Carrying the banner of protecting personal information-eID techn
Carrying the banner of protecting personal information-eID technology in recent years, personal information leakage incidents have occurred frequently, and relevant state departments are also actively introducing countermeasures. For example, the Third Research Institute of the Ministry of Public Security has developed the "Citizen Network Identity System of the Ministry of Public Security", which is independent of the citizenship information system, and passed the security review of the State Cryptography Administration. Relevant departments and financial institutions began to issue EID (Citizen Network Electronic Identity) to citizens. The purpose of this move is to promote citizens' virtual identity and avoid the disclosure of citizens' personal information. At present, the pilot application of EID technology has been widely carried out, and some advantages of EID are gradually reflected. However, there is still a long way to go to popularize this technology on a large scale. The opposition between network real name and privacy in real society, one person corresponds to an exclusive identity information, which is a common practice all over the world. The foundation of government management and public service is identity. In China, the population management was carried out by the household registration system in the early days. After the reform and opening up, the scale of population mobility has intensified, and it is difficult for the "household registration book" to manage and serve the population mobility. In 1984, China issued resident ID cards relying on the household registration management system of public security. As a first-class certificate, citizens need ID cards in various occasions, such as making contracts, buying houses and cars, getting employment, applying for social security, registering marriage, opening bank accounts, registering airports, staying in hotels, etc., and they can't apply for second-class certificates such as overseas passports and driving licenses without ID cards. Without ID cards, individuals can hardly move in real society, and it is hard to imagine the operation and management of the whole social activities. Both the first-generation and second-generation ID cards are positioned for on-site identity verification, which leads to many inconveniences in the Internet age. In the 21st century, with the construction of network infrastructure and the development and application of information technology, a huge and active network virtual society has already formed. According to CNNIC's report, as of June 2016, the number of Internet users in China has reached 710 million, and our life and work have been inseparable from the Internet. Where there are people, there are rivers and lakes, followed by a large number of hackers, viruses, Trojans and phishing websites, which lead to the loss of netizens' accounts, the theft of information, the theft of funds and the frequent occurrence of computer paralysis. How to manage the virtual society of network, our country has been exploring effective methods. As early as 2003, the management department of Internet cafes required customers to provide real-name registration of ID cards, as well as handling one-card and IC cards; In 2004, Internet Society of China put forward the real-name registration of mail account; In May 2009, Hangzhou Municipal People's Congress promulgated the "Regulations on the Protection and Management of Computer Information Network Security in Hangzhou", requiring posting, blogging and registering online games to provide valid identity certificates; From July to September, 2010, the State Administration for Industry and Commerce, the Ministry of Culture, the Ministry of Industry and Information Technology and the Ministry of Finance successively intensively issued laws and regulations such as "real name of online shop", "real name of online game", "real name of mobile phone" and "real name of lottery ticket". "Nobody on the internet knows you're a dog. "This cartoon, originally published in the New Yorker magazine, once vividly described the fascination of the Internet, but it is no longer applicable. We can't evaluate whether these laws and regulations are perfect enough, but real names are needed on various occasions, which really increases the risk of privacy leakage. The era of "no one knows you are a dog on the Internet" is gone forever. More and more registered members of websites need to provide their names and mobile phone numbers, and some also need to provide ID numbers and even home addresses. For websites involving capital transactions, they must also provide bank account information. And this information is stored on websites, so the reliability of these websites becomes a problem. The year before last, Ctrip's information leak incident and "20 million pieces of data" made people panic, and I'm afraid it also caused a lot of family disputes. Network real name and privacy protection have always been a contradiction. In the open environment of the Internet, once privacy is leaked, it