加强网络实名认证体系建设 提升我国网络空间安全可信水平
2014-11-27 12:02:05
郭全明 中国金融电子化公司 董事
简介:结合国内外应用实践,提出以互联网金融服务为切入点,在我国推行网络实名制以提升网络空间安全可信水平的建议。
截至2014年6月,我国网民规模达6.32亿,半年共计新增网民1442万人,互联网普及率为46.9%,较2013年底提升了1.1个百分点。其中手机网民5.27亿,农村网民1.78亿,互联网应用的速度、深度和广度超乎想象,其作用和影响十分巨大,涉及经济、政治、文化、民生各个领域,恰如习近平总书记所说“我国网民数量世界第一,已成为网络大国”。促进互联网应用进一步发展,解决其发展过程中的种种问题,尤其是互联网安全问题,需要对互联网应用的信任环境进行治理,习近平总书记曾深刻地指出“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国”。本文结合国内外应用实践,提出以互联网金融服务为切入点,在我国推行网络实名制以提升网络空间安全可信水平的建议。
一、推行网络实名制的必要性和意义
网络虚拟社会是真实社会的延伸,在崇尚互联网“自由、虚拟和共享”的同时,维护互联网的环境秩序同等重要。推行网络实名制不仅是解决网络诚信和社会责任缺失等现实问题的需要,而且是维护互联网健康持续发展、促进互联网发挥更大作用的内在需求。
(一)互联网经济活动的需要。
互联网信息处理和信息利用的独特效能优势,吸引越来越多的人们基于互联网开展经济活动,包括电子商务、即时通讯、搜索查询、游戏娱乐等类型,互联网金融也渐成一种模式,开始活跃,互联网经济在经济增长中的贡献度逐年快速提高。以网络购物为例,截至2014年6月,我国网络购物用户规模达3.32亿,上半年零售市场交易金额达到10856亿元,同比增长43.9%,占年度社会消费品零售总额的8.4%。
随着互联网、社交媒体、移动终端设备的快速发展,网民的交易行为向互联网和移动终端转移,所有网络经济活动的背后,最终都必然发生支付行为。网民通过网银办理业务、通过智能手机上可实现除存取款以外ATM上的所有业务。移动支付迅猛发展,移动钱包和NFC微支付储值卡等移动支付产品涌现,未来五年将会出现手机与借/贷记卡合一的新产品,将移动互联网与传统的线下银行卡产业有机联系起来。虚拟世界中,在任何时间、任何地点交易的特性,注定将带来互联网经济新的扩张。在此发展趋势下,互联网经济参与主体出于自身信息、资金和交易安全,有着强烈的网络实名制意愿。网络实名制日渐成为网络经济发展的关键因素,随着我国经济活动对网络依赖性的增强,其需求变得更加迫切。
(二)发展互联网社会公共服务的需要。
在互联网基础资源不断充实、覆盖面走向边远区域、网络速度大幅提升的基础上,借助互联网的普及性、即时性和便利性,特别是以智能手机、平板电脑为载体的移动互联网飞速发展,其随时、随地、随身的双向信息沟通优势,使互联网具备社会服务的平台成为可能,当前国家正在规划建设基于互联网的远程医疗、教育、社会保障以及应急信息发布等公共服务,使信息化的好处能够普惠于民,使相关领域的优势资源得以充分发挥,这项事业前程远大,意义深远。显然,实名制是实现公共服务工程的基础条件。
(三)净化互联网环境,维护互联网安全的需要。
互联网已经成为思想的集散地、意识形态的较量场和文化软实力的博弈阵地。当今的互联网用户既是信息的消费者,也是信息的提供者。不健康的内容侵蚀人们的灵魂,不负责任的言论误导人们的行为,虚假信息的传播危及社会经济秩序,来自境内外的恶意攻击言论毒害人们的思想意识。移动互联网的快速发展,使得网民把互联网作为信息获取的主要渠道,且通过微信、微博发布即时信息,传播速度极快、扩散范围极广,在此情况下,推行实名制,使信息发布者承担相应的社会责任变得尤为迫切。
