ID: 木又
平台:微信/即刻
联系方式:微信号 sjrmy-yyjqh
回到目录

为什么我们需要数字身份证
隐私泄露问题是三个严重历史遗留问题的叠加。

首先是身份证号系统。

中国的身份证号里面包含了个人籍贯信息和出生年月信息,既有可能通过泄露的 身份证号得到你的个人信息,也可以根据你泄露的个人信息推理出你的身份证号, 而上网实名制以后,其他泄露的数据也可以通过身份证号关联起来。
相比之下,印度的身份证号就是 12 位无意义数字https://en.wikipedia.org/wiki/Aadhaar

身份证系统的第二个问题是无法在线使用,在线验证身份时只能手动输入身份证号,不仅效率低下,而且增加了泄露风险。而在线系统为了解决最后一位“X” 的代码几乎能占总代码的一半长度,给程序员的头发添了无数麻烦。
又因为身份证号系统无法在线使用,所以线下核验身份也需要特殊仪器,没有特殊仪器的地方就只能手写登记,既增加了出错概率,也又散播了一遍身份证号。

其次是手机号系统

社会也普遍使用手机号系统注册账号和实名制。
但是手机号系统的问题和身份证号系统差不多,首先是每个人的号码唯一且不可修改,所以泄露一遍就永久泄露了。而且手机号关联的信息比身份证号还多,一般来说能查到一个人的手机号,就能得到他的所有信息。
其次,手机号有很高的商业价值,既可以卖给商家发垃圾短信,也可以卖给诈骗分子精准诈骗,一般来说高价值的个人信息甚至能卖到超过每条一块钱。给黑产提供了足够的利润让他们获取更多数据。

最后是密码系统

密码的最终目的是证明我是我,所以要么使用只有我拥有的东西、要么使用只有我知道的东西。一个足够安全的密码需要至少八位的数字和字符,然后问题就来了。

我们现在注册的账号这么多,如果我们每个账号都用独立的密码,那么每个账号的密码长度、要求都不同,我们肯定会忘掉绝大多数,所以我们每次登录银行app 都要找回密码。
如果我们使用密码记录软件,第一个问题是密码如何在各个设备上同步;其次, 如果这个软件窃取我们的密码怎么办;最后,如果这个软件的服务器被攻破了, 我们就直接泄露了所有账号密码。
所以大多数人在不同账号上使用的密码都是一样的,方便记忆。但是依旧有两个问题,一是犯罪分子知道了你一个密码,就能拿着你的账号密码尝试登录其他app,这种行为叫撞库,成功率很高。二是总有一部分网站的密码规则与众不同, 在这些 app 上不能使用常用的通用密码,所以还需要为这些 app 单独设置密码, 然后理所当然地忘掉。

因为以上这些问题的存在,静态密码逐渐消失,取而代之的是动态密码,也就是手机验证码登录。
这样做的好处是不用记忆密码,把核验方式从「你知道的密码」变成「你拥有的手机卡」,但缺点是账号和手机号绑定更深了,让手机号泄露的后果变得更加严重。
还有个隐藏的问题是,绑定了这么多账号让换手机号的行为变得几乎不可能,因为换掉手机号就意味着需要换绑上百个机构、组织绑定的手机号,几乎不可能实现。

解决方案

但其实解决方案也有,技术方案和「微信扫码」很像。
微信扫码登录以后,网站会得到一个 openid,网站无法根据这个 openid 回推出你的微信账号,但是如果你违法,警方可以拿着这个 openid 去找腾讯公司,得到你的个人信息,实现隐私和安全兼顾。
但是腾讯毕竟是私营企业,我们既不可能强迫所有网站都支持微信扫码登录,也不可能把数据放心交给腾讯,所以还必须由国家成立独立的机构,来做一个全新的数字身份证系统。

隐私功能

首先,数字身份证要干掉我们过去的身份证号系统,我们不再有任何唯一的数字能表示我们自己。
数字身份证要做的唯一功能就是授权登录。
对于手机 app 来说,登录只能调起数字身份证 app,然后在数字身份证 app 里面授权登录,在登录网站的时候可以扫码授权登录。而在需要我们登记自己信息的地方,我们就扫场所码,或者出示二维码让工作人员扫。
所有这些登记行为,机构都只能得到一个随机的、一次性的、临时生成的 openid, 这个 openid 就算泄露了也不能回推出来你是谁,而警方则可以在出示搜查令的情况下根据 openid 查到你是谁。

如果需要验证你是否未成年,平台也只能得到「是」或者「否」的答案,无法得到、也不需要得到你的具体年龄。
最后,国家成立独立的监管机构,只有警方出具抽查令或者本人同意以后可以访问部分数据,程序上防止数据滥用。

便利性与易用性

将所有身份认证功能都统一到数字身份证系统不仅可以保护隐私,还可以方便我们的生活。比如开发者不需要搭建独立的身份认证系统,也不需要额外处理身份证最后一位的 X,更不需要配置多个登录选项,只需要适配数字身份证系统就行了。
我们也可以方便地快速登录,不怕忘记密码。我们也、可以在 app 里看到我们授权出去的所有登录账号,想注销账号可以直接在数字身份证里面取消授权,不用再和客服撕逼。而国家随机抽取各个机构的数据库,看看是否执行了删除命令, 如果没有删除,就参考滴滴,罚到破产。
当我们注销账号以后重新授权登录,会得到一个新的账号、新的 openid,在平台视角,无法区分你是回归的老用户还是新注册的新用户。

强制性与完备性

社会化抚养不应该只是抚养未成年人,应该包括老弱病残幼等所有无完全行为能力人,他们的数字身份证应该绑定监护人,在大额支出等行为需要监护人授权, 一方面防止未成年人用父母的银行卡疯狂消费,另一方面也防止有些人花完钱以后宣城是未成年人的消费来把钱要回来。
所以对于无完全行为能力人,应该强制佩戴手环等设备,甚至考虑植入芯片,保护他们的生命安全;有完全行为能力的成年人可以自愿佩戴,随时监控身体状况。既方便在神智不清时自动拨打 120,也方便我们在面临犯罪时默认录音并自动拨打 110。
同时,数字身份证的身份验证还应该具有完备性,只需要提供数字身份证就行了, 不用也不需要提供户口本之类的任何其他个人信息。
身份证数字化以后还可以方便地给他人授权,委托别人代办事情也可以一次性或阶段性授予权利,防止扯皮。

总之,数字身份证可以完全覆盖健康码、第二代身份证、手机号系统的认证功能和密码系统的所有应用情况,既可以保护我们的隐私,也方便我们的生活,更体现了社会主义国家对公民的责任。

https://b75gu4xte2.feishu.cn/wiki/wikcnVXRQH86bTFFVn2Q9S3wM5b

回到目录