工作建议：强化网络安全,防止公民个人信息泄露

工作建议：强化网络安全，防止公民个人信息泄露

当前，互联网已经渗透到经济建设、社会发展、人民生活的方方面面，随着国务院“互联网+”行动计划的推出，大数据、云计算、物联网、人工智能等技术的应用出现了井喷，然而，新技术在带来便利的同时，也对网络安全、公民个人信息安全提出严峻的挑战。

公民个人信息泄露就是一个极为突出的问题。近年来大规模个人信息泄露事件发生频度越来越高，例如2011年CSDN密码泄露门、2012年罗维邓白氏买卖个人信息案、2013年2000万开房记录网上疯传、2014年携程信用卡信息泄露、2015年各地社保信息系统被曝安全漏洞、网易邮箱过亿用户数据泄露、2016年我国数十位中央高管和工商界领袖的个人信息被泄露到Twitter上。对个人信息从收集、窃取、买卖、诈骗到最后变现已形成黑色产业链，根据公安部网站数据，仅在2016年4—6月的打击整治网络侵犯公民个人信息犯罪专项行动中，全国公安机关就累计查破刑事案件750余起，缴获信息230亿条。

个人信息泄露是电信和网络诈骗案件的源头，犯罪分子之所以屡屡得逞是因为掌握了受害人的准确信息。相关数据令人触目惊心。2015年我国电信网络诈骗发案59.9

万起，造成经济损失约200亿元，较2014年分别上升49.7%和86.9%，贵州省“1229”特大电信诈骗案单起案值就达1.17亿元；2015年，仅上海地区就破获电信诈骗案4209起，同比上升64.8%，导致的群众经济损失达15.1亿元；2016年8月底，公安部在打击跨国电信网络诈骗案件通报会上披露，2016年上半年电信网络诈骗发案达28.7万起，造成损失80余亿元。而2016年8月大学新生徐玉玉因入学信息泄露遭诈骗而身亡事件，成为电信业、银行业采取一系列有史以来最为严厉措施的导火索。

一、我国个人身份信息泄露成因和教训

大量案件的分析显示，互联网运营机构大量采集和留存的个人信息，已经成为犯罪分子疯狂窃取和买卖个人信息的温床，甚至还有为数不少的互联网机构利用其业务所掌握的个人信息暗自提供身份信息服务。

我国推行“网络实名制”并没有安全标准和基础设施支撑，各个应用普遍所采取的实名认证方法可粗略分为两个发展阶段。第一阶段伴随个人终端由桌面电脑向移动笔记本和智能手机的普及过程，经历了最初要求用户提交姓名、身份证号做后台关联比对，发展到后来要求用户短信验证手机号，而随着这些身份信息及手机号的泄露使得犯罪分子可以轻易地联系攻击对象；第二阶段是在智能手机普及过程中，经历了由要求用户上传身份证照片、要求用户上传本人手持身份证自拍，发展到要求用户刷脸、上传视频等生物特征识别技术的过程（智能手机的指纹开机并不是“网络实名制”的

身份认证）；其他涉及网络支付的应用，还要求用户上传银行卡号等信息认证。

从实名认证的演进过程可见，这些在互联网上大行其道的实名认证方法，本质上都是直接依托个人身份信息来认证身份的，一旦发生个人身份信息泄露，原有认证方法就失灵了，应用又要求用户进一步提供其他身份信息，这样就进入了身份信息泄露、增加其他个人身份认证信息、再泄露、再要求增加的恶性循环。这样发展下去，个人身份信息包括唯一的、不可更改的生物特征信息总有一天将泄露殆尽。

因此，在开放的互联网环境中，使用个人身份信息来实施实名认证是个人信息大规模泄露的源头。韩国“网络实名制”的失败就是前车之鉴。该国是全球第一个推行“网络实名制”的国家，但自2008年以来，韩国约有80%人口的身份信息通过大型互联网社交网站和银行等泄露出去，随之而来的是网络上身份冒用、盗用泛滥，网络和电信诈骗案件频发。2012年8月，韩国高院判定该国网络实名制违宪。韩国身份证体系也面临重建，韩国政府计划给17岁以上的公民发放新的身份证，整个重建过程将耗资几十亿美元、耗时10年以上。

