eID的目标就是在保护公民身份信息的前提下,快速有效地实现线上身份识别。”公安部第三研究所网络身份技术事业部书记严则明告诉《瞭望东方周刊》,如果不从技术体系和基础设施建设着手解决这个问题,网络的信任体系就非常脆弱,在线高附加值的商业服务的成本就会非常高,电子商务、电子政务和网络征信的发展已经面临着严重的制约,“要么承担个人身份信息泄露的风险,要么一些对真实身份有要求的行业无法发展;同时,如果不彻底改变互联网应用的信任体系直接基于身份信息,那么窃取、买卖个人信息,以及电信和网络诈骗的案件就不可能根除。
个人隐私信息泄露隐患
严则明告诉本刊记者,目前,如何在保护个人隐私、建立网上信任体系,是很多国家都在探索的问题。
比如韩国就在2007年启动线上个人信息认证,实现网络注册实名化。因为个人认证信息均为真实而明确的信息,很快韩国门户网站“NATE”、社交网站“Cyberworld”等遭到黑客攻击,造成3500万名用户的个人信息泄露。
目前中国的互联网用户已经超过6.5亿,诸多关系个人社交、交易的网站均需提供个人身份信息。而信息泄露事件也曾多次发生,比如2014年携程网、12360网站等的用户信息泄接连发生,更著名的则是2000万酒店开房数据被泄露后挂在网上供人查询事件。
根据360互联网安全中心统计,从2011年到2014年底,被证实已泄漏的中国公民个人信息多达11.27亿条,内容包括账号密码、电子邮件地址、电话号码,甚至还包括家庭住址、身份证号码等信息。
个人隐私信息的泄露直接导致了这些年电信和网络犯案由骚扰转为精准的诈骗,另外,利用他人身份向信用卡机构、P2P小额贷款机构进行诈骗也多有发生。《2015年第一季度网络诈骗犯罪数据研究报告》显示,超过三成网络诈骗案与个人信息泄露相关。
“eID网络电子身份标识正是针对这些问题的。”严则明说,公安部第三研究所从2009底年就开始网络身份管理的研究,目前,“公安部公民网络身份识别系统”已通过国家密码管理局的安全审查,并依托中国工商银行的借记卡向公民试点签发eID卡。
早在2006年,欧盟委员会即发布《2010泛欧洲eID管理框架路线图》,从顶层统筹规划eID管理框架。为配合上述线路图,2010年德国出台《电子身份证条例》,对eID卡基础设施的安全性和数据保护提出明确要求。奥地利和英国也分别推出类似法案。
2012年,欧盟进一步提出《电子签名和电子身份证法规》草案,围绕电子签名和电子身份证两项基本要素,提出无国界的欧盟数字市场,在尊重隐私和保护数据安全的基础上,保障各成员国的民众和企业能够使用本国签发的电子身份证获得其他国家提供的等同服务。
无法反推身份信息
据公安部第三研究所eID事业部副主任胡永涛介绍,eID是以密码技术为基础、以智能芯片为载体、由“公安部公民网络身份识别系统”签发给公民个人的网络身份标识。通俗地讲,eID就是由公私密钥保护的上网公民个人身份信息的密文代码,使用eID的私钥由上网公民本人掌握,而公钥由权威机构掌握、保障网络身份的有效性。
严则明告诉本刊记者,eID的加密算法很难被破解,“即便被读出,也只是没有实际意义的字符串,而且无法反推到个人身份信息”。
他说,目前eID在密码技术上是最高级别的安全类型,“存在的漏洞只可能是主动泄露的风险,即持卡人主动把自己的eID卡和密码交由他人使用。但即便如此,这个行为也是可以被追溯的。”
eID在签发过程中会留下录像等痕迹,发行登记机构会保留备查,一旦发生问题即可追溯,这是此前网络实名制难以做到的。
用户在申领和开通eID业务后,就可以使用读卡器或者带NFC功能的智能手机接入应用。“eID技术规范要求,接入eID网络身份服务的互联网应用机构后台不能直接存储用户的身份信息,只能存储用户对应的编码,在个人隐私保护上形成一道防线。”严则明说。
特别是在移动互联网领域,用户只要把eID卡在具有NFC功能的手机背后一贴就可完成注册和登录,而无需记忆更多的账号和密码。
突破推广瓶颈
据严则明介绍,目前中国工商银行在全国累计发行eID卡达到2000万张,并以每天约10万张的幅度增长,“但是,在试点过程中,由于应用场景少,开通eID的比例不高,工行网点的发行体验和培训也没有跟上,因此,公众对eID的认知还相当欠缺,需要有强应用来推动。”
应用落地,是eID推广的当务之急。
负责eID应用推广的金联汇通信息技术有限公司总经理亓文华告诉本刊记者,目前已经有十余家互联网服务企业开始接入eID应用。
除个人用户,亓文华说,以物流、证券以及金融信贷为代表的行业,对eID的接入很有热情。“对网络真实身份有刚性需求、对安全性要求比较高的行业,比如证券公司的开户业务、网上金融支付业务等,积极性更高。”
以物流行业为例。中国多年来未能出现占领绝对市场份额的大型企业,统计数据显示,2014年中国物流总额达到213.5万亿元,其中中小物流企业占据90%的市场份额。
“无法有效识别身份信息,是物流业的发展瓶颈。”安保泓物流联盟创始人白芷安告诉《瞭望东方周刊》,在传统物流行业中,发货人和收获人的身份全凭一张手写的物流单据验证,而工作人员在送货时往往凭借手机号码来确认收件人的身份,“丢件、错件现象屡见不鲜,出现纠纷后抵赖的现象也时有发生。”
由于发件人责任主体不能确认,更严重的情况是快递违禁物品。白芷安说,早年她曾在快递集散地碰到过伪装成正常货物的毒品甚至枪支,“由于寄件人无法准确追溯,往往不了了之。”
她说,由于物流行业信用体系远不完善,保险业务不愿意介入,银行更不愿意授信和贷款。
“物流行业对身份真实性的识别是刚性需求,eID便捷的网络身份认证恰好解决了这个难题。”白芷安说,包括发货方、物流公司、收货人等不同角色,均可以在NFC手机或者读卡器上进行eID认证,过去无法实现的实名发货、实名收件、实名运输、实名派送以及实名签收,都迎刃而解,可以从根本上避免因身份问题而导致的大量纠纷和官司。
360手机助手选择接入eID,是基于对行业的预测和对用户习惯的分析。
360公司手机助手事业部总经理陶伟华告诉本刊记者,大量传统行业纷纷以O2O的模式进入互联网,“如果要长久发展,首先要解决身份认证。”
以打车软件为例,陶伟华说,如果不能解决身份认证问题,恶性事件发生的概率就会增加。调研显示,目前中国的互联网用户中只有30%习惯在线支付,其中原因正是很多人对于网络现状的不信任。
航旅纵横是目前已经实现eID接入的一个航班管理应用APP。过去要使用这个服务,需要上传身份证照片并等待人工审核,至少需要12小时,时有账户被抢注而导致个人隐私信息泄露的情况发生。现在即使账户被抢注或被盗,eID持卡人可以马上“抢回”。
“这些行业正是eID应用落地的突破口。”亓文华告诉本刊记者,包括在线支付行业、物流行业、互联网金融行业等,他们正与数十家互联网应用机构洽谈,“我们有信心,未来eID的应用领域和前景将非常广阔。”