Juliana Braz：“如果不能唯一识别，就无法真正验证”

Juliana Braz 负责领导 Serpro 的国际业务发展，并同时担任发言人。Serpro 是巴西联邦政府的技术中枢，她在这里把法律、公共管理与工程能力结合起来，专注解决一个国家层面的核心难题：如何在全国范围内可靠地证明“你是谁”。她从参与将纸质驾驶证升级为屡获殊荣的数字驾驶证（CNH Digital）起步，在实践中磨砺自己，此后逐渐成为数字身份、反欺诈与公民权利领域清晰而务实的声音。对 Juliana 来说，身份是一种公共资源，“安全即设计（security by design）”是不可妥协的原则：在真正能增加信任的场景下引入生物识别和代币化；严格遵守 LGPD（巴西通用数据保护法），并通过基于角色的访问控制保护隐私；同时设计包容性的路径，确保技术不会把任何人排除在外。

她推崇 Gov.br 的分级可信模型（铜牌、银牌、金牌），将其视为可扩展信任的蓝图，同时致力于打通数据孤岛，实现互操作性，以遏制合成身份和社会工程欺诈团伙。面对深度伪造（deepfake）和电话卡“换卡盗号”（SIM swap）等现实风险，她认为必须让组织文化与培训建设跟上技术工具的脚步。展望未来，她构想的是一个以 CPF 为锚点、不断向自我主权身份（SSI）演进的生态，由 Serpro 充当巴西的主权信任底座和实时反欺诈情报枢纽。

问：Juliana，你的职业路径横跨法律、公共管理与技术。是什么促使你在 Serpro 专注于身份与欺诈这一领域？

我之所以选择在 Serpro 专注身份与欺诈，直接来源于自己亲身参与国家级关键系统建设的实践经历。我在 Serpro 职业生涯的起点，就是参与维护既有的全国驾驶证（CNH）数据库——它本身就是巴西最重要的身份信息源之一。

在参与创建数字驾驶证（CNH Digital）的项目中，我真正被这一领域深深吸引。这个项目把一张纸质证件升级为高安全级别的数字凭证，并凭借这一创新获得了 iBest 等全国性奖项。在这个过程中，我逐渐意识到：身份是公共管理中最基础的资产，而科技则是应对大规模信任问题和复杂欺诈行为的关键答案。

因此，我今天在 Serpro 的专业方向，是那段工作经历的自然延伸。我一方面依托自己的公共管理背景，理解流程在哪些环节容易出现漏洞和欺诈；另一方面结合技术能力，引入生物识别、代币化等先进手段，设计出真正稳健的安全方案，既保护公民，又保障政府数字化转型的完整性。

问：作为政府数字化重要机构的管理者，你对“数字身份”对公民和国家的价值有何具体体会？

在推进政府数字化项目的过程中，我越来越清楚地看到，数字身份的价值是“基础中的基础”，它是构建一个现代、高效、包容型国家的核心驱动力。这不仅仅是一次技术升级，而是重新定义了政府与公民之间的关系，把历史性的低效与摩擦转化为敏捷可靠的服务体验。

对公民而言，最大价值在于“人人可及”和“流程简化”。数字身份让人们不再必须亲自跑窗口、排长队、递交纸质材料，而是可以随时随地在线办理关键业务，确保权利真正落到每一个需要它的人身上。此外，一个稳固的数字身份体系（通常辅以生物识别）相比实体证件，对欺诈的防御能力要高得多，不但能减少身份冒用，还能让个人更好地掌控自身数据。

对政府而言，数字身份是良好治理和财政纪律的基石。它通过在各部门统一和自动化认证流程，提高了效率，节省了大量成本。更重要的是，数字身份是最有力的反欺诈工具：当国家能够确认每一个公民都是“唯一且可验证”的个体时，公共资金——例如社会福利、紧急救助——才能真正只发放给正确的人，避免挪用和重复领取。

最后，数字身份还使政府各个“数据烟囱”之间能够更安全地整合与交叉分析数据，从而构建对公民更准确的统一视图，为制定更有针对性、更有效的公共政策提供支撑。

问：在巴西，身份欺诈一直是棘手难题。从你的视角看，如今犯罪分子主要利用了哪些薄弱环节？

在巴西，身份欺诈是一个长期存在的问题，犯罪分子会有策略地瞄准三个交叉点：陈旧的遗留系统、被盗数据的泛滥以及人的脆弱性。从数字化与安全的角度看，第一层脆弱点来自个人数据泄露。驱动欺诈的核心燃料，是大量被盗和泄露的个人信息——比如 CPF、母亲姓名、出生日期等——这些数据在暗网中大规模流通，直接被用于批量开户和社会工程式诈骗。

