欧盟@@网络身份管理进展情况@@及启示@@

 

 

 

　　欧盟@@委员会@@2006年@@发布了@@《2010泛欧洲@@eID管理框架@@@@路线图@@@@》（以下简称@@《路线图@@》）从欧盟@@层面统筹规划了@@eID的实施@@，标志着欧盟@@推进@@eID的顶层设计方案已经成型@@。《路线图@@》提出要统一建设泛欧洲@@级别的@@eID管理框架@@@@，制定了为@@期@@5年@@的@@欧盟@@推进@@eID的时间安排及阶段计划@@，包括@@2006年@@确定身份认证@@模式@@、2007年@@建立通用@@eID框架@@、2008年@@完成各成员国@@eID的统一性@@、2009年@@欧盟@@完成国家@@eID的认可@@、2010年@@形成联合管理@@eID的工作机制等@@等@@@@。此外@@，《路线图@@》还确立了@@eID管理的核心原则@@，即在欧盟@@成员国推进@@eID过程中@@，以公民为@@中心@@，为@@公民服务并保障公民的隐私@@，并提出了欧盟@@成员国公民持有@@eID便可在任一成员国享受医疗保险等@@电子政务@@@@和电子商务@@服务的目标@@。2009年@@，欧盟@@委员会@@下设的欧洲网络与信息安全局又发布了@@《泛欧洲@@网络身份管理发展现状@@》，详细分析和论证了@@《路线图@@》的整体构架@@、目标以及阶段执行情况@@，并提出了下一步推进@@eID的具体建议@@：一是搭建欧盟@@统一的@@eID认证@@基础设施@@，继续开展@@eID跨境互认@@；二是探索形成跨境身份信息资源互换机制@@，有效克服成员国之间的法律壁垒@@，最终实现欧洲公民自@@由流动和无国界生活与工作@@。

 

 

　　欧盟@@形成了较为@@完善的法律法规体系@@，规范@@eID和电子签名@@应用@@，保护持有者隐私权益@@。为@@推动电子签名@@应用@@、促进对电子签名@@法@@律效力的认可@@@@，早在@@1999年@@欧盟@@就颁布了@@《电子签名@@统一框架@@指令@@》，要求欧盟@@成员国纷纷进行指令的国内转化@@，陆续出台本国的电子签名@@相关法律法规@@。2002年@@，欧盟@@发布了@@《关于电子通信方面个人数据处理及隐私保护指令@@》，要求电子通信服务机构处理个人数据时@@，必须提供保护其服务的相应技术@@和手段@@。在成员国层面@@，2010年@@德国@@出台了@@《电子身份证@@条例@@》，明确了@@eID卡@@基础设施的安全和数据保护要求@@，类似的还有奥地利的@@《电子政务@@@@法案@@》，英国的@@《身份证法案@@》等@@。2012年@@，欧盟@@提出了@@《电子签名@@和电子身份证@@法规@@》草案@@，进一步对@@《欧盟@@电子签名@@统一框架@@指令@@@@》做了补充和完善@@。该草案@@围绕电子签名@@和电子身份证@@两项基本元素@@，提出创建一个无国界的欧盟@@数字单一市场@@，构建一个可预见的监管环境@@，该草案@@在充分尊重隐私和保护数据安全的基础上@@@@@@，保障各成员国企业和民众能够使用本国的电子身份证@@@@(eID)获得其他欧盟@@成员国提供的等@@同公共服务@@，并确保@@eID具有与传统的纸质文件同样的法律效力@@@@。2014年@@这一草案@@得到@@欧盟@@多数成员国认可@@，即将公开发布@@。

 

 

