现在位置: 首页 / 随笔 / 正文

网号、网证热点问题辨析

  • lucyqin
  • 随笔
  • 2024-08-05
  • 43热度
  • 0评论

2024年7月26日开始征求意见的《国家网络身份认证公共服务管理办法(征求意见稿)》最近引发大量争论,这些争论中包含很多误解,将大家的讨论引向了错误的方向。在厘清这些误解之前,建议首先看完以下三个文件:

国家网络身份认证公共服务管理办法(征求意见稿)
关于起草《国家网络身份认证公共服务管理办法(征求意见稿)》的说明
公安部 国家互联网信息办公室关于《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见的公告

1、实名制目前是如何实施的?

印象中最早的“实名制”是西祠胡同。2000年左右,西祠创造出“真实网友”概念,指在网站进行过实名认证的网友。“真实网友”具有创建公开讨论版、发布图片的权限。西祠使用的方法非常原始:网友需要将自己的身份证复印件,连同注册ID、邮箱地址、电话号码等信息,一并邮寄到当时位于北京的总部进行认证。

这样的方式当然存在漏洞。如今,网络平台的实名制,普遍通过在注册帐号时强制绑定手机号码来实现。在更敏感的场合,则再结合人脸识别,通过身份信息+生物信息比对的方式,确认真人与网络ID的对应关系。

目前,基于人脸识别的身份验证是一项单独的服务嵌入到各个app当中的。使用人脸认证的app有一万多种,但国内提供人脸与身份在线验证服务的公司只有商汤科技、阿里、腾讯、旷视、依途等有限的几家。以腾讯为例,它是通过与公安部直属的全国公民身份证号查询中心战略合作,才能完成每一次的身份验证。

也就是说,现阶段海量的人脸数据,以及其与真实用户身份证号的对应关系,实际上是分散存储在多个国内公司服务器上的。

2、目前的实名制是否已经存在滥用现象?

存在。国内几乎所有的主流平台,均要求新注册用户时提供手机号码,通过发送验证码短信,绑定手机号码与帐号。

从全球范围来看,世界级的主流平台通常不会强制新用户提供手机号码,一般仅需提供电子邮箱地址和注册帐号。新用户具有基本的信息发布权限,但通常受到一定的限制。当用户需要进一步的信息发布权限,例如发布长文本、图片、视频时,平台则会要求用户进一步提供诸如手机号码等更多信息。

境外平台经常会使用手机号码作为保障帐号安全的辅助手段,例如“两步验证”或“新设备登录验证”。搜集到的手机号码也可以用于用户身份的识别,但通常门槛很高,需要一定的手续。

国内平台的做法与国际通行做法的区别是:如果不提供手机号码,根本无法完成新用户的注册,那么也就无法发布任何信息。

滥用的另一个方面,是国内平台对公安机关、网信办是完全透明和配合的。当被要求时,平台必须无条件提供相关用户数据;平台还为公安机关、网信办相关人员提供专属的高权限帐号,以方便他们可以直接执行监控、删贴、封号等操作。

必须指出,国内主流平台均支持匿名访问网站内容。如果你只是看看,不发布信息,那么无需注册帐号。

3、我们是否需要实名制?

需要。实名制当然有它的问题,一方面是政府可以通过第三方平台,确定真人与网络ID的对应关系,继而发布相关限制指令,实现对真人的言论管控;另一方面,用户在各种平台上留下各种实名信息,这些信息被贩卖,成为垃圾广告、诈骗的基础数据。

但是,正如现实世界中为每个人分配“身份证”是一切治理的基础,一个纯匿名的网络世界是难以想象的,尤其在如今,网络生活几乎已经成为大多数人的主要生活,一个人每天在网络上发言的数量,可能远远超过他现实中说话的数量;买东西也可能早就以网购为主。网民数量的急剧增长、网络基础设施的日新月异,让信息的传递速度达到前所未有的程度,一则劲爆新闻点燃整个网络的可能性,远远超过20年前。

网络越来越普及的同时,网民的整体认知水平愈发参差不齐。当人们的大多数信息来源都是网络、大多数消费都在网络上进行,那么垃圾广告和诈骗也随之而来。一种普遍的误区是“实名制促进了垃圾广告与诈骗”,因为高级的骗子常常提前知道你的姓名、工作,甚至家庭关系。持有这种观点的人多半没有见识过真正匿名的社区:广告与诈骗信息可能占据了你整个信息流的80%,你需要艰难寻找那夹杂其中的一点点有效的内容。实名制好比先进武器,诈骗好比战争。不管有没有先进武器,人类的战争都一直在发生,武器只不过改变了一下战争的形态而已。

对于恶劣的网络犯罪,人们会嫌弃公安系统的低能与低效;但一提到实名制,又敏感起来,希望政府不要搜集网民的身份信息。这种情绪化的反应可以理解,但本质上是一种双标。

所以,实名制是必要的,探讨的重点,应该是防止实名制的滥用和实名信息的泄漏。

4、什么是网号、网证,它们是如何工作的?