is impossible to find the source and the perpetrator. Unless you don't surf the Internet, it's hard not to leave any traces of privacy. Because there is a market for demand, the marketing departments of many companies will try their best to get customer information by legal or illegal means. In fact, even if you don't surf the Internet, it doesn't mean that your privacy is safe. If you look at the house in one place and leave an order intention, you will receive a phone call from other N real estate sales personnel; When you buy a house, someone will call you and ask if you want to decorate it; Your car is licensed, and then someone calls to tell you that you can refund the tax; Your insurance is about to expire, and various insurance companies will call to promote it. As for online shopping, which is the hardest hit area, it is no secret what customer big data sharing platform is behind e-commerce. When you think about EID in a different way, all the privacy leakage problems are caused by the website saving user information but not keeping it properly. Since personal information is unreliable for websites to keep, it is better for all information to be kept and verified by an authoritative department. Therefore, the Third Research Institute of the Ministry of Public Security spent five years tackling key technical problems, developed the EID identification technology of network ID cards, and established the only "Citizen Network Identification System of the Ministry of Public Security" in China. The full name of EID at the EID technology exhibition site of the Third Public Security Institute is Electronic Identity, which literally translates as electronic identity or electronic identity document. According to the current situation and trend of network identity management at home and abroad, eID should be unique and information non-repudiation. To put it simply, it is an ID card specially used on the Internet. At the 16th China International Industry Fair held in Shanghai in 2014, technicians from the Third Research Institute of the Ministry of Public Security demonstrated the application of EID technology on the spot. This is a bank card equipped with a special chip. After reading it on an NFC-enabled mobile phone, the personal identity authentication process of the two apps "Hanglv Zongheng" and "Baoanhong Logistics Alliance" is completed, and users do not need to submit their own personal information such as name, address, telephone number, ID number and even bank account. After certification, "Traveling Vertical and Horizontal" provides safe travel dynamic information services for travelers; "Baoanhong Logistics Alliance" relies on EID electronic signature technology as the basis for logistics express delivery industry to sign for and distribute goods, which effectively avoids the risk of users' private information leaking in intermediate links, and the delivery status of goods is clear at a glance. Director Yan Zeming, the person in charge of the EID project of the Third Institute of Public Security, introduced that EID adopts the "State Secret SM2" algorithm, and the private key is generated by the smart chip to ensure that it cannot be read, copied, tampered with or illegally used, thus ensuring that the chip carrier and its holder correspond to each other. It is a reliable and universal network electronic identity document that citizens can use to remotely confirm their identity on the Internet. It conforms to the provisions of Article 13 and Article 14 of China's Electronic Signature Law, and has the legal effect of digital signature and anti-denial. On the surface, NFC reads eID information and verifies it, which seems to behave like a browser recording a form, but it is not. In the whole process, the website doesn't know any user information at all, it just provides an authentication channel. When users submit EID information to the website, the website will submit the information to the public security organ or the corresponding authority department for authentication, and then inform the website whether the authentication is passed. Therefore, the website does not need to keep citizens' personal information. In this way, even if the website encounters a ghost or hacker, it will not get any user information. What if the data submitted to eID is intercepted? Wu Xu, a professor at Beijing University of Posts and Telecommunications, said, "The encryption algorithm of EID is theoretically unbreakable, and even if it is read out, it is just a meaningless string. "On the other hand, there is no personal privacy information stored in the EID. Even if hackers use Zenith Star Technology to read out the contents of the EID, they can only know who the EID represents, and there will be no more gains. EID is a subject that the whole world attaches great importance to, and the construction of EID in foreign countries is led by the security departments of various countries. In 2005, the European Union asked the governments of member countries to take the lead in building EID management systems respectively, and asked the EID of each country to be recognized