7 月 15 日,“网号网证”管理办法正式施行。它如何平衡效率、安全与隐私?我有点困惑。
管理办法原文: https://www.cac.gov.cn/2025-05/23/c_1749711107835487.htm
几个要点
- 自然人自愿申领网号网证
- 鼓励有关部门行业(如高铁、酒店、政务大厅)接入网号网证,应当保留现有的其他合法认证方式
- 鼓励(不强制)互联网平台(如微博、微信)接入网号网证,保障未使用网号网证的用户享有同等服务
我的思考与困惑
传统的身份证号包含许多个人信息(地区、年龄等),手机号会被电话短信骚扰;相比之下,网号似乎不怕公开,它对于绝大多数人没有意义。
如果传统号码是密码,那网号可以被理解为公钥吗?我们的生物信息作为私钥,二者结合才能完成通信。这么来看,在认证的过程中,似乎安全性提升并不大,传统号码已经采用了多种方式(多因素)来避免身份盗用(例如替考)。
我们再来看网号网证的另一个作用,防范信息过度采集。
我比较悲观,在现有的糟糕情况下,网号网证似乎并不能解决它所设想的问题(信息泄露严重),我觉得应该由工信部牵头带领各大互联网平台采取一次混淆数据的措施。(坦白说我也想不到具体的操作方式)
至于网上关于“一键断网”的担忧,从上述要点来看,似乎不必过于在乎,没有网号依然可以在微信微博发言;平台封号(违反社区规范)依然会比网号服务封号(违法犯罪)更频繁,真到了网号封禁的情况,人也大概率进局子了😂
结论
网号网证(相比于身份证号、手机号)也许会是一个便捷的认证方式,但对已有的信息泄露问题帮助不大。
 |
1
dajj 12 天前  3
老王昨晚被老婆打了,脸上有伤。
别人问起就说是自己撞门上了。 这种政策的实行,朝廷自有安排,但是对草民就是随便找个冠冕堂皇的表面理由。 你去深究这个表面理由,没什么意义,朝廷也不会回应你。 |
 |
2
ztm0929 OP @dajj 我不是对政策找什么施行理由吧;我只是单纯从技术角度去想是否类似于从密码验证换成公私钥验证的方式,就像登录 SSH 那样。(总体上来说我还挺支持的呢 hhh 自愿+便捷)
我比较笨,没看懂你觉得老王的例子的意思 hhh 🤔 |
 |
3
connor123 12 天前 10
我觉得应该取消上网实名,因为实名机构不受监管,我们收集好的实名信息最后都会间谍被卖往美国。
与其收集打包好被卖到境外,不如不收集 |
 |
4
putaozhenhaochi 12 天前 3
晚出了 20 年 现在大部分人的信息都泄露完了
|
 |
5
ladypxy 12 天前 via iPhone 1
新时代良民证而已,想这么多有啥用?
这玩意的目的就是一键堵嘴 |
 |
6
sunchaoylq 12 天前
本质上就是把无数个小的账密系统汇总成一个大的账密系统。
咱们觉得风险是个人信息泄露,人家认为的风险是有人乱说话找不到人。 我只知道,自打上次施行实名制之后,我被实名了,骗子没有。 |
 |
7
quainter 12 天前
目前我只在软考上被强制使用
|
 |
8
salor 12 天前 2
那你有没有想过避免泄漏最有效的方法是取消实名制。
当初接种新冠疫苗也是自愿原则,后来你的健康码上没接种证明能进写字楼能上火车飞机吗? 一键断网不只是用来对付犯罪行为,更多的是用来控制类似近期幼儿园血铅事件的传播,新闻自由已经没了,网络发声也快没了。 还是那句话,支持网号的非蠢即坏。 |
 |
10
kxuanobj 12 天前 1
公钥认证和一个身份证号没有本质区别,都是唯一身份 ID 。换成可手机上这种广告 ID ,可随时切换的,公安又不愿意。没啥意思。
|
 |
11
JimLee0921 12 天前 1
过两天再整个办证送鸡蛋什么的,就完美了
|
|
12
ztm0929 OP @salor 对,“自愿”的这个问题从来都是头等难题,我认同你说的这个问题,往往我们就“不得不自愿”了;
至于“避免泄漏最有效的方法”,这世上恐怕没有什么十全十美的方法,取消实名又会有别的问题,无法是取舍罢了。 如果想要跳过讨论直接定义我的话,我又蠢又坏 hhh |
|
13
ztm0929 OP @JimLee0921 哈哈哈哈哈还真是,熟悉的感觉来了 😂
|
 |
14
donotres 12 天前 via iPhone 1
我们这代人隐私没救了,后面的新生代或许能够受益。但是我对网证这种中心化措施的网络安全持悲观态度,实践证明 zf 往往是泄露的大头。毕竟是外行人干内行事。