网号就是网络上的身份证号,网证就是网络上的身份证。但是,网号与身份证号的对应关系,则只有国家网络身份认证公共服务管理平台(下文简称为“国家网络身份平台”)掌握。当然,为了让它真正有效,仍然需要结合一定的生物验证(例如人脸、指纹),或物理设备(例如物理密钥比如U盘)。

假设有个人叫张三,他的身份证号是342315197204010035,他现在需要注册A站帐号。他为自己起了个帐号名称叫“法外狂徒”,在注册页面上,输入了自己的网号IM00245001EV,然后点击“国家网络身份平台”验证链接,跳转到了“国家网络身份平台”验证页面,跳转的同时带上一条sessionID或tokenID(代表唯一验证请求的编号)。之后张三通过一系列生物或物理的方式,提供验证数据给“国家网络身份平台”,平台比对了与网号IM00245001EV唯一对应的生物或物理验证数据,认证成功。于是“国家网络身份平台”向自己的数据库写入:网号:IM00245001EV;身份证号:342315197204010035;姓名:张三;网站:A站;帐号:法外狂徒。接着向A站返回了一条信息:“IM00245001EV”对应某个sessionID验证请求,验证通过。于是A站在数据库中写入:帐号:法外狂徒;网号:IM00245001EV;验证结果:“True”。为了做到可追溯,可能还会存一下验证请求的sessionID。

很明显,在这个过程中A站不可能得知“法外狂徒”就是“张三”,但“国家网络身份平台”很清楚这一点。

我们必须认真回顾《征求意见稿》中的第八条第一段:

互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的,公共服务平台应当仅提供用户身份核验结果

先预习一下这段话,尤其是粗体字。后面还会用到。

5、网号网证是否可以被“一键吊销”?

不会。了解“国家网络身份平台”究竟是干什么的之后,就会意识到,网号网证是不可能被吊销的。这个道理就好比,即使是罪大恶极的罪犯,也根本用不着“吊销”他的身份证,恰恰相反,如果真的“吊销”了他的身份证,试问如何在现实中对他进行限制?网号与身份证号一样,一旦被赋予,就是一种基础属性,是无法也无需被“吊销”的。相反,剥夺他的权利,恰恰还离不开网号或身份证号的支撑。

有人或许会辩称:你以为他们不敢?他们什么事情做不出来?删除你的网号,你就无法在任何网站上完成身份验证了!

这里就有个逻辑悖论:如果你相信网号、网证的申请真的是出于自愿,那么已经申请的网号、网证被“吊销”就没有任何可怕之处;反之,如果你认为将来网号网证会变成强制性的措施,那么“吊销”网证将是与“吊销”身份证相同性质的操作,而这显然是荒谬绝伦的。

核心逻辑是:“国家网络身份平台”只做一件事,就是完成身份验证。对你的种种限制不是它的职责范围。再回顾一下前面的《征求意见稿》第八条第一段:“仅提供用户身份核验结果”。意思是平台只告诉A站这位网民的身份是否已经经过了核验,不会告诉他其他信息。如果公安部、网信办需要对“张三”下手,会另外通知A站:请限制“法外狂徒”帐号所有者的相关权限。张三在B站的帐号可能叫“帅哥张飞”,C站的帐号可能是“温柔一刀”,那么公安部、网信办需要分别通知B站、C站分别执行相应帐号的限制操作。

6、网号网证是否支持“一键断网”?

没有必要。无论是办家庭宽带,还是办一张手机SIM卡,国内所有的上网终端本身就已经是实名制的。你接入网络,产生的每一个bit的流量,有关部门都清楚是谁在使用(但内容若经过加密则不能获知)。所以完全没有必要增加一个额外的认证才能接入网络。假设公安部、网信办真的要让你不能上网,在没有网号、网证的情况下同样可以做到,直接让电信、移动给你停止服务就行。但注意,这样干违宪,为了自身的稳定,他们还没有无法无天到这种地步。除了新疆早年曾经发生过一次大范围断网,还没有听说过其他先例。

有人或许会辩称:万一他们就一定要这么做呢?每次联网之前都强行先验证身份!不用担心,如果真的只是多了这么一个步骤,那你大可放心去验证。验证之后,所有的数据包,该怎么加密还怎么加密,该怎么传输还怎么传输,这个验证的步骤对你不会产生任何影响——除非他们重新发明了嵌入身份信息的TCP/IP协议和UDP协议(类似数据水印)。这事儿几乎不会发生,因为没有任何一个国际组织会同意在基础协议中嵌入身份验证数据包——除非他们把全中国的网络变成一个特制的局域网。恐怕只有朝鲜能这么干,中国目前还没到这种程度。

7、网号网证是否影响VPN?

