于锐:国家网络身份认证公共服务专题宣讲实录
近期,我国知名研究员于锐就国家网络身份认证公共服务主题进行了深入讲解,以下为该次宣讲的文字记录:
首先是国家网络身份认证公共服务建设背景和目标
信息化、网络化、数字化已经广泛而深入地融入我国各个行业,网络与现实社会紧密相连,极大地促进了生产、生活和治理方式的根本性转变。在此背景下,网络安全、隐私保护以及数据安全等问题愈发突出,构建一个既能有效保障个人隐私又能核实行为主体身份的可靠数字空间变得愈发迫切且关键。
数字标识与可验证凭证构成了数字身份,这一身份系统对于网络信息系统的安全传输、存储、使用和管理至关重要,它通过网号和网证确保了与数字空间实体的唯一对应。该系统功能在于验证数字身份持有者的属性,进而为应用系统提供授权访问和服务。目前,全球各大国家、地区以及国际组织都在积极研究和推进数字身份的建设与应用。美国、欧盟、英国、澳大利亚、加拿大、印度、新加坡以及日韩地区,G20和APEC等国际组织,均致力于数字身份的研究与实践。数字身份的构建,对于推动经济的持续增长、社会的和谐稳定,以及增强国家竞争力,具有至关重要的基础作用。
我国互联网应用迅猛发展,为保障网络空间用户身份的准确识别,实名认证服务需求激增,衍生出众多网络认证方式。然而,这也引发了个人信息违规收集、滥用、泄露及交易等一系列风险和问题,对国家安全及公民权益构成了重大威胁。鉴于不同互联网平台根据各自认证体系构建了独特的业务信任体系,这既不利于数字经济的协同高效进步,也不利于数字中国的整体建设。为此,《网络安全法》第二十四条以及《个人信息保护法》第六十二条明确提出了构建我国网络可信身份认证的必要要求。
党的二十大报告中,国家领导人明确提出需提升公共安全治理效能,并着重于个人信息的防护。二十届三中全会进一步提出,需在发展与安全之间实现平衡,致力于实现高质量的发展。为此,我们需强化系统性的思维和坚守底线的意识,既要确保经济社会发展的需求得到满足,同时也要确保个人信息安全得到有效维护,以及保障国家网络安全与数据安全。
为贯彻中央领导同志的指示要求,确保公民隐私信息及国家基础数据的安全,助力经济社会进步与数字中国的构建,向全社会各行业提供保障周全、操作简便、权威性高、效率优越的网络身份认证服务,2020年,国家发改委批准启动了国家网络身份认证公共服务平台的建设工作,并由公安部、中央网信办携手相关部门共同负责该项目的实施。
工程分阶段进行建设,第一阶段将达成每秒30万次认证的支撑能力,涉及以下四个主要领域:首先,构建网络身份认证相关的政策法规、制度以及标准体系;其次,打造国家级的网络身份认证公共服务平台;再者,设立涵盖云平台、网络、数据与应用在内的全面安全防护系统;最后,完善客服、风险控制、运维等必要的配套设施。
下面介绍国家网络身份认证公共服务主要设计理念
首先是国家网络身份认证公共服务平台的设计
国内众多互联网平台普遍采用真实姓名与公民身份号码组合,或是手机号码与验证码相结合的方法,以实现实名认证。然而,这两种认证方法在实际操作中均显现出诸多安全隐患和隐私保护上的挑战。因此,迫切需要开发并构建一个易于群众记忆和操作、确保个人隐私不泄露、便于快速验证身份的国家级网络身份认证服务,该服务只需对现有网络平台进行轻量级改造,以帮助企业降低成本、提高效率并确保合规运营。经过长期的理论探讨、技术实践及大规模应用检验,我们构建了一套独特的数字身份体系,该体系以户籍及法定证件资料作为信任的基石,运用密码技术作为操作工具,坚持不干扰民众认证习惯的原则,以保障安全与便利作为追求目标,并以匿名化服务作为解决策略。