同时，犯罪分子也在利用“档案碎片化”的问题，通过组合真实被盗的 CPF 与虚构的其他信息，制造所谓“合成身份”，从而在缺少统一公民视图的领域，轻松通过初始准入审核。

第二层薄弱点在于流程和人。犯罪分子非常善于攻击流程设计和系统中最脆弱的环节——人。社会工程与钓鱼（phishing）依然是极其高效的手段：攻击者利用被泄露的数据编造高度可信的故事，让受害者主动交出安全验证码。同样，SIM 换卡（SIM swap）攻击利用了运营商流程上的漏洞：一旦成功把受害者号码迁移到新卡上，犯罪分子就能接收短信验证码，绕过应用本身的安全机制。

最后，遗留系统本身也在持续制造漏洞：历史上证件种类繁多、缺乏统一标准，加上大量人工流程，为伪造和使用盗取证件提供了空间。进一步加剧风险的是新兴技术威胁：随着人脸识别成为标准配置，犯罪分子开始投入深度伪造视频和高质量数字“面具”，试图欺骗活体检测环节；供应链攻击也日益复杂，他们会专门针对防护较弱的小型第三方供应商窃取敏感数据或在广泛使用的系统中注入恶意代码。

问：巴西在生物识别和数字化身份认证方面投入巨大，已经覆盖了数以百万计的人口。你认为哪些方面做得比较成功？还有哪些局限？

巴西在大规模应用生物识别和数字化方案进行身份认证方面，可以说是走在前列的。我们在关键数据的整合方面取得了显著成绩，但如果要实现真正意义上的“全民数字安全”，仍然存在一些需要攻克的难题。

Gov.br 平台就是一个重要里程碑。它通过与政府权威数据库（如全国驾驶证/Denatran 和联邦税务局）进行比对来完成认证，并采用“铜牌—银牌—金牌”的分级模式，鼓励公民通过生物识别提升自己的安全等级，从而为访问上千项公共服务构建起可靠的数字身份底层。

然而，我们在一些核心政府数据库之间，仍然缺乏真正顺畅的互联互通。目前存在多个质量很高但彼此隔离的生物识别“数据孤岛”，它们尚未完全打通、难以轻松协同。这种碎片化导致各个机构不得不重复进行验证，也增加了构建“一人一档”完整身份历史的难度。

问：提到反欺诈技术，人们往往首先想到的是工具。从你的经验出发，组织文化和团队培训在防范欺诈中有多重要？

这个观察非常关键。公众谈到反欺诈时，往往把注意力集中在最新的技术工具——生物识别、人工智能、加密算法——但就我的经验来说，组织文化和团队培训的重要性不逊于技术本身，甚至在很多时候更为决定性。

成功的反欺诈体系依靠的是一个“三角形”——技术、流程与人员。如果人和文化这两条边太弱，再先进的技术也无法发挥作用。

一套强有力的反欺诈文化必须从高层管理者做起，然后渗透到机构的每一个层级。它要把防欺诈从“为了合规而打勾”的清单，升级为真正的业务核心价值。技术可以发出预警，但只有训练有素的团队才能给出正确的解读、做出快速而有效的响应。

问：在 Serpro，你们处理的是海量政府数据。你如何在保障身份识别安全与准确的同时，兼顾公民的隐私和权利？

在像 Serpro 这样的大型机构中处理政府级别的大数据，需要在三个同等重要的目标之间做出精细平衡：安全（防止欺诈）、准确（正确识别）以及隐私（保障公民权利）。

这种平衡无法依靠单一工具，而是要靠“治理 + 技术 + 法律合规”三位一体的深度嵌入式框架来实现。

第一层是坚守法律红线，尤其是巴西《通用数据保护法》（LGPD），它为我们提供了不可动摇的法律基础。我们严格执行“最小必要”和“知情同意”原则——只收集、只使用实现服务所绝对必要的数据。例如，如果只是为了核验用户是否成年，我们只查询出生日期，而不会额外获取地址或父母姓名，并且在系统架构设计之初就把这种“最小化使用”写入规则。同时，每一次数据查询或传输都必须有明确、合法、具体的用途。我们确保为纳税目的收集的数据，不会在未获法律授权或明确同意的情况下被随意用于医疗服务等其他场景；也会确保公民清楚了解哪些数据在被使用、为何使用，并切实保障 LGPD 所规定的各项权利，包括访问、更正以及在符合法律条件时请求匿名化。

