隨著人類活動不斷向網絡空間延伸,網絡空間被視為繼陸、海、空、天之后的“第五空間”,對國際政治、經濟、文化、社會、軍事等領域都產生了深刻影響。開展網絡身份管理、確保網絡主體身份可信、行為可追溯等已成為網絡空間治理的重要內容。自20世紀90年代,隨著互聯網的發展和普及,電子政務、電子商務等網絡服務日益興起,且歐盟范圍內跨境網絡服務需求不斷上升,這與當時歐盟大部分成員國之間基本無法通過網絡提供跨境服務相矛盾。為推動電子政務的發展,方便各國公民與企業的跨國活動,構建歐盟單一數字市場,歐盟推出了電子身份證(eID)的網絡身份管理形式,并從法律、標準、技術、應用試點等多方面做了大量工作和有益嘗試,為eID應用普及掃清障礙。歐盟eID的實施,不僅增加了政府機構與公民之間數據傳輸的安全性,減少欺詐事件的發生,而且方便了歐盟公民使用eID享受其他成員國提供的服務。
進展情況
1.頂層設計已基本完成
歐盟委員會2006年發布了《2010泛歐洲eID管理框架路線圖》(以下簡稱《路線圖》)從歐盟層面統籌規劃了eID的實施,標志著歐盟推進eID的頂層設計方案已經成型。《路線圖》提出要統一建設泛歐洲級別的eID管理框架,制定了為期5年的歐盟推進eID的時間安排及階段計劃,包括2006年確定身份認證模式、2007年建立通用eID框架、2008年完成各成員國eID的統一性、2009年歐盟完成國家eID的認可、2010年形成聯合管理eID的工作機制等等。此外,《路線圖》還確立了eID管理的核心原則,即在歐盟成員國推進eID過程中,以公民為中心,為公民服務并保障公民的隱私,并提出了歐盟成員國公民持有eID便可在任一成員國享受醫療保險等電子政務和電子商務服務的目標。2009年,歐盟委員會下設的歐洲網絡與信息安全局又發布了《泛歐洲網絡身份管理發展現狀》,詳細分析和論證了《路線圖》的整體構架、目標以及階段執行情況,并提出了下一步推進eID的具體建議:一是搭建歐盟統一的eID認證基礎設施,繼續開展eID跨境互認;二是探索形成跨境身份信息資源互換機制,有效克服成員國之間的法律壁壘,最終實現歐洲公民自由流動和無國界生活與工作。
2.法律法規體系較為健全
歐盟形成了較為完善的法律法規體系,規范eID和電子簽名應用,保護持有者隱私權益。為推動電子簽名應用、促進對電子簽名法律效力的認可,早在1999年歐盟就頒布了《電子簽名統一框架指令》,要求歐盟成員國紛紛進行指令的國內轉化,陸續出臺本國的電子簽名相關法律法規。2002年,歐盟發布了《關于電子通信方面個人數據處理及隱私保護指令》,要求電子通信服務機構處理個人數據時,必須提供保護其服務的相應技術和手段。在成員國層面,2010年德國出臺了《電子身份證條例》,明確了eID卡基礎設施的安全和數據保護要求,類似的還有奧地利的《電子政務法案》,英國的《身份證法案》等。2012年,歐盟提出了《電子簽名和電子身份證法規》草案,進一步對《歐盟電子簽名統一框架指令》做了補充和完善。該草案圍繞電子簽名和電子身份證兩項基本元素,提出創建一個無國界的歐盟數字單一市場,構建一個可預見的監管環境,該草案在充分尊重隱私和保護數據安全的基礎上,保障各成員國企業和民眾能夠使用本國的電子身份證(eID)獲得其他歐盟成員國提供的等同公共服務,并確保eID具有與傳統的紙質文件同樣的法律效力。2014年這一草案得到歐盟多數成員國認可,即將公開發布。
3.技術創新成果豐碩
歐盟非常重視技術創新,在密碼算法、數字簽名、身份認證等技術方面取得創新突破。2009年啟動的歐盟最大的芯片卡研究項目BioPass,研制符合國際標準的eID卡,開發具有高安全性與互操作性的eID卡平臺;2010-2015年歐盟委員會開展的ISA項目,通過研發搭建公共平臺,包括敏感數據信息交換和共享平臺、多語言服務平臺、數據共享安全網絡平臺等,促進成員國的公共行政部門的合作;2012-2015年由德國弗勞恩霍夫工業工程研究所牽頭的FutureID項目,開發了用于移動設備的eID客戶端,為在線服務提供商開發功能多、易用性強的應用程序,并探索研究保障用戶隱私不受侵犯的新技術新應用等。
