大数据时代下的新实名制方案究竟该怎么实施

大数据时代下的新实名制方案究竟该怎么实施

一年多前,我写了这篇关于大数据、实名制的文章:《大数据时代下的新实名制方案究竟该怎么实施》。写完以后不久,就投递给了中央网络安全和信息化领导小组、公安部相关院所等部门的邮箱。今年年初,看到 CTID 互联网身份证的消息,感觉努力没有白费。虽然它不一定是我间接或直接影响而产生的,但我曾也为它思考过。我感觉,到了该分享这篇文章的时候了。希望大家看了这篇文章,能有更多思考。


百度百科随手搜索了下“实名制”,以下是“实名制”的制度简介:

办理有关手续时必须出示有效的身份证明,并填写真实姓名。世界上许多国家法律允许匿名制,许多国家法律允许匿名注册发言。匿名制对社会的重要贡献包括有利于信息安全、有利于保护个人信息方面;匿名制的弊端是容易产生信息骚扰、信息诈骗等问题,且追查困难;实名制对社会的重要贡献是可极大减少并严厉打击匿名制滋生的各类信息骚扰和违法犯罪活动;而实名制的弊端是可影响信息安全,造成信息或隐私泄露。


接下来的便是它的主要作用,下面写着:

1、有利于行业主管部门进行监督,并打击犯罪;

2、实名制可以大大降低欺诈、诽谤、人身攻击等问题的发生概率;

3、实名制可以加快彼此身份确认,节省交流时间;

4、有利于建立和谐的生态环境。


最后的百科上便是它在一些行业里的应用,比如手机实名制、网络实名制等等。但是具体是怎么实施的呢?


我们先来说说手机实名制。稍微一搜索,我们便可以得知,常见的有以下三种渠道:第一,通讯运营商实体营业厅;第二,通讯运营商的电脑网上营业厅;第三,通讯运营商的手机网上营业厅APP。它们三个之间有一个共同特点——那就是使用身份证来认证。


有人看到这里,可能要对我说了。你这说的我们也知道啊,老铁,用身份证没毛病啊!不用身份证用什么啊!


且慢,莫急莫慌,听我细细道来它们三个的毛病:实名制认证过程中使用的身份证复印件和身份证图片,其审核都是通过人来完成的,是人难免就会有纰漏。去营业厅办理实名,即使拿着别人身份证,也不会太难,就能进行实名。就算工作人员有异议,你也可以用长胖变相了或者各种乱七八糟的理由来搪塞他,总之不会遇到太大的困难。好,就算工作人员十分严格,铁面无私,我们也有别的办法。不是还有网上营业厅和APP么,那我们去网上上传身份证图片,我张三用你李四的,后台审核的人员根本分辨不出来。而且更何况现在通讯运营商每个月有不少业绩增长的KPI,在这种情况下,新增手机号的实名认证工作,只有弄虚作假才能完成了。正所谓,上有政策,下有对策。这里认证用的资料,天知地知你知我知,就是被认证的那个人不知。


有人可能要问了,照着网上教的,在身份证复印件上和身份证图片上,写上“某某某专用,他用无效”,应该就没事了吧。——嗯,大哥,我也想没事啊。但是,你忘了PS这个神器了吗,号称亚洲四大邪术之一的“中国PS术”,去除水印只是分分钟的事啊。


到这里,我要提个问题了。你们究竟在多少地方,重复进行过实名认证?啊哈,不用猜我也知道,你肯定自己也记不清楚了,反正很多。


是啊,实名认证这么多,但是资料又没有保管好。今天雅虎数据被黑客窃取,明天京东数据又被内鬼卖了。我还搞什么实名认证,等着骗子精确制导么?——接下来的网络实名制,我也懒得吐槽了,反正毛病不少,要了我们的身份证信息不说,还要学籍信息,车辆信息等等一大堆,狠不得把我们祖宗十八代都找出来。但是,他们保管好了么,Nope,没有。就连美国那边的高级别军事情报机构——NSA中也出了一个叛徒。没错,就是几年前的“斯诺登事件”。斯诺登的家庭背景可不差,按照我们这边的算法,可是祖宗十八代又红又专的人。接下来的网络实名制什么的,我也就懒得说那么多了,反正道理都差不多。说的太多,我担心评论区变成了大家的吐槽大会。


所以,现在有一个怪现象,虚拟世界里实名制越是彻底,现实生活中对个人的影响越是深入。即使系统异常坚固安全,也逃脱不了人这个最大的安全隐患的威胁。近有京东网络安全部员工泄漏用户数据,远有二马一李乃至政府高官的身份信息被曝光。



我们不禁要问,目前的实名制,真的有用么???


