安天实验室肖新光 实名制的上层设计与末梢治理
2013年1月27日主题为‘网络时代,隐私.骚扰.实名,何解?’的中国计算机学会青年计算机科技论坛YOCSEF与第105期数字论坛于北京市翠宫饭店成功举办。与会嘉宾安天实验室的肖新光就社会热议的网络隐私问题进行主题演讲。
肖新光认为互联网用户的三个基础分别是身份的自我保护,操作的自主选择,和信息的自由获取。
什么是实名制?
肖新光讲到官方所指的实名制是前台虚拟身份,后台真实身份。他认为实名制的本质是关联托管,所托管的是真实身份与虚拟身份之间的关联,实名制的本质就是关联托管。他强调说我国目前面临的问题是如何实现这种托管,和由谁实现这种托管。
他说道从国家过去的一些政策规定上看,我国之前一直实行的是企业托管。企业托管包括普通用户出具身份证来办理电信运营商注册、手机码号注册、中小企业网站注册等。企业托管客观达到一定程度的社会治理。但实际操作中企业托管催生了大量围绕着个人信息滥用、买卖、甚至被窃取等违法行为。
肖新光认为国家托管制优于企业托管制。因为企业托管存在着离散风险,而且各个企业互不相连导致很难保证信息整体安全。而企业托管本身就是国家托管。只不过在形式上,企业托管是国家间接托管,而国家实名制是国家直接托管。两项政策综合的对比,企业托管存在着信息分散问题,中间环节更容易滋生意外。
肖新光演讲中提别提到韩国实名制失败例子。他说道韩国施行的实名制是用户在注册使用互联网时就提供真实的信息,韩国式实名制将虚拟账号和实名信息捆绑。因此韩国一旦某个环节出错就会造成巨大的后果,因此我们才看到韩国因实名认证导致国家3/4的身份信息泄露。而关联托管的方式完全可以杜绝韩国后果的发生。
肖新光打开图表为现场观众详细的讲解了国家托管的关系图,并对国家托管实名制做了一个详细的解释。他说道首先由国家托管机构为有需求使用互联网用户提供实名验证动态码,注册账户时用户用国家托管机构给予的验证码交给企业实名验证系统,企业后台验证系统向国家托管机构去验证验证码的真实性。因此既能解决实名制问题,国家也无法获取虚拟账户和真实身份的关联。企业只能判定用户是否使用真实身份申请虚拟账户,而无法趁机搜集用户真实资料。
他指出托管系统有两点需要注意,第一国家实名验证码要和网站分离,以防止钓鱼网站窃取用户信息。第二点,用户申请账号时在国家托管机构申请实名认证随机码,这个随机码要有一定的有效性,比如30分钟之内不注册就失效,以平衡用户体验和安全保护之间的关系。
追求合理的实名方式
肖新光所呈现的国家托管关联性措施,解决了企业私自使用用户真实信息的问题,也避免了社会对政府掌控网民实名信息的问题。服务商只能判定用户是否是真实存在的人却并不掌握个人信息资料。而政府掌握了用户的真实信息在没有相应的法律体系的情况下,也无法掌握真实身份所关联的网络虚拟账号。只有在司法介入的情况下才能从两者之间进行关联关系,肖新光表示这是他认为的最合理的实名方式。
而肖新光也提出担忧,目前的证件设计在一定程度上把用户的身分证号作为一个凭据,包括提供了一个简单的自我验证算法,用户输入身份账号后台系统只能给出这个身份账号的真伪。而无法证实账号输入者和输入的身份账号之间的管理。
肖新光现场举例,在当年深交所交易有个现象。当时有一个术语叫申购,证券公司申购到了就能赚钱。为了保证公平,当时规定一个身份账号只能进行一次申购。这种情况下,很多证券公司以五十元的价格从偏远地区大量收购身份证。这个身份证买卖当然是不合法的,但在当时却让很多证券公司发了财。这个示例说明只要达到足够的利润空间就一定有人逾越一切法律风险。因此当电子身份认证存在利益收益的情况,电子身份证一定是会被大量买卖的。
他讲到如何解决规则漏洞问题,是值得深度思考。
同时肖新光说道目前很多行业已经推行实名制。这些体系的发展也很正常,很合理,比如银行的实名制。当你打电话给银行订票,可以报信用卡号,你不必担心自己的信用卡号被银行偷走。比如某招商银行用户的银行卡被人盗刷了,24小时内用户只要发现并告知招商银行这笔钱不是我付的,他就可以终止这笔支付。但要认识到银行安全保护系统的代价是很昂贵的,银行的其他服务可以抵消安全保护系统的成本。肖新光担忧地说国家托管网络实名制的完善成本同样巨大。
上层结构设计与末梢治理结合
在演讲最后,肖新光认为网络实名制问题是将局部制度上升到全民制度的考虑。这种结果将致我国管理体制难以应付巨大的成本和社会反力。
同时他也承认国家托管实名制有利有弊,现场肖新光举例,当一个人从乌鲁木齐去海南岛,身份证也丢了,手机也丢了,兜了剩了1000块钱,因为手机号实名制度。导致这位自然人买不了卡,这就产生了社会问题。他讲到这种社会问题也是实名制推行要付出的成本之一。
肖新光指出历史中各国治理国家存在两种倾向,一种是末梢序化管理,管理层希望所有的末梢完全在掌控之中。另一种是现代国家大多数采用的自由包容管理。立足于高端设计,发力于中层管理,容忍末梢次序。不过分追求社会道德净化。创建一种相对自由包容的文化。他认为,过于严厉的实名托管将导致前景不明的后果。而关联托管可以客观的解决问题。