万益资讯网

国家网络身份认证正式实施:安全与隐私的平衡点在哪里7月15日,公安部、国家网信办

国家网络身份认证正式实施:安全与隐私的平衡点在哪里

7月15日,公安部、国家网信办等六部门联合发布的《国家网络身份认证公共服务管理办法》正式实施。作为网络空间安全领域的从业者,我想从技术和社会治理两个维度谈谈看法。

1、从技术上来说,网络身份认证不是新鲜事。美国有SSN(社会安全号码)体系,韩国有i-PIN(网络个人身份识别号码),欧盟有eIDAS(电子身份认证与信任服务)条例,爱沙尼亚更是早在2002年就发行了电子身份证。中国这次推出的国家网络身份认证公共服务,核心理念是"前台自愿、后台实名"的升级版——用户在互联网平台注册时不用再提交身份证照片、手机号等个人隐私数据,而是通过国家统一平台进行一次验证后获得一个脱敏的身份标识,平台只拿到这个标识,拿不到原始身份信息。

2、这个逻辑如果执行到位,实际上可能在某些维度上加强了而非削弱了隐私保护。目前的问题是,各类APP和网站各自采集用户身份证、人脸、手机号,数据分散存储在数百家企业的服务器里,任何一个平台的数据泄露都可能暴露用户真实身份。2019年以来,仅公开报道的中国互联网数据泄露事件就涉及数十亿条个人信息。集中认证、统一管理,如果安全防护做到位,理论上比"每家平台都存你的身份证照片"要安全。

3、但关键问题也在这里——"如果安全防护做到位"。统一身份认证平台一旦建成,自然成为最高价值目标,其面临的安全威胁等级和任何单一互联网公司不在一个量级上。我担心的不是这个制度的初衷——初衷是好的——而是在落地过程中能不能扛住国家级APT攻击的压力。作为在这个领域做了十几年的人,我建议:第一,认证平台的源代码和架构设计应该适度公开,接受国内外安全社区的审计;第二,必须明确用户数据的使用边界,防止功能蠕变——今天是"前台自愿",三年后会不会变成"强制绑定所有在线服务"?第三,应该有独立的第三方监督机制,不是公安系统自己监督自己。

4、网上争议集中在"这是不是网络白名单制度的铺垫"。我理解这种担忧,但我觉得可以换个角度看:任何国家的网络治理都在找一个平衡点——完全放任导致电信诈骗、网络暴力和虚假信息泛滥,过度管制则抑制创新和言论表达。关键不是要不要管,而是管的边界在哪里。这个边界应该由法律来画,而不是靠行政文件来画。《个人信息保护法》和《数据安全法》已经把基本框架搭好了,现在要做的是在这个框架里找到最优解。

我对此强烈支持:用统一平台替代碎片化采集确实能减少个人信息暴露面。希望我们都生活在绿色清朗安全的网络空间当中。