随着互联网经济的发展,利用互联网的趋利性犯罪案件以每年30%的速度递增,犯罪数额和危害性不断扩大。金融领域互联网案件占全国互联网案件的61%,最大单笔涉案金额达1400余万元,每年造成的直接经济损失近亿元。据中国互联网络信息中心(CNNIC)调查显示,30.4%的网民因为担心资金被盗而不使用网上支付,另有11.8%的网民担心账户信息泄露。此外利用互联网进行洗钱、赌博等犯罪活动也极为猖獗。推行实名制是有效打击网络犯罪,维护互联网安全的必要手段。
(四)维护国家利益,增强国际竞争力的需要。
“十二五”期间,新一代信息技术产业年均增长超过20%,经济规模跃居全国工业之首,对GDP的贡献率已近10%。互联网有助于各经济运行主体突破传统模式中信息流、物流和资金流的限制,提高经济效率,降低交易成本,对传统的农业、工业和第三产业都具有极强的渗透和带动能力。
目前美国等西方国家企业仍主宰着全球互联网市场, 包括微软、谷歌、脸谱、推特等,做大做强我国的互联网产业,亟待建立安全可信的在线环境,保护互联网技术与业务创新,营造有利于我国互联网产业持续健康发展的法律环境,吸引更多、忠诚度更高的用户使用我国互联网企业研发的产品应用,为此必然需要推动网络实名制,并通过网络实名的先导性作用,处理好网上交易涉税等问题,推进互联网法制化进程,保护知识产权,维护国家信息主权。我国推行网络实名的意义不仅在于净化网络空间,通过抑制少数人的“自由”,保护多数人的合法权益,维护互联网健康发展,解决网络犯罪、网络暴力、道德滑落等社会责任缺失的问题,更在于维护通过互联网的可信、安全、有序发展,构建诚信网络社会,更好发挥互联网的特有优势,促进互联网经济发展,发展公共事务,服务国计民生。
二、国外推行网络实名制的做法与启示
(一)主要实践。
1. 韩国:教训可鉴。
早在2003年,韩国15个政府部门开始实施实名制,后台登记身份证号和姓名,前台则可以使用匿名上传信息,此后扩大到门户网站。2007年,颁布了《促进利用信息通信网及个人信息保护有关法律》修改案,规定35家主要网站实施实名制。如果发现没有用真实姓名的匿名文章,网站经营者将被处3000万韩元以下罚款,标志着韩国网络实名制的正式实施。
2011年,韩国网站的个人信息外泄事件涉及到约1.2亿用户,韩国人的身份证号在15个国家的7500个网站广为流传,这些信息外泄后很难删除或控制。韩国主要网站也成为了黑客们的攻击对象,3500万用户的个人真实详尽信息被泄露。这一事件,让韩国不得不重新考虑网络实名制政策。2011年8月,为了防止个人信息泄露事件的再度发生,韩国达成了分阶段废除“互联网实名制”协议。
2. 日本:悄然普及。
日本购买手机必须用身份证、驾驶证等有效证件实名注册SIM卡和手机邮箱。这样,所有手机用户发送的信息都自动成为实名制发送。如果要注册社交网站或视频网站,就必须提供自己的手机邮箱地址,这实际上间接采用了实名制。通过IP地址备案和手机实名注册等方式,事实上的网络实名制在日本已经悄然普及。
在法律层面,对互联网的管理除了依据刑法和民法之外,还制定了一系列专门法规来处置网络违法行为。网络服务商、网站、个人网页、网站电子公告服务,都属于法律规范的范畴,信息发送者通过互联网站发送违法和不良信息,登载该信息的网站也要承担连带民事法律责任,网站有义务对违法和不良信息把关。正是由于强有力的法治,才有效改善了网络环境,实现了用户对网络实名制由排斥走向接受的转变,吸引了越来越多的企业和用户利用互联网从事商务活动和信息交流。
3. 澳大利亚:颇受欢迎。
