由于在检查中发现系统记录中存在大规模欺诈活动，英国税务海关总署（HMRC)于12月5日关闭了其提供免税申请在线服务的网站（https://www.taxcredits.inlandrevenue.gov.uk），以提高安全审核并调查已有的欺诈行为。直至12月15日，该网站的相关功能仍然处于关闭状态，其首页的公告建议英国公民利用电话来办理相关业务。


据英国媒体报道，英国税务海关总署最初认为有犯罪团伙盗取了大约1500份英国退休保障部(DWP)职员的身份证明，而后在免税申请在线服务的网站使用这些身份证明牟取不法利益，据估计，相关涉案金额高达3000万英镑，英国执法部门已经就此展开调查。12月13日，英国政府承认退休保障部在伦敦、格拉斯哥、麦克尔斯菲尔德以及彭布罗克郡等地工作的多达13000名员工的信息（包括国民保险号码、姓名、生日在内）被盗。


借助盗取的信息，犯罪分子可以冒用受害人身份申请贷款、开设银行账号以及在电子政务系统中办理一些事务。根据英国税务海关总署的介绍，犯罪分子利用盗取的身份认证信息修改了这些受害人在退税系统中登记的地址以及账号，这样本应发送给受害人的资金将被转发到犯罪团伙设置的账号中。

身份盗用猖獗
其实，身份盗用（Identity Theft）以及身份欺诈（Identity
fraud）并不是什么新鲜事儿。几十年来，全球各国的金融服务机构，尤其是经营信用卡的机构，一直在与之抗争。


在经济领域，身份盗用以及身份欺诈是指不法分子利用受害人的个人信息（例如名字、地址、社会安全号码、银行账户号码、信用卡号码和生辰年月日），伪装成受害人到金融机构办理业务。从法律上来说，身份盗用的受害者无须为被歹徒盗用其信用资料所造成的金钱损失负责――不过，受害者往往要花很长时间及诸多周折来证明自己是身份盗用的受害人。在2003年，有1000万美国人成为身份诈骗的受害者，平均每人每次损失500美元。相关企业在2003年遭受的诈骗损失高达480亿美元


过去，犯罪分子经常是通过偷看他人信用卡收据、银行账单、银行月结单、工资支票存根等渠道获取受害人身份信息。进入信息时代后，各种高科技得到普遍应用，身份盗用不仅没有得到遏制，反而变本加厉。通过特洛伊木马、键盘监控程序、网络监听等手段，很多别有用心的人正在积极“潜心钻研”如何获得别人的身份信息。

电子政务与身份识别
从英国税务海关总署的事件来看，有两个方面值得注意：个人身份的失窃、个人身份的不当使用。

首先来谈谈个人身份的失窃。通常每一位雇主都存有员工的私人数据。但是如果这些数据存放得不够安全，那么不法分子很可能就会从中窃取相关信息。英国退休保障部1500个身份信息被盗，就说明该部门的信息系统很可能存在漏洞。虽然至今英国退休保障部没有公布这些信息具体是如何被盗取的。不过，这一案例已经表明个人信息失窃所造成的危害是巨大的，政府部门在将很多资料数字化处理、存储之后，必须注意加强对于数字化资料的保护工作。


其次，再来谈谈个人身份的不当使用。金融领域面临身份欺诈由来已久，例如近来频频成为媒体焦点的信用卡没有密码并且收银人员不注意检查签名，以及使用信用卡进行网络购物身份审核机制不够严格问题。金融行业之所以出现以上问题，部分原因在于，当初设计一些金融业务时，互联网以及信息安全、身份管理技术并不成熟。


现在，随着各国的电子政务日益普及、深入，其在公众服务领域开始从单纯信息发布转为在线办理业务，这就牵涉了很多有关经济利益的业务，例如网上纳税、网上缴纳公用事业费、网上缴纳罚款等。政府的业务上网后，公众与政府工作人员将不会总是面对面地进行交流，那么一些敏感的业务如何确定对方的身份呢？这其中最主要的问题是政府如何确定公民的身份。


PKI/CA、生物特征识别技术、视频通信……不同的地方尝试了不同的身份认证方法。值得注意的是，芬兰在今年夏天开始采用移动电子签名来增强电子政务公众服务的安全系数。如果一位市民要通过网络办理业务，那么填好表格后，这位市民就会收到政府发来的手机短信息。用户利用这一短信息可以在其手机的SIM卡上生成一个电子签名，这个电子签名是继续办理业务的必要条件。从当前技术的现状分析，单一的密码认证已经不足以支持很多敏感业务的在线运行，如何借助多种手段提供简单、易用同时又足够安全的身份认证对于很多信息化管理者是个挑战。


电子政务应该进一步深入普及，这是毋庸置疑的。同时，电子政务系统规划者、建设者也应该注意采用新的流程、技术来防止身份盗用。