4.標準體系比較完善
歐盟電子簽名領域標準化工作起步較早,初步形成了較為合理的標準體系框架,相關標準不僅在歐盟范圍內被廣泛使用,在全球都具有廣泛影響力。截止到2014年10月,歐盟制定的電子簽名相關標準已達100余項。除了包括密碼算法、簽名設備、簽名生成與驗證等簽名相關的基礎技術標準外,近年來歐盟標準化工作重點關注可信應用和跨境互操作相關標準,制定了大量可信服務相關標準(包括支持電子簽名的時間戳服務、證書服務、簽名生成和驗證服務標準等)、可信應用服務相關標準(包括應用電子簽名的注冊電子郵件、數據保存、電子發票標準等)以及可信服務狀態列表相關標準(包括可信服務狀態、可信服務提供商狀態列表等)。電子簽名標準體系日趨完善,且更加注重網絡應用的可信性和互操作性。
5.應用取得顯著進展
在各成員國的支持和推動下歐盟eID應用取得了長足的進展。目前,多數歐盟成員國都頒布了eID發展規劃,采用eID來解決網絡應用中身份鑒別、認證、電子簽名、數據保護等問題。據歐洲智能卡協會統計數據顯示,截止到2013年底,歐盟國家累計發行的eID卡超過1.5億張。其中,比利時、德國、意大利、西班牙等國家eID的普及率非常高,據統計,比利時1100萬左右的人口中,eID的使用人數超過900萬。eID廣泛應用在電子政務、電子商務、金融支付等眾多領域,并在一些電子政務公共服務中實現了eID的跨境互認,如可以作為歐洲旅行證件使用。
主要特點
1.通過立法保障網絡身份管理和應用
歐盟注重發揮立法對eID應用的保障和推動作用,堅持一手抓法律,一手推應用,立法工作不斷適應新形勢、解決新問題、引領新發展。在歐盟層面,隨著技術和應用的發展,歐盟在1999年原有《電子簽名統一框架指令》的基礎上,2012年又提出了一個更為全面的關于電子簽名和eID的法規——《電子簽名和電子身份證法規》(草案),補充了eID的相關內容,明確了eID的法律效力,強化了法律的威懾力度,規范并推動了eID在歐盟范圍內推廣應用。在成員國層面,各國依據《電子簽名統一框架指令》并根據本國國情,紛紛進行本地化立法,制定了二級法律法規。例如西班牙1999年制定了《電子簽名條例》,比利時2001年制定了《電子簽名和電子認證服務的法律》,德國2001年制定了《德國電子簽名框架條件法》后,又于2010年出臺了《電子身份證條例》,明確了eID卡基礎設施的安全和數據保護要求。
2.采取多種手段保障個人信息安全
一方面,歐盟eID采用PKI技術來實現數據保護和防止偽造,多數國家是由政府機構頒發數字證書并存入到eID卡中,還有一些國家采用的是私營證書服務商,盡管歐盟對證書服務商不實行強制行政許可,但是很多國家都建立了自愿認可制度,設立了監管機構,對證書服務商的運營管理進行審計,保障安全。另一方面,合理利用生物識別技術,通過存儲面部頭像和指紋等生物特征來驗證eID持有人的身份,提高eID應用的安全性和可用性,同時,為了保證eID上存儲的生物特征具有一定的可讀質量,可用于國際出入境檢測,歐盟遵循ISO國際標準對如何采集圖像和如何檢查圖像質量進行技術指導。此外,為了加強個人信息保護,德國采取的方式是,不將全部數據都存儲在eID上,當需要使用某些信息時,可以通過特定的設備或裝置,將信息臨時存入射頻芯片中,用完后可從卡中刪除。
3.以電子政府領域應用為抓手帶動網絡身份管理全面推廣
20世紀90年代,隨著互聯網的發展和普及,電子政府日益興起。為推動電子政務的發展,方便各國公民與企業享受跨國公共服務,構建歐盟單一數字市場,歐盟推出了一系列電子政府計劃。歐盟eID的實施正是源于電子政務計劃。自1998年歐盟啟動的第五次技術發展和示范研究框架計劃(FP5)開始,到2002年的歐盟第六次技術發展和示范研究框架計劃(FP6),再到2005年的i2010——促進增長和就業的歐洲信息社會,2008年的行動計劃,2011年的歐盟數字化議程等等一系列計劃,歐盟不僅圍繞著電子政府開展研究,同時還加強了身份管理、隱私保護等方面的研究和實踐,為eID的應用普及奠定了基礎。歐盟以電子政府領域eID應用為抓手,不斷拓展eID的應用領域,逐漸推廣到電子商務、網上銀行、醫療衛生等領域,同時還積極開展eID的跨境應用,帶動eID在歐盟范圍內全面推廣。