第二层是以技术手段保护数据和约束数据使用，而不是简单追求“更多访问”。对敏感身份数据的访问被严格分级、分区和监控。我们采用严格的基于角色的访问控制（RBAC），确保只有经过授权的人员才可能接触这些数据，并对所有访问行为进行记录和审计。对于欺诈模式分析、质量测试或机器学习等任务，我们优先使用匿名化（删除个人标识）或去标识化/伪匿名化（用令牌代替标识）的数据，从总体趋势中提取情报，而不暴露具体个人。与此同时，我们对数据在传输和存储两端都进行加密，并在数字身份场景中应用代币化技术，用无意义的数字令牌替代诸如完整 CPF 这样的敏感信息，以最大限度减少暴露。

问：近几年出现了更加复杂的欺诈方式，比如深度伪造视频或合成身份。你如何看待巴西在前瞻应对这些新威胁方面的能力？

深度伪造和合成身份欺诈代表了网络犯罪的前沿，这迫使我们从“事后应对”转向“事前预判”。

总体来说，巴西在应对这些新威胁上的能力是一体两面：一方面，我们在大规模数据和监管框架上具有明显优势；另一方面，在情报统一和技术前瞻性上仍有不足。

巴西最大的资产是庞大且质量可靠的数据。像 Serpro 这样的国有机构在全国范围内管理着生物识别和登记数据，这样的权威数据集是对抗合成身份的最佳防线——因为要伪造一个在多源交叉验证中完全“说得通”的身份并非易事。LGPD 的存在也迫使机构在系统一开始就把“安全即设计”作为前提，并强化了责任追究，这种监管压力反过来推动持续投入安全能力建设，包括用来识别高级数据篡改行为的工具。

同时，巴西高度数字化、竞争激烈的银行和金融科技行业，也是新型反欺诈技术的“试验场”。这些机构快速部署例如实时行为生物识别、加强版人脸活体检测等技术，不断抬高整个市场在对抗深度伪造和“演示攻击”（presentation attack）方面的基准线。

但即便如此，一些结构性和技术层面的鸿沟仍然限制了我们真正“超前布局”的能力。数据虽然存在，却往往分散在不同系统和机构的孤岛里，而欺诈团伙则可以跨国、即时共享手法。要做到预判，公共部门（警方、税务机关、选举法院等）与私营部门（银行、电信等）必须在合法合规的前提下，构建一个实时威胁情报共享中心。如果缺乏这样的平台，同一个合成身份可能已在政府机构多次被使用，而银行端的识别却大大滞后，反之亦然。

此外，生成深度伪造的技术正在以前所未有的速度变得廉价而普及，而识别它们的技术发展则相对滞后。巴西需要更系统地投资基于 AI 的防伪（anti-spoofing）技术，不再满足于简单的活体检测，而是进一步分析视频流中的微小生理信号或图像伪迹。这需要持续的研发投入以及高度专业化的人才——目前这些资源还相对集中在少数私营安全实验室。

监管层面也常常是“亡羊补牢式”的，在欺诈发生之后才出台限制措施。要真正做到前瞻性，应当在监管指南中不仅回应当前已知的漏洞，还要主动建模未来可能的攻击路径，比如思考生成式 AI、量子计算等技术如何在中长期内冲击现有安全协议。

总的来说，巴西已经拥有对抗合成身份所需的数据实力，也具备通过金融科技市场快速迭代来应对深度伪造的活力。但若想真正提前应对这些新威胁，就必须把跨部门情报共享放在优先位置，并为基于 AI 的防御性研发投入足够资源，让“防守”的敏捷度不输“进攻”。

问：从你亲身经验看，一个公共部门的身份核验项目要取得成功，技术、数据治理、跨机构协同等因素中，什么最关键？

从我的直接经验来看，公共身份核验项目的成功，首先依赖的是三个非纯技术维度的基石，而技术本身只是“使能器”。

最核心的因素是“数据治理与唯一性”。如果无法确立全国统一标准，也没有把核心身份数据清洗、校正并持续更新到足够高的质量，那么不论在其之上叠加多么先进的生物识别或数字方案，最终都难免失灵——因为你根本无法对一个“不能唯一识别的人”进行可靠验证。

