1. 政策背景与实施
2024年7月26日,由公安部和国家互联网信息办公室联合起草的国家网络身份认证征求意见稿发布。此政策旨在建立一个全国性的网络身份认证标准和公共服务平台,主要涉及公民的姓名、身份证和手机号码等个人信息。
国家密码管理局主推的国内算法在技术安全性上优于国际标准,确保了网络身份认证的安全性。该政策目前为自愿接入,但在邮电、铁路等关键行业中将积极推动自主接入。
2. 技术实现与安全保障
网络身份认证平台由公安部研发,采用国产密码算法,确保认证过程全程加密。用户信息如姓名、身份证和手机号码通过加密手段保护,外部平台无法破解。
该平台的技术支撑包括NFC功能和人脸识别技术,确保用户在申请网证和网号时的安全性。密码学技术由国家密码局管控,涉及时间戳和身份认证服务器等设备。
3. 应用场景与推广策略
网络身份认证平台将首先在邮电、铁路等关键行业推广,未来可能在政务、医保、广播电视等领域拓展应用。预计政策全面推广需3到5年时间。
互联网厂商对接入网络身份认证平台的意愿较高,特别是在特定行业和公众形象相关的应用中。政策推行初期对现有厂商影响不大,但重点行业需起到带头作用。
4. 数据隐私与安全性
网络身份认证平台通过加密算法和接口校验,确保第三方应用无法获取用户的明文信息。用户的个人信息在平台内以密文形式存储和传输,防止信息泄露。
公安部掌握所有公民的行为数据,但不涉及具体的网络行为记录。平台只负责身份认证,不记录用户的具体网络行为,确保用户隐私。
5. 市场机会与技术供应商
网络身份认证平台的建设将带来终端校验设备和负载均衡设备的市场需求。密码厂商和相关技术供应商将在终端识别和数据安全领域迎来市场机会。
平台的扩展性和负载均衡通过业务处理平台和区域划分实现,确保在用户基数增加时仍能稳定运行。负载均衡技术根据用户所在区域分配服务器资源,提升平台效率。
交流环节 Q&A
Q:网络身份认证政策的主要内容和起草背景是什么?
A:网络身份认证政策由公安部和国家互联网信息办公室于2024年7月26日共同起草,目前正处于征求意见阶段。该政策主要是为了建立一个基于公安部公民身份信息的公共服务平台。其目标是通过标准化和统一认证体系来保护用户的个人信息,从而避免因各个应用独立管理用户数据库而带来的信息泄露风险。
Q:这个网络身份认证平台是如何保护个人信息的?
A:该平台由公安部一所基于国产密码算法开发,采用全程加密技术,确保个人信息在传输和存储过程中的安全性。网证是一个由数字和字母组成的字符串,用于身份验证。外部平台无法破解该网证,只能通过输入网证号在公安部平台验证用户是否合法,从而确保用户的个人信息不被外泄。
Q:网络身份认证平台的接入是否强制?哪些行业被鼓励优先接入?
A:接入该平台是自主选择的,政策不强制要求。但邮电、铁路等关键行业被鼓励优先接入,推动平台的自主接入策略。这些行业的提前接入有助于推广和应用这一新技术。
Q:外部应用系统接入平台后如何使用用户信息?
A:外部应用系统接入平台后,获取的是用户的网证号而不是具体的个人信息。通过将网证号输入平台进行验证,外部应用只会得到用户是否为合法中国公民的反馈结果。这种方式减少了用户信息的直接收集和存储,增强了个人信息的安全性。
Q:在实名制的手机号注册上网与银行卡绑定注册上网的方式中,它们在实现过程中有何区别?这几种手段在技术层面或市场上是否有重叠?
A:理论上来讲,这几种手段是没有重叠的。手机号码的实名制注册需要用户携带身份证到运营商现场办理,运营商会通过网络向公安部平台验证用户信息的真实性。银行绑定的注册方式也类似,属于线下认证。互联网身份认证则是线上模式,通过公安部接口将用户信息提供给各大应用平台进行认证。这些方式本质上都是通过不同渠道验证用户身份的合法性。
Q:未来网络身份认证是否会在部分行业或全面实行强制接入?是否有明确的时间规划?
A:目前网络身份认证仅处于意见征集阶段,预计8月中旬以后才会发布正式意见。所谓的强制接入分为两个层面:一是每个公民需要申领网络身份认证(网证和网号),二是应用厂商是否必须接入该平台。部分行业如文旅、广电、铁路等将负责平台推广,但其他行业如果不愿意接入,国家不会强制。整体推广需要3至5年左右。
Q:公共服务平台提供的网号和网证涉及个人信息,这些数据是公共数据还是个人数据?这些数据是否有可能开放应用?
A:在原文中未直接回答这个问题。
Q:互联网身份认证平台是如何确保用户信息的安全和隐私的?
A:互联网身份认证平台通过公安部的公民身份证系统获取数据。个人信息通过加密算法转化为特殊的字符串,第三方应用只能获得这些加密信息。验证过程仅返回合法性结果,不涉及明文个人信息。所有传输和存储均以密文进行,确保用户信息不被泄露。
Q:网络身份认证需要哪些技术支撑?