二、建立国家网络身份识别基础设施

要避免韩国的灾难，必须从根本上改变当前我国网络空间信任直接基于身份信息的情况。网络空间的身份认证是“自证”场景，用户通过手机、电脑等终端经过网络向服务器证明身份。除了明文提交姓名、身份证号等身份信息之外，当前普遍采用的

还有手机短信认证方式，但是容易遭受短信木马、钓鱼wifi、克隆攻击、补卡攻击、无线监听等方式的攻击；还有银行卡认证，其本质上仍然是基于隐私信息的，用户需提交姓名、身份证号、银行卡号和银行卡密码，一旦泄露将对公民的个人信息和财产安全构成威胁。并且更令人沮丧的现实是，公民遭受损失之后难以进行有效的追溯，案件往往不了了之。

要有效保护公民的信息和财产安全，国家必须加大科技投入，包括保护公民信息的产品和服务，涉及密码技术、安全智能芯片和设备，以及标准体系和配套政策。全球许多国家早在20世纪90年代就开始围绕网络空间身份管理，从战略、标准、法律、基础设施建设、发行应用等方面展开大规模部署与实施。1999年，欧盟就发布了《关于建立电子签名共同法律框架的指令》，2010年正式启动了《2011—2015电子政务管理行动计划》，进一步建设欧洲数字身份统一市场等。目前，欧盟28个成员国中有18个已经发行了基于电子签名技术的网络电子身份证（eID）。美国2011年发布了“网络空间可信身份国家战略（NSTIC）”，旨在建立覆盖美国的网络身份生态系统，2014年起在宾夕法尼亚、密歇根、加利福尼亚等五个州开展试点。俄罗斯2010年颁布了《关于国家组织和市场服务联邦法》，启动基于电子签名技术的公民通用电子卡建设，提供公民医疗保险、养老保险、银行卡支付等多种网上服务，防止公民身份信息泄露。英国、加拿大、澳大利亚、新西兰以及阿联酋、秘鲁等亚洲、拉美国家

近年来也先后开展了网络身份管理体系及基础设施建设工作。

我国网络数字身份技术的研发始于2010年，由公安部在国家发改委、科技部、工信部、国密局的支持下展开，研发了采用国密算法和国际主流技术的eID网络身份标识技术，承建的“公安部公民网络身份识别系统”于2013年年初通过了国密安审。eID遵从“对抗抵赖”和“身份信息保护最大化”的原则，在个人信息保护最大化方面做了重大创新。一是能够认定网络活动的责任主体，解决目前网络身份认证中主体法定身份虚假或主体身份冒用的难题，并能通过可靠电子签名技术防止信息篡改、行为抵赖；二是把个人网络活动的信息“碎片化”，即使黑客“拖库”，也无法“撞库”，无法汇聚、追踪个人隐私。目前eID已在一些地方的电子政务领域开展试点应用。

近年来生物特征识别技术广受关注，自2015年3月马云在德国给默克尔总理演示了“微笑支付”后风靡国内，然而此类技术的安全风险却不被大众熟知。目前针对刷脸认证的攻击手段就有照片欺骗、视频欺骗、3D头套、全息投影等。网上有视频曝光，黑客对一个人不同角度的自拍照片进行3D建模，可以轻松骗过支付宝的人脸识别系统；美国斯坦福大学研发的人脸跟踪软件Face2Face，可以通过摄像头捕捉用户的动作和面部表情，然后使用软件驱动视频中的目标人物做出一模一样的动作和表情，效果极其逼真。对于智能手机的指纹开锁功能，黑客提取指纹制成假体进行攻击并不难。由于生物特征是伴随终生、不可撤销的，所以在互联网上利用是非常危险的，