and exchanged among member countries, so as to be popularized and applied in the fields of e-government and e-commerce. Belgium moved faster than the European Union, and was one of the countries that implemented EID early. According to the Organic Law of the National Personal Registry, Belgium issued EID covering more than 80% of its total population from 2003 to the beginning of 2009. According to the current Belgian law, its citizens must have EID. Germany began to issue electronic identity in November 2010, which can enjoy various online services requiring identity authentication and sign purchase contracts or submit various applications online. In June 2010, the United States issued the draft National Strategy for Trusted Identity in Cyberspace of National Cybersecurity (NSTIC), aiming at establishing a user-centered network identity ecological authentication system. Russia began to issue universal ID cards on January 1, 2012, which have the functions of medical insurance, student ID, bus card and debit card, and contain the unique EID of citizens and support multi-level identity verification. The ultimate goal is to replace the current national identity system. South Korea began issuing electronic identity in 2012, and plans to complete the issuance in 2017. At present, eID authentication has many advantages. In addition to the aforementioned "certification leaves no mark", it can quickly prove that "you are you" when handling other businesses. For example, if your account is stolen, you need to find a customer service complaint, but how does the customer service know that you are you? I believe most people have encountered the devastating proof process when appealing about QQ accounts. But if you log in with eID, you can confirm your identity in minutes. In addition, EID has a revocation mechanism. If your EID is lost, the EID will be frozen or invalidated immediately after reporting the loss to the Network Identity Management Center. Relevant departments are also studying the backtracking mechanism of EID, which means that anything done by others with your EID will be invalid during the loss of EID. However, the current second-generation ID card can't do this. After the lost ID card is reissued, the original lost ID card can still be used. Of course, the reality is that even if the EID is lost, others don't know the password and can't use it. After the password is entered incorrectly several times, the EID will be automatically invalidated. According to Yan Zeming, director of the Third Public Security Institute, EID is uniformly issued by the network identity management center of the public security department, and the network identity management center opens its interface to all third-party authentication institutions with relevant qualifications in society, and provides identity information authentication services with different authorities according to the laws and regulations of their industries. For example, only the general organization is provided with the status of EID (whether it is within the validity period and whether it is reported lost); Further provide real names and ID numbers to institutions with real-name laws and regulations, such as banks and online stores; For online games, only age attribute services are provided (to prevent teenagers from indulging in online games), while other private information is not provided except voluntarily. In this way, the risk of abuse caused by providing a large amount of personal privacy information when registering on the current network is eliminated. Typical information barrier: Every bank has a different U shield, which cannot be used universally. Carrying or memorizing passwords is a problem. There is a long way to go in popularization. In 2012, Beijing University of Posts and Telecommunications established the first EID demonstration application pilot in colleges and universities, and distributed nearly 30,000 EID USB Keys to teachers and students of the whole school. After that, more than 6 million EIDs were issued through ICBC and other financial institutions, but these pilots did not achieve the expected results, and there were still few bank outlets issuing EIDs, users opening EID functions and Internet service organizations accessing them. Different thinking modes are one of the important reasons for the difficulty of popularizing eID. Internet information dissemination is characterized by instantaneity, flattening and globalization. However, the traditional administrative management system is divided into administrative divisions, lines, areas and levels, and information management is still limited within this old framework, which leads to information barriers and forms "information islands", making information sharing empty talk. The traditional administrative framework is not suitable for the Internet information dissemination mode. Director Yan Zeming took China's third-party digital authentication center (CA) as an example to illustrate this information barrier. Industry CA is led by ministries or industry giants and serves their respective industries, such as Guofuan CA of