　　欧盟@@非常重视技术@@创新@@，在密码算法@@、数字签名@@、身份认证@@等@@技术@@方面取得创新突破@@。2009年@@启动的欧盟@@最大的芯片卡@@研究项目@@@@BioPass，研制符合国际标准@@的@@eID卡@@，开发具有高安全性与互操作性的@@eID卡@@平台@@@@；2010-2015年@@欧盟@@委员会@@开展的@@ISA项目@@，通过研发搭建公共平台@@@@，包括@@敏感数据信息交换和共享平台@@@@、多语言服务平台@@@@、数据共享安全网络平台@@等@@@@，促进成员国的公共行政部门的合作@@；2012-2015年@@由德国@@弗劳恩霍夫工业工程研究所牵头的@@FutureID项目@@，开发了用于移动设备的@@eID客户端@@，为@@在线服务提供商开发功能多@@、易用性强的应用@@程序@@，并探索研究保障用户隐私不受侵犯的新技术@@新应用等@@@@。

 

 

　　欧盟@@电子签名@@领域标准@@化工作起步较早@@，初步形成了较为@@合理的标准@@体系框架@@@@，相关标准@@不仅在欧盟@@范围内被广泛使用@@，在全球都具有广泛影响力@@。截止到@@@@2014年@@10月@@，欧盟@@制定的电子签名@@相关标准@@已达@@100余项@@。除了包括@@密码算法@@、签名设备@@、签名生成与验证等@@签名相关的基础技术@@标准@@外@@，近年@@来欧盟@@标准@@化工作重点关注@@可信应用和跨境互操作相关标准@@@@，制定了大量可信服务相关标准@@@@（包括@@支持电子签名@@的时间戳服务@@、证书服务@@、签名生成和验证服务标准@@等@@@@）、可信应用服务相关标准@@@@（包括@@应用电子签名@@的注册电子邮件@@、数据保存@@、电子发票标准@@等@@@@）以及可信服务状态列表相关标准@@@@（包括@@可信服务状态@@、可信服务提供商状态列表等@@@@）。电子签名@@标准@@体系日趋完善@@，且更加注重网络应用的可信性和互操作性@@。

 

 

　　在各成员国的支持和推动下欧盟@@@@eID应用取得了长足的进展@@。目前@@，多数欧盟@@成员国都颁布了@@eID发展规划@@，采用@@eID来解决网络应用中身份鉴别@@、认证@@、电子签名@@、数据保护等@@问题@@。据欧洲智能卡@@协会统计数据显示@@，截止到@@@@2013年@@底@@，欧盟@@国家累计发行的@@eID卡@@超过@@1.5亿张@@。其中@@，比利时@@、德国@@、意大利@@、西班牙等@@国家@@eID的普及率非常高@@，据统计@@，比利时@@1100万@@左右的人口中@@，eID的使用人数超过@@900万@@。eID广泛应用在电子政务@@@@@@、电子商务@@、金融支付等@@众多领域@@，并在一些电子政务@@@@公共服务中实现了@@eID的跨境互认@@@@，如可以作为@@欧洲旅行证件使用@@。

 

 

 

　　欧盟@@注重发挥立法对@@eID应用的保障和推动作用@@，坚持一手抓法律@@，一手推应用@@，立法工作不断适应新形势@@、解决新问题@@、引领新发展@@。在欧盟@@层面@@，随着@@技术@@和应用的发展@@，欧盟@@在@@1999年@@原有@@《电子签名@@统一框架@@指令@@》的基础上@@@@，2012年@@又提出了一个更为@@全面的关于电子签名@@和@@eID的法规@@——《电子签名@@和电子身份证@@法规@@》（草案@@），补充了@@eID的相关内容@@，明确了@@eID的法律效力@@，强化了法律的威慑力度@@，规范@@并推动了@@eID在欧盟@@范围内推广应用@@。在成员国层面@@，各国依据@@《电子签名@@统一框架@@指令@@》并根据本国国情@@，纷纷进行本地化立法@@，制定了二级法律法规@@。例如西班牙@@1999年@@制定了@@《电子签名@@条例@@》，比利时@@2001年@@制定了@@《电子签名@@和电子认证@@服务的法律@@》，德国@@2001年@@制定了@@《德国@@电子签名@@框架@@条件法@@》后@@，又于@@2010年@@出台了@@《电子身份证@@条例@@》，明确了@@eID卡@@基础设施的安全和数据保护要求@@。

