信任是社会中各类主体互动的桥梁,是社会建设与发展的基础,网络空间亦是如此。随着网络空间的发展,购物、交友、通信、娱乐等越来越多的社会活动由现实世界迁移到网络空间,迫切需要在网络空间建立可靠的信任体系,营造诚信网络环境。
这一体系的建设是一个长期的系统工程,首要问题是确保网络行为主体的身份可信,特别是自然人的身份可信,故需要对网络空间自然人身份的标识与认证。现实中,通过身份证便可解决该问题。但在网络空间,往往是各类应用系统分别对自然人进行认证,最终一个人会拥有相当多身份,而如果各个身份认证系统互不相通,将带来极大的社会成本。为此,有必要建立身份认证基础设施,统一提供身份认证服务,同时还要考虑到互联网匿名性、身份信息保护等需求。这项工作最初在《个人信息保护法》第六十二条规定(“推进网络身份认证公共服务建设”),目前在多个部门努力下已取得重大进展,进入了试点运行阶段。
为了更好地理解这项工作,可以从以下几个方面去把握:
一是,建设网络身份认证公共服务是保护个人信息的迫切需要。不同历史时期,网络身份认证建设面临的任务有很大差异。最初,由于互联网的匿名性,“没人知道你是条狗”。而如今,由于每个人在互联网上的活动留下了太多痕迹,非法收集滥用个人信息的情况严重,已经“人人知道你是条狗”。甚至由于认证系统的使用反而带来了更多的个人信息泄露问题,例如人脸识别滥用可能导致严重后果。这种情况下,需要有科学合理的网络身份认证公共服务系统,既有效提升网络安全水平,又能防范个人信息受到侵害。网络身份认证公共服务在这方面体现了巨大价值,其减少了明文身份信息的直接应用,即使是服务提供者也不能知悉用户的明文身份信息,有助于消除用户对服务提供者的巨大戒心。
二是,网络身份认证公共服务系统一定要有法定可信的“根”,这也是其得以成为“基础设施”和“公共服务”的前提条件。由认证的原理所决定,信任要有源头,要有“根”。现实生活中,身份证是可信的身份证明文件,因为其由公安机关制作、发放,法律地位由《居民身份证法》所保证。到了网上怎么办?虽然实践中已有这样那样的方案,但很多“根”其实不可靠,或者说没有在法律上获得承认。例如,某单位自己盖个章来证明一个人的身份,社会上会承认吗?因此,建设网络身份认证公共服务,也一定要以法律承认的身份证明即法定身份证件作为“信任根”,目前看首要选择依然是身份证。
三是,网络身份认证公共服务系统是国家基础设施,是统一而不是分散的。由于历史的原因,我国已经建设了多种不同的网上身份认证系统,如很多地方CA和行业CA。为了增强互认,后来还出现了“桥CA”的建设思路。《个人信息保护法》规定的网络身份认证公共服务与其不同,是在国家有关部门的组织下,统一建设的国家级网络身份认证工程,是国家网络空间安全的基础设施,由国家权威机构负责运营。信任体系不需要也不可能太多,这是由“信任”的基本规律决定的,否则不同的信任体系之间如何信任和互联互通?前几年的疫情防控中,“万码奔腾”的现象已经让很多常出差的人疲惫不堪,应当吸取其中的经验教训。
四是,网络身份认证公共服务建设不排斥现有各种身份认证方案。建立了网络身份认证公共服务后,是不是其他身份认证方案就不能使用了?答案是否定的。网络身份认证公共服务扮演的是身份认证基础设施角色,将给各类网络应用提供身份认证服务接口,供各类应用所调用。此外,也可在其上根据实际场景开发不同的身份认证方案,或由现有各种身份认证方案直接调用其服务。这也体现了“公共服务”的内涵。通过这一技术架构的设计,极大便利了各类服务提供者以灵活的方式准确、快速在线验证用户身份,使更多的服务事项可以从线下转向线上,将进一步加速数字中国、网络强国建设步伐。
五是,应当大力推动网络身份认证公共服务系统的普及应用。国家建成网络身份认证公共服务后,是不是必须使用其服务呢?目前看没有强制规定。但从安全性、可靠性、权威性等角度而言,其一定优于其他身份认证系统。因此,相信国家将大力推动网络身份认证公共服务的普及应用,扶持相关产业发展,构建技术产业生态,最终达到广泛应用的状态。
六是,网络身份认证公共服务建设不是取消网络空间的匿名性。《网络安全法》第二十四条确定的“实名制”是网络身份认证公共服务建设的法律基础,但公民在网络活动中依然保持匿名,只是后台实名而已。以前实名制的实施中,“后台实名”指发起身份认证的服务提供者在自己的服务器后台可以看到用户的实名注册信息,但这存在很多风险隐患。网络身份认证公共服务实施后,即使服务提供者也无法在自己的服务器后台看到用户的实名注册信息,更好地保护了用户个人信息。
左晓栋,中国科学技术大学公共事务学院、网络空间安全学院教授、博士生导师,科技人文高等研究院副院长。
声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
