社会治理必须以基础设施建设先行,由于我国网络身份识别基础设施的缺位,导致网络治理效率低下,网络信任体系异常脆弱,网络秩序难以建立。随着云计算、大数据时代的到来,整个社会将变得更加透明,网络公共安全形势不容乐观。
在传统的实体社会中,我国公民持本人第二代居民身份证在涉及公共安全、重大交易或政府登记等场合自证身份,这是实现线下“实名制”的基本手段;而现在网络身份的自证或识别,普遍采用由上网公民通过上传姓名+身份证号、上传手机号+短信回复、甚至上传证件照片或自拍照片等验证身份,这是我们所认识的“网络实名制”。这个弊端在于,一是并不能证实是本人在上传身份信息,二是成为公民身份信息泄露的主要原因。因此,只要直接基于身份信息的网络身份识别方法不改变,那么窃取、买卖个人信息以及电信和网络诈骗犯罪就不可能得到根除。比方说以前我们接到陌生电话,很快能辨析出是骚扰电话,而现在接到电话,对方对你的基本信息一清二楚,对于普通老百姓而言,很容易上当受骗。
最近两年来,各种生物特征识别技术不断推出,但这个能应用于大范围的网络身份识别吗?我们必须弄明白,虽然生物特征本身是唯一的、不可重构的,但是生物特征信息则是可以重构、复制和重放的,不可能做到唯一。因此,生物特征识别技术不适合于开放的网络环境,只适合一些特定的环境,比如我们的门禁和监控系统。因为在开放的网络环境中,终端是不可信的,行为人是不可靠的。所以,没有密码技术就没有信息安全,信息安全必须以密码技术为基础支撑。
网络身份识别在管理要遵从两个原则,一是在开放的网络、非面对的环境下,只有做到“对抗否认”的原则,才能在法理上确认网络责任和行为的主体;二是身份信息保护原则。在技术上要遵从“非对称”和“可撤销”两个原则,这是国际上主流网络身份识别技术遵从的原则,也是我们eID技术体系设计的原则。
我国二代居民身份证为实体社会的服务和管理起到了最基本的作用。因此,通过eID 技术和服务体系,将我国传统的人口管理制度延伸到信息化人口的服务和管理,以“网络身份制”取代“网络实名制”,在技术和法理上起到确定网络行为责任主体的作用,保障公民责任、义务和权利的统一,保护公民的隐私和交易安全,就可以达到网络治理的效果。
(本文作者为公安部第三研究所网络身份技术事业部书记)