200億巨頭封死跌停曝出個(gè)人信息交易內(nèi)幕！數(shù)字身份如何告別“裸奔”？

20日，A股第三方支付第一股拉卡拉午后跌停跳水。原因是該公司旗下考拉征信涉嫌侵犯公民個(gè)人信息犯罪，涉嫌非法緩存公民個(gè)人信息（包括姓名、身份證號(hào)、身份證照片等）近1億條，非法提供查詢返照9800余萬次，獲利3800余萬元。警方已抓獲考拉征信董事長(zhǎng)等20余人，牽出一條個(gè)人信息非法交易的黑色產(chǎn)業(yè)鏈。

經(jīng)查，考拉征信從上游公司獲取接口后又違規(guī)將查詢接口出賣，并非法緩存公民個(gè)人身份信息，供下游公司查詢牟利，從而造成公民身份信息包括身份證照片的大量泄露。

涉案公司還包括廣州諾涵公司，該公司披著科技公司的外衣，自己開發(fā)有“樂花管家”等多個(gè)小貸平臺(tái)，在自身購買公民個(gè)人信息用于推銷貸款、軟暴力催收的同時(shí)，也和其他公司相互交換公民個(gè)人信息，還開發(fā)有爬蟲云等軟件，通過技術(shù)手段爬取其他小貸公司的公民個(gè)人信息，用于公司放貸和非法出售牟利。在他們販賣的公民個(gè)人信息里，甚至還出現(xiàn)了公民身份證照片信息，警方測(cè)試后發(fā)現(xiàn)，返回的是帶網(wǎng)紋的二代身份證彩色照片。

湖南九象公司，其黑爬蟲網(wǎng)站的“身份核驗(yàn)返照”業(yè)務(wù)端口來自北京黑格科技有限公司，而黑格公司正是從考拉征信等四家公司購買的查詢接口。

值得一提的是，考拉征信是曾獲央行個(gè)人征信試點(diǎn)的征信巨頭，也是國內(nèi)首家成立大數(shù)據(jù)征信模型專業(yè)實(shí)驗(yàn)室的征信機(jī)構(gòu)。公開資料顯示，考拉征信是一家第三方的信用評(píng)估及征信管理服務(wù)商，由拉卡拉和藍(lán)色光標(biāo)、拓爾思、梅泰諾、旋極等四家上市公司共同出資設(shè)立。

2018年1月,中國互聯(lián)網(wǎng)金融協(xié)會(huì)和考拉征信等八家征信機(jī)構(gòu)，共同發(fā)起成立百行征信有限公司?？祭餍抛鳛榘l(fā)起人之一，積極支持百行征信的發(fā)展，全力促進(jìn)征信行業(yè)健康有序運(yùn)行。
有業(yè)內(nèi)人士稱，連考拉征信這種曾經(jīng)獲得中國人民銀行個(gè)人征信試點(diǎn)的機(jī)構(gòu)都能被查處，說明監(jiān)管正重拳出擊個(gè)人信息交易黑色產(chǎn)業(yè)鏈，甚至不再區(qū)分持牌與非持牌背景。

數(shù)字身份安全認(rèn)證呼之欲出

各行各業(yè)都在進(jìn)行數(shù)字化轉(zhuǎn)型的今天，傳統(tǒng)的身份證、銀行卡的數(shù)字化勢(shì)在必行。將真實(shí)身份進(jìn)行數(shù)字化，涉及到我們的所知、所持、所有，包括我們?cè)O(shè)置的密碼、口令、持有的U盾，以及我們所有的生物特征，包括人臉、聲音、指紋、虹膜等等；另一方面，我們?cè)跀?shù)字世界的行為痕跡也構(gòu)成了我們的數(shù)字身份。這些數(shù)據(jù)構(gòu)成我們數(shù)字身份的重要組成部分，一旦被私下販賣，或是被攻擊破解，將引發(fā)嚴(yán)重的后果。

由于我國目前缺少網(wǎng)絡(luò)身份識(shí)別和服務(wù)的公共基礎(chǔ)設(shè)施，絕大部分網(wǎng)絡(luò)應(yīng)用只能以姓名、身份證號(hào)等明文信息的形式在網(wǎng)上進(jìn)行身份認(rèn)證，這是導(dǎo)致個(gè)人信息泄露的深層原因。獨(dú)立于傳統(tǒng)的公民身份信息系統(tǒng)之外，由公安部審查、管理并推廣的“公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”，越來越體現(xiàn)出其必要性。

eID是公安三所主推的網(wǎng)絡(luò)身份認(rèn)證技術(shù)，以密碼技術(shù)為基礎(chǔ)、以智能安全芯片為載體，由“公安部公民網(wǎng)絡(luò)身份識(shí)別系統(tǒng)”簽發(fā)給公民的網(wǎng)絡(luò)電子身份標(biāo)識(shí)，能夠在不泄露身份信息的前提下在線遠(yuǎn)程識(shí)別身份。

