从国家治理视角看网络身份认证的现状和困境

安全
针对互联网匿名性的弊端,各国纷纷将网络身份认证纳入治理规划,并实施了各有侧重的认证体系。本文从国家治理能力的视角出发,梳理了政府、企业两大主体网络身份认证的发展现状,并对全球网络身份认证的困境和问题进行了讨论。本文认为,全球身份认证信息主要由私有资本掌握这一现实将会长期影响国家互联网治理能力的发挥。同时,“全球-区域-国家”这一多层次治理结构及其利益冲突将会降低全球身份认证协作的有效性。

自21世纪初,对互联网空间的讨论逐渐超越对早期技术发展的乐观想象,将互联网纳入治理逐渐成为各国政府的共识。各国政府开始通过制定治理规划,加强认证能力等方式,塑造互联网时代的国家能力。与此同时,以电商、社交媒体、搜索引擎为代表的大型互联网企业也通过市场化手段不断积累网络空间的认证能力。本文首先梳理了各国政府、大型互联网企业在网络身份认证上的最新进展,在分析其特征的基础上,以现代治理视角分析其中的主要矛盾和问题。

一、作为国家基础能力的网络身份认证

(一)认证与国家治理能力

“认证”指在数据与人或物之间建立一一对应的关系[1]。詹姆斯·斯科特在《国家的视角》一书中,将普遍推行的家庭姓氏与近代国家的发展紧密联系,讨论了这种认证方式对国家建立的推动作用[2]。迈克尔·曼区分了国家的两种基础权力:专断性的国家权力和基础性的国家权力。专断性的国家权力指的是政府无需与市民社会进行协商就可实施的权力,基础性的国家权力则指的是政府能够深入市民社会并能贯彻其政治决定的权力[3]。在此基础上,王绍光又进一步把迈克尔·曼提出的国家基础能力细分为八种国家基础能力:强制能力、汲取能力、濡化能力、认证能力、监管能力、统领能力、再分配能力、吸纳和整合能力[1]。欧树军则更进一步,提出“国家认证能力是国家基础能力的基础”[4]。可以说,正是通过不断强化对公民、财产等的认证,现代国家才得以建立包括身份制度、财税系统、教育医疗、福利保障等在内的全面治理体系。

这些关于国家基础能力的讨论将有利于我们把握世界各国对网络身份认证如此重视的缘由。网络身份认证是指在网络空间中对各类主体的网络身份进行识别。随着互联网日益成为公共舆论、法治建设、知识产权保护、基本人权保护的高风险地带,提高互联网治理能力迫切要求国家对网络上的“人民”进行识别和认证。

(二)各国政府网络身份认证能力现状

欧洲是最早启动网络身份认证的国家。欧盟将推动网络身份认证作为维护网络安全、推动欧洲人员跨境流动管理的长期举措。早在1998年,欧盟就启动了第五次技术发展和示范研究框架计划(FP5),该框架围绕电子政务、个人隐私保护等议题开展了网络身份管理研究。此后,欧盟开始推动从认证模式定到建立通用eID(Electronic Identity)框架到统一国家eID到欧盟承认国家eID到推动联合eID管理的整个过程[5]。截至目前,欧盟27个成员国已经全部制订了有关网络身份认证的规划,并已有17个国家在本国内搭建了eID框架,但是泛欧洲的身份认证体系仍没有建立。

美国网络身份的认证与促进电子商务发展和网络安全密切相关。2000年,时任美国总统克林顿签署《电子签名法》,使得电子签名合法化。但是9·11的爆发使美国国家安全成为网络空间管理的重点。2004年,时任总统小布什签发了美国国家安全总统12号令,要求在联邦政府部门内部全面开展身份认证。2009年,奥巴马政府发布了《网络空间安全评估》(Cyberspace Policy Review),认为美国面临着双重挑战,一是要继续促进经济繁荣和自由贸易的良好环境,二是要排除为网络空间的战略隐患。这一评估成为2011年《网络空间可信身份国家战略》(NSTIC)的前奏。NSTIC计划用10年左右的时间,构建一个网络身份生态系统,推动个人和组织在网络上使用安全、高效、易用的解决方案。该方案由美国商务部牵头,联合美国国内的大型互联网公司共同开发和推广。

