X

eID数字身份体系正式发布 可有效避免身份信息泄露

来源:新华网

新华网北京4月23日电(记者 卢俊宇)22日,在福州首届数字中国建设成果展览会上,公安部第三研究所发布了《eID数字身份体系白皮书(2018)》(以下简称“白皮书”)。白皮书指出,当前数字化已全面融入国民经济和社会发展各领域,深刻改变着经济社会的发展动力和发展方式,然而我国数字化转型过程中存在数字资源开发利用能力不足、数字基础设施尚不完善、数字社会治理面临挑战等诸多问题。

据记者了解,公安部第三研究所在十二五期间承担了国家863计划“网域空间身份管理”等信息安全重大专项,研发了“公安部公民网络电子身份标识(elD)”技术并形成了相关标准体系。eID依据《电子签名法》,基于智能安全芯片硬件载体,采用密码学技术实现互联网上不见面的身份认证,最新的SIMeID甚至可以通过手机SIM卡完成认证,在具备了安全性的同时兼顾了用户体验。

那么,“eID数字身份体系”的主要内容是什么?我们什么时候可以用上eID数字身份?记者为此专访了公安部第三研究所eID项目负责人严则明。

新华网:eID数字身份体系的推出是为了解决什么问题?

严则明:主要是为了解决数字身份基础设施建设问题。当前互联网飞速发展,公民活动不断向互联网上迁移,公民要使用网上服务首先要解决身份的问题,互联网上的身份认证技术多种多样,多采用“姓名+公民身份号码”来代表公民的网络身份,还有很多网站和APP要求用户提交身份证照片、手持身份证照片认证身份,起到了区分网上主体身份信息的作用,防止出现类似“西门吹雪”在网上订购火车票的笑话。

这种基于信息比对的身份认证方式虽然方便,却是以牺牲个人信息为代价的,提交的信息可能在验证过程中被截取、存留甚至非法滥用。容易造成大规模个人信息泄露,公民个人信息泄露再加上行为和属性数据,给不良企业甚至犯罪分子采用大数据技术汇聚、追踪和精准画像提供了条件,由此带来的电信网络精准诈骗等问题已经成了社会“顽疾”,网民基本上是“裸奔”的状态。因此,我国亟待建立以公民身份号码为根,既能保护个人信息安全又能适应网络社会数据开放和流通需求的统一数字身份体系。我们这次发布的“eID数字身份体系”正是基于这样的需求而设计的。

新华网:您能总体介绍一下“eID数字身份体系”的主要内容吗?

严则明:eID数字身份体系主要内容包括两大部分,一是区分,二是认证。区分即为公民在数字空间提供与公民身份号码对应的数字身份,就像小孩一出生,就要到派出所去报户口申请公民身份号码一样,进入数字空间也要有自己的数字身份,我们在实体社会档案里留的是公民身份号码,在数字社会里如果要保护个人隐私的话,就要考虑尽量使用数字身份。eID数字身份是以公民身份号码为根,由“公安部公民网络身份识别系统”通过密码算法为公民生成的数字标记,它不含任何明文的个人身份信息,也无法逆推出公民身份信息原文,代替目前普遍采用的“姓名+公民身份号码”在网上流通。在具体的流通环节,eID数字身份还可以“变形”,用户在不同网站和APP中留下的数字身份标记并不相同,只有在“公安部公民网络身份识别系统”的后台才能将碎片化的eID数字身份基于密码学技术实现盲匹配,这种匹配需要用户授权才可以进行,可以有效的防止用户身份信息被用于大数据画像。

有了数字身份后的下一个问题就是如何在网络上远程证明是否为本人了,这就涉及eID数字身份体系中的网络身份认证部分,eID依据《电子签名法》,基于智能安全芯片硬件载体,采用密码学技术实现互联网上不见面的身份认证,最新的SIMeID甚至可以通过手机SIM卡完成认证,在具备了安全性的同时兼顾了用户体验。

根据签发方式和认证技术的不同,eID数字身份体系也包容其它的网络身份认证技术,在统一的eID数字身份体系下实现不同数字身份认证的互通,就像我们日常在不同场景下出示身份证、社保卡、驾照、学生证等来证明自己的身份,我们欢迎各种身份认证技术加入到eID数字身份体系中,构架统一的eID数字身份认证体系。

新华网:我理解了,eID数字身份就相当于网上的身份证号码,我们以后不需要填写姓名和身份证号,直接填写这个eID数字身份就可以进行网上身份认证了吗?

严则明:您只说对了一半。eID数字身份的作用的确相当于网上的公民身份号码,但它看上去只是一串随机数,不是身份信息明文,完全在网站和APP后台传输和存储,可以有效避免身份信息被泄露。eID数字身份需要结合其它身份认证技术才能完成认证,比如账号口令、短信验证、以及线下安防场景使用的人脸识别技术等。

新华网:用户不能得知也不用填写,那具体是怎么申领和使用eID数字身份呢?

严则明:公民在使用支持eID数字身份的网站服务或APP时,后台就会为用户生成eID数字身份,这样提交的身份信息就处于eID数字身份的保护之下了。如果通过eID认证完成网络身份认证,那就更简单,认证的结果中直接就包含了用户的eID数字身份,就像在航旅纵横应用上演示的那样,完全不需要再提交任何个人身份信息。

新华网:eID数字身份相当于给公民的个人信息“上了锁”,eID数字身份体系的研发进行到了哪个阶段,我们什么时候可以用上eID数字身份?

严则明:已经可以用了。凡是公民使用网上服务需要身份认证的场景,eID都有广泛的“用武之地”。目前我们在电子政务、电子商务、民生服务都有了具体应用。

在电子政务方面,我们有江苏工商全程电子化登记平台,个体工商户登记及办理公司事宜不用再跑工商局窗口,只需凭一张加载金融功能的eID卡在家就能申请办理;江苏淮安透明食药监平台,使用eID对食品药品生产从业人员的身份和行为进行确认,发现问题可随时追溯。随着移动互联网的发展,公民不仅对安全性有需求,而且越来越注重使用的便利性,为了实现二者的平衡,我们研发了SIMeID解决方案,目前试点的电子政务应用有江西共青城政务服务系统、闽政通等,将eID放入SIM卡,公民可以使用它进行实名认证后获取政务服务;航旅纵横目前也支持SIMeID,用户无需填写身份信息即可通过eID认证直接查询本人的航旅信息。

腾讯公司开发了E证通eID数字身份解决方案,观众可在腾讯展台抢先体验eID数字身份结合人脸识别认证技术在线下安防场景下的身份认证解决方案;另外,我们展区还展出了深圳网格办APP使用eID数字身份进行流动人口管理的方案。

我们展区设置了eID和SIMeID的发行体验区,观众可以现场办理eID并进行体验。

新华网:在国际上为保护个人信息安全,有什么通行做法?

严则明:采用基于密码技术的eID保护公民信息,进行网上身份认证是国际上通用的做法。欧盟已经有超过20个多国家发行了eID。

2017年3月,新加坡宣布制定国家数字身份框架,8月宣布建立国家数字身份系统(NDI),解决公民使用政府网上公共服务的隐私保护和身份认证问题。

2018年2月,澳大利亚数字化改造办公室(DTO)发布了“可信数字身份框架”,计划基于eID对个人信息的保护建立全国统一的在线身份认证体系。

扫码看《eID数字身份体系白皮书(2018)》