澳大利亚是世界上最早制定互联网管理法规的国家之一。2008年,政府推出加强互联网安全的一揽子计划,在4年内投入1.25亿澳元,旨在防范网络不良信息对个人隐私、经济利益和国家安全的威胁,并实施互联网强制过滤计划。在政府和行业协会协同努力下,网络实名制管理得到社会舆论和民众的支持和拥护。
根据政策要求,互联网用户必须年满18周岁,并用真实身份登录,未成年人上网必须由其监护人与网络公司签订合同。这样增加了人们在使用网络时的信用,更利于自律和别人的监督。实名制可限制、阻止一些人用虚假的名字从事网络色情、网络诽谤和网络暴力等行为。网民反映,用实名登录后,不用担心,更有安全感,得到网友的尊重,增强了自己的信心。
4. 美国:网民担心与国家战略。
在美国人的观念中,言论自由是宪法赋予的权利。美国各大新闻网站推行实名制的做法,引来美国网民的强烈反应,最担心的是实行网络实名制涉及到用户隐私权。此外,在网络实名制的前提下,如果有网民希望通过网络举报不法行为,他们的人身安全是否能够得到保护。
美国政府从全球视野国家战略高度考虑互联网络安全问题。2011年4月,美国正式公布了“美国网络空间可信身份国家战略”,指出可信身份是改善网络安全的基石,提出构造“可信的安全身份生态系统”。美国网络身份证计划作为网络安全的一部分,将让每个美国人都在网络上有个独立的身份,一方面增加网络安全,另一方面也减少民众需要记的密码。美国主要的互联网法规《电信法》提出了美国需要确保的利益:国家安全、未成年人、知识产权及计算机安全。国家安全自不必说,而知识产权和计算机安全直接涉及美国的支柱性互联网产业利益。
(二)主要启示。
1. 推行网络实名制是大势所趋。
现在世界上多数国家都在施行实名制,一些主要做法与经验教训为我们提供了有益的借鉴。从理论上看,网络社会是现实社会的延伸,社会必然需要有序,有序的前提是个体参与者的可识别性,并且为防止参与者的任意作为,随意侵害他人的权益,这种可识别性应具有从虚拟身份还原到真实身份的能力。因此,网络实名是必然的途径选择,也为虚拟社会治理提供了基础性依据。从实践上看,各国政府从维护网络秩序和国家利益的角度,都有推行实名制的意愿和冲动,只是具体做法有所不同,实施策略和切入点的不同,造就了成功与失败,事实上,绝大多数是成功的,只要与法律有机结合,妥善解决好网民关心的问题,实施网络实名制是完全可行的,也是大势所趋。
2.保护网民的权益,顺势而为,是推行网络实名制成败的关键。
借鉴国外的一些主要实践,结合我国先期的相关探索,不难发现,网民最关心的问题是:实名制后自身信息和合法权益能否得到有效保护。可见,充分考虑网民的意愿和利益,是网络实名制能否成功的关键,也是网络实名制的前提条件。处理好这个问题需要讲究策略和方式方法,关键是找准政府与网民意愿的契合点,积微成著。韩国网民信息泄露的教训至少有两点,一是收集了网民的真实身份信息,以及更多详尽的信息,二是真实信息分散掌握在各个网站运营商手中,处在不可控状态。可见,推行实名制,必须处理好“实名”与“匿名”的关系,需要采用合适的方式,防止非授权部门和人员通过网上“匿名”追溯到后台的真实身份等信息,并且通过实名制,能够给网民包括互联网企业带来更大更多的好处,才能赢得参与者的支持,自觉自愿接受网络实名制。
3. 我国推行网络实名制宜早开展。
金融账户、网上银行、手机等实名制举措,为我国全面推行实名制奠定了良好的基础。我国网民多,市场空间巨大,电子银行的交易替代率普遍超过70%,电子商务、游戏娱乐等异常活跃,由于实名制因素,互联网经济的创新与规模化发展已经受到严重制约。除了经济层面考虑外,目前我国互联网作用的发挥,与日益增长的民众公共服务需求极不相称,以民生提高为目标的中国梦的实现,政府更加注重公共服务,我国地域广阔,发展不平衡,网络教育、远程医疗、信息服务等互联网公共服务大有可为,能够普惠于民,这同样有赖于实名制的落实。此外,透过现象看本质,国外推行实名制的背后有着深刻的国家利益、国家安全的战略考虑,互联网具有跨国界属性,国外发展好了,我国用不用都是问题,因此,必须从维护国家利益和安全的高度,主动而为,“扯开嗓子,不如甩开膀子”,早比晚好。