由于含有一對(duì)由智能安全芯片內(nèi)部產(chǎn)生的非對(duì)稱密鑰，eID能夠通過高強(qiáng)度的安全機(jī)制確保其無法被非法讀取、復(fù)制、篡改或使用。其唯一性標(biāo)識(shí)采用國家商用密碼算法生成，不含任何個(gè)人身份信息，有效保護(hù)了公民身份信息。

2018年8月，三所攜手華為全球首創(chuàng)，采用國密算法和國產(chǎn)芯片將eID植入手機(jī)安全智能芯片，實(shí)現(xiàn)了“分鐘級(jí)”空中開通、“秒級(jí)”線上身份認(rèn)證和“秒級(jí)”線下身份核驗(yàn)，高安全、高體驗(yàn)的統(tǒng)一，讓用戶耳目一新。

目前，包括華為、榮耀、vivo、OPPO、小米等主流手機(jī)品牌均已支持eID功能。據(jù)悉，三所正聯(lián)合更多廠商開發(fā)推出可加載eID的手機(jī)，預(yù)計(jì)到年底可達(dá)1.5億臺(tái)。

隨著數(shù)字世界的邊界不斷擴(kuò)展，公民的數(shù)字身份安全將越來越受到關(guān)注。智能手機(jī)被認(rèn)為將在IoT時(shí)代肩負(fù)起更多的功能，三所將發(fā)行重點(diǎn)放在以手機(jī)為代表的移動(dòng)安全智能終端上，可以說是順應(yīng)趨勢(shì)。不過， 如何開拓至更多的終端設(shè)備、并推動(dòng)實(shí)際產(chǎn)品落地是eID當(dāng)前的發(fā)展關(guān)鍵。此外，在當(dāng)前的眾多場(chǎng)景中，仍以生物識(shí)別方案（以指紋、人臉為主要代表）為主流，這也是eID需要面臨的挑戰(zhàn)。

安全永遠(yuǎn)是信任的錨點(diǎn)

在今年的云棲大會(huì)上，有一場(chǎng)關(guān)于“數(shù)字身份認(rèn)證如何保障用戶隱私”的圓桌對(duì)話。公安部三所網(wǎng)絡(luò)電子身份技術(shù)事業(yè)部書記嚴(yán)則明表示，當(dāng)前，數(shù)字身份所面臨的問題，第一是個(gè)人的隱私保護(hù)，第二要解決數(shù)據(jù)流通問題，要有規(guī)則，不能濫用。今年5月，公安部三所正式提出了eID數(shù)字身份鏈，它是以eID數(shù)字身份為統(tǒng)一的個(gè)人身份標(biāo)識(shí)，結(jié)合eID電子簽名和區(qū)塊鏈技術(shù)，鏈接個(gè)人各維度數(shù)據(jù)的數(shù)據(jù)流通服務(wù)平臺(tái)，是在eID數(shù)字身份體系上發(fā)展起來的eID應(yīng)用基礎(chǔ)設(shè)施服務(wù)。未來，eID數(shù)字身份鏈有望支持各級(jí)政府智慧政務(wù)領(lǐng)域的大數(shù)據(jù)技術(shù)創(chuàng)新示范應(yīng)用和開放共享，支持開展面向政務(wù)民生、金融、醫(yī)療、物流、旅游等領(lǐng)域的大數(shù)據(jù)應(yīng)用。

清華AI研究院聽覺智能中心主任、得意音通創(chuàng)始人鄭方，認(rèn)為數(shù)字身份應(yīng)該包括兩方面，一方面是身份的數(shù)字化表示，另一方面是身份的數(shù)字化管理以及認(rèn)證。由于身份的呈現(xiàn)是多面的，表現(xiàn)為不同的生物特征，或存在于不同的介質(zhì)。另一方面，大數(shù)據(jù)技術(shù)可以利用搜集到的碎片化信息，合成出數(shù)字身份，即進(jìn)行身份重建。身份的呈現(xiàn)和重建是互逆的兩個(gè)過程，這里就存在很大的安全問題。他認(rèn)為，幾年后應(yīng)該實(shí)現(xiàn)人的身份的社會(huì)屬性與法律屬性的統(tǒng)一。初級(jí)階段可能需要借助或綁定一些特定的硬件設(shè)備，比如手機(jī)或可穿戴設(shè)備，后期則有望脫離這些硬件設(shè)備，只需要一些通用的傳感器設(shè)備，無需依賴于人，完成采集信息后利用可信的認(rèn)證技術(shù)進(jìn)行身份認(rèn)證即可。