the Ministry of Commerce, CTCA of China Telecom, China Financial Certification Center (CFCA) of the People's Bank of China, etc. Local CA is led by the governments of provinces and municipalities directly under the Central Government, serving local e-government and e-tax of local enterprises; There are also professional CA built by major commercial banks and serving their own banks. Up to now, there have been 30 industry and local CA in China, forming a fragmented situation. The total number of personal digital certificates issued by these 30 CAS in China is less than 8 million. On the one hand, personal certificates cannot be issued, on the other hand, they lack applications, which makes it difficult for local CAS to communicate with each other. All these are caused by the thinking of "administrative divisions" separating the networks that should be "interconnected". However, EID serving the network will lose its meaning if it cannot be interconnected nationwide. The imperfect legal system is another reason. Zhang Xiaoming, a researcher at the Institute of Philosophy, Chinese Academy of Social Sciences, believes that many measures related to social security have not been authorized and legislated by the National People's Congress. EID, a basic facility, will be linked with the commercial technical system in the future, so it must be discussed and authorized by the National People's Congress before it can be widely promoted to avoid bigger loopholes.
個人情報保護の旗を担ぐ--eID技術ここ数年、個人情報の流出事件が頻発しており、国の関連部門も積極的に対応策を打ち出している。例えば、公安部第三研究所は公民身分情報システムから独立した「公安部公民ネット身分識別システム」を開発し、国家暗号管理局の安全審査に合格し、関連部門と金融机関は公民にeID(公民ネット電子身分識別)を発行し始めた。この動きの狙いは、市民のバーチャルアイデンティティを広め、市民の個人情報の漏洩を避けることにある。現在、eID技術の応用試行はすでに広く展開されており、eIDのいくつかの優位性も徐々に体現されている。だが、この技術を大規模に普及させるまでの道のりは長い。ネット実名とプライバシーの対立実社会では、1人が1つの専属的なアイデンティティ情報に対応するのは世界共通のやり方であり、政府管理や公共サービスの基本はアイデンティティである。わが国では、初期は戸籍制度による人口管理が行われていた。改革開放後、人口移動の規模が激しくなり、「戸籍謄本」は人口移動の管理とサービスを行うことが難しくなった。1984年、我が国は公安の戸籍管理システムに依拠して住民身分証を発行した。1級証明書として、公民は契約、住宅購入、就業、社会保障申請、結婚登記、銀行口座開設、空港登記、ホテルチェックインなどのさまざまな場面で身分証が必要で、出国パスポートや運転免許証などの2級証明書を申請する際にも身分証が欠かせない。身分証明書がなければ、個人は現実社会でほとんど一歩も動けず、社会活動全体の運行・管理についても、想像がつかない。第1世代と第2世代身分証はいずれも現場での身分確認に位置づけられており、インターネット時代にはさまざまな不便が生じている。21世紀に入り、ネットワークインフラの建設、情報技術の発展と応用に伴い、すでに巨大で活発なネットワーク仮想社会が形成されている。CNNICの報告によると、2016年6月現在、我が国のネットユーザーの規模は7.1億人に達しており、私たちの生活、仕事はすでにネットから切り離せないものとなっている。人のいるところは江湖であり、それに伴って大量のハッカー、ウイルス、トロイの木馬、フィッシングサイトによるネットユーザーのアカウントの紛失、情報資料の盗難、資金の盗難、コンピュータの麻痺などが頻繁に発生している。ネットワークという仮想社会をどのように管理するか、我が国はこれまで有効な方法を模索してきた。2003年には、ネットカフェの管理部門は顧客に必ず身分証明名を提供して登録して、カード、ICカードなどを処理することを要求します;2004年中国インターネット協会はメールアカウントの実名制登録を提出した、2009年5月、杭州市人民代表大会が公布した『杭州市コンピュータ情報ネットワーク安全保護管理条例』は、投稿、ブログの作成、オンラインゲームの登録に有効な身分証明書を提供することを要求した、2010年7月から9月にかけて、国家工商総局、文化部、工業情報化部、財政部は相次いで「ネットショップ実名」、「オンラインゲーム実名」、「携帯電話実名」、「宝くじ実名」などの法規を集中的に発表した。「インターネットでは誰もあなたが犬だと知らない。「ニューヨーカー誌に掲載されたこの漫画は、インターネットの魅力を生き生きと描いていたが、今はもう通用しない。規制が充実しているかどうかは評価しにくいが、さまざまな場面で実名が必要になり、プライバシー漏洩のリスクも高まる。「インターネット上では誰も犬だと知らない」時代は過ぎ去った。ますます多くのサイトに会員登録するには、名前と携帯電話番号、住民登録番号、さらには自宅の住所、資金取引を伴うサイトには銀行口座情報を提供しなければならない場合もある。これらの情報はすべてウェブサイトに保存されており、これらのウェブサイトの信頼性が問題となっている。一昨年の携程網の情報漏えい事件や「2000万件のデータ」は世間を騒がせ、お家騒動も起きただろう。ネット実名とプライバシー保護は矛盾してきた。インターネットのようなオープンな環境では、プライバシーが漏洩してしまえば、発生源や加害者を探すことはまったくできない。インターネットにアクセスしない限り、何かプライバシーの痕跡を残さないようにするのは難しい。需要があってこそ市場があるので、多くの企業のマーケティング部門は、合法的または非合法的な手段で顧客情報を入手しようと努力しています。インターネットを利用しなくてもプライバシーが安全とは限りません。あなたはある場所で部屋を見て注文の意思を残して、他のN人のマンション販売員から電話を受けることができます、家を買ったら、すぐにリフォームしないかと電話で聞かれるだろう、あなたの車が札をつけたら、すぐに税金の払い戻しがあると電話で言われました。あなたの保険は満期が近づいているので、各保険会社から次々と勧誘の電話がかかってきます。オンラインショッピングはさらに深刻な被災地であり、ECの背後にどんな顧客ビッグデータ共有プラットフォームがあるかは、とっくに秘密ではない。新たな道を迫られたeID思えば、すべてのプライバシー流出問題は、サイトがユーザー情報を保存しているのに適切に保管できないことに起因している。個人情報をサイトに保管させるのは当てにならない以上、すべての情報を1つの権威ある部門が保管して確認したほうがいい。そこで公安部第三研究所は5年をかけて技術的難関を突破し、ネット身分証eID識別技術を開発し、全国唯一の「公安部公民ネット身分識別システム」を構築した。公安三所のeID技術展示現場のeIDは正式にelectronic Identityと呼ばれ、直訳すると電子身分証明書又は電子身分証明書となる。国内外のネットワークID管理の現状と傾向に照らして、eIDは唯一性と情報の否認不可能性を持つべきである。簡単に言えば、ネットで使うことに特化した身分証明書のことだ。2014年に上海で開催された第16回中国国際工業博覧会では、公安部第三研究所の技術者がeID技術の応用を現場で披露した。これは特殊チップを搭載した銀行カードで、これをNFC対応の携帯電話に貼り付けて読み取ると、『航旅縦横』と『安保ホン物流連盟』の2種類のアプリの個人認証プロセスが完了し、ユーザーは自分の名前、住所、電話番号、身分証番号、さらには銀行口座などの個人情報を提出する必要がない。認証後、『航空旅行縦横』は航空旅行者に安全な航空旅行動態情報サービスを提供した;『安保ホン物流連盟』は、eIDの電子署名技術を物流・宅配業界の物品の署名受領・発送の根拠としており、利用者のプライバシー情報が中間段階で漏洩するリスクを効果的に回避し、物品の配送状況が一目瞭然となっている。公安三所のeIDプロジェクトの責任者である厳則明主任によると、eIDは「国密SM2」アルゴリズムを採用し、スマートチップが秘密鍵を生成し、読み取り、複製、改竄、不法使用ができないようにすることで、チップキャリアとその所持者の対応を保証する。これは公安部門が統一的に証明書を発行し、現場で身分審査を経て公民に発給され、公民がネット上で遠隔で身分を証明するために用いることができる、信頼性の高い、普遍性のあるネット電子身分証明書である。我が国の『電子署名法』第13条、14条の規定に合致し、デジタル署名及び否認抵抗の法的効力を有する。表面的には、NFCがeID情報を読み取って検証するのも、ブラウザがフォームを記録する動作に似ているように見えますが、そうではありません。このプロセス全体を通して、Webサイトはユーザー情報をまったく認識しておらず、認証パスを提供しているにすぎません。ユーザーがウェブサイトにeID情報を提出すると、ウェブサイトはその情報を公安機関または相応の権威ある部門に提出して認証を行い、その後、ウェブサイトに認証に合格したかどうかを通知する。そのためサイトは市民の個人情報を保存する必要がない。これでは、サイトがスパイやハッカーに遭遇しても、ユーザー情報は一切得られない。ではeIDを提出したデータが傍受されたらどうするのか。北京郵電大学の呉旭教授は、「eIDの暗号化アルゴリズムは理論上解読不可能であり、たとえ読み出されたとしても意味のない文字列にすぎない。一方、eID内にはプライバシー情報も保存されておらず、ハッカーが天頂星科技を利用してeIDの内容を読み上げたとしても、そのeIDが誰を表しているかしか分からず、これ以上得るものはない。eIDの発展の現状eIDは世界中で重要視されている課題であり、国外のeID建設は各国のセキュリティ部門が主導している。EUは2005年に各加盟国政府が主導してそれぞれeID管理システムを構築することを求め、各国のeIDが加盟国間で承認・相互利用され、電子政務や電子商取引の分野で普及・活用されることを求めた。