法定身份證件在網絡可信身份管理中的基礎作用

于銳 公安部第一研究所副所長

簡介：我國網民數量已達6.32億，成為全世界網民數量最多的國家，眾多網絡行為個體間信任問題，第一步即是解決行為主體身份的識別。

在過去的傳統觀念中，現實社會與網絡社會屬于兩個不同的空間，各自獨立。但是隨著互聯網技術的飛速發展，電子政務、電子商務、網絡社交全方位融入社會生活，人們可以不受時空限制，隨時隨地通過網絡傳遞資訊、行使權力、辦理業務、發生交易。網絡上的生活成為人們日常生活的重要組成部分，現實社會與網絡社會已經融合為一體。

在網絡空間參與各種行為的個體，由于不是實際面對面進行交易，彼此之間的信任顯得尤為重要。根據中國互聯網絡信息中心發布的數據，我國網民數量已達6.32億，成為全世界網民數量最多的國家，眾多網絡行為個體間信任問題，第一步即是解決行為主體身份的識別。在這裏，重點談一談法定身份證件在網絡身份管理中的基礎作用。

一、法定身份證件應用現狀

法定身份證件，簡單説就是由法律法規確立具有證明身份效力的證件。在我國，通常指居住在我國境內公民適用的居民身份證或戶口本、港澳居民適用的港澳居民往來內地通行證、臺灣居民適用的臺灣居民來往大陸通行證、外國公民適用的護照、以及其他有關法律、行政法規或國家有關規定認可的證件。

現實社會中，世界各國均採用通過法定證件對行為人身份進行管理的應用模式。我國于1985年9月6日公布《中華人民共和國居民身份證條例》，開始使用居民身份證（以下簡稱“身份證”）對公民進行身份管理。在近三十年的居民身份證制度實踐中，我國公民個人和相關機構在辦理各項業務時已依賴使用居民身份證證明個人身份。這項制度的實施對我國這樣一個擁有13億多人口的國家進行人口管理、保障公民權益、維護經濟和社會秩序、促進國民經濟健康發展、維護社會長治久安發揮了重要的作用。

從世界各國應用情況看，採用電子證件作為身份證件是主流趨勢，從2002年起芬蘭率先發行電子身份證。我國為提高法定身份證件的防偽性能，並適應信息技術的發展需求，從2004年起開始換發第二代居民身份證（以下簡稱“二代證”），“二代證”採用了非接觸式IC卡技術和我國自主研發的數字安全技術，使證件防偽性得到極大提高。從2004年至今，已經發放了13億多張身份證，其中，2013年起發放存儲指紋的身份證超過6000萬張，實現了人手一張電子身份證，我國是全世界范圍內發放電子身份證數量最多的國家。“二代證”在國家機關和金融、電信、交通、教育、醫療等行業開展業務時得到了廣泛應用，能夠實現與各應用部門的業務係統進行電子數據交互，方便和促進了政府和社會各部門對電子身份證的使用。不僅為我國證件信息化管理和社會應用帶來一次全新革命，也支援了社會各應用部門業務資訊係統的全面升級。

除了身份證外，我國發行的護照、新版港澳居民來往內地通行證已實現電子化，臺灣居民來往大陸通行證即將實現電子化，全球已經有90多個國家已經發放電子護照。

二、法定身份證件網上應用可行性

基于現實社會使用法定身份證件對行為人身份進行管理的經驗，將現實社會的身份認證管理模式移植到網絡社會。通過法定身份證件對行為人網絡身份進行認證、管理，可以很好地解決網絡行為個體身份與現實社會中的身份對應關係，對網絡行為的追究、溯源也可落到實處。

如前所述，我國的身份證、港澳居民來往內地通行證、護照都已實現電子化，臺灣居民來往大陸通行證即將實現電子化，使法定身份證件的網絡應用成為可能。由于我國網絡社會的行為人以中國公民為主，以下就身份證為例，對法定身份證件的網絡應用可行性進行探討。