|
|
15
ztm0929 OP |
 |
16
lambdaX999 12 天前 1
就是为了封号方便的一个东西,跟健康码一样。本质只会方便上层管理,关键时候一键封禁你的网号登录权限。设想下,你很多平台都用微信登录,如果微信直接给你封了,你是不是就瞬间没办法登录这些系统了?对老百姓而言,多了一个重要的隐私信息,以后要人肉更加方便了。一个网号可以找出你注册的所有 APP ,顺便关联你的身份信息。
|
 |
17
uibobo 12 天前
应该监管不让收集信息
|
|
19
ztm0929 OP @lambdaX999 你前面提到的微信例子其实是 OAuth 的概念,微信被封导致其他平台无法登录确实是一个问题,而这个是站点逻辑不完善的原因,我作为站长,我的的网站支持微信登录,用户登录后我会提醒用户设置初始密码或绑定其他平台( GitHub 、Google 等)。
回到网号的这个例子来看,就目前管理办法的表述来说,似乎网号被封不等于微信微博被封(手机号等传统方式依然可以登录) 后面提到的关联信息查询也是我很好奇的点,也许内部人员可以通过网号查询,不知道有什么内部防范措施。 |
|
20
ztm0929 OP 晚点我试试看能否用网号在网吧上机和入住酒店👀
|
 |
21
Foxkeh 12 天前 1
来得太晚了,实名信息早就满天飞了不知道被卖了多少手.
我 2016 年做 eID 项目都没做起来, 没普及开来. |
|
22
lambdaX999 12 天前 1
@ztm0929 #19 万一普及之后再给你来一个只能用网号登录呢,是不是要封号、禁言啥的就非常方便了,这个东西搞出来就是为了方便那帮人的。参考疫情期间的健康码,只认健康码,完事儿出台个法律法规,要求国内所有的媒体平台需要用到发言的地方必须用网证,然后关联到备案系统,网站备案的时候检查必须使用网证登录,那就有意思了。到这一步,网号被封就等于微信微博被封了。
回到这帮人搞这个的初衷,现在要封号还要各种平台发通知,对于管理者而言成本并不低。而且封了之后还可以注册小号继续搞。使用网证之后被封了就没了,理论上可以实现一次封禁终身无法使用 |
|
23
ztm0929 OP @lambdaX999 好吧,我孤陋寡闻了,我以为现在的情况已经是封了就没法无限注册小号了。(例如微信跟手机号绑定,而个人手机号数量有限)
|
 |
24
Jianrry 12 天前 via iPhone 1
@ztm0929 你只考虑了技术,没考虑过人。
举一个例子:某一个人在某个平台发表违规言论,然后接到上级要求封号。 正常的处理结果应该是 发表违规言论的平台被封号,其他平台正常使用。 如果没有网证网号,发表违规言论的平台会封号,其他平台可能不封号。其他平台可以找一个借口,比如说“信息没有同步”。 如果有了网证网号,发表违规言论的平台会封号,其他平台也会同步封号。其他平台连一个借口都找不到,“网证后台都绑定了同一个人的网证网号”。 退一步说即使上级没有要求全平台封号,你能保证下面不会层层加码吗?这种情况不少见。 |
 |
26
veni2023 12 天前 1
除非能替换手机号验证码这套,让账号和手机号解绑,否则感觉这个很鸡肋
|
 |
27
565656 12 天前 1
新加坡的网号推行很久了 办啥卡注册都是直接从网号拉的信息
|
|
29
ztm0929 OP @565656 “欧盟的 eID 、新加坡的 SingPass 、印度的 Aadhaar 已形成具有自身特色的可信数字身份体系”,SingPass 就是他们的网号吗
|
 |
30
1up 12 天前 via iPhone
“大规模基建”
|
|
31
565656 12 天前 1
@ztm0929 #29 是的, 很方便, 注册证券银行卡从 singpass 拉信息了基本都秒过, 但是新加坡的电诈很多, 我用的中国移动新加坡都把电话通知关了.
|
 |
32
cooper2020 12 天前 1
如果需要一个“便捷、安全的认证方式”,那么“网证”大概率不是。这不是技术的问题,而是信任。手机号实名制、防诈 app 、赋红码事件无不在消磨这种信任。除非某种技术把“人为”不安全因素给排除掉。
|
 |
33
emma3 12 天前
新时代的红码,方便一键封号罢了。当牛马的在思考农场主人发的编号牌到底有什么用?意义是什么?