ベルギーはEUよりも動きが早く、いち早くeIDを推進してきた国の1つであり、『国家個人登録所組織法』に基づき、2003年から2009年初頭まで全人口の80%以上をカバーするeIDを発行してきた。ベルギーの現行法の規定では、その市民はeIDを持っていることが義務付けられている。ドイツでは2010年11月に電子身分証明書の発行を開始しており、身分証明を必要とする各種オンラインサービスの利用や、オンラインでの購入契約の締結や各種申請の提出が可能となっている。米国は2010年6月に「国家サイバーセキュリティサイバースペース信頼できるアイデンティティの国家戦略」(NSTIC)の草案を発表し、ユーザー中心のネットワークアイデンティティ生態認証システムの構築を目指している。ロシアは2012年1月1日に、医療保険、学生証、バスカード、デビットカードの機能を持ち、市民固有のeIDを含み、多層的な認証をサポートする普遍的な身分証明書の発行を開始した。最終的な目的は、現在の国家アイデンティティシステムに取って代わることだ。韓国では2012年に電子身分証の発行を開始し、2017年の発行完了を目指している。現在のところ、eID認証には多くの優位性がある。前述の「証明書に痕が残らない」以外の業務を行う際に「あなたがあなたである」ことを迅速に証明することができます。例えばあなたのアカウントが盗まれた場合、アカウントを取り戻すにはカスタマーサービスに苦情を言う必要がありますが、カスタマーサービスはどうしてあなたがあなたであることを知っていますか?ほとんどの人は、QQアカウントの訴えにおける崩壊するような証明プロセスに遭遇したことがあると思います。しかしeIDでログインすれば、分刻みで身元が確認できます。また、eIDには取り消しの仕組みがあります。eIDを紛失した場合、ネットワークID管理センターに紛失を通知すると、eIDはすぐに凍結または無効になります。関連部門はまた、eIDを紛失している間、他の人があなたのeIDを使って行ったことはすべて無効になるという意味で、eIDの遡及メカニズムを研究しています。現在の第二世代身分証はこれができないので、紛失した身分証を再発行すれば、元の紛失したものをそのまま使うことができる。もちろん、eIDを紛失しても他人がパスワードを知らなくては使えないのが実情であり、パスワードを何度か誤入力するとeIDは自動的に無効になってしまう。公安第三所の厳則明主任によると、eIDは公安部門のネットワークID管理センターが統一的に発行し、ネットワークID管理センターは社会のすべての関連資格を持つ第三者認証機構にインタフェースを開放し、しかもこれらの機構の業界の法規、条例に基づき、その機構に異なる権限の身分情報認証サービスを提供する。例えば、eIDのみを一般機関に提供している状態(有効期限内か、紛失届けか)、銀行、ネットショップなど実名規制の要件がある機関にさらに実名とID番号を提供する。オンラインゲームには年齢属性サービスのみが提供されます(青少年がオンラインゲームに熱中することを防止する)。その他のプライバシー情報は、所有者が希望する場合を除き一切提供されません。これにより、現行のネットワーク登録時に大量のプライバシー情報を提供する必要があり、悪用されるリスクをなくすことができる。典型的な情報障壁:銀行ごとに異なるUシールドがあり、通用しない。パスワードを持っていても、覚えていても、問題です。普及への道のりは長い2012年、北京郵電大学は大学初のeIDモデル応用試行を創設し、全校の教員と学生に約3万個のeID USB Keyを配布した。その後、工商銀行などの金融機関を通じて600万枚を超えるeIDを試験的に発行したが、これらの試験は期待した効果を上げておらず、eIDを発行した銀行の店舗やeID機能を開設したユーザー、接続したインターネットサービス機関はまだ少ない。思考パターンの違いがeIDの普及を難しくしている大きな要因の1つだ。インターネットの情報伝達は即時化、フラット化と全局化の特性が現れて、伝統的な行政管理システムは行政区画、条、線、面、階層の分割モードで、情報管理はまだこの旧来の枠組みの中に限定されて、これは情報の障壁を招いて「情報の孤島」を形成して、情報の共有が空話になっている。伝統的な行政枠組みはインターネット情報伝達モデルにあまり適していない厳則明主任は我が国の第三者デジタル認証センター(CA)を例にこのような情報障壁を説明した。業界CAは省委員会や業界大手が主導して、それぞれの業界にサービスを提供して、例えば:商務部の国富安CA、中国電信のCTCA、中国人民銀行の中国金融認証センター(CFCA)など;地方CAは各省、直轄市政府が主導して、地方の電子政務及び地方企業の電子税務に奉仕する;大手商業銀行が自前で作り、自行にサービスを提供している専門CAなどもある。現在までに発展し、全国に30社の事業性・地方性CAが存在し、縦割りの状況となっている。この30社のCAが全国で発行している個人デジタル証明書の総枚数は800万枚に満たず、個人証明書が発行できない一方で、応用が不足しており、各地のCAが相互接続することが難しい。これらは「行政区画」の考え方が「つながる」はずのネットワークを分断しているからである。一方、ネットにサービスを提供するeIDは、全国規模で相互につながっていなければ意味を失ってしまう。法制の不備がもう一つの原因だ。中国社会科学院哲学研究所の張暁明研究員は、「社会の安全に関わる措置の多くは、人民代表大会の授権、立法を経ていないものだ」と指摘している。eIDのような基礎的な施設は、後に商業的な技術体系とリンクしていくので、さらに大きな穴があかないように、大いに議論し、権限を与えてから広く普及していくことになる。
Носит знамя защиты личной информации — технологии eID в последние годы часто происходят утечки личной информации, соответствующие государственные ведомства также активно вводят ответные меры. Так, например, Институт № 3 министерства общественной безопасности разработал < < Систему идентификации граждан через Интернет > > министерства общественной безопасности, которая не зависит от системы идентификации граждан и которая была проверена Национальным управлением криптографии на предмет обеспечения безопасности, а соответствующие департаменты и финансовые учреждения начали выдавать гражданам eID (электронный идентификатор через гражданскую сеть). Цель этого шага заключается в продвижении виртуальной личности гражданина и во избежание утечки личной информации о гражданах. В настоящее время пилотные проекты по применению технологии eID уже широко осуществляются, и некоторые преимущества eID постепенно воплощаются. Однако путь к массовому популяризации этой технологии еще долгий. Противопоставление реального имени в сети и конфиденциальности В реальном обществе человеку соответствует эксклюзивная идентификационная информация, что является обычной практикой во всем мире. Как государственное управление, так и государственная служба основаны на идентификации. В нашей стране на ранних этапах управление населением осуществлялось с помощью системы прописки. После проведения политики реформ и открытости масштабы перемещения населения увеличились, и теперь "домашним хозяйствам" стало трудно управлять этим движением и обслуживать его. В 1984 году в Китае было выдано удостоверение личности, основанное на системе управления пропиской, основанной на общественной безопасности. Будучи документом первого уровня, граждане нуждаются в удостоверении личности для оформления договора, покупки жилья и автомобиля, трудоустройства, получения социального обеспечения, регистрации брака, открытия банковского счета, регистрации в аэропорту и проживания в гостинице, а также не могут обойтись без удостоверения личности при оформлении документов второго уровня, таких как заграничный паспорт и водительское удостоверение. Без удостоверения личности человек практически не может двигаться в реальном обществе, а функционирование и управление всей общественной деятельностью трудно себе представить. Как одно поколение, так и второе поколение удостоверений личности ориентированы на проверку личности на месте, что в эпоху интернета вызывает множество неудобств. Вступая в XXI век, наряду со строительством сетевой инфраструктуры, развитием и применением информационных технологий, уже давно сформировалось большое и активное сетевое виртуальное общество. Согласно докладу CNNIC, к июню 2016 года число пользователей Интернета в Китае достигло 710 млн. Мы уже не можем жить и работать без Интернета. Там, где есть люди, это реки и озера, а вместе с ними большое количество хакеров, вирусов, троянов и фишинговых сайтов приводят к частым потерям счетов пользователей сети, краже информационных материалов, краже денежных средств и параличу компьютеров. В нашей стране изучаются эффективные методы управления виртуальным обществом < < Сеть > >. Еще в 2003 году администрация интернет-кафе потребовала, чтобы клиенты в обязательном порядке предоставляли регистрацию имени для подтверждения личности, а также оформляли мультфильм, IC-карту и т.