躺在微信、支付寶裡的“網證”,真能保護隱私嗎?
近期,在微信、支付寶裡躺了兩年的“網證”,再次進入公眾視野。據中新網報導,在本週舉行的互聯網之光博覽會上,公安部第一研究所會展工作人員介紹,以後在上網或使用App時,將可以使用網證代替輸入身份信息進行認證,能夠有效保護個人隱私。
但值得思考的是,大數據時代的個人信息保護涉及到多方面因素,僅靠一張網絡身份憑證,是否真能解決這一難題?
1
何為網證?有何用處?
尋求這一問題解答之前,需要先了解什麼是網證。
網證,即居民身份證網上功能憑證,是由CTID 平台(中國電子身份證認證平台)簽發給個人的權威網絡身份憑證。
網證的本質是一個數據文件,是通過算法將實體身份證裡的信息變換成沒有明文信息的、不可逆的、完全脫敏的一個定長的數據,且這一數據與身份信息“唯一綁定”。
但需要注意的是,網證不能替代實體身份證。
目前,微信和支付寶是“網證”的兩大主流載體。在實際應用場景中,網證在部分試點地區中可以適用於線上、線下政務服務,住宿登記、物流寄件等有實名制要求的場景。
不過,這些片段式的應用場景並非網證推出的真正意義所在,其更長遠目標在於打造網絡身份認證生態產業鏈。
信任域的不同會造成互聯網身份認證效率不高,提高認證成本等問題,由此,需要一個構件一個可信體系,使得各個應用場景能夠在統一的信任根的基礎上衍生髮展,相互關聯,相互信任;即以身份證為根的中國特色網絡可信體系。
公安部第一研究所副所長於銳在接受《法制日報》採訪時介紹道:
所謂有中國特色的網絡可信體系,就是以居民身份證為根來構建,圍繞這個根構建三層體系,根層是國家法定證件——身份證。
中間是第三方作證層,是可用來司法採證使用的身份認證憑證,像CA(電子簽名認證證書)。
第三層業務憑證層,像手機號、QQ號等,這樣就形成了一個生態鏈,不同的應用根據可信程度需求的不同,採取安全級別、強度不同的身份認證方法,實現不同層級的信任傳遞。
2017 年11 月,公安部第一研究院牽頭成立了中關村安信網絡身份認證產業聯盟(OIDAA),會員覆蓋社會公共安全、電子政務、電子商務、金融、電信、終端設備、芯片等多個領域,三大運營商,阿里巴巴、騰訊、聯想、螞蟻金服等企業均包括其中。
據悉,這一聯盟將推動建立中國特色網絡身份認證體系,將網絡身份認證從碎片化信任域時代過渡到統一體系下身份認證時代。
如今,網證再邁出關鍵一步——用戶在上網或使用App 時,使用網證代替輸入身份信息進行認證,能夠在不洩露身份信息的前提下實現在線身份認證,以此有效保護個人隱私。
公安部第一研究所工作人員表示,當前已不是僅在福建、廣東等地開展試點,而是在正常地推行運用,未來會慢慢地推行到全國。
那麼,網證是如何保障個人身份信息安全?
2
如何保障安全?
前面提到,網證的本質是一個數據文件,能夠與個人身份信息實現唯一綁定,但這個數據文件沒有任何明文,不包含個人隱私。
另外,雖然這個“網證”數據文件存放於互聯網上,但其數據文件並非完整數據,更為重要的是,即使遭到黑客攻擊,被獲得了完整數據,也無法逆推得出用戶信息,單向性的特徵給網證安全再加一層保障。
據於銳介紹,數據文件的作用只是鏈接實體身份證和互聯網+ 可信身份認證平台,而作為整個體系技術數據支撐的居民身份證明文數據是存放在公安信息網裡,是國家專業機關的專業網,與互聯網物理隔離。
並且,公安專網是單向的、只進不出的,確保了公民身份證制證數據安全。
另外,網證還能夠實現“一證多存”和“多證存一”。
其中,“一證多存”指向存放於不同應用、不同端口中,既可以存放在微信卡包、支付寶等應用中,也支持存放於華為錢包等手機應用,或者是移動端之外的iPad、電腦裡。
“多證存一”指一家人的“網證”都可以存在一個手機裡。因此,一旦家庭成員出現手機丟失的情況,也能夠通過別的終端進行掛失,且立即生效。
在網證安全性中,採用“刷臉”進行實人認證也是一大容易出現隱患的環節,如果人臉特徵信息在傳輸過程中遭到竊取,則後患無窮。
對此,於銳對《法制日報》解釋稱,由於身份證中金具有照片和指紋兩個生物特徵,在線上進行網證實人認證時如果採用指紋形式,其安全風險較高,容易通過指紋特徵逆向偽造指紋圖像。
而人臉屬於弱隱私特徵,通過人臉特徵難以逆向獲得用戶個人圖像。於銳表示:
人臉識別技術用的是神經網絡的深度學習算法,想通過人臉的深度學習特徵去回推出人的容貌,目前不可能。
正是因為人臉這種特定的特點,現在全世界線上認證大多使用人臉識別。現在我們正在結合聲紋、眼紋來加強活體認證的準確性。
可見,網證在誕生之初,就已做好了充分的準備。
但是,在“道高一尺魔高一丈”的互聯網環境中,網證或許還存在著一些值得審視的問題。
3
上網用“網證”,數據隱私就安全了嗎?
有觀點認為,在網證推行之前,大多數網站、App 已經錄入了用戶的身份證信息,如果使用網證登錄,是否會獲得網證與身份證信息的聯結對應,使得與身份信息唯一綁定的網證遭到“污染”,這是問題之一。
另外,多數App 的註冊頁面採用手機號登入,而手機號目前已與身份證信息實現了綁定,那麼,即便無需進行身份證驗證的場景,僅通過手機登陸,是否會形成“手機號—身份證—網證”這一鏈路,同樣值得深思。
總的來說,如何解決用戶已經半公開的隱私信息與網證之間的聯結關係,是網證需要解決的隱私難題。
另外,即便沒有形成對應聯結,對於已在互聯網上登陸過的用戶身份信息,將如何進行處理,同樣值得審視。
以人臉數據為例,據央視新聞報導,只要花2 元錢就能買到上千張人臉照片,而5000 多張人臉照片的標價還不到10 元,平均下來一份人臉信息僅有0.002 元。
而這些已經洩露的人臉數據又是否會影響“網證”的推行,這也是癥結所在。
雖然在群眾討論中網證仍存在一些尚待解決的不確定性問題,但從網證推進的步伐來看,躺在用戶微信、支付寶裡的網證,用處越來越多了。