20日，A股第三方支付第一股拉卡拉午后跌停跳水。原因是該公司旗下考拉征信涉嫌侵犯公民個人信息犯罪，涉嫌非法緩存公民個人信息（包括姓名、身份證號、身份證照片等）近1億條，非法提供查詢返照9800余萬次，獲利3800余萬元。警方已抓獲考拉征信董事長等20余人，牽出一條個人信息非法交易的黑色產業鏈。

經查，考拉征信從上游公司獲取接口后又違規將查詢接口出賣，并非法緩存公民個人身份信息，供下游公司查詢牟利，從而造成公民身份信息包括身份證照片的大量泄露。

涉案公司還包括廣州諾涵公司，該公司披著科技公司的外衣，自己開發有“樂花管家”等多個小貸平臺，在自身購買公民個人信息用于推銷貸款、軟暴力催收的同時，也和其他公司相互交換公民個人信息，還開發有爬蟲云等軟件，通過技術手段爬取其他小貸公司的公民個人信息，用于公司放貸和非法出售牟利。在他們販賣的公民個人信息里，甚至還出現了公民身份證照片信息，警方測試后發現，返回的是帶網紋的二代身份證彩色照片。

湖南九象公司，其黑爬蟲網站的“身份核驗返照”業務端口來自北京黑格科技有限公司，而黑格公司正是從考拉征信等四家公司購買的查詢接口。

值得一提的是，考拉征信是曾獲央行個人征信試點的征信巨頭，也是國內首家成立大數據征信模型專業實驗室的征信機構。公開資料顯示，考拉征信是一家第三方的信用評估及征信管理服務商，由拉卡拉和藍色光標、拓爾思、梅泰諾、旋極等四家上市公司共同出資設立。

2018年1月,中國互聯網金融協會和考拉征信等八家征信機構，共同發起成立百行征信有限公司。考拉征信作為發起人之一，積極支持百行征信的發展，全力促進征信行業健康有序運行。
有業內人士稱，連考拉征信這種曾經獲得中國人民銀行個人征信試點的機構都能被查處，說明監管正重拳出擊個人信息交易黑色產業鏈，甚至不再區分持牌與非持牌背景。

數字身份安全認證呼之欲出

各行各業都在進行數字化轉型的今天，傳統的身份證、銀行卡的數字化勢在必行。將真實身份進行數字化，涉及到我們的所知、所持、所有，包括我們設置的密碼、口令、持有的U盾，以及我們所有的生物特征，包括人臉、聲音、指紋、虹膜等等；另一方面，我們在數字世界的行為痕跡也構成了我們的數字身份。這些數據構成我們數字身份的重要組成部分，一旦被私下販賣，或是被攻擊破解，將引發嚴重的后果。

由于我國目前缺少網絡身份識別和服務的公共基礎設施，絕大部分網絡應用只能以姓名、身份證號等明文信息的形式在網上進行身份認證，這是導致個人信息泄露的深層原因。獨立于傳統的公民身份信息系統之外，由公安部審查、管理并推廣的“公民網絡身份識別系統”，越來越體現出其必要性。

eID是公安三所主推的網絡身份認證技術，以密碼技術為基礎、以智能安全芯片為載體，由“公安部公民網絡身份識別系統”簽發給公民的網絡電子身份標識，能夠在不泄露身份信息的前提下在線遠程識別身份。

由于含有一對由智能安全芯片內部產生的非對稱密鑰，eID能夠通過高強度的安全機制確保其無法被非法讀取、復制、篡改或使用。其唯一性標識采用國家商用密碼算法生成，不含任何個人身份信息，有效保護了公民身份信息。

2018年8月，三所攜手華為全球首創，采用國密算法和國產芯片將eID植入手機安全智能芯片，實現了“分鐘級”空中開通、“秒級”線上身份認證和“秒級”線下身份核驗，高安全、高體驗的統一，讓用戶耳目一新。

目前，包括華為、榮耀、vivo、OPPO、小米等主流手機品牌均已支持eID功能。據悉，三所正聯合更多廠商開發推出可加載eID的手機，預計到年底可達1.5億臺。

隨著數字世界的邊界不斷擴展，公民的數字身份安全將越來越受到關注。智能手機被認為將在IoT時代肩負起更多的功能，三所將發行重點放在以手機為代表的移動安全智能終端上，可以說是順應趨勢。不過， 如何開拓至更多的終端設備、并推動實際產品落地是eID當前的發展關鍵。此外，在當前的眾多場景中，仍以生物識別方案（以指紋、人臉為主要代表）為主流，這也是eID需要面臨的挑戰。