д. В 2004 году Китайская ассоциация Интернета предложила зарегистрировать номера почтовых счетов на основе подлинных имен; В мае 2009 г. Собрание народных представителей города Ханчжоу опубликовало « Положения о защите и управлении кибербезопасностью компьютерной информации в Ханчжоу», в которых содержится требование предоставить действительное удостоверение личности для размещения постов, ведения блогов и регистрации в Интернет-играх; В период с июля по сентябрь 2010 года Государственное управление торговли и промышленности, Министерство культуры, Министерство промышленности, культуры и Министерство финансов приняли ряд законов, таких, как < < Реальные имена интернет-магазинов > >, < < Реальные имена онлайновых игр > >, < < Реальные имена мобильных телефонов > > и < < Реальные имена лотерей > >. "Никто в Интернете не знает, что ты собака. "Эта карикатура, опубликованная в журнале" Нью-Йоркер", наглядно описывает прелести Интернета, но в настоящее время она более не применима. Мы не можем оценить, являются ли эти нормативные акты достаточно совершенными, однако необходимость в подлинных именах во всех случаях повышает риск разглашения информации о частной жизни, и времена, когда "никто в Интернете не знал, что ты собака", прошли. Все большее число зарегистрированных членов вебсайтов обязаны указывать имя и номер мобильного телефона, а некоторые--номер удостоверения личности или даже домашний адрес, а в случае вебсайтов, связанных с операциями с денежными средствами,--информацию о банковских счетах. И вся эта информация хранится на сайтах, и надежность этих сайтов становится под вопросом. В позапрошлом году утечка информации Ctrip и « 20 миллионов данных » вызвали тревогу, и, боюсь, привели к многочисленным семейным спорам. Подлинное имя в сети и защита конфиденциальности всегда были противоречием. В такой открытой среде, как Интернет, после того, как конфиденциальность раскрывается, просто невозможно найти источник и преступника. Трудно не оставить следов конфиденциальности, если ты не сидишь в интернете. Поскольку есть спрос, есть рынок, и маркетинговые отделы многих компаний пытаются получить информацию о клиентах законными или незаконными способами. На самом деле, даже если вы не находитесь в Интернете, это не значит, что ваша личная жизнь безопасна. Вы осмотрели дом в одном месте и оставили намерение заказать, вам позвонят другие N продавцов недвижимости; Вы купили дом, и тут же кто-нибудь позвонит и спросит, хотите ли вы делать ремонт; Ваш автомобиль был зарегистрирован, после чего вам позвонили и сказали, что вы можете вернуть налог; Ваша страховка скоро закончится, и страховые компании будут звонить и продавать ее. Что касается интернет-покупок, то это еще более опасный регион, и давно не секрет, какая платформа для обмена большими данными клиентов стоит за электронной коммерцией. Если подумать, то все проблемы с утечкой конфиденциальности вызваны тем, что сайт сохраняет информацию о пользователе, но не может хранить ее должным образом. Поскольку личная информация не позволяет надежно хранить сайты, то не так хорошо, чтобы вся информация хранилась и проверялась одним авторитетным органом. Таким образом, третьему научно-исследовательскому институту Министерства общественной безопасности потребовалось пять лет для разработки технологии идентификации eID для сетевых удостоверений личности и создания единственной в стране < < Системы идентификации граждан через Интернет Министерства общественной безопасности > >. Полное название eID на площадке презентации технологии eID в трех институтах общественной безопасности — Electronic Identity, что дословно переводится как электронный идентификатор или электронный документ, удостоверяющий личность. В соответствии с существующим положением и тенденциями в области управления сетевой идентификацией как внутри страны, так и за рубежом, eID должен быть уникальным и информационно неоспоримым. Если говорить просто, то это удостоверение личности, специально используемое в интернете. На 16-й Китайской международной промышленной ярмарке, состоявшейся в Шанхае в 2014 году, технические специалисты 3-го института Министерства общественной безопасности продемонстрировали применение технологии eID в прямом эфире. Это банковская карта, оснащенная специальным чипом, после того, как она наклеена на мобильный телефон с поддержкой NFC для чтения, завершается процесс аутентификации личности в приложениях « Air Travel Horder » и « Safehong Logistics Alliance», при