啟示與借鑒
1.注重網絡身份管理的頂層設計
《路線圖》是整個歐盟推進eID的一項重要的頂層設計方案,給出了明確且極具操作性的階段發展計劃,對各成員國應用推廣eID以及歐盟統一管理eID都具有重要的指導意義,得到了歐盟眾多成員國的大力支持。作為對《路線圖》的后續支撐,歐洲網絡與信息安全局還發布了《泛歐洲網絡身份管理發展現狀》報告,進一步提出了開展身份信息資源互換的建議,為推進eID跨境應用指明了方向。我國作為網絡大國,擁有超過5億的網民,應加強對網絡身份管理的重視,將網絡身份管理納入政府工作日程,協調相關部門,盡快做好網絡身份管理的頂層設計,明確網絡身份管理的技術路徑和組織架構,加強法律法規和標準規范建設,大力推動網絡身份管理工作。
2.強化法律法規的可操作性
歐盟注重加強法律法規的可操作性,強化相關配套規章制度建設。隨著eID在歐盟范圍內的大規模發展,出現了eID跨境法律效力以及跨境互認難于操作等新問題。在這一背景下,歐盟及時制定了與《電子簽名統一框架指令》相配套的法律法規。新的《電子簽名和電子身份證法規》(草案)增加了eID的相關內容,細化了eID跨境應用的規則和操作規范,加強了法律的可操作性,使法律能更好地落地實施。我國目前在電子簽名領域僅有一部《電子簽名法》,在電子簽名法律效力的認定等方面的條文還不夠細化,操作性不強,亟需制定相關配套的司法解釋和實施細則,真正發揮好法律的作用,同時,還應加快出臺網絡身份管理和個人信息保護相關的法律法規,并注重可操作性及與相關法律法規的銜接性和協調性。
3.堅持技術研發和創新
歐盟在技術創新方面的成效非常突出。歐盟在芯片卡、電子追蹤、加密算法、互操作性等方面取得了大量技術創新成果,保障了網絡身份管理的順利實施。歐盟電子簽名和網絡身份管理技術在國際上都處于領先地位,而我國在此方面還處于探索和跟隨階段,缺乏自主創新能力,政府部門應加大對網絡身份管理相關技術研發的支持力度,特別是智能卡技術、密碼技術、身份認證技術、訪問控制技術、隱私數據保護技術等,充分發揮企業在技術研發上的優勢,大力開展關鍵技術和前沿技術的創新研究。在技術創新的基礎上,積極推進網絡可信服務體系的構建,完善網絡身份管理相關產品,全力打造包括網絡身份管理服務、可信數據電文服務在內的核心服務。
4.高度重視標準化建設
歐盟電子簽名和網絡身份管理相關標準無論是數量上還是質量上都走在世界前列,通過統一的、高質量的標準來推動歐盟范圍內電子簽名和eID的應用。隨著技術和應用的發展,歐盟不斷更新相關標準,以滿足市場需求。標準化工作由起初圍繞電子簽名技術和策略,向支持和應用電子簽名的可信應用服務、實現電子簽名互認的可信服務狀態列表、增強互操作性等方面轉變,這也是eID得以在歐盟各國范圍內廣泛使用的重要支撐。我國也應重視標準化工作,組建專門的網絡身份管理標準化工作組,研究提出網絡身份管理標準框架,逐步制定并完善相關標準,將技術標準、管理標準和應用標準并重發展。
5. 強調用戶隱私保護
歐盟在推進網絡身份管理的過程中,非常重視用戶隱私信息保護,強調在確保隱私安全的前提下開展有效的、易用的、可互操作的網絡身份管理。網絡身份管理的應用以及網絡身份生態系統的建立,將使大量的個人信息在網上流動,如果這些信息被濫用或泄露,必然對用戶造成極大損失,也使網絡身份管理難以被用戶接受,因此加強隱私保護是網絡身份管理的前提和關鍵。我國在開展網絡身份管理的時候也應重視對用戶隱私的保護,基于現有的合法第三方電子認證服務機構,按照統一規劃、分布部署的原則,為網絡身份管理提供安全可靠的數據保護、責任認定、授權管理等服務。同時,還應提高互聯網用戶在網絡隱私保護方面的意識,很多網絡隱私泄露是由于用戶自身安全意識薄弱造成的,因此提高用戶在網絡隱私保護方面的安全意識勢在必行,可通過開展網絡應用安全基本知識和技能的宣講與培訓等活動,提高用戶對網絡隱私權的認識,提升隱私保護的意識和能力。
(作者單位: 工信部信息安全研究所)