我国构建的数字身份体系,以国家网络身份认证公共服务平台作为根基,采用网号、网证及网络身份应用标识等多种形式来展示,并通过融合人脸识别、密码、验证码等可靠认证要素,向公众提供多元化、多样化的权威、可靠、安全、便捷的网络身份认证服务。同时,与各行业和地方的身份认证平台实现联动与协作,共同打造一个全国统一、高效协同的身份认证生态系统。
网号是网民在网络世界的标识,它如同现实世界的公民身份号码,与申请时提交的合法证件上的号码一一对应,不包含任何直接的身份信息。其长度较短(仅有10位)、容纳范围更广(包括字母和数字)、易于记忆(排列具有一定的规律)。通过使用网号,可以在一定程度上减轻公民身份号码被过度采集和滥用的现象。同时,网号本身只用于标记、识别用户身份,不提供给应用方。
网证是网民在网络上展示的可核实身份的证明,它与用户的设备相连接,类似于现实生活中的身份证,其核心是加密的实名信息索引和设备指纹数据,不包含直接的身份信息,存在电子文档和二维码两种形式,运用国家密码算法进行加密,且具有动态变化的特点,确保了身份验证过程的安全性与可靠性。
为确保网络业务在平台上的持续运作,一旦完成认证,公共服务平台便会向网络应用平台发送不含个人资料的标识符,该标识符用于网络平台内部识别用户并提供服务。值得注意的是,同一用户在各个网络平台上的标识符是独一无二的,这一设计旨在防止用户在跨平台间被错误关联或聚合,以及避免生成不准确的大数据画像。
下面介绍国家网络身份认证公共服务的认证模式及操作流程
我国国家网络身份认证公共服务体系,实行了人、机、证相结合的认证方式,有效保障了认证过程的安全性和可靠性,同时还能根据不同应用场景的需求,提供是否成年等关键身份信息。
网民在下载并使用“国家网络身份认证”APP后,能够通过口令、人脸识别、二维码扫描、动态验证码等多种认证方式组合进行身份验证,从而实现便捷的一键登录、账户绑定、实名认证等级的提升以及预约登记等不同信任级别的应用场景。未来,该APP将根据互联网业务的发展需求,逐步推出更加丰富和多样化的认证模式,并持续对公共服务进行优化和改进。
用户需首先在各大手机应用市场下载“国家网络身份认证”应用程序。随后,根据应用中的操作指引,收集真实的人像及必要的、最少的身份资料,并通过加密手段将这些信息传输至国家网络身份认证公共服务平台。平台将利用NFC技术来确认用户所持法定证件的真实性和有效性,并在国家基础设施的核验下确认用户的真实身份,从而实现国家网络身份认证公共服务的开通与使用。针对老年人适用性及不具备NFC功能的手机申领需求,我国在地方政务大厅等关键场所协调部署了线下自助服务设备,同时,在应用程序中特别设置了亲属代领的功能。
接入国家公共服务平台的互联网平台必须先提交申请,经过审核通过后,需依照接入指导手册对现有的身份认证系统进行简易的调整,引入数字身份的运行管理模块,安装安全接入设备,亦或是通过云接入平台构建一条加密的安全访问通道与国家公共服务平台相连。同时,在公司的业务应用程序或小程序中嵌入“网络身份认证软件开发工具包”,通过调用功能与“国家网络身份认证”应用程序实现互联。在整个对接过程中,国家网络身份认证公共服务平台的技术团队将提供全方位的指导与支持。
用户在接入网络应用或进行业务操作并需进行身份验证时,会启动“国家网络身份认证”应用程序,该程序在用户同意授权后,收集包括凭证、密码、人脸图像在内的加密信息,并将这些数据传输至国家公共服务平台。而在线下业务场景中,则通过条码扫描枪、摄像头等设备,扫描用户展示的二维码,同样获取凭证、密码、人脸图像等加密信息,并将这些数据传输至国家公共服务平台。
公共服务平台对个人身份进行核实,确保其真实性、有效性以及身份与证件的一致性,并将加密、签名的网络身份认证凭据,包括用户网络身份标识、认证结果及时间戳,反馈至应用后台。应用后台据此执行后续服务操作,并在业务系统中保存用户网络身份标识。在整个过程中,用户只需通过简单的点击选择和输入必要的密码或进行人脸识别,即可完成匿名化认证,整个过程既方便又快捷。