 

 

　　一方面@@，欧盟@@eID采用@@PKI技术@@来实现数据保护和防止伪造@@，多数国家是由政府@@机构颁发数字证书并存入到@@@@eID卡@@中@@，还有一些国家采用@@的是私营证书服务@@商@@，尽管欧盟@@对证书服务@@商不实行强制行政许可@@，但是很多国家都建立了自@@愿认可制度@@，设立了监管机构@@，对证书服务@@商的运营管理进行审计@@，保障安全@@。另一方面@@@@，合理利用生物识别技术@@@@，通过存储面部头像和指纹等@@生物特征来验证@@eID持有人的身份@@，提高@@eID应用的安全性和可用性@@，同时@@，为@@了保证@@eID上@@存储的生物特征具有一定的可读质量@@，可用于国际出入境检测@@，欧盟@@遵循@@ISO国际标准@@对如何采集图像和如何检查图像质量进行技术@@指导@@。此外@@，为@@了加强个人信息保护@@，德国@@采取的方式是@@，不将全部数据都存储在@@eID上@@，当需要使用某些信息时@@，可以通过特定的设备或装置@@，将信息临时存入射频芯片中@@，用完后@@可从卡@@中@@删除@@。

 

 

　　20世纪@@90年@@代@@，随着@@互联网@@的发展和普及@@，电子政府@@日益兴起@@。为@@推动电子政务@@@@的发展@@，方便各国公民与企业享受跨国公共服务@@，构建欧盟@@单一数字市场@@@@，欧盟@@推出了一系列电子政府@@计划@@。欧盟@@eID的实施@@正是源于电子政务@@@@计划@@。自@@1998年@@欧盟@@启动的第五次@@技术@@发展和示范研究框架@@计划@@（FP5）开始@@，到@@2002年@@的@@欧盟@@第六次@@技术@@发展和示范研究框架@@计划@@（FP6），再到@@@@2005年@@的@@i2010——促进增长和就业的欧洲信息社会@@@@，2008年@@的@@行动计划@@，2011年@@的@@欧盟@@数字化议程等@@等@@一系列计划@@，欧盟@@不仅围绕着电子政府@@开展研究@@，同时@@还加强了身份管理@@、隐私保护等@@方面的研究和实践@@，为@@eID的应用@@普及奠定了基础@@。欧盟@@以电子政府@@领域@@eID应用为@@抓手@@，不断拓展@@eID的应用@@领域@@，逐渐推广到@@电子商务@@@@、网上@@银行@@、医疗卫生等@@领域@@，同时@@还积极开展@@eID的跨境应用@@，带动@@eID在欧盟@@范围内全面推广@@。

 

 

 

　　《路线图@@》是整个欧盟@@推进@@eID的一项重要的顶层设计方案@@，给出了明确且极具操作性的阶段发展计划@@，对各成员国应用推广@@eID以及欧盟@@统一管理@@eID都具有重要的指导意义@@，得到@@了欧盟@@众多成员国的大力支持@@。作为@@对@@《路线图@@》的后@@续支撑@@，欧洲网络与信息安全局还发布了@@《泛欧洲@@网络身份管理发展现状@@》报告@@，进一步提出了开展身份信息资源互换的建议@@，为@@推进@@eID跨境应用指明了方向@@。我国作为@@网络大国@@，拥有超过@@5亿的网民@@，应加强对网络身份管理的重视@@，将网络身份管理纳入政府@@工作日程@@，协调相关部门@@，尽快做好网络身份管理的顶层设计@@，明确网络身份管理的技术@@路径和组织架构@@，加强法律法规和标准@@规范@@建设@@，大力推动网络身份管理工作@@。

 

 