этом пользователю не нужно больше представлять свою личную информацию, такую как имя, адрес, телефон, идентификационный номер и даже банковский счет. После аттестации « Верхняя и горизонтальная часть авиационной бригады » предоставляет персоналу авиационной бригады услуги по безопасной информации о динамике авиационной бригады; « Союз логистики безопасного потока » опирается на технологию электронной подписи eID в качестве основания для получения и выдачи товаров в сфере логистики и экспресс-доставки, что позволяет эффективно избежать риска утечки конфиденциальной информации пользователя в промежуточном звене, состояние доставки товаров ясно. Директор Янь Цзимин, ответственный за проект EID в трех институтах общественной безопасности, рассказал, что в EID используется алгоритм « SM2», при котором интеллектуальный чип генерирует частный ключ, что гарантирует, что носитель чипа и его держатель не могут быть прочитаны, скопированы, изменены или незаконно использованы, таким образом, носитель чипа и его держатель соответствуют друг другу. Он представляет собой надежный и универсальный электронный документ, удостоверяющий личность, который граждане могут использовать для дистанционного удостоверения личности в режиме онлайн. Он соответствует положениям статей 13 и 14 нашего Закона об электронной подписи и имеет юридическую силу цифровой подписи и защиты от отрицания. На первый взгляд, NFC считывает информацию eID и верифицирует ее, что также похоже на поведение браузера, записывающего форму, что на самом деле не так. На протяжении всего процесса сайт практически не знает никакой информации о пользователе, он просто предоставляет канал аутентификации. Когда пользователь представляет информацию о eID на веб-сайт, веб-сайт направляет эту информацию в орган общественной безопасности или соответствующий компетентный орган для удостоверения, а затем информирует веб-сайт о прохождении сертификации. Таким образом, сайтам не нужно сохранять личную информацию граждан. Таким образом, даже если сайт встречает крота или хакера, он не получает никакой информации о пользователе. А что делать с перехватом данных для отправки EID? По словам профессора Пекинского университета почты и телекоммуникаций У Сюя, "алгоритм шифрования eID теоретически не может быть взломан, и даже если он читается, то это просто бессмысленная строка. "С другой стороны, на самом деле в eID не хранится никакой информации о личной жизни, и даже если хакер зачитает содержимое eID с помощью Zenith Star Technology, он будет знать только, кого представляет этот eID, и ничего больше не выиграет. Текущее состояние развития eID eID является предметом внимания во всем мире. Во всех зарубежных построениях eID доминируют службы безопасности разных стран. В 2005 году ЕС обратился к правительствам стран-членов с просьбой взять на себя ведущую роль в создании систем управления eID и обеспечить, чтобы национальные eID были признаны и взаимосвязаны между государствами-членами и получили широкое применение в области электронного управления и электронной торговли. Бельгия действует быстрее, чем ЕС, и является одной из стран, которые ввели eID раньше и быстрее, выдавая eID более чем 80% всего населения страны с 2003 года по начало 2009 года в соответствии с Органическим законом о Национальном личном регистре (Organization National Register of Personal Register). Положения действующего бельгийского законодательства, согласно которым ее граждане должны иметь eID. В ноябре 2010 года Германия начала выдавать электронные удостоверения личности, которые позволяют пользоваться различными онлайновыми услугами, требующими удостоверения личности, а также подписывать договоры о покупке или подавать различные заявки в режиме онлайн. В июне 2010 года Соединенные Штаты опубликовали проект « Национальной стратегии обеспечения надежной идентичности в киберпространстве » (NSTIC) в целях создания ориентированной на пользователя системы экологической сертификации идентичности в киберпространстве. Универсальные ID-карты, имеющие функционал медицинской страховки, студенческого документа, автобусной и дебетовой карты, а также содержащие уникальный eID гражданина и поддерживающие многоуровневую аутентификацию, начали выдавать в России с 1 января 2012 года. Конечная цель состоит в том, чтобы заменить нынешнюю национальную систему идентификации. Южная Корея начала выпускать электронные удостоверения личности в 2012 году, планируется, что их выдача завершится в 2017 году На данный момент сертификация eID имеет множество преимуществ. В дополнение к указанному выше принципу < < не оставляя следов > > можно быстро доказать, что < < вы--это вы > >, при осуществлении других операций. Например, у вас украли номер счета, чтобы вернуть номер счета, нужно обратиться в службу поддержки клиентов, чтобы пожаловаться, но как служба поддержки узнает, что вы — это вы? Считается, что большинство людей столкнулись с рушительным процессом проверки при подаче жалобы на QQ аккаунт. Но если вы войдете с eID, вы можете подтвердить свою личность за минуту. Кроме того, у eID есть механизм отзыва. Если ваш eID потерян, он будет заморожен или выведен из строя сразу же после