赵洋 乔志甫 公安部科学技术信息研究所

一、背景

信息技术广泛应用和网络空间兴起发展，极大促进了经济社会繁荣进步，同时也带来了新的安全风险和挑战。一方面，网络安全形势日益严峻，由于缺少网络身份有效认证与管理带来的网络欺诈、个人信息泄露、身份非法买卖等严重危害网络空间安全和社会公共安全；另一方面，网络实体和网络应用呈爆炸式增长态势，数据服务和网络虚拟化技术迅速普及，亦对网络空间身份管理提出了新的需求。

因此，网络身份管理已经成为网络空间治理体系的重要组成部分，对打击网络犯罪、保护个人隐私、发展数字经济等至关重要。世界主要国家高度重视网络身份管理，纷纷出台战略计划、完善法律法规、探索前沿技术应用，大力加强网络身份管理建设。研究国外主要国家在网络身份管理方面的举措和经验，对于加强“互联网+可信身份认证平台”建设，为平台长期发展战略的制定提供研究支撑，为我国网络身份管理工作提供借鉴参考，具有重要意义。

二、国外网络身份管理发展举措

（一）制定战略规划，加强顶层设计

欧盟于2006年发布了《2010泛欧洲电子身份管理框架路线图》，从欧盟层面统筹规划了电子身份管理的实施，标志着欧盟推进电子身份管理的顶层设计已经成型。印度政府于2009年成立唯一身份管理局（UIDAI），并于2010年9月开始实施Aadhaar计划，以建立全国统一的身份认证制度，有效为民众提供电子政务等服务。该项目由UIDAI执行，截至2019年底，已发放12.5亿个公民唯一身份号码。美 国于2011年发布《网络空间可信身份国家战略》，计划用10年左右的时间，构建覆盖全国范围的网络身份生态系统，推动个人和组织在网络上使用安全、高效、易用的身份认证解决方案。

（二）完善法律法规，为应用提供法律保障

印度在启动唯一身份识别计划的同时，同步启动了公民身份管理立法工作。2010年，印度政府向议会提交了《印度身份管理局法案》，几经修改，印度议会于2016年通过了该法案。法案对唯一身份号码作为持有人的身份证明、唯一身份管理局职能、相关信息安全与保密以及违法惩处做出了明确规定。2019年，印度又通过了《2019年数字身份证修正案》，对唯一身份号码离线验证、自愿使用、实体机构使用与认证条件以及特定情况下信息披露等规定做出了进一步完善，同时规定了护照等实体证件亦可用作身份证明文件，为印度唯一身份号码应用提供了法律保障。

欧盟于2014年通过了《电子身份识别和信托服务》条例，主要分为两部分：一是电子身份识别部分，旨在扫除在欧盟范围内跨国使用电子身份标识所遇到的阻碍，确保欧盟成员国的公民、商业机构可以使用自己国家发放的电子身份标识来获取欧盟范围内其他国家的公共服务；二是信托服务部分，旨在创建欧洲电子可信服务市场，主要包括电子签名、电子印章、时间戳、电子文件传输、网站认证等，确保这些认证方式在跨境运作时，与传统书面认证方式拥有同样的法律效力。该条例从法律层面为电子身份在欧洲范围内得到广泛承认、创建泛欧洲电子可信服务市场提供了法律保证。

（三）打造面向电子政务服务的国家数字身份管理平台

发达国家纷纷发布数字政府战略，打造平台型政府，数字身份管理平台成为重点之一，引领推动国家网络身份管理发展。

丹麦于2016年发布《2016～2020年数字化战略》，为丹麦公共部门的数字化工作以及与工商界的互动指明了方向。其中，数字身份作为9大重点关注领域之一，提出了要全面加速实现安全数字身份以及在所有欧盟成员国内可使用丹麦数字身份NemID的目标。

澳大利亚于2018年发布《数字服务平台战略》，目的是打造可向多个政府机构提供通用、共用业务功能的政务平台。正在建设平台包括：我的政府（myGov）、数字身份（Digital Identity）、告诉我们一次（Tell Us Once）、收件箱和通知（Inbox and Notify）、数字人类（Digital Humans）等五大平台。其中，数字身份平台将提供身份验证和认证服务，以提高安全性、隐私性，并促进数据交换。

新加坡于2018年推出了《数字政府蓝图计划》，为数字经济和数字社会的塑造提供环境和驱动使能力量。在2018年STACK大会（新加坡科技部面向国营和私营运营商、技术人员举办的大会）上，新加坡政府科技部表示，他们将创建一个集中的生物识别系统，作为国家数字识别系统（NDI）的一部分，以后新加坡公民只需在NDI系统下注册生物识别信息，就无需再为每项服务重复注册过程。

韩国于2019年发布《数字政府革新推进计划》，旨在适应以人工智能、云计算等尖端信息通信技术为主导的数字化转型趋势，以提升工作效率，更好地为民服务，改善现有电子政府服务。其中，最受民众关注的就是电子身份证的引进。韩国政府计划先从学生证、公务员证等使用对象明确的证件开始试行。最快将于2022年全面普及电子身份证，取代现有的实体身份证。