三、我国网络实名制的实践基础
(一)网络实名制相关实践分析。
自2003年起的网吧实名制开始,我国政府相关部门以及互联网企业陆续推动网络实名制,包括网吧、论坛、游戏、网站、电子邮箱、教育网、QQ群创建者和管理员、博客、手机、微博、火车票等,这些实名制以行业或地域为划分为特征,做法不尽相同,发挥了一定的积极作用,但各自为政的效果有限,实名制难以真正落实。原因有多方面,主要原因在于:政策上,限于局部着眼点,缺乏“全国统一性”,可操作性差,形成各自为政的局面;经济上,投入巨大,缺乏利益协调,相关方积极性不高;法律上,缺乏法律法规跟进配合,执法有困难或执法不力;技术上,缺乏可信认证,真假难辨,且存在操作风险。以手机实名制为例,目前实名比率仅为52%,还有42%的手机用户未实名,多达3亿多用户。
与此形成鲜明对照的是,银行网络实名制得到了较好的落实,并且从未发生过大量客户信息泄露的事件。银行是较早实施实名制的,2000年4月开始实施个人存款账户实名制,2008年又实施了银行开户实名制,1998年招商银行率先开通网上银行,2002年开始,各银行的网上银行引入USBKey、动态令牌等可信身份认证手段,标志着银行网络实名制的普遍施行。得益于可信网络认证带来的客户信息与资金安全有力保障,越来越多的客户选择使用网上银行,也促进了网上购物等电子商务的快速成长。目前,我国网上银行等电子渠道交易量已经占到银行交易量的70%以上。
银行网络实名制成功的原因是多方面的,主要包括:一是关乎客户的切身利益。出于自身信息和资金安全的考虑,客户愿意接受可信网络认证,甚至认证介质是花钱购买的。二是遍布全国各地的网点渠道与设施投入。客户身份的查验、认证介质客户化生成、发放、更换维护等,离不开网点的大量熟练人员服务,银行也愿意投入巨资和人力,建设和运行前后台网络认证系统,及其相关联的业务系统。三是严格的风险控制体制。银行有完整周密、运行有效的风险控制体系,有成熟的管理流程,大量合格的管理人员。四是相对完善的法律保障。多年来国务院发布了一系列相关行政法规,人民银行、银监会等主管部门不断推出相关制度、标准、指引等,并具有相对完备的监督检查机制。五是有力的技术支撑。2007年联网核查公民身份信息系统上线运行,为银行网络实名制提供了有效的验证手段,目前该系统的日均核查量为1000万笔以上,高峰时的核查量达到1300万笔以上。
(二)使用证书网络认证的情况分析。
网络实名的实现方式主要有三种:用户远程输入注册身份信息与密码;查验用户身份信息;用户使用第三方认证机构证书的远程认证。从可信性、可操作性、唯一性等方面看,证书认证是真正意义上的实名制实现方式,并且本身就是运用密码学解决网络信任问题的产物,具有远程实现、受众不限、安全强度高、唯一关联真实身份的独有优势。使用数字证书需要借助认证授权机构(Certificate Authority,以下简称 CA),CA作为受信任的第三方,负责发放和管理数字证书,检验公钥体系中公钥的合法性。目前我国金融网络实名基本都是通过CA证书认证实现的,电子商务活动普遍采用数字证书,银行普遍基于公钥基础设施(PKI/CA)体系开展互联网金融服务活动,CA认证逐渐深入到网络身份认证的诸多领域。
四、我国推行网络实名制的对策建议
