一、前言
网络已成为继陆地、海洋、天空、太空之后的 第五大战略空间。中共中央总书记习近平指出:“没 有网络安全,就没有国家安全。”网络空间安全已 上升至国家安全战略的高度。网络空间身份管理是 构建可信网络空间的重要基础,直接影响网络空间 安全。美国等西方国家对此高度重视,几年前已先 后将网络空间身份管理作为其国家安全战略,着力 加强总体规划,加快部署实施。当前我国网络空间 身份管理相对滞后,如不从战略高度加快顶层设 计部署和基础设施建设,将严重威胁我国的国家 安全和网络空间安全。
为此,本研究对世界各主要国家和地区网络电子身份管理的政策、法律法规等情况进行了全面的 分析与梳理,并结合我国网络身份管理发展国情, 提出“十三五”期间我国网络电子身份管理政策法 规的发展思路和建设性意见,以期为“十三五”期 间我国网络身份管理发展政策法规的制定和修订工 作提供借鉴和参考。
二、国外主要国家和地区网络电子身份管理 政策法规
当今世界各国社会运转与网络密不可分,日益 严峻的网络空间安全形势给维护国家安全和社会稳 定、商业信用及电子交易安全等方面带来了巨大的 挑战。全球很多国家都已围绕网络空间身份管理, 从战略计划、标准、法律法规等方面开展了大规模 的战略部署与实施。下面重点对欧盟及成员国、美 国以及亚洲的韩国、日本等具有代表性的国家和地 区进行阐述。
(一)欧盟及成员国
欧盟采用网络电子身份证(eID)作为网络身 份管理 [1] 的实施方法,其政策法规体系建设从战略 层面注重顶层设计到个人数据隐私权及跨境自由流 动、电子签名法律效力、跨境运行的电子身份及可 信服务、电子身份证法等方面,确保了 eID 有效实 施和推进 [2,3]。
1. 从战略计划层面注重顶层设计规划
2000 年开始,在“i2010 战略计划”“欧洲 电子政务行动计划 2011—2015”“欧洲 2020 战略计 划”中,欧盟委员会从欧盟层面统筹规划了 eID 的 实施,提出要统一建设泛欧洲级别的 eID 管理框架。 迄今,欧盟制定的网络身份管理相关技术标准已达 100 余项,包括电子签名算法、签名设备、签名生 成等基础技术标准,时间戳服务、验证服务等可信 服务标准,以及跨境互操作相关标准。
2. 强调个人数据隐私权及跨境自由流动
1995 年欧盟颁布了《关于个人数据的处理保护 以及个人数据的自由流动的指令》,强调了欧盟成 员国应当保护自然人的基本权利和自由,尤其是处 理个人数据的隐私权。成员国不得以任何理由限制 或者禁止个人数据在各个成员国之间的自由流动。 德国 1997 年出台了《信息和通讯服务规范法》,以 及 2002 年颁布、2006 年修订的《德国联邦数据保 护法》,涉及较多用户数据保护的内容。
3. 确立电子签名法律效力基础
1999 年欧盟发布了《关于建立电子签名共同法 律框架的指令》,确立了面向电子签名和相关证明 服务的法律框架,其主要目标是促进欧盟各国国内 电子签名市场的发展,确保电子签名的法律效力, 为相关的电子商务活动创造合适的环境。德国 1997 年出台了《电子签名法》及 2001 年公布了《德国 电子签名框架条件法》,以国家立法的形式对公民 的电子签名进行强有力的保护。
4. 规范跨境运行的电子身份及可信服务
欧盟 2006 年颁布了《有关盟内服务贸易市场 的第 2006/123/EC 号指令》,并于 2014 年颁布了《内 部市场电子交易中的电子身份和可信服务规范》, 确保欧盟成员国的人员、商务可以使用其自己国家 的 eID 访问他国的公共服务;创建欧洲电子可信服 务市场,主要包括电子签名、电子印章、时间戳、 电子文件传输、网站认证等;确保各国 eID 跨境运 作时有同样的法律状态。其配套政策包括关于电子 身份(eID)的实施及关于电子可信服务实施的各 个委员会的实施规定和决议。
5. 确立电子身份证法
