200亿巨头封死跌停曝出个人信息交易内幕！数字身份如何告别“裸奔”？

20日，A股第三方支付第一股拉卡拉午后跌停跳水。原因是该公司旗下考拉征信涉嫌侵犯公民个人信息犯罪，涉嫌非法缓存公民个人信息（包括姓名、身份证号、身份证照片等）近1亿条，非法提供查询返照9800余万次，获利3800余万元。警方已抓获考拉征信董事长等20余人，牵出一条个人信息非法交易的黑色产业链。

经查，考拉征信从上游公司获取接口后又违规将查询接口出卖，并非法缓存公民个人身份信息，供下游公司查询牟利，从而造成公民身份信息包括身份证照片的大量泄露。

涉案公司还包括广州诺涵公司，该公司披着科技公司的外衣，自己开发有“乐花管家”等多个小贷平台，在自身购买公民个人信息用于推销贷款、软暴力催收的同时，也和其他公司相互交换公民个人信息，还开发有爬虫云等软件，通过技术手段爬取其他小贷公司的公民个人信息，用于公司放贷和非法出售牟利。在他们贩卖的公民个人信息里，甚至还出现了公民身份证照片信息，警方测试后发现，返回的是带网纹的二代身份证彩色照片。

湖南九象公司，其黑爬虫网站的“身份核验返照”业务端口来自北京黑格科技有限公司，而黑格公司正是从考拉征信等四家公司购买的查询接口。

值得一提的是，考拉征信是曾获央行个人征信试点的征信巨头，也是国内首家成立大数据征信模型专业实验室的征信机构。公开资料显示，考拉征信是一家第三方的信用评估及征信管理服务商，由拉卡拉和蓝色光标、拓尔思、梅泰诺、旋极等四家上市公司共同出资设立。

2018年1月,中国互联网金融协会和考拉征信等八家征信机构，共同发起成立百行征信有限公司。考拉征信作为发起人之一，积极支持百行征信的发展，全力促进征信行业健康有序运行。
有业内人士称，连考拉征信这种曾经获得中国人民银行个人征信试点的机构都能被查处，说明监管正重拳出击个人信息交易黑色产业链，甚至不再区分持牌与非持牌背景。

数字身份安全认证呼之欲出

各行各业都在进行数字化转型的今天，传统的身份证、银行卡的数字化势在必行。将真实身份进行数字化，涉及到我们的所知、所持、所有，包括我们设置的密码、口令、持有的U盾，以及我们所有的生物特征，包括人脸、声音、指纹、虹膜等等；另一方面，我们在数字世界的行为痕迹也构成了我们的数字身份。这些数据构成我们数字身份的重要组成部分，一旦被私下贩卖，或是被攻击破解，将引发严重的后果。

由于我国目前缺少网络身份识别和服务的公共基础设施，绝大部分网络应用只能以姓名、身份证号等明文信息的形式在网上进行身份认证，这是导致个人信息泄露的深层原因。独立于传统的公民身份信息系统之外，由公安部审查、管理并推广的“公民网络身份识别系统”，越来越体现出其必要性。

eID是公安三所主推的网络身份认证技术，以密码技术为基础、以智能安全芯片为载体，由“公安部公民网络身份识别系统”签发给公民的网络电子身份标识，能够在不泄露身份信息的前提下在线远程识别身份。

由于含有一对由智能安全芯片内部产生的非对称密钥，eID能够通过高强度的安全机制确保其无法被非法读取、复制、篡改或使用。其唯一性标识采用国家商用密码算法生成，不含任何个人身份信息，有效保护了公民身份信息。

2018年8月，三所携手华为全球首创，采用国密算法和国产芯片将eID植入手机安全智能芯片，实现了“分钟级”空中开通、“秒级”线上身份认证和“秒级”线下身份核验，高安全、高体验的统一，让用户耳目一新。

目前，包括华为、荣耀、vivo、OPPO、小米等主流手机品牌均已支持eID功能。据悉，三所正联合更多厂商开发推出可加载eID的手机，预计到年底可达1.5亿台。

随着数字世界的边界不断扩展，公民的数字身份安全将越来越受到关注。智能手机被认为将在IoT时代肩负起更多的功能，三所将发行重点放在以手机为代表的移动安全智能终端上，可以说是顺应趋势。不过， 如何开拓至更多的终端设备、并推动实际产品落地是eID当前的发展关键。此外，在当前的众多场景中，仍以生物识别方案（以指纹、人脸为主要代表）为主流，这也是eID需要面临的挑战。