того, как он будет потерян в Центре управления идентификацией сети. Соответствующие службы также изучают механизм обратной связи eID, что означает, что все, что кто-то другой сделал с вашим eID, будет недействительным во время потери eID. Нынешние удостоверения личности второго поколения этого сделать не могут, и после повторного оформления утраченного удостоверения личности утраченное удостоверение может быть использовано в том виде, в каком оно было утрачено. Конечно, реальная ситуация такова, что даже если eID потерян, другие не знают пароль и не могут его использовать, eID автоматически аннулируется после того, как пароль проигран неправильно несколько раз. В соответствии с представлением директора трех отделов общественной безопасности Янь Чжао Мина, EID выдается в едином порядке Центром управления идентификационными данными в Интернете Департамента общественной безопасности, который, в свою очередь, открыт для доступа к интерфейсу для всех аутентификационных органов третьих сторон, обладающих соответствующей квалификацией в обществе, и предоставляет услуги по аутентификации идентификационных данных с различной компетенцией в соответствии с законами и положениями, действующими в отраслях, в которых работают эти учреждения. Например, предоставлять статус eID только общему органу (был ли он на срок действия, был ли он потерян); Предоставление дополнительных подлинных имен и идентификационных номеров учреждениям, требующим наличия подлинных имен в соответствии с законодательством, таким, как банки, интернет-магазины и т.д.; Для сетевых игр предоставляются только услуги, связанные с возрастными характеристиками (предотвращение увлечения подростков онлайн-играми), в то время как другая конфиденциальная информация не предоставляется, за исключением случаев добровольного согласия владельца. Таким образом, устраняется риск неправомерного использования существующих сетей, которые обязаны предоставлять обширную информацию о личной жизни при регистрации. Типичный информационный барьер: у каждого банка свой U-щит, который не может быть универсальным. Неважно, переносить или запоминать пароль, это проблема. В 2012 году Пекинский университет почты и телекоммуникаций создал первый пилотный проект демонстрационного приложения eID в вузе, выдав почти 30 тысяч eID USB Key преподавателям и студентам всего университета. После этого в экспериментальном порядке через ICBC и другие финансовые учреждения было выпущено более 6 млн экземпляров eID, однако эти пилотные проекты не дали ожидаемого эффекта, до сих пор очень мало банковских отделений, которые выдали eID, пользователей, которые открыли функцию eID, и интернет-сервисов, которые подключились к ней. Различия в образе мышления являются одной из важных причин, затрудняющих распространение eID. Распространение информации через Интернет характеризуется моментальностью, плоскостью и глобальностью, в то время как управление информацией в рамках традиционной административной системы, основанной на делении по полосам, линиям, граням и иерархиям, попрежнему ограничено этими старыми рамками, что приводит к информационным барьерам и "информационным островкам", в результате чего обмен информацией становится пустым звуком. Традиционные административные рамки не очень подходят для модели распространения информации в Интернете Директор Янь Цзимин проиллюстрировал этот информационный барьер на примере Центра цифровой аутентификации третьих сторон (ЦА) в Китае. Отраслевые ЦА возглавляются министерствами или отраслевыми гигантами, обслуживающими свои отрасли, такие как: ЦА Гофуань Министерства коммерции, ЦТКА Китайской телекоммуникационной корпорации, Китайский центр финансовой сертификации Народного Банка Китая (CFCA) и др.; Местные ЦА, возглавляемые правительствами провинций и муниципалитетов центрального подчинения, обслуживают местное электронное правительство и электронное налогообложение местных предприятий; Существуют также специализированные ЦА, созданные крупными коммерческими банками и обслуживающие свои собственные банки. На сегодняшний день в стране насчитывается 30 отраслевых и местных ЦА, что создает ситуацию раздробленности. Общее количество персональных цифровых сертификатов, выданных этими 30 ЦА по всей стране, составляет менее 8 млн. С одной стороны, персональные сертификаты не выдаются, а с другой стороны, они не применяются, что затрудняет взаимосвязь между местными ЦА. Это обусловлено концепцией "административного деления", которая разделяет сети, которые должны быть "взаимосвязанными". А eID, обслуживающие сеть, теряют смысл, если они не могут быть взаимосвязаны по всей стране. Еще одной причиной является неадекватное правовое регулирование. Чжан Сяомин, научный сотрудник Института философии Академии общественных наук Китая, считает, что многие меры, связанные с социальной безопасностью, не были санкционированы Собранием народных представителей и законодательно закреплены. Этот базовый объект eID в дальнейшем будет связан с коммерческой технологической системой, поэтому для его широкого распространения необходимо обсуждение и разрешение на собрании народных представителей во избежание еще больших уязвимостей.