与欧洲和美国不同,韩国的网络实名制更多是基于网络舆论治理的需要。受2005年韩国网络暴力事件“狗屎女”事件的影响,韩国信息通信部出台了规范网络诽谤和暴力的法案。2007年,韩国要求日均浏览量在30万人次以上的门户网站以及日均浏览量在20万人次以上的媒体网站,引入身份验证机制[6]。随着2008年将网络诽谤定为刑事犯罪以及2008年明星崔真实自杀事件的影响,韩国进一步降低了实名制适用的阈值。2011年7月,韩国门户网站Nate以及社交网站“赛我网”遭黑客攻击,导致约3500万名用户的个人信息外泄,加之大量网站和网民逃避实名认证,越来越多的反对声开始出现。2010年初,韩国民间团体向宪法裁判所提起诉讼,称网络实名制侵害用户匿名表达自由、言论自由和隐私权。2012年8月23日,经八名法官一致同意,韩国宪法裁判所判决网络实名制违宪。至此,实施五年之久的网络实名制,在韩国正式退出历史舞台。

网络反恐是全球网络身份认证合作的重要面向。一方面,各国都在加强对网络恐怖主义的认证能力。美国计算机企业反恐联盟(CCUAT)由美国计算机科学协会在9·11事件之后建立,其开放了专门的网站用来公布该组织所验证的恐怖网站和人员,仅第一批就公布了420多个恐怖网站和2400多个恐怖份子文件共享。英国前任首相卡梅隆则积极推动在两个领域进行新的立法,一个是增加国家收集通信数据的权限,二是对在线内容进行识别和认证。通过网上信息认证,英国警方仅2015年一年就关闭了55000个社交媒体账号[7]。巴黎暴恐以来,各国要求建立反恐合作的呼声越来越高,其中一条就是对已识别恐怖分子信息的共享。尽管联合国安理会第4385次会议明确提出这一建议[8],但是由于涉及到敏感信息,反恐认证和信息分享合作仍然迫切需要切实行动。

网络身份认证涉及到当前国家治理的各个方面,身份管理、经济发展、国家安全、舆论治理、全球反恐无不与之密切相关。国家认证在这一基础能力追求准确性和全面性,出于打击犯罪的需要,各国政府唯有以全球网络身份认证为目标才有可能降低网络匿名性带来的治理问题。但是,在全球人员和信息高度流动、利益复杂交织的当下,这种全球公民网络身份认证难以在短期内实现。更重要的是,即使实现也不足以解决当下全球网络身份认证领域的关键性问题:大规模的网络认证信息实际上掌握在大型互联网企业手中。

二、作为市场盈利模式的网络身份认证

以互联网经济为驱动的当下,数据成为新的生产要素,网络用户身份的认证则成为数据变现的最基础工作。电商、搜索引擎和社交媒体网站为主的大型互联网公司,成为这一生产要素的主要拥有者。这些企业对用户信息进行收集、储存和分析,对潜在的消费群体开展认证,从而推送“程序化”广告。就个人身份的准确性和全面性而言,互联网企业对认证的要求低于国家层面;但是,就认证能力的实现而言,互联网企业则完全有能力通过网民个人信息,实现现实公民身份的“画像”。

(一)依托社交信息开展分类认证

Facebook倡导的实名认证极大提高了其市场营销的定向性和准确性,使其成为全球广告主最青睐的平台之一。根据Statista的调查数据,截至2016年9月,Facebook拥有活跃用户17.12亿,成为全球用户数最多的社交媒体企业。社交媒体用户数展现了全球网络身份认证的金字塔结构,排名前五位企业(Facebook、WhatsApp、Messenger、QQ、WeChat)的用户人次总和占到全球社交媒体用户总人次的近50%[9]。2015年Facebook广告收入超过170亿美元,占到其总收入的约95%,而在2013年这一数值仅为70亿美元。2015年Facebook从每个用户身上平均获得的广告收入为11.96美元,而在2011年这一数据才仅为5美元[10]。而这一切都来源于该网站所掌握的海量用户信息和潜在客户认证能力。

Facebook 可以向广告买家提供29000个类别的信息,这些信息大多根据用户在该网站的输入或点击行为生成。但是,根据ProPublica在2016年12月27日最新发布的报告[11],这29000个类别中也有600个来自第三方数据提供商(如Acxiom、Epsilon、Experian、Oracle Data Cloud、TransUnion以及 WPP),即Facebook通过大量购买第三方数据以填补其对用户的了解。目前,Facebook购买的数据均是关于用户线下生活的敏感财务信息,如家庭或个人收入、可投资资产、信用卡数量等。