arm中國安全技術(shù)市場(chǎng)總監(jiān)王駿超則表示，數(shù)字身份也好、隱私保護(hù)也好，對(duì)于消費(fèi)者來說是信任。以生物識(shí)別為例，很多人不愿意把自己的生物特征傳到云端，更愿意將自己的信息放在自己的設(shè)備中，在本地進(jìn)行認(rèn)證，只需把結(jié)果傳到云端。這樣就對(duì)本地設(shè)備的安全提出了很高的要求，通過CPU架構(gòu)的設(shè)計(jì)，將TEE (Trusted Execution Environment)和SE（SecureElement）配合，在保持計(jì)算能力的同時(shí)，進(jìn)行有效的硬件隔離。在IoT應(yīng)用中，將智能手機(jī)與車或家庭聯(lián)網(wǎng)，實(shí)際上需要端到端的安全，以及密鑰、認(rèn)證流程的安全性，同時(shí)還要保證整個(gè)生命周期的安全，要考慮到所有攻擊的情況，如何進(jìn)行安全的升級(jí)、注銷等等。因此需要整個(gè)體系上的防護(hù)，從整個(gè)生態(tài)體系去構(gòu)建安全。

arm作為在嵌入式處理器領(lǐng)域占據(jù)主導(dǎo)地位的方案供應(yīng)商，曾提出支持TEE技術(shù)的TrustZone，成為TEE技術(shù)的主導(dǎo)者之一。此外，還有華為、中興、高通、阿里、小米、豆莢科技、握奇、融卡科技等均可提供TEE方案。

支持TEE的芯片架構(gòu)平臺(tái)包括：Intel、AMD、三星、蘋果、華為、TI、NXP等。

值得一提的是，人臉、指紋、聲音、虹膜等生物特征識(shí)別技術(shù)，由于承載了重要的身份信息，正在成為辨認(rèn)個(gè)體身份的“重要數(shù)據(jù)”。 就今年最火爆的人臉識(shí)別而言，在做支付應(yīng)用時(shí)，TEE+SE的方案被普遍認(rèn)為能夠提高終端的安全防御能力。

加減科技前沿技術(shù)主管楊波表示，SE具備承擔(dān)物理隔離安全區(qū)域的能力，可存儲(chǔ)安全敏感信息，進(jìn)行密碼學(xué)運(yùn)算，且在移動(dòng)支付領(lǐng)域扮演了類智能卡的角色，形成了各類智能手機(jī)的Pay應(yīng)用模式，因此SE產(chǎn)品的安全要求不低于金融IC卡的安全標(biāo)準(zhǔn)。在SE的安全保障前提下，TEE的輔助應(yīng)用作用也必不可少，可為端側(cè)提供安全的算法運(yùn)行環(huán)境。

不過，在復(fù)雜多變的網(wǎng)絡(luò)空間僅依靠人臉等單一生物特征進(jìn)行驗(yàn)證，存在一定的安全隱患，所以密碼鍵盤短期內(nèi)不可缺少。另外一個(gè)主要的風(fēng)險(xiǎn)問題體現(xiàn)在，當(dāng)前人臉識(shí)別終端推廣力度較大，便利優(yōu)先，但是安全防護(hù)與標(biāo)準(zhǔn)規(guī)范滯后，需要盡快出臺(tái)，發(fā)揮作用。

正如一位專業(yè)人士所說，如果把信息安全體系看作一個(gè)木桶，安全技術(shù)就是組成木桶的一塊塊木板，整個(gè)系統(tǒng)的安全性取決于最短的一塊木板；而數(shù)字身份中的身份認(rèn)證就相當(dāng)于木桶的桶底，由它來保證物理身份和數(shù)字身份的統(tǒng)一，如果桶底是漏的，那桶壁上的木板再長(zhǎng)也沒有用。

因此，身份認(rèn)證是整個(gè)數(shù)字身份體系最基礎(chǔ)的模塊，一切應(yīng)用和業(yè)務(wù)都要建立在可信的標(biāo)準(zhǔn)身份接口之上。未來在數(shù)字身份領(lǐng)域還有更多未知等待行業(yè)去探索和發(fā)現(xiàn)。