既无法保证系统的绝对安全,也没有消除人这个安全隐患。在这种情况下,实名制这种简简单单的用静态身份数据来确认个人身份的方法,反倒帮助了黑客黑产等互联网黑势力攫取他们想要的利益。实名制伤害了大部分老老实实的普通人,方便了想要搞事情的坏人们。因为这些坏人们,可以盗取别人的身份,来掩盖自己的行踪。只要花点小钱,就可以搞到别人一整套的身份信息。即使被发觉,暴露的也只是这个被盗取身份的人。


不用列举太多证据,就能够说明,当前的实名制,漏洞多多,无法达到当初政策制定的初衷,基本没有太大的效果。


不过,首先我们必须要达成以下两点共识:

  1. 没有绝对安全的系统。
  2. 人是最大的安全隐患。


我们看到,太多的企业向用户索取了他们无法安全保管的用户身份信息,太多的部门向公民索要了他们无法安全保管的公民身份信息,近有京东内鬼事件远有徐玉玉事件可以来证明。




为此,我们要明确以下一点中心思想:

让国家的数据国家管,企业的数据企业管,个人的数据个人管。


对数据的使用,必须严格限制在最小可用权限,不能轻易跨越雷池半步。如果有谁胆敢逾越跨界,轻者倾家荡产,重者可致死刑,要让他们有命赚钱,没命花钱。从徐玉玉事件中,我们无奈地发现,现有的惩罚手段,无法消除罪犯再次犯罪的欲望,只有严刑重典,才能将他们的丑恶欲望扼杀在摇篮中。



在现有的复杂情况下,我们必须要使用一些新技术,来做出一些改变了。比如,下面的两个技术。


第一,区块链技术。区块链技术必须要应用在公安、工商、银行、通讯、教育以及企业内部等,实时记录系统的细节,使黑客和内鬼,无法篡改清除他们的蛛丝马迹。


第二,动态身份数据认证。我们可以看到,在各大公共服务部门以及各大互联网服务企业,基本都采用了上传身份证信息这一落后不安全的认证方法,审核速度慢不说,还花费了不少金钱成本,费时费力不讨好。在这个方面,公安部门可以采用谷歌验证器的设计原理,来设计我们的实名认证系统,采用动态实时的字符串,来进行实名认证。这样我们才可以,在不提交个人静态身份数据的情况下,进行有效的实名认证。公安和银行等其他部门,可以开放一些公共API查询接口,来满足有需求的企业和个人。


说了上面那么多,揪根溯源,最终发现,我国现采用的第二代身份证设计方案,已经不太满足现有的需要。我们需要一套新的——也就是第三代身份证设计方案,来作为基础,建立一套统一联合的多因素验证的人工智能(AI)系统。


  1. 现有的第二代身份证,采集的信息维度太过单调,无法避免一个自然人拥有多张身份证等特殊情况的出现。新的身份证方案所包含的信息维度,必须要包括以下方面:DNA、指纹、脚印、虹膜、声纹、面部骨骼三维模型等生物特征。这些信息不能直接保存在身份证芯片和相关系统内,必须要把原始数据脱敏后使用。这些新的维度的数据,为以后的新实名制方案,打下了有效实施的基础。
  2. 使用天河一号或神威太湖之光等超级计算机作为线上的人工智能(AI)系统的物理载体,为其运算提供充足的算力。这个环节,尽可能地不使用人来管理。既避免了人这个最大的安全威胁,也提高了与其他各大部门机构进行数据联动合作的效率。例如,在公安领域,自从采用团圆系统以后,让人民群众参与到了其中,寻找失踪儿童的效率大大提高。我们完全可以把这个经验推广,开发出相关的APB系统和APP等,使每个人都能参与到社会治安中。同时使用AI,调动城市里数量庞大的摄像头,为其提供辅助;在银行领域,可以实时查看并管理与身份信息绑定的金融账户,如果发现不属于自己的、冒用了身份的可疑账户,就能直接冻结甚至注销相关账户;与上面的情况相似,如果在通讯领域,我们发现了不属于自己名下的手机号和电话号码等,也可以直接将其冻结并注销。
  3. 上面提到的动态身份数据认证,需要像银行账户的U盾一样,有一个属于个人使用的统一的身份认证硬件。这个统一身份认证硬件,可以读取个人身份证并验证指纹等生物信息,方便个人日常生活中的实名认证需要,而又不需泄漏会给个人带来麻烦的信息。即使没有这个硬件,个人也可以在APB系统的APP中,完成相关的需求。


当然,说的再多,也不如行动起来。哪怕只是行动了一点点,给我们日常生活带来的巨大改变,也足够每一个人惊叹了。

编辑于 2018-05-16

文章被以下专栏收录