（一）居民身份證網絡應用的五大優勢

合法性：《中華人民共和國居民身份證法》確立了身份證是具有證明公民身份的法律效力。

智能性：“二代證”是內嵌智能晶片的IC卡，採用了數字簽名、對稱式密鑰、一卡一密等技術，具有加、解密運算功能，能夠支援在網絡環境對身份證的“真實性”、“有效性”、“人證同一性”進行線上認證。

廣泛性：2004年至今，全國已經發放近14億張身份證，基本實現人手一張證，並在金融、電信、醫療、教育、交通、電子商務等行業廣泛應用。

安全性：身份證採用我國自主研發的數字安全技術，通過十年應用證明了該安全體係是安全、可靠的。

經濟性：完全遵循現有管理體系，並利用現有安全體係開發網絡認證平臺，可在短期內以較少的資金投入實現網絡認證功能；相關部門已有業務資訊係統支援身份證的應用，不需要再開展大規模的資訊係統建設和制發卡活動。

居民身份證體係的建立、完善和證件本身所具備的技術條件，以及有關業務係統的現有應用模式完全可以支撐互聯網應用。

（二）公民身份號碼是構建個人信用體係的基礎

《國辦關于實施〈國務院機構改革和職能轉變方案〉任務分工的通知》，明確了要建立以公民身份號碼為基礎的公民統一社會信用代碼制度。此外，國務院于2014年6月14日發布社會信用體係建設規劃綱要（2014—2020年），明確“建立統一社會信用代碼制度。建立自然人、法人和其他組織統一社會信用代碼制度。完善相關標準制度，推動經濟社會活動中廣泛使用統一社會信用代碼。”

領會國家有關建立健全社會誠信體係的精神和身份證的應用現狀，我們認為只有通過國家法律賦予每個公民的公民身份號碼才能將行為人在現實社會、網絡社會開展的各種活動和由此産生的信用記錄串聯起來，完整展現同一個體在網上、網下的行為的對應關係。身份證件作為公民身份號碼的法定載體，無疑是建立公民個人信用體係的基礎，也是我國網絡可信身份管理的基礎。

（三）身份證與其他網絡身份認證方式的協同關係

身份證是證明身份的法定證件，從證明效力而言，直接採用身份證證明身份具有最高認證效力。但是，由于互聯網業務的特殊性，對網絡身份的管理也跟據實際需要採用不用的技術策略。首先，身份證可以為其他身份和屬性認證機制提供基礎支援，例如採用銀行卡進行實名身份管理的前提是基于對開戶實名制的強制要求，經過信任鏈傳導，間接實現銀行卡與一個真實身份完成綁定。採用手機號碼進行實名管理的前提也是基于國家對電話用戶真實身份資訊登記規定的強制要求。這些不同的實名認證手段，歸根結底都可以身份證為基礎實現。其次，身份證與其他網絡身份和屬性認證機制互補共存。不同的網絡身份認證手段，都可以通過信任鏈傳導機制，間接實現身份證實名管理。在實際應用中，可根據不同的網絡業務需求和安全級別要求選擇直接或間接利用身份證的管理方式。身份證處于實名身份信任鏈最高級，以其為基礎派生的其他身份管理機制可根據不同網絡業務管理需求進行應用。身份證實現網絡應用，不會也不能取代現有的其他網絡身份認證手段。在實際應用中，可根據不同的網絡業務需求和安全級別要求選擇直接或間接利用身份證的管理方式。

三、以居民身份證為基礎的網絡可信身份管理

對網絡行為人身份管理，一直都是一個難題。網絡可信身份管理，不是單一的一套制度、某個機構、一款軟硬體産品所能實現，須在一整套法律、法規、政策指導下，相關行政部門、社會機構和個人積極參與，融合不斷創新的技術、不同的途徑及方法逐步建立的可信框架；並基于開放的技術架構逐步實現與不同行業、多層次安全需求的業務對接。身份證在網絡可信身份管理中的應用方式也與現實社會中的應用具有根本區別，要充分考慮互聯網業務的應用特點並注重公民的個人隱私保護。