下面介绍国家网络身份认证公共服务建设进展情况
在公共服务平台架构和安全设计方面
国家网络身份认证公共服务平台在全国范围内已设立多个分布式数据处理中心和认证服务中心,构建起主备冗灾的备份基础设施架构;同时,平台还建立了统一的运维监测、安全防护和业务风险控制体系,确保了99.99%的可用性;认证能力更是高达每秒30万次,足以应对每年高达1.2万亿次的身份认证需求,展现出高并发、高可用、高性能以及高安全性的显著特点。
在数据支撑方面
当前,我国国家网络身份认证平台已整合了全国范围内的有效户籍资料、出入境人员相关信息,以及包括居民身份证、华侨普通护照、港澳居民往来内地通行证在内的各类法定证件数据,构建了一个权威、统一、全面的基础身份信息库。同时,该平台还建立了全国身份证制作数据的实时汇集系统,不断进行数据补充和更新维护,致力于提高数据质量,加固数据基础。
在隐私保护和系统安全方面
在国家网络身份认证公共服务能力建设过程中,隐私保护、数据安全与应用安全始终被置于至关重要的地位。对个人身份信息实施了国家保密算法的端到端全程加密处理;对基础数据进行分级、分类、分区以及分域的存储管理,确保互联网服务端不存储任何明文数据,对关键数据进行物理隔离,并加强边界防护措施,同时强化了授权管理和日志审计;在申请、发放、使用和管理等各个环节,通过多种技术手段对移动端应用程序进行加固,实现端云协同防御生物特征的深度伪造攻击,与接入的各个平台建立了加密和防篡改的数据传输通道,并建立了风险控制、客户服务和救济机制,以防止身份信息的冒领和滥用。同时,依据关键信息基础设施保护的相关规定,实施多样化的信息安全措施,融合人工智能技术及安全大数据分析,构建起一个全方位、多层次的一体化防御体系。该体系能够全面感知、及时预警端到网、网到云、云到平台的安全态势,并对各类安全事件进行实时响应和处理,有效预防和抵抗各种高强度网络攻击。
在法律依据方面
国家网络身份认证公共服务平台已建成,并具备了国家网络身份认证公共服务的能力。为了确保和规范这一公共服务的构建与运用,我国已颁布了一系列的法律法规及政策性文件。《网络安全法》第24条明确指出,我国将推行网络可信身份战略,并鼓励研究和开发既安全又便捷的电子身份认证技术,同时促进各类电子身份认证之间的相互认可;《个人信息保护法》第62条亦提出,要推广安全、便捷的电子身份认证技术,并加快网络身份认证公共服务的建设步伐;《反电信网络诈骗法》第33条强调,国家将推动网络身份认证公共服务的建设,并支持个人和企业自愿采用,同时要求电信运营商、银行、支付机构及互联网服务提供商对涉嫌诈骗的电话卡、账户、支付账户和互联网账号,通过国家网络身份认证公共服务重新核实用户身份;《网络数据安全管理条例》第43条鼓励网络平台服务提供者协助用户通过国家网络身份认证公共服务进行身份信息的登记和核实;《互联网信息服务深度合成管理规定》第9条要求,深度合成服务的使用者必须基于手机号码、身份证号码、统一社会信用代码或国家网络身份认证公共服务等途径,依法进行真实身份信息的认证;《互联网政务应用安全管理规定》第30条倡导互联网政务应用支持用户通过国家网络身份认证公共服务进行真实身份信息的注册;《人脸识别技术应用安全管理办法》第11条建议优先利用国家人口基础信息库和国家网络身份认证公共服务等渠道,以减少人脸信息的收集和存储,确保人脸信息的安全。该法律法规的出台,为国家网络身份认证公共服务确立了坚实的法律根基。
在标准规范方面