德国 2009 年颁布了《个人身份卡法案》,制定 了网络电子身份标识 eID 的整体法律框架,为在线 认证建立身份管理系统(IdMS)。该法律从各个方 面对德国 eID 实施的约束规范以及立法实现做了详 细的规定。德国 2010 年颁布了《电子身份证条例》, 明确规定了德国新一代身份卡(德国 eID 卡)基础 设施的安全和数据保护要求;同年还颁布了《身份 费用条例》,规定了电子身份卡的收费标准和计算 公式。
(二)美国
美国网络电子身份管理的政策法规体系建设从 国家战略层面、电子签名法律效力、网络和信息安 全、个人网络身份验证等方面,保障了网络电子身 份管理的有效实施和推进 [4]。
1. 从国家战略层面进行顶层设计
美国 2011 年 4 月颁布了《网络空间可信身份 国家战略》,计划用 10 年的时间构建一个网络身份 生态体系,推动个人和组织在网络上使用安全、高效、易用的身份解决方案。旨在谋求对网络空间的 主导权和控制权,并希望通过繁荣网络经济再次引 领世界经济新潮流,占领未来全球经济的制高点。
2. 确立电子签名法律效力
美国 2000 年颁布了《联邦电子签名法》,使电 子签名获得与手写签名平等的法律地位,扫除了使 用电子技术制定、签署合同,收集和储存文件以及 发送通知的法律障碍。
3. 强调网络和信息安全
美国 2002 年颁布的《联邦信息安全管理法》 和 2009 年颁布的《网络安全法案》,确立了美国联 邦信息系统安全的总体制度框架,明确了管理责任, 强调了网络和信息安全方面的内容。
4. 关注个人网络身份验证
2004 年 8 月,美国出台了第 12 号国土安全总 指令(HSPD-12),为政府部门管理联邦雇员与合 同制雇员提供了一套新型身份管理标准策略。为了 响应 HSPD-12,美国国家标准与技术研究院发布了 联邦信息处理标准,目的是为政府职员和承包商制 定个人身份验证(PIV)标准。此项标准的身份识 别定义了技术需求及框架,明确了用于联邦身份识 别系统里所需要的所有技术标准。
(三)韩国和日本
韩国、日本的网络电子身份管理政策法规着重 于电子(数字)签名、认证服务、个人信息保护等 方面,有力促进了网络电子身份管理的应用发展 [4]。
1. 确立电子(数字)签名法律地位
韩国 1997 年颁布了《电子商务基本法》,该法 对数字签名等基本概念做出了定义;对通信信息的 有效性作了规定。2000 年日本颁布了《电子签名 和认证服务法》,涉及电子签名的立法原则、宗旨、 电子签名的种类与效力以及对电子签名犯罪的惩罚 等内容。
2. 强调认证服务的法律效力
日本 2000 年颁布的《电子签名和认证服务法》, 强调了认证机关的职能及其认证条件、承认外国认 证机关颁发的电子说明书的效力问题以及对电子签 名犯罪的惩罚等内容。
3. 关注个人信息保护
韩国 1997 年颁布的《电子商务基本法》,详细 地规定了个人信息安全方面的内容,包括收集、处 理、发送或储存等。日本 2003 年颁布的《个人信 息保护法》,制定了个人信息保护的基本方针和个 人信息的正当处理内容,旨在协调国家以及地方公 共团体,从而对个人信息进行强有力的保护。
三、我国网络电子身份管理政策法规
我国网络电子身份管理政策法规从电子(数字) 签名、网络实名制 [5]、加强网络信息保护等方面进 行了初步推进。
(一)确立电子签名法律地位
2005 年 4 月,我国颁布施行的《中华人民共和 国电子签名法》,规定可靠的电子签名与手写签名 或者盖章具有同等的法律效力,确立了电子签名的 法律效力和依据。2000 年中国香港出台了《电子交 易条例》,确立“电子合约”与“数字签名”的有 效性,明确指出了所认可的数字签名应当是由非对 称密码技术产生的数字签名。
(二)制定网络实名制法规
