《一、前言 》

一、前言

近年来,网络空间匿名性导致网络诚信缺失, 网络违法犯罪活动频发的情况愈发突出,已成为影 响国家安全和社会稳定的重要因素。因此,网络实 名制 [1] 成为一项重要的管理手段已经开始全网普 及,中央网络安全和信息化领导小组办公室 2014、 2015 年的工作要点中都要求推进网络实名制工作。但是,由于网络实名制缺乏有效的技术支撑,网民 需要向服务机构提交个人身份信息,从而出现了大 量的网上身份信息泄露事件。

为此,本研究对世界各主要国家和地区网络电 子身份管理与应用以及我国网络电子身份管理与应 用等情况进行了全面分析与梳理,并结合网络身份 管理技术发展趋势,提出“十三五”期间我国网络 电子身份管理的发展思路和意见,旨在加强网络空 间身份管理,构建网络空间身份管理体系,有助于 规范网民行为、防范打击网络犯罪、构建网络强国、 维护国家安全和网络空间主权、保护网络用户的个 人隐私,为“十三五”期间我国网络身份管理发展 提供借鉴和参考。

《二、世界主要国家和地区网络电子身份管理 发展与应用》

二、世界主要国家和地区网络电子身份管理 发展与应用

当前国外主要国家和地区都在大力推进网络空 间身份管理 [2] 工作,其中绝大多数采用网络电子身 份证(eID)作为网络身份管理的实施方法,其技 术实现均采用了基于数字(电子)签名的公钥基础 设施(PKI)体系,其核心是 “ 非对称 ” 密码算法。

《(一)主要国家和地区网络电子身份管理发展情况》

(一)主要国家和地区网络电子身份管理发展情况

1. 欧盟

欧盟委员会主导各个项目、计划、战略的建立 与实施,并颁布公共的法律法规,其重心在整个 欧洲电子身份管理的互操作性上。欧盟 1999 年发 布了《关于建立电子签名共同法律框架的指令》, 确立了网络身份管理的技术路线。自 2000 年开 始,在“i2010 战略计划”“欧洲电子政务行动计划 2011—2015”“欧洲 2020 战略计划”中,始终将建 立和完善覆盖整个欧盟的身份管理体系作为重点工 作。目前,欧盟 28 个成员国中有 16 个已经发行了 基于电子签名技术的 eID,整个欧盟 eID 发行总量 达 1.5 亿张。通过网络身份管理体系建设,欧盟国 家不仅实现了其国内范围的网络可信身份识别与验 证,并且实现了欧盟范围的跨境网络身份识别与信 任服务。爱沙尼亚是世界上数字化程度最高的国家 之一,约 600 项公民电子服务、2 400 项企业电子 服务可通过网络提供,包含电子政务、电子银行、 网上购物、医疗保健、合同签署、选举投票等,并 已经开始参照签证发放模式向外国人颁发 eID [3,4]。

2. 美国

美国 2011 年发布了“网络空间可信身份管理 战略(NSTIC)”,旨在建立覆盖全国范围的网络身 份生态系统,使个人、机构等各类实体遵循统一的 标准和流程进行相互鉴别和认证。NSTIC 计划用 10 年左右的时间,构建一个网络身份生态体系,推 动个人和组织在网络上使用安全、高效、易用的身 份解决方案。美国政府建议由私营企业运作网络身 份标识生态系统,联邦政府只是在先期启动、示范 应用上做表率,负责指引和保障。NSTIC 也采用了 基于电子签名的技术路线 [5]。2014 年开始,在美国 宾夕法尼亚、密歇根、加利福尼亚等州开展了网络 身份认证在线测试和相关法案的制定工作,涉及电 子商务、居民健康、网上教育等领域。

3. 亚洲、拉美国家

近年来,亚洲、拉美的很多国家已开展了 网络身份管理体系及基础设施建设工作。例如, 2003 年起,阿联酋政府开始建设国家级公钥基础 设施,为公民发放基于电子签名的电子身份卡, 主要用于网络支付、文件签名、公证和电子投票 等领域。秘鲁实施了“全国公民身份登记与鉴别 (RENIEC)”项目,发行了基于电子签名的电子身 份卡,可用于国家选举、银行交易、公共部门的 网上身份认证服务,同时还实现了电子印章,可 以在网上对企业进行认证。

《(二)联合国“身份管理及信任服务相关的法律问 题研讨会”》

(二)联合国“身份管理及信任服务相关的法律问 题研讨会”

2016 年 4 月, 联 合 国 国 际 贸 易 法 委 员 会 (UNCITRAL)在奥地利组织召开了“身份管理及信 任服务相关的法律问题研讨会”。全球 50 多个国家的 200 余名代表参加了会议,讨论了美国、欧盟、俄罗 斯、北美、南美、亚洲、阿拉伯等国家或地区在推进 电子身份管理方面做的工作。中共中央网络安全和信 息化领导小组办公室组织了中国网络空间安全协会理 事长方滨兴院士等 8 人前往维也纳参加了此次会议, 公安部第三研究所胡传平所长作了《中国电子身份管 理技术实践情况》的主题报告。会议主要内容如下:

(1)国际社会的电子身份管理进展非常迅速, 在发达国家和发展中国家都得到了普及。

(2)跨境交易中的身份、服务及法律互操作性问题越来越受到关注。电子贸易的基础是身份识别 与验证,构建跨国身份认证的环境成为支撑国际电 子贸易的关键因素。

(3)安全与隐私保护是公认的电子身份管理原 则。电子身份管理是基础性工作,涉及大量用户 的个人信息。

《(三)应用发展》

(三)应用发展

在各成员国的支持和推动下,欧盟 eID 的应用 取得了长足的进展。目前,多数欧盟成员国都颁布 了 eID 发展规划,采用 eID 来解决网络应用中身份 鉴别、认证、电子(数字)签名、数据保护等问题。 据欧洲智能卡协会统计数据显示,截至 2013 年底, 欧盟国家累计发行的 eID 卡超过 1.5 亿张,其中比 利时、奥地利、爱沙尼亚、意大利、西班牙等国家 eID 的普及率非常高;比利时 1 100 万人口中,eID 的使用人数超过 900 万。eID 广泛应用在电子政务、 电子商务、金融支付等众多领域,并在一些电子政 务公共服务中实现了 eID 的跨境互认,如可作为欧 洲旅行证件使用。目前欧洲使用 Mobile ID 的国家 有奥地利、爱沙尼亚、挪威、土耳其、芬兰、瑞典、 荷兰、冰岛和意大利 9 个国家 [6]。

《三、我国网络电子身份管理发展与应用》

三、我国网络电子身份管理发展与应用

我国的 eID 技术体系设计,结合身份信息保护 的要求,在国际 PKI 主流技术上做了进一步创新, 遵从“对抗否认”和“保护身份信息”两大原则, 并具有 3 个基本功能:一是 eID 在不泄露身份信息 的前提下可远程有效识别身份;二是 eID 具有数字 签名功能,从法律上使持证人的网络行为不可抵赖; 三是持证人能对 eID 进行有效挂失(eID 使用时需 要输入密码)。

“十二五”期间我国网络电子身份 eID 已经取 得了长足的进展,为构建网络身份管理体系奠定了 坚实基础。

《(一)建成“公安部公民网络身份识别系统”并形 成完整的技术体系》

(一)建成“公安部公民网络身份识别系统”并形 成完整的技术体系

“十二五”期间,科技部从网络身份管理的关键 技术研发和示范应用着手,作为重大项目优先部署 了支撑网络电子身份证 eID 实施的“网域空间身份 管理及其应用技术与系统”, 包括公安部第三研究所、 国防科技大学、北京邮电大学等数十家国内顶尖科 研机构、院校、企业作为承担单位。该项目是国家 863 计划设立以来信息安全领域最大的项目,目前已 取得了突破性进展,完成了原型系统的研制和技术 验证,建成了“公安部公民网络身份识别系统”,由 国家密码管理局进行了系统安全性审查及权威鉴定。

《(二)eID 标准体系已初步形成并保障了 eID 的高安 全性和高可靠性》

(二)eID 标准体系已初步形成并保障了 eID 的高安 全性和高可靠性

在标准方面,2013 年底中国通信标准化协会专 门设立了网域空间身份管理标准子工作组,公安部 第三研究所正在牵头制定《网络电子身份格式规范》 等 30 余项 eID 国家及行业标准,eID 标准体系已初 步形成,包括基础标准、管理标准、服务标准、应 用标准四个层次。eID 标准体系保障了 eID 的高安 全性和高可靠性,并对 eID 产业技术路线实现了 全面规范。

《(三)蓬勃开展的大规模试点应用完成了 eID 推广 的全流程验证》

(三)蓬勃开展的大规模试点应用完成了 eID 推广 的全流程验证

2012年9月,eID试点在北京邮电大学正式启动。 面向北京邮电大学全校师生发放了 3 万张 eID,基本 覆盖北京邮电大学全校教职员工,实现了 eID 制发 的全业务流程试点。在此基础上,公安部第三研究 所与中国工商银行达成战略合作协议,在中国工商 银行全国发行的金融 IC 卡中嵌入 eID,现已形成了 每天 50 万张以上 eID 的制发能力。目前,eID 工行 卡发放总量已超过 5 500 万张,并在一些典型行业和 地区的网络应用中开始示范应用。目前,正与三大 电信运营商合作尽快实现在手机 SIM 卡上加载 eID。