法国于2019年宣布将在全国推行“AliceM”身份项目，利用人脸识别技术为公民提供数字身份。此前，法国内政部已经对“AliceM”进行了多年研究。“AliceM”是一款移动应用程序，目前仅适配于安卓系统。民众需要用智能手机自拍一段视频，然后系统会将视频与护照上的照片进行比对，以确认使用者是其本人，并为其建立个人身份账号。在成功建立数字身份账号后，民众就能够安全地获得从税收、银行到社会保障和公用事业账单等一切信息。内政部表示，AliceM将符合欧盟（《电子身份识别和信托服务》条例）中对“高”安全等级的规定，在注册过程结束后，收集到的人脸识别数据将被删除。

（四）全面加强个人生物特征信息保护

目前，生物特征识别技术已经成为网络身份管理的核心支撑技术，多个国家意识到生物特征信息保护的重要性和紧迫性，持续推动相关立法进程，如欧盟《通用数据保护条例》（GDPR）、美国加利福尼亚州《2018消费者隐私法》（CCPA）、印度《2018个人数据保护法案（草案）》、巴西《通用数据保护法》，对生物特征信息的定义范围、保护主体、保护规则、法律责任做出规定，以此保护公民网络身份管理所需的核心数据。

（五）积极开展网络身份管理前沿技术研究

区块链技术凭借其去中心、加密、难篡改等特征，为网络身份的可信验证、自主授权、隐私保护提供了一种值得探索的方向，备受政府和产业界的关注。其中，美国、欧盟高度重视区块链技术，成立专门组织机构推动区块链发展与应用，数字身份管理领域成为关注重点之一。

美国于2017年成立国会区块链决策委员会，全面加强区块链技术发展研究，努力完善与区块链相关的公共政策。2019年7月，国家标准技术研究所（NIST）发布《新兴区块链身份管理系统分类方法》报告。报告指出，传统的数字身份管理系统存在单点故障（一点失效致使整体故障）、缺乏互操作性、侵犯隐私等问题，而区块链技术则可通过内置控制和授权机制来支持新型数据所有权和治理模式，从而在一定程度上解决了上述问题。因此，基于区块链的身份管理系统开始大量涌现。

欧盟于2018年成立区块链观测站和论坛，旨在将各成员国的区块链技术和力量聚集起来，共同将欧洲打造成区块链技术与应用的全球领导者。2019年5月，欧盟区块链观测站和论坛发布《区块链和数字身份》报告。报告指出，受益于智能手机性能日益强大、密码学不断发展以及区块链技术的进步，基于分布式身份（Decentralized Identity，DID）概念构建可信身份管理框架已经成为可能，甚至还可能实现令人关注的自主身份（Self-sovereign Identity，SSI）。报告描述了分布式数字身份管理概念，通过将来自权威机构（通常是政府）的可验证声明与个人数字身份关联起来，生成身份标识，用户就可以创建与现实世界证书类似的数字身份证书，从而消除对第三方机构的需求。

三、启示

（一）充分利用居民身份证基础资源，实现网上网下一体化身份管理

从国外国家级网络身份管理建设来看，均需要耗费大量财力、物力、人力采集公民个人信息，建立全国统一的公民身份信息库，并同时寻求网络身份与现实世界实体法定身份证件的关联统一。因此，我国应充分利用居民身份证相关信息资源、行政管理资源等，将本身兼具“网下”“网上”功能的居民身份证用于法定网络身份管理，这既是快速实现国家网络身份管理的最佳路径，又将是引领全球的具有中国社会主义特色的最佳法定身份管理方案。

（二）加快完善网络身份管理相关法律法规，为网络身份应用提供法律保障

我国《网络安全法》第24条规定：国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术。从国外相关立法实践来看，我国相关法律法规仍待进一步完善。一是明确权威的网络身份标识、行政管理机构及职能、网络身份认证条件以及违法处罚，以加快推进网络身份应用；二是进一步完善与网络身份管理密切相关的个人隐私数据保护规定，尤其是对个人生物特征信息的保护。

（三）加强网络身份管理领域前沿技术研究，破解当前网络身份管理难题

信息技术日新月异，加强网络身份管理技术前沿研究十分必要。区块链技术作为一种网络身份管理解决方案已经在很多行业开始应用。但当前，基于区块链的数字身份仍面临两大挑战，一是采用区块链可能会使管理部门失去身份管理权力，将权力的天平向个人转移，如何监管仍需解决。二是中心化平台目前在性能方面仍然优于区块链，而且用户对于隐私保护的要求还不够强烈，不愿意承担平台转换成本。尽管如此，区块链技术和数字身份相结合的未来还是可能产生巨大影响。如果将去中心化的区块链技术与现有的中心化系统相结合，或许可以使数字身份的管理更加有效。