网络实名制涉及技术、社会、法律、国家政策等多方面因素,是一项复杂的系统工程。鉴于互联网的开放性、多样性和复杂性,产业各类主体利益诉求各异,推行网络实名不可“一刀切”,也不可一蹴而就,需要政府从国计民生出发,积极发挥推动作用,遵循客观规律,加强顶层设计,有步骤有策略地推进。
(一)深入研究,确定路径。
网络实名制的落实绕不开互联网金融应用,互联网金融服务是最佳的切入点。2013年,我国网银注册用户已达7.68亿,交易额突破1066.97万亿元人民币,经过银行实名认证开设账户的人则更多,占互联网用户的84%,接近覆盖互联网上的活跃人群。银行已经积累了相当规模的用户资源和相关数据,有助于更好更快建设统一可信身份认证平台。从银行业的运营实践看,由于关乎自身账户与资金交易安全,用户更容易接受银行账户实名制及可信身份认证,认可相关技术和手段,愿意为其承担一定的购买认证介质费用,并逐步适应了相关的操作,以金融网络作为切入点推广实名制用户接受度高。在推行银行账户实名和可信身份认证的过程中,各银行已经建立了行之有效的运营管理体系,包括涵盖各业务层面的管理制度及操作规章、遍布全国的十几万银行网点、训练有素的近百万名营业人员,同时已经具备了相关的技术设施,各网点通过公民身份联网核查系统核实身份,直接受理生成可信身份认证介质,无需受理环境的投资建设,这些管理与技术设施为网络实名制体系建设提供了基础保障。
如上所叙,我国网上银行等互联网金融交易是基于PKI/CA体系开展身份认证的,因此,研究探索全网采用统一的ID号实现网络实名制是可行的方向,金融CA认证ID方案就是一条具有可操作性的实施路径。
金融CA认证ID方案的原理是随机生成一串随机数的作为网络身份的ID,与各家银行的认证介质序列号和银行行号建立数据库的唯一对应关联,分散存放在各银行,发放时与用户在银行的实名身份证信息相关联,利用网上银行的现行做法,只需在认证介质中加载网络ID号即可。
这种方案具有以下优势,在网民意愿与权益保护方面,此方案是一种上下互动的推行方案,仅在认证介质中加载网络ID号的做法能够较好地保护网民的资金交易安全,也符合银行的利益,双方都有意愿和积极性,因此,可操作性强,极易推行。由于网络身份与网民真实身份的对应信息仍分散在各银行,既保证了发生案件的可追溯性,又通过间接渠道,有效保护了网民的隐私权,且避免了因对应信息的集中存放带来的大量泄露风险。在推行成本与现有资源利用方面,此方案充分利用现有金融网络身份认证的设施和用户资源,只需建立网络ID查询信息库,利用银行网点在发放、维护更新网上银行认证介质时,生成和加载网民的网络ID号。完全是现有资源、渠道的运行模式,政府加以引导即可。随着网民在实践中逐步体会到其中的好处,会更加自觉自愿地接受和使用网络ID,各银行从增加客户粘性与吸引新客户的角度,也愿意支持配合。在长效机制和国际视野方面,此方案更多依靠市场手段建设和运营管理,容易保证服务品质,依托网民及互联网企业的需求和意愿,能够持久,易于走向国际市场,有利于增强我国互联网经济的国际竞争力。(二)明确目标,坚持原则。
网络实名制的目标是实现全网统一的网络身份ID,覆盖所有网络行为,营造健康有序的网络环境,保护网民隐私与合法权益,服务互联网参与主体,构建网络诚信体系建设,促进互联网事业更好、更快的发展。建议以金融网络可信身份认证为切入点,逐步向公共服务、信息交流等领域辐射、渗透,最终影响和带动全网实名制的落实。
坚持“政府推动,市场化运作”的原则。建议国家相关部门建立多部门合作机制,统一规划,统一标准,完善法规,协同推进。在运作上,充分遵循市场规律,在基础层面引入竞争机制,打破垄断和行业壁垒。