此外,通过收购并购以及通过1账户N用途的网站合作,Facebook的用户认证信息仍在不断扩展。与此同时,该企业将大量资金投向人工智能和机器学习,用于认证信息的数据挖掘。

(二)依托公共信息开展“全景”认证

中国互联网企业也有着巨大体量的网络身份认证能力。截至2016年第二季度,微信月活跃用户数量已经达到了8.06亿。除了社交需求和资讯需求以外,微信还提供大量的支付服务和民生服务。微信对用户信息的收集可以涵盖个人基本信息、行为兴趣、金融信息、生活信息等方面,其认证能力也从社交侧面拓展到关于用户生活的“全景”信息。

2017年1月9日,微信小程序正式发布,其应用大类包括商业服务、公益、快递邮政、教育、医疗、政务民生、出行交通、房地产、生活服务、IT科技、餐饮旅游、电商平台、商家自营、金融业、富媒体、工具、体育、社交等。在政务民生领域,服务范围从原先的 8 个增加到 61 个,涵盖了包括公安、交警、边防、国安、公证、检察局、法院、纪检、人力资源、环保、民政、卫生、水利、计生、信访、文化、社保、经济发展与改革、财政、新闻出版及广电、知识产权等几乎所有的国家部门,还包括了党团组织等服务类目。

电商平台的发展同样朝着不断提高网络身份认证能力的方向。借助淘宝和支付宝两个超级APP,淘宝可以收集到用户的大量信息。由于涉及到网络支付,用户所提交的信息几乎全部为敏感经济和民生信息。马云所提出的未来“五大新”,新零售、新制造、新金融、新技术、新资源,实质就是将互联网认证对象拓展到民生、产业、金融、科技、资源等与国计民生密切相关的领域。我国近年来提出的智慧城市概念,同样是希望通过以互联网技术整合城市运行核心系统的各项关键信息,并对各类公共服务需求做出智能响应。当前,智慧城市的建设模式较多采用PPP(Public-Private- Partnership)模式,即为了提供某种公共物品和服务,以特许权协议为基础,彼此之间形成一种伙伴式的合作关系。目前神州数码在国内的多个合作项目正是采用这一模式。公共服务信息多是涉及民生领域的敏感信息,在政企合作过程中,认证信息的所有权、使用权、监管权责等仍有诸多的治理空白。

以对用户的身份认证能力为基础,资本化的互联网企业因而具有了经济资源汲取能力、互联网消费主义价值濡化能力、网络失信或违规行为的监管能力、大型网络企业内部和网络社区中的科层制统领能力、对新兴事物和规制的灵活性吸纳和整合能力。在八种“基础性国家能力”中,大型互联网企业尚不具备的唯有强制能力和再分配能力。从这个角度来说,大型互联网企业在能力建设上的已经有着明显的“国家化”倾向。

三、全球网络身份认证的特征与困境

首先,国家的网络身份认证体系高度依赖传统的民族国家公民身份认证体系。西班牙的eID卡推广的顺利受惠于其60年前开始的身份认证工作;英国虽然没有全国性的身份证制度,但是依托成熟的护照制度得以推广;比利时1876年就开始了人口登记和注册工作。这种基于传统民族国家公民身份的网络身份认证体系虽然强调一对一的准确原则,但是对于应对互联网时代的信息流动有着明显的被动性。尤其是随着难民问题等全球性人口流动问题的出现,这种“孤岛”型的认证体系在治理能力上仍然具有滞后性。

其次,互联网企业的不受监管的认证能力可能带来诸多治理隐患。用户信息泄露已经成为近年来国内外大型互联网企业的常见新闻;海量个人信息留存、网络信息抓取和挖掘、身份认证信息交易等问题也层出不穷。2012年,数字民主中心的隐私权倡导者Jeffrey Chester曾就Facebook购买用户信息的行为向美国联邦贸易委员会提出投诉,而后者却从未公开回应该投诉。这种监管缺失在国境线之外更加严峻。在韩国,Facebook和YouTube公开拒绝接受韩国政府的实名制要求,YouTube甚至建议韩国网民更改自己的国籍信息,以便访问其国际服务器。这也是导致大量用户对本国企业和网络实名制不满的重要原因。

