清華大學互聯網產業研究院產業轉型顧問委員會委員�、中國工程院院士、第二代居民身份證首席安全專家����、居民身份證網上應用首席科學家
隨著互聯網技術的不斷發展,網絡已經滲透到當今社會生活的方方面面��,并深刻改變了人們的生產生活模式�����,成為人們重要的活動空間以及推動經濟社會發展的重要工具���。網絡在帶給人們便利的同時也帶來一系列的問題�,無法將“線上人”與“線下人”進行對應限制了網絡活動的進一步發展�,網絡詐騙、網絡攻擊和侵犯公民個人信息等網上違法犯罪活動頻繁發生��。
在此背景下��,網絡可信身份應運而生����。它通過建立網絡身份和現實身份之間的綁定關系確認網絡活動主體身份,促進網絡空間安全可信����,進而保護個人信息,營造良好的網絡生態�,服務人民的美好生活,助推國家治理體系和治理能力現代化的實現�。
《中華人民共和國網絡安全法》中提出“國家實施網絡可信身份戰略”。什么是網絡身份���?如何實現網絡可信身份管理����?在推進國家治理體系和治理能力現代化的總目標下,網絡可信身份戰略在其中起到了怎樣的作用��?
《網絡安全法》第二十四條規定�����,國家實施網絡可信身份戰略�����,支持研究開發安全����、方便的電子身份認證技術,推動不同電子身份認證之間的互認���。
當前�,網絡空間已成為陸����、海���、空、天之外的主權空間�,“沒有網絡安全就沒有國家安全”。網絡空間主體還是人��,因利益驅動對網絡進行人為攻擊是永遠的主題�����。由此�����,網絡可信身份管理成為網絡信息時代為公民提供服務而確保主體行為可信的必要手段�����。目前國際主要國家均對網絡身份管理進行了頂層設計�����,完善立法��,成為國家網絡安全戰略不可或缺的組成部分����。
網絡身份是在網絡空間中識別特定主體的數字化標志,是網絡身份認證的要素�,也是確定身份特征的依據,與現實身份相綁定�����。網絡身份應當通過身份認證技術�����,確保和現實身份達到一致����,也就是身份是可信的,不是假冒的���。由此����,形成了網絡可信身份體系���,成為推進國家治理體系和治理能力現代化的重要舉措��。網絡可信身份體系以密碼技術為基礎(相當于人體的 DNA)�����,由法律法規�、技術標準和基礎設施組成,解決了網絡應用中的身份認證���、授權管理和責任認定等難題。
網絡空間的虛擬性導致難以確定用戶身份的真實可信����,給網絡空間治理造成了巨大的困難。網絡可信身份管控手段的缺失���,將失去有序開展電子政務�����、電子商務����、信息共享等各類網絡應用的前提,制約以網絡為基礎的各項生產生活活動進一步發展����。實施網絡可信戰略,構建網絡可信身份體系���,是實現國家治理體系和治理能力現代化的必由之路�����。
現實生活中�����,我們使用身份證作為法定有效證件���;網絡世界里,身份證在可信身份驗證的過程中發揮了怎樣的作用���?與電子簽名��、口令密碼等驗證方式相比����,三者間有何區別?
網絡空間是公共場所��,網絡社會也是法
制社會��,依法治網��,推動網絡可信有序���,保障網絡安全是每個公民的責任和義務��。
《中華人民共和國居民身份證法》第一條明確規定居民身份證的作用是“證明居住在中華人民共和國境內的公民的身份”�,成為身份管理的法律可信依據�,也是電子法律證件,兼有網絡“線下”和“線上”法律作證的地位�。
可信身份認證是網絡身份可信確定的過程��。法定有效證件經密碼變換運算生成網絡身份憑證�,具有不可篡改和偽造的唯一性?�?尚派矸菡J證要判定法定身份證與實體本人以及網絡身份憑證是否一致���,這是安全性最高的認證�����,也可稱法定信任級�。電子簽名法界定的數字證書是行政許可的第三方機構簽發,面向系統應用的身份可信的憑證�,只證明協議所用的數字證書是用戶所屬的,與用戶實體不直接相關�,可稱第三方作證級。還有�,各業務系統根據自身業務需要簽發的身份證件,如銀行賬號���、手機號���、QQ 號、微博號等與口令密碼匹配��,作為業務運行者確認用戶是其所屬的��,可稱為業務憑證級�����。
上述三種身份認證最根本的差別在于信任程度不同�。只有法定信任級才是網絡可信身份的信任根和源泉���,才能構建合法身份為根、身份實體可信(實名制)的網絡可信身份管理體系���。
個人信息保護已成為全社會關注的熱點話題�����。網絡可信身份管理在其中發揮了怎樣的作用���?有哪些獨特的優勢?
