欧盟网络身份管理进展情况及启示
来源:中国信息安全 更新时间:2015-03-19

   随着人类活动不断向网络空间延伸,网络空间被视为继陆、海、空、天之后的“第五空间”,对国际政治、经济、文化、社会、军事等领域都产生了深刻影响。开展网络身份管理、确保网络主体身份可信、行为可追溯等已成为网络空间治理的重要内容。自20世纪90年代,随着互联网的发展和普及,电子政务、电子商务等网络服务日益兴起,且欧盟范围内跨境网络服务需求不断上升,这与当时欧盟大部分成员国之间基本无法通过网络提供跨境服务相矛盾。为推动电子政务的发展,方便各国公民与企业的跨国活动,构建欧盟单一数字市场,欧盟推出了电子身份证(eID)的网络身份管理形式,并从法律、标准、技术、应用试点等多方面做了大量工作和有益尝试,为eID应用普及扫清障碍。欧盟eID的实施,不仅增加了政府机构与公民之间数据传输的安全性,减少欺诈事件的发生,而且方便了欧盟公民使用eID享受其他成员国提供的服务。
    进展情况
    1.顶层设计已基本完成
    欧盟委员会2006年发布了《2010泛欧洲eID管理框架路线图》(以下简称《路线图》)从欧盟层面统筹规划了eID的实施,标志着欧盟推进eID的顶层设计方案已经成型。《路线图》提出要统一建设泛欧洲级别的eID管理框架,制定了为期5年的欧盟推进eID的时间安排及阶段计划,包括2006年确定身份认证模式、2007年建立通用eID框架、2008年完成各成员国eID的统一性、2009年欧盟完成国家eID的认可、2010年形成联合管理eID的工作机制等等。此外,《路线图》还确立了eID管理的核心原则,即在欧盟成员国推进eID过程中,以公民为中心,为公民服务并保障公民的隐私,并提出了欧盟成员国公民持有eID便可在任一成员国享受医疗保险等电子政务和电子商务服务的目标。2009年,欧盟委员会下设的欧洲网络与信息安全局又发布了《泛欧洲网络身份管理发展现状》,详细分析和论证了《路线图》的整体构架、目标以及阶段执行情况,并提出了下一步推进eID的具体建议:一是搭建欧盟统一的eID认证基础设施,继续开展eID跨境互认;二是探索形成跨境身份信息资源互换机制,有效克服成员国之间的法律壁垒,最终实现欧洲公民自由流动和无国界生活与工作。
    2.法律法规体系较为健全
    欧盟形成了较为完善的法律法规体系,规范eID和电子签名应用,保护持有者隐私权益。为推动电子签名应用、促进对电子签名法律效力的认可,早在1999年欧盟就颁布了《电子签名统一框架指令》,要求欧盟成员国纷纷进行指令的国内转化,陆续出台本国的电子签名相关法律法规。2002年,欧盟发布了《关于电子通信方面个人数据处理及隐私保护指令》,要求电子通信服务机构处理个人数据时,必须提供保护其服务的相应技术和手段。在成员国层面,2010年德国出台了《电子身份证条例》,明确了eID卡基础设施的安全和数据保护要求,类似的还有奥地利的《电子政务法案》,英国的《身份证法案》等。2012年,欧盟提出了《电子签名和电子身份证法规》草案,进一步对《欧盟电子签名统一框架指令》做了补充和完善。该草案围绕电子签名和电子身份证两项基本元素,提出创建一个无国界的欧盟数字单一市场,构建一个可预见的监管环境,该草案在充分尊重隐私和保护数据安全的基础上,保障各成员国企业和民众能够使用本国的电子身份证(eID)获得其他欧盟成员国提供的等同公共服务,并确保eID具有与传统的纸质文件同样的法律效力。2014年这一草案得到欧盟多数成员国认可,即将公开发布。
    3.技术创新成果丰硕
    欧盟非常重视技术创新,在密码算法、数字签名、身份认证等技术方面取得创新突破。2009年启动的欧盟最大的芯片卡研究项目BioPass,研制符合国际标准的eID卡,开发具有高安全性与互操作性的eID卡平台;2010-2015年欧盟委员会开展的ISA项目,通过研发搭建公共平台,包括敏感数据信息交换和共享平台、多语言服务平台、数据共享安全网络平台等,促进成员国的公共行政部门的合作;2012-2015年由德国弗劳恩霍夫工业工程研究所牵头的FutureID项目,开发了用于移动设备的eID客户端,为在线服务提供商开发功能多、易用性强的应用程序,并探索研究保障用户隐私不受侵犯的新技术新应用等。