A:网络身份认证主要依赖于以下技术支撑:首先,终端设备需支持NFC功能以读取身份证信息,并进行人脸识别。其次,密码学技术在身份认证中发挥关键作用,由国家密码局监管。密码设备如验签服务器、时间戳设备共同支撑身份认证服务平台。此外,认证设备不仅限于手机终端,还可应用于PC端、政治大厅及公共服务终端等。整体架构使用成熟且安全的技术保障平台的稳定性和安全性。
Q:网络身份认证是否对应每个自然人的身份证,并且在虚拟网络上有唯一的上网证号码?
A:是的,每个自然人在虚拟网络上会有一个唯一的上网证号码,这个号码与公安系统中的身份证一一对应。
Q:在线平台能否通过网号获取用户的详细个人信息?
A:在线平台只能接触到用户的网号,而不能直接获取用户的详细个人信息。用户的行为习惯、年龄、消费习惯等信息只能通过网号进行用户画像,但无法逆推还原用户的真实身份信息。只有通过身份认证平台的验证接口,才能获取验证结果。
Q:平台是否有权引导用户录入真实的个人信息?
A:现阶段,政策允许原有模式和新模式并存。在用户授权的情况下,平台可以引导用户录入真实的个人信息,但最终是否提供这些信息由用户决定。
Q:网络身份认证如何保护个人隐私?
A:网络身份认证通过网号进行用户画像,平台并不知道用户的真实身份。虽然平台可以通过行为数据进行智能算法分析,但无法直接获取用户的真实信息。这种方式提高了违法成本,保护了个人隐私。
Q:公安部是否掌握所有人的线上行为数据?
A:公安部掌握的是用户的身份认证信息,而不是具体的网络行为数据。行为数据由各个平台记录,公安部只负责身份认证。
Q:网络身份认证对平台的用户流量和推荐内容有何影响?
A:网络身份认证不会对平台的用户流量和推荐内容产生影响。平台仍然可以通过网号记录用户的访问路径和行为数据,并进行正常的内容推荐。用户在购物时仍需提供快递地址和手机号码等信息,只是在认证时不再需要提供详细的个人信息。
Q:国外在网络身份认证方面的进展如何?
A:目前国外尚未有成规模的网络身份认证平台。由于中国人口基数大,个人信息安全问题突出,因此国家推行了网络身份认证政策,而国外的网络身份认证发展规模相对较小。
Q:在网络身份证平台建设过程中,会有哪些技术和产品的供应商参与?
A:目前网络身份证平台由公安部第一研究所搭建,前期所需的密码设备、网络设备以及数据审计维护等都已上线使用。后续可能会涉及终端设备供应商,特别是查验终端设备,如高铁站的刷身份证进闸机。这将成为设备厂商的一个新市场。
Q:网络身份证平台是否会以省为单位进行建设,省或市一级是否有参与机会?
A:目前,平台建设主要由公安部主导,省级可能只建立分中心,数据最终汇总到公安部的数据中心。这是因为全国性服务需要一个集中性的数据中心来处理跨地区的数据检索。
Q:平台如何处理大批量数据提交和验证请求的情况?
A:平台将分为应用层和数据层。应用层负责处理业务请求,数据层存储数据。在高峰期,如双十一活动期间,应用层服务器可以分布到不同省份,由各省承建,最终统一接入数据管控平台。这种架构可以有效分担负载,提高系统的可靠性和效率。
Q:网络身份证平台集中化管理是否更容易受到黑客攻击,安全技术能否抵御?
A:现有身份认证平台在系统架构和安全级别上经过专家论证,安全性有保障。平台采用统一网络和中心端全网封杀的方式,能有效防范黑客和病毒攻击,保证系统的整体安全性。
Q:互联网厂商对网络身份认证政策的接受程度如何?这个生态建设需要多长时间?
A:互联网厂商和APP厂商对网络身份认证政策的接受程度取决于政策的推行方式和影响。对于承担公众形象的一些APP,他们愿意介入,因为接入后仍能保持原有数据和精准画像的功能。保守估计,这个政策的推行需要五年时间,不会有太突飞猛进的过程。像电子营业执照的推广也用了近十年,目前仍未全面普及。因此,短时间内对现有厂商影响不大。
Q:网络身份认证政策在政务民生领域有哪些应用场景?
A:在政务民生领域,网络身份认证政策已经在许多应用中逐步实施。例如,医保、社保、公积金等信息已经通过政府APP或支付宝等平台可以查询。这些政务应用有望成为首批接入网络身份认证平台的应用层面。
Q:国内密码厂商在网络身份认证政策中有哪些机会?市场空间如何评估?
A:国内密码厂商在网络身份认证政策中的机会主要在终端校验设备和新识别场景的开发。例如,在过闸机时使用网络身份认证替代身份证读卡功能。大厂在这个领域有一定的市场空间,不同场景下的需求会催生不同的产品,关键在于能否跟上身份认证平台推广的节奏抓住机遇。
Q:网络身份认证平台的扩展性如何实现?负载均衡如何处理?
A:网络身份认证平台的负载均衡在产品架构设计时就应考虑。负载均衡主要解决业务层面的数据流转,通过部署多个业务处理平台对接中心端数据。平台会根据接入区域将用户分配到对应的服务区域服务器上,避免用户集中到一个服务器。通过这种方式,可以实现高效的负载分流。