　　欧盟@@注重加强法律法规的可操作性@@，强化相关配套规章制度建设@@。随着@@eID在欧盟@@范围内的大规模发展@@，出现了@@eID跨境法律效力以及跨境互认@@难于操作等@@新问题@@。在这一背景下@@，欧盟@@及时制定了与@@《电子签名@@统一框架@@指令@@》相配套的法律法规@@。新的@@《电子签名@@和电子身份证@@法规@@》（草案@@）增加了@@eID的相关内容@@，细化了@@eID跨境应用的规则和操作规范@@@@，加强了法律的可操作性@@，使法律能更好地落地实施@@。我国目前@@在电子签名@@领域仅有一部@@《电子签名@@法@@》，在电子签名@@法@@律效力的认定等@@方面的条文还不够细化@@，操作性不强@@，亟需制定相关配套的司法解释和实施细则@@，真正发挥好法律的作用@@，同时@@，还应加快出台网络身份管理和个人信息保护相关的法律法规@@，并注重可操作性及与相关法律法规的衔接性和协调性@@。

 

 

　　欧盟@@在@@技术@@创新方面的成效非常突出@@。欧盟@@在@@芯片卡@@@@、电子追踪@@、加密算法@@、互操作性等@@方面取得了大量技术@@创新成果@@，保障了网络身份管理的顺利实施@@。欧盟@@电子签名@@和网络身份管理技术@@在国际上@@都处于领先地位@@，而我国在此方面还处于探索和跟随阶段@@，缺乏自@@主创新能力@@，政府@@部门应加大对网络身份管理相关技术@@研发的支持力度@@，特别是智能卡@@技术@@@@、密码技术@@@@、身份认证@@技术@@@@、访问控制技术@@@@、隐私数据保护技术@@等@@@@，充分发挥企业在技术@@研发上@@的优势@@，大力开展关键技术@@和前沿技术@@的创新研究@@。在技术@@创新的@@基础上@@@@@@，积极推进网络可信服务体系的构建@@，完善网络身份管理相关产品@@，全力打造包括@@网络身份管理服务@@、可信数据电文服务在内的核心服务@@。

 

 

　　欧盟@@电子签名@@和网络身份管理相关标准@@无论是数量上@@还是质量上@@都走在世界前列@@，通过统一的@@、高质量的标准@@来推动欧盟@@范围内电子签名@@和@@eID的应用@@。随着@@技术@@和应用的发展@@，欧盟@@不断更新相关标准@@@@，以满足市场需求@@。标准@@化工作由起初围绕电子签名@@技术@@和策略@@，向支持和应用电子签名@@的可信应用服务@@、实现电子签名@@互认的可信服务状态列表@@、增强互操作性等@@方面转变@@，这也是@@eID得以在欧盟@@各国范围内广泛使用的重要支撑@@。我国也应重视标准@@化工作@@，组建专门的网络身份管理标准@@化工作组@@，研究提出网络身份管理标准@@框架@@@@，逐步制定并完善相关标准@@@@，将技术@@标准@@@@、管理标准@@和应用标准@@并重发展@@。

 

 

　　欧盟@@在@@推进网络身份管理的过程中@@@@，非常重视用户隐私信息保护@@，强调在确保隐私安全的前提下开展有效的@@、易用的@@、可互操作的网络身份管理@@。网络身份管理的应用@@以及网络身份生态系统的建立@@，将使大量的个人信息在网上@@流动@@，如果这些信息被滥用或泄露@@，必然对用户造成极大损失@@，也使网络身份管理难以被用户接受@@，因此加强隐私保护是网络身份管理的前提和关键@@。我国在开展网络身份管理@@的时候也应重视对用户隐私的保护@@，基于现有的合法第三方电子认证@@服务机构@@，按照统一规划@@、分布部署的原则@@，为@@网络身份管理提供安全可靠的数据保护@@、责任认定@@、授权管理等@@服务@@。同时@@，还应提高@@互联网@@用户在网络隐私保护方面的意识@@，很多网络隐私泄露是由于用户自@@身安全意识薄弱造成的@@，因此提高@@用户在网络隐私保护方面的安全意识势在必行@@，可通过开展网络应用安全基本知识和技能的宣讲与培训等@@活动@@，提高@@用户对网络隐私权的认识@@，提升隐私保护的意识和能力@@。