安全永远是信任的锚点

在今年的云栖大会上，有一场关于“数字身份认证如何保障用户隐私”的圆桌对话。公安部三所网络电子身份技术事业部书记严则明表示，当前，数字身份所面临的问题，第一是个人的隐私保护，第二要解决数据流通问题，要有规则，不能滥用。今年5月，公安部三所正式提出了eID数字身份链，它是以eID数字身份为统一的个人身份标识，结合eID电子签名和区块链技术，链接个人各维度数据的数据流通服务平台，是在eID数字身份体系上发展起来的eID应用基础设施服务。未来，eID数字身份链有望支持各级政府智慧政务领域的大数据技术创新示范应用和开放共享，支持开展面向政务民生、金融、医疗、物流、旅游等领域的大数据应用。

清华AI研究院听觉智能中心主任、得意音通创始人郑方，认为数字身份应该包括两方面，一方面是身份的数字化表示，另一方面是身份的数字化管理以及认证。由于身份的呈现是多面的，表现为不同的生物特征，或存在于不同的介质。另一方面，大数据技术可以利用搜集到的碎片化信息，合成出数字身份，即进行身份重建。身份的呈现和重建是互逆的两个过程，这里就存在很大的安全问题。他认为，几年后应该实现人的身份的社会属性与法律属性的统一。初级阶段可能需要借助或绑定一些特定的硬件设备，比如手机或可穿戴设备，后期则有望脱离这些硬件设备，只需要一些通用的传感器设备，无需依赖于人，完成采集信息后利用可信的认证技术进行身份认证即可。

arm中国安全技术市场总监王骏超则表示，数字身份也好、隐私保护也好，对于消费者来说是信任。以生物识别为例，很多人不愿意把自己的生物特征传到云端，更愿意将自己的信息放在自己的设备中，在本地进行认证，只需把结果传到云端。这样就对本地设备的安全提出了很高的要求，通过CPU架构的设计，将TEE (Trusted Execution Environment)和SE（Secure Element）配合，在保持计算能力的同时，进行有效的硬件隔离。在IoT应用中，将智能手机与车或家庭联网，实际上需要端到端的安全，以及密钥、认证流程的安全性，同时还要保证整个生命周期的安全，要考虑到所有攻击的情况，如何进行安全的升级、注销等等。因此需要整个体系上的防护，从整个生态体系去构建安全。

arm作为在嵌入式处理器领域占据主导地位的方案供应商，曾提出支持TEE技术的TrustZone，成为TEE技术的主导者之一。此外，还有华为、中兴、高通、阿里、小米、豆荚科技、握奇、融卡科技等均可提供TEE方案。

支持TEE的芯片架构平台包括：Intel、AMD、三星、苹果、华为、TI、NXP等。

值得一提的是，人脸、指纹、声音、虹膜等生物特征识别技术，由于承载了重要的身份信息，正在成为辨认个体身份的“重要数据”。 就今年最火爆的人脸识别而言，在做支付应用时，TEE+SE的方案被普遍认为能够提高终端的安全防御能力。

加减科技前沿技术主管杨波表示，SE具备承担物理隔离安全区域的能力，可存储安全敏感信息，进行密码学运算，且在移动支付领域扮演了类智能卡的角色，形成了各类智能手机的Pay应用模式，因此SE产品的安全要求不低于金融IC卡的安全标准。在SE的安全保障前提下，TEE的辅助应用作用也必不可少，可为端侧提供安全的算法运行环境。

不过，在复杂多变的网络空间仅依靠人脸等单一生物特征进行验证，存在一定的安全隐患，所以密码键盘短期内不可缺少。另外一个主要的风险问题体现在，当前人脸识别终端推广力度较大，便利优先，但是安全防护与标准规范滞后，需要尽快出台，发挥作用。

正如一位专业人士所说，如果把信息安全体系看作一个木桶，安全技术就是组成木桶的一块块木板，整个系统的安全性取决于最短的一块木板；而数字身份中的身份认证就相当于木桶的桶底，由它来保证物理身份和数字身份的统一，如果桶底是漏的，那桶壁上的木板再长也没有用。

因此，身份认证是整个数字身份体系最基础的模块，一切应用和业务都要建立在可信的标准身份接口之上。未来在数字身份领域还有更多未知等待行业去探索和发现。