第三方电子身份验证与个人信息保护

客户世界 | 2015年7月13日 | 2013年 | 评论已关闭 | 1402

客户世界|刘平|2013-06-18

十年前股市形势一片大好，散户疯狂而入，那时的网络还不像现在这样发达，然而成为股民之后人们经常会接到这样的电话：“您好，我是**公司员工，向您推荐一款自动选股软件（抑或是一款高收益的股票产品）……”那时我们不禁由此疑问：我只是在办理股票账户开户的时候提供了个人信息，并不是在电话中所提到的这家办理的，他们是怎么知道了我在炒股？

十年后网络普及信息时代来临，人们在享受信息时代的便利之时也面临了同样的困惑：我已经很注意保证自己信息的安全，为什么好像我的信息满天飞，弄得尽人皆知似的？垃圾信息还是小事儿，更有甚者，诈骗随之而来。

每个人、每一天，都或多或少地会接到这样的短信或者电话，从最初的愤怒到而今的无奈，人们不得不习惯了这样的生活，垃圾短信随手删除、莫名其妙的电话不去轻信，但这就够了吗？显然不够。信用卡被盗刷、网购账号被窃取、银行账户里的存款不翼而飞，这样的事件已不仅仅是报纸上的新闻，已随时发生在我们身边，在这样的环境下我们不禁去问我们的信息是否安全？我们在办理各种手续时为安全而设定的密码究竟是否真的能够保证我们的资金安全？

2007年，为了从制度上避免券商挪用客户保证金、有效防范系统风险以保护投资者利益，证监会开始推行“第三方存管”制度，遵循“券商管证券、银行管资金”的原则，将股民的证券账户和证券保证金账户进行分离，证券交易结算资金交由银行存管，这一举措有效地将投资者的资金从券商系统上剥离而进入银行监管渠道，从此股民炒股结算资金的方式告别了“银证转账”，进入了“第三方存管”的时代，证券账户密码和证券保证金账户（银行账户）密码的彻底分离，保证了股民个人信息和资金的安全。

似乎话题到此已然告一段落，然而事实并非如此，2009年的315晚会上我们看到了打着销售手机的幌子实为卖身份证和银行卡的网店等名目繁多的个人信息销售，一幕幕因个人信息外泄而损失惨重的场景再次把个人信息泄露问题推向了风口浪尖。在央视曝光的海量信息科技网上，300万份银行金卡VIP信息、1000万份全国女性购物数据等各种各样的信息在该网站上公开售卖。

我们不禁要想，我们的个人信息在何种情况下悄悄外泄，又是否真的如此轻易和廉价的在网上售卖？

在搜狐的央视315网站上我们看到个人信息以五种方式被泄露：

其一，移动公司出售个人信息；

其二，信息网站出售客户信息；

其三，木马程序让你的电脑成为肉鸡；

其四，开网店卖手机实是非法出售个人信息；

其五，病毒制造者盗取网银用户信息

就这样，在客户不知不觉中个人的各种私密信息变得不再私密，成为公开信息，甚至成为犯罪分子手中掌握的资源，给客户造成了六大后果：

其一，无数的垃圾短信；

其二，传播违法违规信息；

其三，遭遇诈骗公司的电话诈骗；

其四，洗黑钱；

其五，网上办身份证片区银行信用并恶意透支；

其六，个人账户资金不翼而飞。

以上种种，而今不再是街头巷尾的杂谈，已成为不容忽视的洪水猛兽，给我们的信息安全敲响了警钟，如今连网络运营商都不得不无奈地承认密码作为最后的一道防线，一旦泄露，就连网络技术人员也无能为力，于是乎，安全与方便的平衡成为长期以来困扰运营商的一道互联网难题。

这已经成了必须加以解决的问题，不然，难道要求人们主动放弃网络平台、再次回到面对面交流的原始状态吗？这显然是不现实的，那什么是现实的？就是尽快出台相关措施，对此予以监管。

2012年年底，工信部出台国内首个个人信息保护指南《信息安全技术公共及商用服务信息系统个人信息保护指南》，该行业指南的推出加快了我国个人信息保护法律法规建设的进程；12月28日，第十一届全国人民代表大会常务委员会第三十次会议通过《关于加强网络信息保护的决定》，该文件在保护公民个人信息、治理垃圾电子信息、网络身份管理等方面做出了具体规定；2013年3月29日，《国务院机构改革和职能转变方案》出台，方案规定我国将在2014年逐步推动建立统一的信用信息平台，逐步纳入金融、工商登记、税收缴纳、社保缴费、交通违章等信用信息，并且建立以公民身份号码为基础的公民统一社会信用代码制度，将出台并实施信息网络实名登记制度。

一方面，是国家要求建立公众网络信息平台；另一方面，则是网络运营商和交易平台的监管困难。试想就连密码和身份证号都有可能被盗取和泄露，那还有什么方式是可以值得信任的？当年为了从制度上避免券商挪用客户保证金、有效防范系统风险以保护投资者利益所推行的“第三方存管”制度有效地保证了股民的资金安全，那在现在第三方支付铺天盖地迅速发展的时候，又有没有一个专业的第三方机构可以负责对用户的网络信息和资料进行保密和验证呢？

显然是有的，2011年6月9日，中国电子商务协会制定的我国首个行业规范《第三方网站可信服务行业规范（征求意见稿）》正式公布，“可信网站”验证通过对域名、网站、工商登记或组织机构信息进行严格交互审核来验证网站真实身份。此后，针对个人用户的专业的第三方电子身份验证服务开始出现，聚宝网络、中国电信等企业先后试水个人第三方电子身份验证，希望以技术手段扭转个人信息大量流失的时代弊病，从而有效避免个人信息泄露和网络欺诈事件的发生。对此，聚宝网络认为“只有将公民信息存储在国家级EID数据中心进行保护，由用户本人通过第三方机构协助验证而不是网站自行随意调取，才能保障用户对自己信息的使用有知情权、监管权，才能最大程度上避免信息泄露。”

多年以前，“第三方存管”制度有效地保证了股民的资金安全；现而今，第三方电子身份验证试水保证个人信息安全，在网络信息安全敲响警钟、公民个人信息加密势在必行的关键时点，第三方电子身份验证技术以指纹认证、照片识别等各种手段致力于保障个人信息安全，至于其效果如何，我们拭目以待。

本文刊载于《客户世界》2013年5月刊；作者为本刊编辑。