再次,国家与互联网企业的互动增加了认证体系监管的难度。一方面,各国政府都将发展互联网作为提振经济、缓解危机的重要手段。美国的《网络空间可信身份国家战略》由美国商务部牵头,将发展电子商务作为认证体系的重要目标;中国所提出的“互联网+”、智慧城市、大数据战略均希望通过互联网促进经济转型升级;另一方面,国家不得不借助互联网企业的力量提高自身在关键领域的认证能力,“棱镜门”就是典型例证。对互联网经济的依赖以及在情报搜集中与互联网企业的复杂关系,使得国家在开展认证监管时面临更多困境。

最后,重提信息资源的权力格局中的分配问题,明确互联网身份认证信息资源的基础性地位,有利于厘清国家治理能力的主次矛盾。如果说在前互联网时代,真正构成治理难题的是不可认证的、拒绝认证的或认证确定性不高的对象。那么在互联网时代还有一个同样重要的问题,就是由谁认证的问题,即基础性战略资源由谁掌握的问题。当前全球网络身份认证的主要矛盾在于:基础性的互联网治理资源集中于少数几个大型的互联网跨国企业的数据库中,私有资本开始成为公共服务的提供者。当下,这些“公共服务提供商”综合运用个人权利、技术中立和全球自由贸易的理念和手段,逐渐积累起“国家化”的基础认证能力。这一现状与“全球-区域-国家”这一多层次治理结构的复杂利益冲突相交织,增加了网络身份认证全球实质合作的困难。

参考文献:

[1] 王绍光.国家治理与基础性国家能力[J].华中科技大学学报(社会科学版),2014(3):8-10.

[2] 詹姆斯·斯科特著.王晓毅译.国家的视角:那些试图改善人类状况的项目是如何失败的[M].北京:社会科学文献出版社,2013:80.

[3] Michael Mann, The Sources of Social Power, Vol.II: The Rise of Classes and Nation-States, New York: Cambridge University Press, 1993, PP.59-63.

[4] 欧树军.基础的基础:认证与国家基本制度建设[J].开放时代,2011(11):80.

[5] 胡传平,邹翔.杨明慧.全球网络身份管理的现状与发展[M].北京:人民邮电出版社,2014.

[6] Enforcement Decree on INFORMATION AND COMMUNICATI -ONS NETWORK ACT, Presidential Decree No.20668,2008-02 -29.

[7] Steve Robson,Anti-terror police shutting down 1,000 ISIS websites and social media accounts every WEEK,The Mirror,http://www.mirror.co.uk/news/uk-news/anti-terror-police-shutting-down-7503775.

[8] 联合国网站[EB/OL].http://www.un.org/press/en/2001/sc7158. doc.htm.

[9] https://www.statista.com/statistics/272014/global-social-networks-ranked-by-number-of-users/.

[10] https://www.statista.com/statistics/271258/facebooks-advertising-revenue-worldwide/.

[11] Julia Angwin, Terry Parris, Surya Mattu:Facebook Doesn’t Tell Users Everything It Really Knows About Them,ProPublica, Dec. 27,2016,https://www.propublica.org/article/facebook-doesnt-tell-us ers-everything-it-really-knows-about-them.

责任编辑:蓝雨泪 来源: 今传媒
相关推荐

2011-09-28 14:28:14

飞天诚信身份认证

2021-02-24 16:03:41

网络数据技术

2022-07-26 11:14:21

人工智能AI

2019-12-23 16:19:18

科达

2021-03-07 17:17:07

Java内存闭包

2014-01-02 11:40:47

Google应用内搜索Android

2013-01-25 11:01:14

NetIQ

2022-02-14 11:08:07

Linux容器命令

2022-01-13 10:19:34

软件汽车 技术

2021-07-30 19:07:27

大数据云计算云原生化

2020-07-31 09:31:55

云计算公有云新基建

2015-01-06 10:47:11

国家政策信息安全明朝万达

2011-05-17 14:52:56

FourSquareLBS位置服务

2019-10-14 15:47:18

信息安全网络安全法律

2017-05-10 16:34:56

今目标

2011-07-15 15:18:06

微博Twitter

2015-01-15 09:34:28

2024-07-08 12:03:41

2009-08-27 15:29:19

思科认证思科认证的市场现状

2024-04-11 10:46:23

点赞
收藏

51CTO技术栈公众号