其次，“跨机构协同”至关重要。成功不是来自于建设一个“更厉害的孤岛系统”，而是把原本相互割裂的政府机构转变为一个能够在可信框架下共享情报、实时交叉验证的联合网络。

最后，项目必须从一开始就以“可用性与包容性”为指导。系统既要足够安全，能有效遏制欺诈，又要足够易用，推动尽可能接近 100% 的公民采用。这意味着必须提供多种、可达性高的核验路径，避免安全措施反而把最脆弱的人群挡在门外。

问：如果从金融普惠和服务可达性的角度出发，怎样设计反欺诈系统，才能不把缺少证件或技术条件的弱势群体拒之门外？

我们必须避免出现“为了安全而制造门槛”的悖论。要让反欺诈系统真正服务于普惠目标，就需要从“刚性合规思维”转向“以包容为设计起点”的思维。

一种做法就是采用类似 Gov.br 的多级认证体系。对于低风险、简单的服务，只需要较低的安全等级即可；而像福利发放这类高风险场景，则要求更高强度的验证（例如完整的生物识别核身）。这样，大多数人可以轻松享受基础服务，而更严格的校验只针对可能带来重大风险的操作。

同时，我们必须保留线下、有人协助的验证渠道，例如专门的政务服务中心。对于没有智能手机或网络条件不佳的人来说，经过培训的工作人员可以在现场帮助其完成身份确认，从而弥合数字鸿沟。

系统本身也应当接纳“替代性证明”和“历史数据交叉印证”，例如利用税务记录、公共医疗记录等来辅助确认，而不是一味要求“某一份完美证件”。归根结底，安全设计的目标，应当是通过多条可行路径尽可能地说出一句“是的，这就是你”，而不是筑起一堵只有技术条件最优的人才翻得过去的高墙。

问：如果让你给刚入行的合规与反欺诈新人提建议，你会最推荐他们优先积累哪方面的经验或学习？

除了扎实的专业知识之外，我会强烈建议他们主动争取“实战经验”和“前线故事”。理论远远不够，你必须真正理解欺诈的完整生命周期——可以通过跟随事件响应团队，或者系统性梳理关键业务流程来做到这一点。

犯罪分子永远盯着的是流程中最薄弱的缝隙。因此，学会像攻击者那样思考，并掌握在高压环境下如何收集证据、如何协调响应，是最宝贵的学习过程。这种跨学科、跨部门的综合能力，才是把一名合规专家塑造成不可或缺领导者的关键。

问：最后，展望未来，你如何想象 10 年后巴西的数字身份生态？在这一格局中，Serpro 应该扮演什么角色？

在我眼中，10 年后的巴西数字身份生态将实现高度整合，以 CPF 作为单一且权威的识别符号，全国范围内基本不再存在身份体系碎片化的问题，整个国家逐步迈向自我主权身份（SSI）模式。这意味着公民的数字身份将以加密凭证的形式存储在其个人设备中，由本人自主掌控，并可在每次交互中“按需披露”数据——例如，只证明自己“已满 18 岁”，而无需暴露具体出生日期。这样的基础设施将消除目前分散的数据库格局，让所有公共与私营服务都能在高完整性、实时的身份验证框架下运行。

更重要的是，这一体系将与未来的经济模式自然对接，为新技术的大规模落地提供必要的“数字信任底层”，无论是新的支付形态、平台经济，还是尚未出现的创新业务，都可以在可信身份的基础上快速扩展。

在这个愿景中，Serpro 的角色也将从“具体应用的提供者”，升级为联邦政府的“主权信任赋能者”和“智能中枢”。这意味着 Serpro 将继续维护那些承载基础身份数据的关键安全基础设施，并依托自身在数据规模和处理能力上的优势，为全政府提供实时、先进的反欺诈情报服务。Serpro 会成为那一层“统一信任接口”，负责把个人的生物特征和登记信息与权威源头进行比对，为各类公共服务提供可靠的“这是同一个人”的判断。

通过专注于安全与数据完整性，Serpro 能让其他政府机构以及企业放心创新，而无需从零开始解决“身份核验”这一底层难题。