在 eID 网络身份识别服务方面已经发展了数十 家机构。在政务民生应用方面, 360 手机助手贴卡 支付、“ 数字民生社会化 ” 服务平台、江苏省工商 全程信息化、公安互联网便民服务平台等嵌入 eID 实名认证服务的应用已经上线;在电子商务方面, 航旅纵横、安保泓物流联盟全程信息化、法大大(电 子合同)、众信金融(P2P)、福建海淘等一大批应 用上线或正在接入开发中;在社交网络方面,新浪 微博应用实名认证实现了基于 eID 的自动化身份认 证服务,不用再向网络服务提供者提交个人身份信 息,有效提升了用户体验。最重要的是,eID 使其认证更加可信,能够有效防止仿冒他人身份等恶意 行为,既达到了实名认证的真实性和有效性要求, 又达到了保护个人隐私的目的。eID 也可用于移动 互联网环境,可由 eID 手机应用以近场通信(NFC) 方式访问 eID,实现安全快捷的 eID 登录,可有效 避免密码被盗的风险。

《(四)eID 实施推广框架基本形成》

(四)eID 实施推广框架基本形成

eID 的实施推广以“开放、合作、创新、共赢 和有序发展”为理念,以保护公民个人身份信息、 个人隐私信息和网络活动安全为使命,以 eID 的 “五位(eID 签发机构、eID 登记发行机构、eID 身 份服务提供机构、eID 载体、线上应用)一体”实 施框架为根本,以打造 eID 事业可持续发展的产 业闭环为愿景,最终形成国家认可、企业欢迎、 百姓拥护和媒体赞誉的局面。

《四、推进 eID,支撑网络空间身份管理有效 实施的建议》

四、推进 eID,支撑网络空间身份管理有效 实施的建议

《(一)加强顶层设计,加快推进我国网络空间身份 管理制度建设》

(一)加强顶层设计,加快推进我国网络空间身份 管理制度建设

网络空间身份管理涉及国家安全、公共安全 和公民切身利益,是一项复杂的系统工程,要立足 当前、着眼长远,统筹各方资源,综合考虑网络空 间身份管理的多元化需求,积极稳妥推进。建议由 中央网络安全和信息化领导小组办公室和公安部牵 头,会同工业和信息化部、发展和改革委员会、国 家密码管理局等管理部门抽调专人成立专门工作 组,在中央统一领导下,负责统筹推进我国网络空 间身份管理制度建设工作。在广泛征求和充分听取 各方意见建议、吸取各国经验教训基础上,研究制 定我国网络空间身份管理制度推进工作实施意见, 明确建设规划、体系框架、实施路线,明确政府部 门、企业的职责定位。

《(二)以 eID 为基础,构建我国网络空间身份管理 基础设施》

(二)以 eID 为基础,构建我国网络空间身份管理 基础设施

采用基于“非对称”密码算法数字签名 PKI 技术的 eID 是国际主流的网络空间身份管理实施 方法,欧盟及其成员国、俄罗斯、澳大利亚等 都采用 eID 并取得了良好的应用效果,美国也从 2014 年开始进行 eID 试点。“十二五”期间,国 家科技部、发展和改革委员会等从网络空间身份 管理关键技术研发和示范应用着手,优先部署了 支撑 eID 实施的国家 863 重大项目和信息安全专 项。目前,已建成了 eID 基础设施 —— 公安部 公民网络身份识别系统,并通过了国家密码管理 局的系统安全性审查及权威鉴定。此外,制定了 30 余项 eID 国家及行业标准,形成了完善的标准 体系。在此基础上,开展了大规模试点应用,完 成了 eID 推广的全流程验证,为构建我国网络空 间身份管理基础设施做好了准备。

《(三)开展 eID 推广应用,加快构建我国网络空间 身份管理体系》

(三)开展 eID 推广应用,加快构建我国网络空间 身份管理体系

建议从以下方面开展网络电子身份证 eID 推广 应用工作:

一是成立 eID 推进专家组。提供咨询意见和进 行方案把关。规划我国网络空间身份管理所需配套 政策、法规和标准规范体系框架,制定国际开放互 认和生态圈形成机制。

二是明确 eID 法律支撑。研究确定立法需求, 包括在目前讨论的《中华人民共和国网络安全法》 中增加条款“由国家签发的 eID 作为公民网络身份 的信任源”。

三是制定符合我国国情和互联网发展特点的网 络空间身份认证技术路线。通过构建网络空间身份 管理技术体系,逐步限制和控制收集除法定的网络 服务必需留存的公民基础信息,加强公民个人信息 保护。

四是推动各行业、各地方的网络实名相关法规 将 eID 作为主要的实名认证方式,鼓励各行业、各 地方在发行的安全智能卡或设备中加载 eID。

五是制定未来 3 年的 eID 实施计划,逐步实现 eID 网络应用的大面积覆盖,进一步完善我国网络 身份管理体系,为我国改善网络社会治理环境、促 进网络诚信发挥重大作用,彰显党和政府在人民群 众心目中的服务力、公信力和凝聚力。