国家网络身份认证公共服务遵循“目标清晰、体系完备、层级合理、界限分明”的四大原则,构建了一个“系统化、协调性、完整性、可扩展性”的标准体系。该体系涵盖了基础通用标准、数据治理标准、业务应用标准、安全标准以及管理标准等多个方面。目前,已有两项国家标准、十七项公安行业标准以及十七项工程规范性技术文件得以立项。其中,《网络身份认证服务接口技术要求》这一国家标准以及《通用术语》和《个人身份信息处理要求》等五项公安行业标准即将公布。这些标准将指导国家公共服务平台及相关业务系统的建设、实施、推广、应用以及维护工作。
下面介绍重点行业领域试点应用情况
国家网络身份认证公共服务平台在我国多个领先的互联网平台上进行了技术测试,针对风险账户的二次身份验证环节进行深入探索,全面证实了该理论在科学性、技术实施可能性、用户操作便捷性以及整体系统安全性方面的优势。
随后,在互联网、政务服务、交通出行、邮政快递等多个行业和领域进行了试点推广。在互联网平台方面,淘宝、微信、小红书、拼多多、哔哩哔哩等数十种应用已经正式投入使用。该政务平台已在全国政务服务平台及河北、吉林、江苏、安徽、山东、湖南、四川、宁夏等八个省区的政务平台,以及无锡、温州、金华、泰安等四个城市的政务平台上得到应用,涵盖了用户登录、账号等级升级、电子证照展示等多样化服务场景。在出行过程中,旅客通过“航旅纵横”和“飞常准”应用程序,在关联国家网络身份认证公共服务后,能够实现网络购票和网络值机功能。滴滴出行平台对乘客身份进行认证,而神州专车则提供一键登录服务。在邮政快递方面,顺丰速运的APP和小程序在完成登录和实名认证后,用户可以轻松寄件。如需了解更多支持的应用场景,欢迎登录“国家网络身份认证”应用程序进行详细查阅。此外,数字中国峰会期间,进行了线上预约与线下入场应用场景的实践探索;同时,贵州、安徽、福建等省份也在努力研究和推动区域性的应用体系建设。
下面介绍《国家网络身份认证公共服务管理办法》征求意见情况
2024年7月26日,公安部与国家互联网信息办公室公开发布了《国家网络身份认证公共服务管理办法》,并向公众广泛征集意见,此举受到了社会各界的广泛关注。在短短一个月内,共收集到了大约1.7万条各类意见和建议。这些意见主要集中在两点:一是普遍认为,国家推广网络身份认证对于增强网络安全、改善网络环境具有显著作用;二是普遍认为,这一举措将推动网络科技的进步,进而助力数字经济的发展。
在公安部与网信办共同举办的互联网企业、法律界及媒体界的座谈会上,该平台受到了积极的评价与支持,与会者还就提升使用便捷性等方面提出了宝贵的建设性建议。在此,我要再次强调,国家网络身份认证公共服务平台仅向用户提供选择匿名化网号、网证进行身份认证的服务,我们不会收集或保存用户的地理位置信息以及网络平台业务数据,且不具备限制用户上网或追踪用户网络行为的能力。
最后介绍下步工作考虑
接下来,我们将致力于在社会各个领域不断推进网络身份认证公共服务的广泛应用,特别是针对那些网民普遍反映强烈的个人信息过度收集和滥用问题较为突出的互联网平台,以及与民众日常生活紧密相关的交通出行、生活服务、邮政快递、社交聊天等领域。我们的目标是尽快让国家网络身份认证公共服务在保护个人隐私、便利日常生活、确保数据安全等方面发挥其重要的支撑和保障作用。在试点实施过程中,我们将持续采纳来自网民、参与单位以及社会各界提出的宝贵意见与建议,同时不断拓宽区块链、人工智能等领域的尖端技术应用范围,对技术架构、业务流程、安全保障体系进行持续优化,旨在为整个社会提供更加优质的服务。
数字化时代是一个加速创新、不断变革的时代。我们热切期待更多部门、地区、行业的加入,共同推广实施应用。我们将依据新形势,共同调整并完善相关政策规定。同时,我们将优化认证流程,推动国家网络身份认证公共服务应用的进展。致力于将个人信息保护和便民利企措施落到实处,充分发挥数据要素的价值,激发数字经济的活力。不断优化数字社会环境,强化数字安全屏障,为我国实现现代化目标贡献力量。