不影响。VPN的逻辑是,你找到一个中间服务器,将数据转发并加密。中间服务器可以是VPN服务商,也可以是任意一台自建服务器。它们(你懂的,它们)不要求你提供网号、网证,好比红灯区的小姐和街头的毒贩不会要求你登记身份证。只要你可以接入网络,你就能够和之前一样使用VPN。

8、网号网证与“健康码”一样吗?

劳东燕首先打了这个比方,结果现在这种说法变成“家喻户晓”了。首先要澄清一点:河南发生过给上访储户强行赋红码的事情,不代表这是一种常态。即使在CCP自己看来,这也是极其恶劣的丑闻,是他们今后要极力避免发生的。

以往,“法外狂徒”登录A站,发布了一条信息,这件事情不会实时地反馈到公安部、网信办。当接到朝阳群众或“缝纫机”的举报、或者巡查网警主动发现后,才会被关注与分析。但如果“法外狂徒”本身已经是重点关注清单中的人员,那么在A站的协助下,是可以实现密切监控的。

那么有了网号之后,是否这个过程就变得像“健康码”一样牛叉,可以实时跟踪“法外狂徒”的所有动态了呢?并不能。须知“国家网络身份平台”只做身份验证这一件事,在公安部、网信办看来,他们只能知道张三今天下午在A站、B站、C站分别进行了1次身份验证,但并不能直接知道张三具体干了什么。而这种身份验证并不是等于登录操作,除了银行等敏感app中的敏感操作(例如更换密码之类),没有哪个app或网站会疯狂到每次用户登录都进行一次真人验证,乃至每10分钟就来一次验证。也就是说,公安部、网信办,甚至不能通过“国家网络身份平台”掌握张三在各个网站上的实际登录情况,更遑论实时监控他发布的所有信息了。

有人可能会说:你凭什么认为“国家网络身份平台”就只干验证的事儿?确实,从物理上讲,确实可以设计一套“辅助跟踪系统”,“国家网络身份平台”在完成身份验证之后,还会告诉A站:“跟踪他并随时向我报告”。但要知道,我们在讨论立法的事情,不能从执法的角度去看。至少在这一版《征求意见稿》中,第八条第一段明确写明:“公共服务平台应当仅提供用户身份核验结果。”

退一步讲,如果这套“辅助跟踪系统”未来出现,它是否一定属于滥用还值得商榷。在打击犯罪领域,这确实是一种利器。如果用它来对付异议人士,让他们动辄因言获罪,那当然就属于滥用范畴。

健康码之恶,其恶不在于信息搜集本身,因为这些信息(除了扫描场所码)原本就是在既有的框架内,基于不同管理的需要,已经搜集了的,健康码不过是进行了大数据层面的整合。它的恶在于无止境地检查健康码,这才导致“红码”寸步难行。去过新疆的朋友都知道,身份证是必须随时放在手边的。如果在新疆去每个地方,干每件事情都需要查你的身份证,那么身份证在新疆不也就变成了“健康码”吗?何须网号、网证呢?

9、网号网证是否会增加言论自由的限制?

几乎不会。如前所述,国内的所有主流平台对公安部、网信办都是透明且配合的。如果网警有需求,对于某个帐号ID究竟真人是谁,只是问一句话的事情。有了网号系统之后,如果网号没有公开悬挂(多半不会),低级别的网警仍然需要问一下A站:“法外狂徒”的网号是多少?然后才能用网号定位到张三本人。高级别的网警也许能直接调取“国家网络身份平台”的数据,直接查到“法外狂徒”就是张三。也就是节约了这么一点点时间罢了。

但是网号网证带来的好处却是相对显著的:A站不知道“法外狂徒”的真实身份,也就不可能将张三的个人信息兜售给垃圾广告和诈骗犯。平心而论,公安部、网信办,与各个国内互联网平台,在泄露个人信息方面,你更信任谁呢?

10、抵制实名制不等于呼吁言论自由

我非常理解很多人在这件事上的愤慨心态。日趋严格的言论管控造就了几近糜烂的国内舆论空间,令人痛心疾首。鲜有守信记录的政府深陷在塔西佗陷阱,无论做什么动作,都会引起无数负面的想象。高压之下,有志者已经通过或必将通过技术手段实现匿名的发声。但我们不能忘记,匿名的声音并不是言论自由,实名制下光明正大地讨论一切问题,才是应该不懈追求的目标。

我们不能为了推翻一种混乱,而拥抱另一种混乱。