坚持实名认证的“全国统一性”原则。充分汲取过去各自为政的教训,按照“最低成本、最小代价”的思路,建议依托国内现有CA认证基础设施,建立全网统一的网络ID信息查询库,有利于有效解决可控可管理、网购征税等诸多问题。建议选择可信、中立的金融企业作为独立第三方负责运行管理,以服务用户、产业链主体和政府部门。该机构不以盈利为目标,采用市场化运作模式,充分兼顾各类用户、各类服务商的需求和利益,建立长效的产业化运行机制。
(三)统筹兼顾,科学规划。
推行互联网实名制涉及网民、网络运营商、网络服务商等众多主体,核心是网民。
首先,应妥善处理“匿名与实名”的关系,网民的意愿和选择将直接影响实名制进程和方向。建议实行“前台匿名,后台实名”的方针,除国家授权的执法机构外,其他任何机构不得掌握匿名与实名的映射对应信息,该信息只宜分散在各银行,但不得非授权查验。这符合现实情况,网民能够接受,也规避了集中存放带来的大规模信息泄露风险。网民的前台匿名与后台统一的网络ID建立“多对一”的对应关系,存放在统一的ID信息查询库,供实名认证或查验使用。其他任何网络运营或服务机构不再搜集和存储网民的真实身份等敏感信息。这样,既达到了实名制的目的,又能够有效保护网民的隐私与合法权益,网民还不用记忆多个密码。如此,网民网络活动的安全性得到了保障,体验也好,能够持久。
其次,应充分兼顾互联网各参与主体的利益。建议政府协调与市场效应相结合,平衡利益,调动积极性,共同推进网络实名制。从现实和长远看,网络实名制符合互联网参与各方的利益,关键是做好利益的协调,这不仅需要政策的引导,也需要市场机制的发挥,二者的结合点在于网民的意向选择。对于网络服务方,使用统一的实名认证,节约自行建设维护相关系统的投入,专注于提供高质量的网络服务,并通过可信的统一实名认证,增强服务安全性,吸引更多的网民,获取更大的利益。银行等金融机构作为实名认证的渠道方,通过网点提供可信身份验证、认证证书发放服务,在不增加任何投入的情况下,增加用户粘性和吸引新的用户。作为统一网络ID信息查询库的第三方机构,借助统一实名认证“标识”等市场工具效应,以及规模化、集约化认证查询服务,获取支撑其运营的费用,不仅有利于维护互联网参与主体的利益,而且可使网民享受非商业化的低成本认证介质购置费用。
(四)分类推进,试点先行。
在信息交流、网络娱乐和商务交易三大类互联网用户中,建议率先在商务交易的电子商务中寻求突破,这往往是用户的刚性需求,也关系其切身利益;其次在网络娱乐领域推进,这个领域也涉及网络支付行为,有安全需求,并且这类用户占所有网络用户的60%,比较关键。对于信息交流类,技术难度较小,可通过网络服务商等,重点在信息上传及发布行为中推进。
按此思路,基于银行等金融机构应用的CA基础设施,着手建设“全国统一”的网络ID信息库,在电子商务中试点应用网络实名认证。在总结试点经验的基础上,进行市场化推广,按照“增量用户吸引存量用户加入”的策略,分领域推进,直至全国推广应用。
(五)研制标准,完善法规。
网络实名认证关系到未来我国网络空间安全,美国、欧盟等发达国家和地区都在争夺相关技术、标准方面话语权,目前有大量国际组织进行该方面标准的研究,但还没有形成统一标准。建议在多部门合作机制下,协调资源,结合我国实践,积极开展相关系列标准研究,同时组织力量积极向国际组织提交议案,争取设立由我国主导的研究议题,扩大我国相应的话语权与主导权,增强我国相关企业的国际竞争力。
网络实名涉及谁有权收集网民信息,存放在哪里,所有权归谁,谁有权利控制、使用这些信息,谁应当承担相应责任等一系列问题,必须依靠法律界定和保护。2012年12月28日,全国人大常委会通过了《关于加强网络信息保护的决定草案》,建议以此为依据,加紧完善网络实名制相关法律法规,结合政策配套措施,切实保护网络信息资源,维护国家利益和安全。