2005—2013 年,教育部发布的《关于进一步 加强高等学校校园网络管理工作的意见》,明确提 出在高校教育网实施网络实名制;信息产业部发布 的《非经营性互联网信息服务备案管理办法》规定, 非经营性网站要办理非营业性互联网信息服务业务 备案证;国家工商总局颁布的《网络商品交易及有 关服务行为管理暂行办法》施行“网店实名”;国 家文化部颁布的《网络游戏管理暂行办法》施行“网 游实名”;国家财政部颁布的《互联网销售彩票管 理暂行办法》施行“彩票实名制”;工信部发布《电 话用户真实身份信息登记规定》和《电信和互联网 用户个人信息保护规定》,要求用户办理固定电话、 移动电话(含无线上网卡)时必须实名入网 [6~11]。
(三)强调加强网络信息保护
2012 年 12 月,全国人大常委会审议了委员长 会议通过的《全国人民代表大会常务委员会关于加 强网络信息保护的决定》,这一决定的立法目的是 保护公民网络信息不被泄露、篡改和滥用。全国人 大常委会法工委副主任李飞在说明中指出,决定突 出强调国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,对网络服务提供者和其他企 业事业单位收集、使用个人信息的规范及其保护个 人电子信息的义务做出多项规定,政府有关部门及 其工作人员对在履行职责中知悉的公民个人信息同 样负有保密和保护义务 [12]。
四、对我国网络电子身份管理政策法规的思 考与建议
通过以上主要国家和地区网络电子身份管理政 策法规分析 , 结合我国国情,对我国网络电子身份 管理政策法规体系建设提出以下建议:
一是从国家战略层面注重顶层设计,明确 eID 的法律支撑。研究确定立法需求,包括在目前讨论 的《中华人民共和国网络安全法》中增加条款“由 国家签发的 eID 作为公民网络身份的信任源”,并 制定《网络电子身份证法》。
二是网络身份管理法律法规推进路线应当借鉴 现实社会的身份管理机制,根据不同场景应用网 络身份证。现实生活中,我们在乘坐飞机、搭乘 火车、入住宾馆、银行开户、证券开户等事关人 身安全和社会公共安全的场合都需要出示公安机 关颁发的公民身份证,进行真实身份信息的核查, 但在逛街购物、饭店就餐、景点旅游、观看电影 等场合并不需要实名。事实上在网络空间也是一 样,各类互联网应用可以划分为三个区间:第一 个区间是所谓的注册实名和使用实名,即事关金 融安全、个人财产安全和社会公共安全的场合, 如大额电子商务、金融交易和与个人相关的政府 网上公共服务等网络活动中需要进行真实身份验 证;第二个区间是注册实名使用匿名,如网络游 戏、电子邮件等应用,在使用应用时,人们不希 望以实名形式出现,而在账号出现被盗取和丢失 问题时,需要通过真实身份验证找回账户等虚拟 财物;第三个区间是注册匿名、使用匿名,如网 上浏览。网络业务处于哪一个区间或适用何种程 度的网络身份管理,应当取决于用户的意愿和业 务的需要,才能得到民众的认同和接受。
三是网络身份管理法律法规制定的目的应当以 国家和公民的安全和权益为中心。当前网络环境下, 个人在使用不同的互联网应用时需要提供不同的账 户名和密码,并且用户每申请一次账户,就必须提 交相关的个人信息,这也埋下了隐私泄露的隐患。 必须建立完善的个人信息保护法律制度和有效的 法律执行机制,严格规范身份信息使用范围和方 法,减少用户为申请账户提交个人信息的环节, 降低隐私泄露风险,避免身份信息的盗取和滥用, 可有效保障个人隐私安全。各国在推行数字身份 管理战略时都十分重视建立完善的个人信息保护 法律框架和有效的法律执行机制。美国及欧盟还 将在技术层面采用严格的隐私保护政策,要求服 务提供商收集、使用、披露用户信息的各个环节, 从技术层面做好相应的隐私保护设计和风险评估 工作。
四是在制定网络身份管理法律法规的过程中应 当充分发挥各方作用。以美国为例,2011 年发布的 《网络空间可信身份国家战略》将身份认证界定为 一种市场服务活动,既存在着企业和用户对于网络 安全与隐私保护的需求,也存在着满足上述需求的 市场供给。在网络身份生态系统中,个人用户、服 务提供商、政府都将发挥重要作用,并且彼此制约 和相互影响,其中由市场机制主导系统的正常运作, 而政府则在其中发挥引领、协调和整合作用。我国 网络身份管理法律法规应该体现国家和社会各实体 的权益、义务和责任。