|
|
|
|
移动端

孙平:构建安全多样的身份认证体系

身份证所记载的是我们每位公民最重要的个人信息之一。近日,有媒体报道,在个人信息非法交易的“黑市”上,最不值钱的就属居民身份证信息,因为这些信息在网络上唾手可得,根本没有花钱买的必要。这表明,居民身份证信息泄露已经到了严重的程度。问题究竟出在什么地方?应该采取什么措施才能保护好我们的身份证信息呢?

作者:华东政法大学科学研究院 孙平来源:光明网|2017-03-09 19:16

人工智能+区块链的发展趋势及应用调研报告


身份证所记载的是我们每位公民最重要的个人信息之一。近日,有媒体报道,在个人信息非法交易的“黑市”上,最不值钱的就属居民身份证信息,因为这些信息在网络上唾手可得,根本没有花钱买的必要。这表明,居民身份证信息泄露已经到了严重的程度。问题究竟出在什么地方?应该采取什么措施才能保护好我们的身份证信息呢?

孙平:构建安全多样的身份认证体系

实名制是社会发展的客观要求

在前现代社会,国家的功能相对简单,类似现代户籍的“登人”、“登众”虽自古有之,但除了收税和征兵,这些记载了国民身份的户籍资料并不会被频繁使用。由于人口流动性不大,熟人社会与小农经济的人际交往也不复杂,一般老百姓也根本不需要随身揣着证明身份的文件或物件。此外,没有现代科学和信息技术,身份证件防伪与核查也会成为一个大难题。

到了现代社会,无论是国家的统治管理,还是民众的经济交往,实名制实际上已经成为一项基础性的社会制度。精打细算的税款征缴、纷繁庞杂的福利给付、兹事体大的选民登记、事无巨细的公共服务、包罗万象的司法执法、日益复杂的安全维护,等等,所有这些国家职能的履行都需要政府掌控公民的身份信息。现代市场经济催生了人与物的大规模流动,也让实名认证成为陌生人之间经济交往的必备要素,劳动就业、贸易往来、信用借贷,概莫如是。

即使是在号称匿名者天堂的互联网,一旦涉及严肃的经济或人际交往活动,同样也需要实名认证。实际上,无论是否实行网络实名制,自生自发的实名需求早已在互联网当中生根发芽。

更为重要的是,有了现代科学与信息技术,简便而安全的实名认证不再是难题。从最早的纸质印章到全息防伪,从数字签名到IC芯片、从生物识别到eID(Electronic Identification),身份识别方面的“黑科技”不断涌现。科学技术促成了现代实名制的产生和发展,社会对实名认证的各种需求又反过来刺激了身份认证和识别技术的进步。

身份证不可承受之重

问题并不在于“实名制”本身,而是出在实名认证的具体方式上。目前在我国,真正便捷有效同时又具有较高公信力和安全性的身份认证方式就只有居民身份证这一种。随着我国法治和经济建设的发展,居民身份证所承担的各类实名认证功能越来越多,越来越杂。

任何一种个人信息的泄露都与个人信息保护制度不完善有关,但是像我们的身份证这样需要被如此高强度地使用,个人信息保护制度再完善也是白搭。政府机关所掌控的信息系统安全系数相对高一些,但是分散于大大小小的事业单位、企业法人和网络平台的身份证信息就很难保证万无一失了。

大数据时代,在这些鱼龙混杂、良莠不齐的数据持有者当中,只要有一个出现问题,其后果就是灾难性的。对于网络黑客来说,身份证信息就像一把钥匙,有了这把钥匙,他们就可以打开通向个人信息的大门,破解各类网络账号和密码,窃取各类敏感个人信息。随之而来的就是身份盗窃、网银盗刷、电信诈骗。引发举国关注的“徐玉玉”案正是因为被害人的重要身份信息泄露所引发的。

为身份证减负

要保护好我们的身份证信息,不仅要完善我国的个人信息保护制度,而且需要构建和培育多样的身份认证方式,适度减少身份证的使用。为身份证减负并不是要削弱身份证的法定功能。在国家管理与社会治理当中,身份证依然是最权威的公民身份认证与核查方式。只要有法律依据,政府机关收集、使用和核查公民身份证不应被削弱,只能加强和规范。

为身份证减负首先需要构建替代性的身份证明方式和制度。从其他国家和地区的经验来看,个人税号和社会保障卡在经济领域可以承担很大一部分身份认证功能。我国虽有全国统一的个人社会保障号码,但依据2010年制定的《社会保险法》,社保号没有单独编制,而是使用了现成的身份证号。2015年全国人大常委会修订《税收征收管理法》时还曾考虑过为自然人设立纳税人识别码,但最终这一条还是被删除了。当前,我国正在改革税制和社保体系,如果能够借机推进编制独立的个人纳税识别号和社保号(卡),使其成为经济交往领域新兴的身份认证方式,必将大大减少身份证的使用压力。

其次,要发挥其他身份证件的实名认证功能。在日常生活中,能够证明我们身份的并不只有身份证这一种证件。全国统一的如驾驶执照,地方性的如医保卡、居民健康卡,职业资格类的如教师证、学生证、律师证、记者证等,都能够证明公民的真实身份。但实践中,由于过度依赖身份证,其他身份证件的实名认证功能和空间受到很大挤压。为此,可考虑立法赋予这些证件一定的身份认证功能,并完善相应的法律责任配套制度,预防身份冒用、欺诈和盗窃。

最后,保护身份证信息,还少不了科学技术的应用。《网络安全法》第24条第2款强调:“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。”由公安部第三研究所推广使用的“公民网络身份识别系统”(即eID)就是一种“安全、方便的电子身份认证技术”。其特点是可以在不直接使用公民身份证信息的前提下实现在线远程识别其身份,从而达到保护其原始身份证信息的目的。大力推广和应用这类技术,可以减少公众的担忧,增加网络实名制的安全可靠性。

信息时代,要把好个人身份信息保护的大门,不能只装一把锁、只配一把钥匙,而应多装几把锁、多配几把钥匙,或者干脆少开门、不开门。唯有如此才能分散风险,为身份证减负,遏制日益严重的个人信息泄露。

【编辑推荐】

  1. RSAC2017:基于大数据和机器学习的身份认证
  2. 下单前,一定要问身份认证即服务(IDaaS)提供商的十个问题
  3. IFAA开放能力,正式启动中小企业互联网身份认证加速器计划
  4. 胡永涛:eID网络身份认证技术分析
【责任编辑:蓝雨泪 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

程序员面试宝典

本书取材于各大IT公司历年面试真题(笔试、口试、电话面试、英语面试,以及逻辑测试和智商测试)。详细分析了应聘程序员(含网络、测试等...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