    4.标准体系比较完善
    欧盟电子签名领域标准化工作起步较早,初步形成了较为合理的标准体系框架,相关标准不仅在欧盟范围内被广泛使用,在全球都具有广泛影响力。截止到2014年10月,欧盟制定的电子签名相关标准已达100余项。除了包括密码算法、签名设备、签名生成与验证等签名相关的基础技术标准外,近年来欧盟标准化工作重点关注可信应用和跨境互操作相关标准,制定了大量可信服务相关标准(包括支持电子签名的时间戳服务、证书服务、签名生成和验证服务标准等)、可信应用服务相关标准(包括应用电子签名的注册电子邮件、数据保存、电子发票标准等)以及可信服务状态列表相关标准(包括可信服务状态、可信服务提供商状态列表等)。电子签名标准体系日趋完善,且更加注重网络应用的可信性和互操作性。
    5.应用取得显著进展
    在各成员国的支持和推动下欧盟eID应用取得了长足的进展。目前,多数欧盟成员国都颁布了eID发展规划,采用eID来解决网络应用中身份鉴别、认证、电子签名、数据保护等问题。据欧洲智能卡协会统计数据显示,截止到2013年底,欧盟国家累计发行的eID卡超过1.5亿张。其中,比利时、德国、意大利、西班牙等国家eID的普及率非常高,据统计,比利时1100万左右的人口中,eID的使用人数超过900万。eID广泛应用在电子政务、电子商务、金融支付等众多领域,并在一些电子政务公共服务中实现了eID的跨境互认,如可以作为欧洲旅行证件使用。
    主要特点
    1.通过立法保障网络身份管理和应用
    欧盟注重发挥立法对eID应用的保障和推动作用,坚持一手抓法律,一手推应用,立法工作不断适应新形势、解决新问题、引领新发展。在欧盟层面,随着技术和应用的发展,欧盟在1999年原有《电子签名统一框架指令》的基础上,2012年又提出了一个更为全面的关于电子签名和eID的法规——《电子签名和电子身份证法规》(草案),补充了eID的相关内容,明确了eID的法律效力,强化了法律的威慑力度,规范并推动了eID在欧盟范围内推广应用。在成员国层面,各国依据《电子签名统一框架指令》并根据本国国情,纷纷进行本地化立法,制定了二级法律法规。例如西班牙1999年制定了《电子签名条例》,比利时2001年制定了《电子签名和电子认证服务的法律》,德国2001年制定了《德国电子签名框架条件法》后,又于2010年出台了《电子身份证条例》,明确了eID卡基础设施的安全和数据保护要求。
    2.采取多种手段保障个人信息安全
    一方面,欧盟eID采用PKI技术来实现数据保护和防止伪造,多数国家是由政府机构颁发数字证书并存入到eID卡中,还有一些国家采用的是私营证书服务商,尽管欧盟对证书服务商不实行强制行政许可,但是很多国家都建立了自愿认可制度,设立了监管机构,对证书服务商的运营管理进行审计,保障安全。另一方面,合理利用生物识别技术,通过存储面部头像和指纹等生物特征来验证eID持有人的身份,提高eID应用的安全性和可用性,同时,为了保证eID上存储的生物特征具有一定的可读质量,可用于国际出入境检测,欧盟遵循ISO国际标准对如何采集图像和如何检查图像质量进行技术指导。此外,为了加强个人信息保护,德国采取的方式是,不将全部数据都存储在eID上,当需要使用某些信息时,可以通过特定的设备或装置,将信息临时存入射频芯片中,用完后可从卡中删除。
    3.以电子政府领域应用为抓手带动网络身份管理全面推广
    20世纪90年代,随着互联网的发展和普及,电子政府日益兴起。为推动电子政务的发展,方便各国公民与企业享受跨国公共服务,构建欧盟单一数字市场,欧盟推出了一系列电子政府计划。欧盟eID的实施正是源于电子政务计划。自1998年欧盟启动的第五次技术发展和示范研究框架计划(FP5)开始,到2002年的欧盟第六次技术发展和示范研究框架计划(FP6),再到2005年的i2010——促进增长和就业的欧洲信息社会,2008年的行动计划,2011年的欧盟数字化议程等等一系列计划,欧盟不仅围绕着电子政府开展研究,同时还加强了身份管理、隐私保护等方面的研究和实践,为eID的应用普及奠定了基础。欧盟以电子政府领域eID应用为抓手,不断拓展eID的应用领域,逐渐推广到电子商务、网上银行、医疗卫生等领域,同时还积极开展eID的跨境应用,带动eID在欧盟范围内全面推广。