很简单一个,就是方便他们管理而已,多想一会都对不起自己的大脑。 信息泄露?泄露了那么多年了,你觉得拿十几本护照十几个身份证的顶层的统治者会在意牛马的私人信息遭泄露吗? |
 |
35
NoOneNoBody 12 天前 1
结论基本正确,已经传了身份证的,没必要,还增加一个泄漏可能
没传过但又要求认证的,可以尝试,最怕上一步刚填完网号,下一步是传身份证且无法跳过那种,网号就毫无意义了 PS: 网号跟你的(乙方)数据安全保护无关,其实是跟甲方有关 |
|
36
ztm0929 OP @cooper2020 有人就会有预期之外的事情,信任确实是个难题。
不过我提到的“便捷”是相对于现有的方式呀😂从它的官方表述来说,需要身份证原件的地方可以用网号网证来完成(例如高铁进站),这也许会更便捷。(我等申领到了试试看👀 |
|
37
NoOneNoBody 12 天前
|
|
38
cooper2020 12 天前 1
@ztm0929 12306APP 上申请临时身份证可以进高铁站,这样也不需要带身份证了——便捷本身不需要网证,其实一个动态二维码就搞定了...
不过朝庭要想强推,那谁也逃不了,或早或晚的事——期待 op 的分享经验。 |
 |
41
fun201108 12 天前
当用网号网证定位一个人,手机号、身份证号保护再好又有什么用?还不如直接用身份证号登录
|
 |
42
Rickkkkkkk 12 天前 1
这就是一个管理工具,没有效率、安全、隐私考虑的。实际上你的信息全部泄露,负责的人不会受到任何处罚,真正遭殃的人是外包的开发人员。
参考上海公安的 10 亿数据泄露事件 |
 |
43
dhb233 12 天前
看起来就是为了不让平台获取到身份证号?之前是平台用身份证号实名认证,现在是用网证、网号去实名认证。就类似于用户名密码先 md5 再提交呗。。。
|
|
45
ztm0929 OP @fun201108 从它的说明来看,网号是一串没有意义的数字;相比之下身份证号包含很多信息,手机号可以被拨通;只看这个,网号似乎更好些。
|
 |
46
NSAgold 11 天前 via Android 2
网证各平台只能拿到实名认证后的结果 各平台数据库泄漏了也只会泄漏认证号和认证结果,具体信息是拿不到的。
唯一的问题是来的太晚了,该泄漏的都给各家的弱密码数据库泄漏完了。 早年间反对实名制很大一点就是各家平台数据安全参差不齐,公网弱密码都整得出来。 |
 |
47
GaGaGood 11 天前 via iPhone
就怕用来让你一键全网闭嘴
|
 |
48
chanChristin PRO 1
现在又没有要求所有平台都上,我们平台强实名制,但是现在压根没有接入网证的计划,我怀疑产品都不知道有这个东西。
|
 |
49
HeyWeGo 11 天前
控制欲的体现罢了
|
 |
50
WuDiHaiTai 11 天前
@JimLee0921 小区门口站个人,“你好业主,办理网号了吗,看一下您的手机,办理了才能回家。”
|
 |
51
Kirkcong 11 天前
@ztm0929 最开始的时候他们说,你们的 qiang 自己可以留着,我们不管,只是需要登记一下;后来他们说,你们的 qiang 自己可以留着,但是别人都登记了,你的没有登记,属于黑 qiang ,要管;再后来,他们按照登记的信息收掉了所有人的 qiang ;现在,犯人没抓住可以,但是 qiang 丢了,这辈子没了。
最开始的时候,github 是可以上的,后来,他们 ban 了,人们不满意,他们又开了,一段时间后,开始干扰,效果是有些人能上,有些人上不去,有些人网速慢。这时,用户开始相互指责了,——我能上去你为什么不能,瞎说。 我曾经一直好奇一件事,当时那个年代又没有计算机,怎么可能那么多犹太人被赶尽 sha 绝,没有监控,随便隐姓埋名不就好了,德国又是怎么知道具体人数呢?即便上门询问,随便躲到地下室不就行了?后来我知道了,他们以人口普查为由,挨家挨户上门核实,这种行为很正常,人 chu 无害。后来,他们给每人发了身份证,犹太人有了正式的可以证明自己是合法犹太公民的身份。再后来,他们凭借获取到的信息挨家挨户搜,但没过多久,开始觉得身份证上标识不够明确,处理信息效率太低了,此时恰好有人发明了打孔卡和读卡机,这也是计算机的雏形,他们为每一位犹太人发了印有三代血统的打孔卡,配合读卡机,精准的识别每一个犹太人。在那之后,由于这套全新信息处理系统的充分运用,极大的加速了人口筛选过程,也使得犹太人再无逃脱的可能。而那位发明了打孔卡和读卡机的人很有商业头脑,——他只出租读卡机,从不售卖,这让 jun 方重度依赖他们,也让他赚的盆满钵满,同时这也是他人生赚到的第一桶金。由此,IBM 诞生了。 |