（一）建立身份管理分級機制

就網絡行為人的身份管理而言，可將網絡業務可粗略劃分為三大類：不實施身份管理的網絡業務、非實名身份管理（即通常意義上的匿名身份管理）的網絡業務、實名身份管理的網絡業務。在互聯網上瀏覽資訊、使用搜索引擎、觀看公開的視頻等大部分網絡業務場景都是完全開放的，不需要特別的身份管理,屬于不實施身份管理的網絡業務；像BBS論壇、貼吧、百度文庫等部分網絡，雖然要求網絡用戶注冊，並使用用戶名及密碼登錄才能正常執行業務，此類業務存在必要的身份管理機制但不要求必須綁定用戶真實身份，屬于實施非實名身份管理的網絡業務；如QQ、微信、支付寶、銀行卡、信用卡等網絡業務，根據國家相關規定,用戶注冊過程中必須綁定真實身份資訊，屬于實施實名身份管理的網絡業務。本文重點討論實施實名身份管理的網絡業務。

目前的網絡實名制管理主要有前臺實名身份管理、後臺實名身份管理兩種方式。前臺實名身份管理即業務係統直接使用用戶真實姓名管理業務，如銀行賬戶、股票賬戶、基金賬戶等的管理；後臺實名，即網絡係統界面上使用昵稱或賬號等而非真實姓名，僅在後臺係統中保存用戶真實個人資訊的網絡業務係統，如韓國實名制即採用了此種方式。這兩種實名身份管理方式都存在用戶真實身份泄露的風險，韓國實名制工程的失敗與互聯網站大量保存公民個人資訊數據導致網民真實身份資訊外泄不無關係。考慮互聯網業務的實際需求，在滿足“匿名用網、實名管理”需求的同時，也要兼顧公民隱私數據保護，引入法定身份證件參與網絡身份管理，可以滿足前述需求。

（二）居民身份證在網絡實名身份管理業務中的應用

使用居民身份證進行網絡身份管理，並不是照搬現實社會同樣的方式讀取證件資訊進行驗證，而是採用安全的技術手段，對身份證載體本身進行“真實性、有效性、人證同一性”的認證，不需要讀取證件記憶體儲的個人身份資訊，也不在互聯網上傳輸個人資訊，確保公民個人身份資訊得到有效保護。即通過居民身份證完成網絡賬號與真實身份的關聯認證。

這裏引入關聯實名身份管理的概念，即網絡業務界面上使用昵稱或賬號而非真實姓名，業務係統後臺不保存用戶真實個人資訊，只通過居民身份證關聯與用戶真實身份綁定的某特定編號，在政府官方數據係統保存該某特定編號對應的真實身份數據。當發生需要追究個人真實身份情形時，通過該特定編號在政府官方後臺數據庫進行追溯。由于政府官方後臺數據庫並不直接參與互聯網業務，並採取多種安全保護策略，可有效避免“脫庫”事件發生，確保公民隱私不被泄露。

通過關聯實名制認證的賬號，由于通過身份證認證完成了個人真實身份與賬號的綁定，該賬號可以實現跨域信任和賬號共用。不僅方便了互聯網用戶的賬號管理和應用，同時也由于網站不需要再存儲大量用戶個人資訊，網站承擔的風險也隨之降低。在後臺實名制中採用關聯實名身份管理模式，可真正滿足“匿名用網、實名管理”需求，並兼顧公民隱私數據保護。今年10月23日，十八屆四全會審議通過了《中共中央關于全面推進依法治國若幹重大問題的決定》，這是新時期指導全面推進依法治國、加快建設法治中國的綱領性文件。對網絡空間的管理同樣也必須遵循依法治網的原則，對網絡行為人的身份管理，不能突破我國現有法律法規框架體係。《中華人民共和國居民身份證法》確立了居民身份證是證明我國公民合法身份的法定證件地位，不僅在現實社會發揮身份管理的作用，也應在網絡社會發揮相同作用。從法律、技術、應用三方面綜合考量，國家法定證件應該是、也必須是具有中國特色的網絡可信身份管理的基礎信任根。