    启示与借鉴
    1.注重网络身份管理的顶层设计
    《路线图》是整个欧盟推进eID的一项重要的顶层设计方案,给出了明确且极具操作性的阶段发展计划,对各成员国应用推广eID以及欧盟统一管理eID都具有重要的指导意义,得到了欧盟众多成员国的大力支持。作为对《路线图》的后续支撑,欧洲网络与信息安全局还发布了《泛欧洲网络身份管理发展现状》报告,进一步提出了开展身份信息资源互换的建议,为推进eID跨境应用指明了方向。我国作为网络大国,拥有超过5亿的网民,应加强对网络身份管理的重视,将网络身份管理纳入政府工作日程,协调相关部门,尽快做好网络身份管理的顶层设计,明确网络身份管理的技术路径和组织架构,加强法律法规和标准规范建设,大力推动网络身份管理工作。
    2.强化法律法规的可操作性
    欧盟注重加强法律法规的可操作性,强化相关配套规章制度建设。随着eID在欧盟范围内的大规模发展,出现了eID跨境法律效力以及跨境互认难于操作等新问题。在这一背景下,欧盟及时制定了与《电子签名统一框架指令》相配套的法律法规。新的《电子签名和电子身份证法规》(草案)增加了eID的相关内容,细化了eID跨境应用的规则和操作规范,加强了法律的可操作性,使法律能更好地落地实施。我国目前在电子签名领域仅有一部《电子签名法》,在电子签名法律效力的认定等方面的条文还不够细化,操作性不强,亟需制定相关配套的司法解释和实施细则,真正发挥好法律的作用,同时,还应加快出台网络身份管理和个人信息保护相关的法律法规,并注重可操作性及与相关法律法规的衔接性和协调性。
    3.坚持技术研发和创新
    欧盟在技术创新方面的成效非常突出。欧盟在芯片卡、电子追踪、加密算法、互操作性等方面取得了大量技术创新成果,保障了网络身份管理的顺利实施。欧盟电子签名和网络身份管理技术在国际上都处于领先地位,而我国在此方面还处于探索和跟随阶段,缺乏自主创新能力,政府部门应加大对网络身份管理相关技术研发的支持力度,特别是智能卡技术、密码技术、身份认证技术、访问控制技术、隐私数据保护技术等,充分发挥企业在技术研发上的优势,大力开展关键技术和前沿技术的创新研究。在技术创新的基础上,积极推进网络可信服务体系的构建,完善网络身份管理相关产品,全力打造包括网络身份管理服务、可信数据电文服务在内的核心服务。
    4.高度重视标准化建设
    欧盟电子签名和网络身份管理相关标准无论是数量上还是质量上都走在世界前列,通过统一的、高质量的标准来推动欧盟范围内电子签名和eID的应用。随着技术和应用的发展,欧盟不断更新相关标准,以满足市场需求。标准化工作由起初围绕电子签名技术和策略,向支持和应用电子签名的可信应用服务、实现电子签名互认的可信服务状态列表、增强互操作性等方面转变,这也是eID得以在欧盟各国范围内广泛使用的重要支撑。我国也应重视标准化工作,组建专门的网络身份管理标准化工作组,研究提出网络身份管理标准框架,逐步制定并完善相关标准,将技术标准、管理标准和应用标准并重发展。

    5. 强调用户隐私保护
    欧盟在推进网络身份管理的过程中,非常重视用户隐私信息保护,强调在确保隐私安全的前提下开展有效的、易用的、可互操作的网络身份管理。网络身份管理的应用以及网络身份生态系统的建立,将使大量的个人信息在网上流动,如果这些信息被滥用或泄露,必然对用户造成极大损失,也使网络身份管理难以被用户接受,因此加强隐私保护是网络身份管理的前提和关键。我国在开展网络身份管理的时候也应重视对用户隐私的保护,基于现有的合法第三方电子认证服务机构,按照统一规划、分布部署的原则,为网络身份管理提供安全可靠的数据保护、责任认定、授权管理等服务。同时,还应提高互联网用户在网络隐私保护方面的意识,很多网络隐私泄露是由于用户自身安全意识薄弱造成的,因此提高用户在网络隐私保护方面的安全意识势在必行,可通过开展网络应用安全基本知识和技能的宣讲与培训等活动,提高用户对网络隐私权的认识,提升隐私保护的意识和能力。

(作者单位: 工信部信息安全研究所)