|
52
Kirkcong 11 天前
|
|
53
ztm0929 OP @Kirkcong 内部是一个相对于我们这些普通人的概念(我们是外部),以公安为例,调取数据库查询某人的身份信息都需要有审批,查询完之后还会留存“某年某月某人查询 xx 数据”的记录。这是我指的内部防范措施例子,不知道网号网证有没有类似的。
|
 |
54
HappyFox 11 天前 1
很简单的一个事,没必要想那么复杂,就是单纯学习国外已经落地很久的先进经验。
- 新加坡 singpass: https://www.singpass.gov.sg/main/ - 美国 login: https://www.login.gov/what-is-login/ 治理思路参考《 Technofeudalism: What Killed Capitalism 》,核心观点 ruanyifeng 日志里提过 “ 作者瓦鲁法基斯建议,为了打破技术封建主义,防止数字领主的出现,政府必须实行一些强制措施。 ( 1 )征收云税,降低数字领主获取的云地租。 ( 2 )推行统一的数字身份,不要让每个网站都推行自己的用户体系。一旦用户使用谷歌、微软、苹果等大公司的用户身份,表示自己的互联网身份,他就会依赖这些大公司,不得不受制于它。设想一下,如果某一天你突然失去了微信账户,生活会多么不方便。 ( 3 )推行数据共享。用户在某个应用产生的数据,应该可以移植到其他应用。比如,你在推特发的帖子,应该可以移植到其他社交媒体。这样就避免了数据被数字领主垄断。 ” https://www.amazon.com/Technofeudalism-Killed-Capitalism-Yanis-Varoufakis/dp/1685891241 |
|
56
HappyFox 11 天前 1
@ztm0929 #53 个人观点:公民身份认证能力本身就是区域集体的共识的一项衍生产物,建设网络统一认证平台,本质上是集体选出的管理员将自身的公民身份鉴别能力“赛博化”,而非要求以这个认证进行登录。
也就是说,如果当地以前管理员有“一键断网”能力,那建设之后也有;如果管理员之前没有这个能力,那建设后依旧没有。 甚至对于普通公民来说,将认证能力“赛博化”反而能有效的遏制第三方认证机构截留认证信息,并拿到了认证撤回能力。就像信用卡和 apple pay ,谁会喜欢每天都找信用卡公司投诉盗刷、而不是从源头就避免 cvv 泄露呢 |
|
57
Kirkcong 11 天前 1
@ztm0929 我说的有些模糊了,让我详细说一下。各种系统防范的都是外部的人,对内很少防护,因为很多系统设计之初是没有考虑对内防护的,而且对外未授权访问的危害总是比内部大的。这就导致,即便内部有一些防护措施,也很容易被绕过,包括但不限于 测试帐号,绕过大门走窗户(操作逻辑),简单的 sql 注入(这在外包、xx 项目中很常见)。
简单来说,很多对公司内部的鉴权、记录都是防君子不防小人的。还有一点,如果一个系统是对外开放的,人们发现漏洞后厂商会修复,尽最大可能缩小受影响范围及时间。但公司内部系统不一样,只要不影响正常业务,一般没有人会去修的,这就意味着,如果真的有不管是逻辑层面、代码层面的漏洞可以绕过某些防护,这个方法会一直可用。 以上只是说我在企业中发现的一些问题。 |
 |
58
wdssmq 9 天前 1
一个人用自来水冒充纯净水出售盈利,对其进行了相应的处罚。。
然而并不能因此禁止其「使用自来水」。。。 |
Select Language