隱私保護和信息互聯共享是一對不可調和的矛盾���,是信息網絡安全的熱門課題����。個人信息保護的法律內涵是���,任何組織或個人不得以刺探、侵擾��、泄露�、公開等方式侵害他人的隱私權����。保護公民隱私是國家法律的強制性規定����。保護隱私的唯一的出路是在法律框架下加強科學的網絡可信身份管理。
可信身份認證是網絡上的實名制認證���,從字面上看不利于個人隱私保護���,實際以二代居民身份證為根建立單向映射的唯一對應的網絡身份憑證,不含任何的個人身份信息�����,充分滿足了網絡隱私保護要求�����。運行者只要記錄客戶的身份憑證即可�����,網絡認證核對法律證件��、個人實體(生物特征)和身份憑證三者融合一致即可。
這種法定信任級認證不留身份信息��,而第三方作證級和業務憑證級認證將主體身份信息直接留在網絡中��,有被非法盜用的風險���。如美國Facebook公司幾千萬名用戶資料遭非法買賣數據泄露事件���。特別指出的是,基于數字證書(PKI)身份認證以及人臉比對識別認證都是驗證當時主體身份與預先登記的是否符合�����,在證書申請和認證過程中存在個人信息泄露風險���。
另外���,現在利用人工智能技術,大量竊取個人信息已成為難以應對的網絡安全問題�����?���?尚派矸莨芾砟苡行Х乐估蒙矸萏卣鲾祿占椭悄芗庸ぷR別竊取個人信息,以及仿真假冒等攻擊����。
為營造良好的網絡生態環境,國家互聯網信息辦公室發布了《網絡信息內容生態治理規定》于2020年3月1日起正式施行�����。共建風明氣清的網絡空間環境���,我們該如何搭建現實世界與無形網絡間的橋梁?又該如何著手和切入?
《網絡信息內容生態治理規定》是為營造良好的網絡生態而制訂�����,規定明確了平臺的信息安全管理義務�,提出了防范和抵制傳播不良信息等要求���。根據規定��,網絡信息內容服務使用者和平臺不得開展網絡暴力��、人肉搜索�����、深度偽造���、流量造假����、操縱賬號等違法活動����。這些與網絡可信身份管理直接相關,可信身份認證是不可或缺的抓手和切入點��。
網絡信息內容生態治理的第一關是要確保網絡信息內容和平臺服務使用者的身份可信���,這些不能由他們自己說了算�����,而應堅持“法律證件為依據��、生物特征為根據�����、辦案追溯為證據”的原則�。也就是說���,可信身份認證必須以法律為依據��,由國家執法部門統一發證����、存儲和管理���,不歸經營者所屬���,確保公正可信。
另外��,一般身份認證的追蹤以服務經營者形成的審計記錄為證據��,這不公正也不安全��,只有國家統一的網絡可信身份管理平臺形成的記錄才能作為辦案證據��,進行追溯。
基于法律證件的網絡可信身份管理具有“四不” 特點:不改變現有法律證件安全機制�����,確保法律證件卡體安全��、應用安全;不在互聯網上存儲�、傳輸持證人的個人信息,不影響個人隱私;不排斥現有各種網絡認證協議����,可方便地接入擴充現有協議,增強其安全性;不增加新的認證基礎數據平臺和證卡體���,法律證件數據平臺可安全使用����,網絡身份憑證是編碼數據塊��,無需硬件載體卡�����?���;诜勺C件�����,使網絡可信身份管理具有法定信任���,上述“四不”特點�,使其又能安全可靠,成為人們穿行物理世界與數字世界的權威橋梁�。
習近平總書記提出,人民對美好生活的向往就是我們的奮斗目標�����。未來網絡可信身份將如何服務于人民的美好生活?對此����,您有何期待?
實施網絡可信身份戰略,就是要營造清朗的網絡空間��,為將人民對美好生活的向往變成現實提供必要的手段��。當前����,互聯網線上線下結合得更加緊密����,人們對網絡依賴程度使生活與互聯網高度融合���,人們在網絡上獲得便利的同時��,也出現了信息安全威脅的困惑���。
尤其是有些人為了非法獲利,利用網絡的匿名性進行詐騙����,導致許多沒有防范之心的人損失慘重,企業運營者也背上了沉重的包袱���,使美好生活大打折扣��,這與網絡身份認證不科學不合理有直接關系��。
前面所述的基于法律身份證件實施可信認證�,網上網下一體化���,極大減輕了人們上網的負擔�,也從根本上減輕了運營者為認證聚集巨大數據所承擔的泄露風險。這種認證模式不僅安全可信��,而且投資小����、見效快、實施操作簡便��,符合國情����,具有首創性����,大大領先于美國和歐盟的方案。
我國從 2013 年開始研制網絡可信身份憑證(CTID)����,簡稱網證,以此建立了網絡身份認證標準和平臺���。2014 年 9 月����,在廈門試點試用取得成功,效益顯著��,現推廣到政務��、交通��、醫療��、司法等 9 大行業 260 余家應用機構以及各類互聯網應用�����。2018 年國務院辦公廳發文明確要求�,基于“互聯網+可信身份認證平臺”和國家人口基礎信息庫為國家政務服務平臺提供實名支撐,建設全國一體的政務服務模式�����。以“互聯網+可信身份認證平臺”為代表的我國網絡可信身份實踐已在路上����,將這一科學合理的網絡身份認證模式引入網絡空間環境治理,在現實生活的各行各業廣泛開展應用��,人民群眾對美好生活的向往未來可期。