安全永遠是信任的錨點

在今年的云棲大會上，有一場關于“數字身份認證如何保障用戶隱私”的圓桌對話。公安部三所網絡電子身份技術事業部書記嚴則明表示，當前，數字身份所面臨的問題，第一是個人的隱私保護，第二要解決數據流通問題，要有規則，不能濫用。今年5月，公安部三所正式提出了eID數字身份鏈，它是以eID數字身份為統一的個人身份標識，結合eID電子簽名和區塊鏈技術，鏈接個人各維度數據的數據流通服務平臺，是在eID數字身份體系上發展起來的eID應用基礎設施服務。未來，eID數字身份鏈有望支持各級政府智慧政務領域的大數據技術創新示范應用和開放共享，支持開展面向政務民生、金融、醫療、物流、旅游等領域的大數據應用。

清華AI研究院聽覺智能中心主任、得意音通創始人鄭方，認為數字身份應該包括兩方面，一方面是身份的數字化表示，另一方面是身份的數字化管理以及認證。由于身份的呈現是多面的，表現為不同的生物特征，或存在于不同的介質。另一方面，大數據技術可以利用搜集到的碎片化信息，合成出數字身份，即進行身份重建。身份的呈現和重建是互逆的兩個過程，這里就存在很大的安全問題。他認為，幾年后應該實現人的身份的社會屬性與法律屬性的統一。初級階段可能需要借助或綁定一些特定的硬件設備，比如手機或可穿戴設備，后期則有望脫離這些硬件設備，只需要一些通用的傳感器設備，無需依賴于人，完成采集信息后利用可信的認證技術進行身份認證即可。

arm中國安全技術市場總監王駿超則表示，數字身份也好、隱私保護也好，對于消費者來說是信任。以生物識別為例，很多人不愿意把自己的生物特征傳到云端，更愿意將自己的信息放在自己的設備中，在本地進行認證，只需把結果傳到云端。這樣就對本地設備的安全提出了很高的要求，通過CPU架構的設計，將TEE (Trusted Execution Environment)和SE（SecureElement）配合，在保持計算能力的同時，進行有效的硬件隔離。在IoT應用中，將智能手機與車或家庭聯網，實際上需要端到端的安全，以及密鑰、認證流程的安全性，同時還要保證整個生命周期的安全，要考慮到所有攻擊的情況，如何進行安全的升級、注銷等等。因此需要整個體系上的防護，從整個生態體系去構建安全。

arm作為在嵌入式處理器領域占據主導地位的方案供應商，曾提出支持TEE技術的TrustZone，成為TEE技術的主導者之一。此外，還有華為、中興、高通、阿里、小米、豆莢科技、握奇、融卡科技等均可提供TEE方案。

支持TEE的芯片架構平臺包括：Intel、AMD、三星、蘋果、華為、TI、NXP等。

值得一提的是，人臉、指紋、聲音、虹膜等生物特征識別技術，由于承載了重要的身份信息，正在成為辨認個體身份的“重要數據”。 就今年最火爆的人臉識別而言，在做支付應用時，TEE+SE的方案被普遍認為能夠提高終端的安全防御能力。

加減科技前沿技術主管楊波表示，SE具備承擔物理隔離安全區域的能力，可存儲安全敏感信息，進行密碼學運算，且在移動支付領域扮演了類智能卡的角色，形成了各類智能手機的Pay應用模式，因此SE產品的安全要求不低于金融IC卡的安全標準。在SE的安全保障前提下，TEE的輔助應用作用也必不可少，可為端側提供安全的算法運行環境。

不過，在復雜多變的網絡空間僅依靠人臉等單一生物特征進行驗證，存在一定的安全隱患，所以密碼鍵盤短期內不可缺少。另外一個主要的風險問題體現在，當前人臉識別終端推廣力度較大，便利優先，但是安全防護與標準規范滯后，需要盡快出臺，發揮作用。

正如一位專業人士所說，如果把信息安全體系看作一個木桶，安全技術就是組成木桶的一塊塊木板，整個系統的安全性取決于最短的一塊木板；而數字身份中的身份認證就相當于木桶的桶底，由它來保證物理身份和數字身份的統一，如果桶底是漏的，那桶壁上的木板再長也沒有用。

因此，身份認證是整個數字身份體系最基礎的模塊，一切應用和業務都要建立在可信的標準身份接口之上。未來在數字身份領域還有更多未知等待行業去探索和發現。