欧盟网络身份管理进展情况介绍

        随着人类活动不断向网络空间延伸，网络空间被视为继陆、海、空、天之后的“第五空间”，对国际政治、经济、文化、社会、军事等领域都产生了深刻影响。开展网络身份管理、确保网络主体身份可信、行为可追溯等已成为网络空间治理的重要内容。自20世纪90年代，随着互联网的发展和普及，电子政务、电子商务等网络服务日益兴起，且欧盟范围内跨境网络服务需求不断上升，这与当时欧盟大部分成员国之间基本无法通过网络提供跨境服务相矛盾。为推动电子政务的发展，方便各国公民与企业的跨国活动，构建欧盟单一数字市场，欧盟推出了电子身份证（eID）的网络身份管理形式，并从法律、标准、技术、应用试点等多方面做了大量工作和有益尝试，为eID应用普及扫清障碍。欧盟eID的实施，不仅增加了政府机构与公民之间数据传输的安全性，减少欺诈事件的发生，而且方便了欧盟公民使用eID享受其他成员国提供的服务。

    欧盟网络身份管理进展情况

      一、顶层设计已基本完成

    欧盟委员会2006年发布了《2010泛欧洲eID管理框架路线图》（以下简称《路线图》）从欧盟层面统筹规划了eID的实施，标志着欧盟推进eID的顶层设计方案已经成型。《路线图》提出要统一建设泛欧洲级别的eID管理框架，制定了为期5年的欧盟推进eID的时间安排及阶段计划，包括2006年确定身份认证模式、2007年建立通用eID框架、2008年完成各成员国eID的统一性、2009年欧盟完成国家eID的认可、2010年形成联合管理eID的工作机制等等。此外，《路线图》还确立了eID管理的核心原则，即在欧盟成员国推进eID过程中，以公民为中心，为公民服务并保障公民的隐私，并提出了欧盟成员国公民持有eID便可在任一成员国享受医疗保险等电子政务和电子商务服务的目标。2009年，欧盟委员会下设的欧洲网络与信息安全局又发布了《泛欧洲网络身份管理发展现状》，详细分析和论证了《路线图》的整体构架、目标以及阶段执行情况，并提出了下一步推进eID的具体建议：一是搭建欧盟统一的eID认证基础设施，继续开展eID跨境互认；二是探索形成跨境身份信息资源互换机制，有效克服成员国之间的法律壁垒，最终实现欧洲公民自由流动和无国界生活与工作。

    二、法律法规体系较为健全

         欧盟形成了较为完善的法律法规体系，规范eID和电子签名应用，保护持有者隐私权益。为推动电子签名应用、促进对电子签名法律效力的认可，早在1999年欧盟就颁布了《电子签名统一框架指令》，要求欧盟成员国纷纷进行指令的国内转化，陆续出台本国的电子签名相关法律法规。2002年，欧盟发布了《关于电子通信方面个人数据处理及隐私保护指令》，要求电子通信服务机构处理个人数据时，必须提供保护其服务的相应技术和手段。在成员国层面，2010年德国出台了《电子身份证条例》，明确了eID卡基础设施的安全和数据保护要求，类似的还有奥地利的《电子政务法案》，英国的《身份证法案》等。2012年，欧盟提出了《电子签名和电子身份证法规》草案，进一步对《欧盟电子签名统一框架指令》做了补充和完善。该草案围绕电子签名和电子身份证两项基本元素，提出创建一个无国界的欧盟数字单一市场，构建一个可预见的监管环境，该草案在充分尊重隐私和保护数据安全的基础上，保障各成员国企业和民众能够使用本国的电子身份证(eID)获得其他欧盟成员国提供的等同公共服务，并确保eID具有与传统的纸质文件同样的法律效力。2014年这一草案得到欧盟多数成员国认可，即将公开发布。

   三、技术创新成果丰硕

        欧盟非常重视技术创新，在密码算法、数字签名、身份认证等技术方面取得创新突破。2009年启动的欧盟最大的芯片卡研究项目BioPass，研制符合国际标准的eID卡，开发具有高安全性与互操作性的eID卡平台；2010-2015年欧盟委员会开展的ISA项目，通过研发搭建公共平台，包括敏感数据信息交换和共享平台、多语言服务平台、数据共享安全网络平台等，促进成员国的公共行政部门的合作；2012-2015年由德国弗劳恩霍夫工业工程研究所牵头的FutureID项目，开发了用于移动设备的eID客户端，为在线服务提供商开发功能多、易用性强的应用程序，并探索研究保障用户隐私不受侵犯的新技术新应用等。

   四、标准体系比较完善

        欧盟电子签名领域标准化工作起步较早，初步形成了较为合理的标准体系框架，相关标准不仅在欧盟范围内被广泛使用，在全球都具有广泛影响力。截止到2014年10月，欧盟制定的电子签名相关标准已达100余项。除了包括密码算法、签名设备、签名生成与验证等签名相关的基础技术标准外，近年来欧盟标准化工作重点关注可信应用和跨境互操作相关标准，制定了大量可信服务相关标准（包括支持电子签名的时间戳服务、证书服务、签名生成和验证服务标准等）、可信应用服务相关标准（包括应用电子签名的注册电子邮件、数据保存、电子发票标准等）以及可信服务状态列表相关标准（包括可信服务状态、可信服务提供商状态列表等）。电子签名标准体系日趋完善，且更加注重网络应用的可信性和互操作性。

    五、.应用取得显著进展

        在各成员国的支持和推动下欧盟eID应用取得了长足的进展。目前，多数欧盟成员国都颁布了eID发展规划，采用eID来解决网络应用中身份鉴别、认证、电子签名、数据保护等问题。据欧洲智能卡协会统计数据显示，截止到2013年底，欧盟国家累计发行的eID卡超过1.5亿张。其中，比利时、德国、意大利、西班牙等国家eID的普及率非常高，据统计，比利时1100万左右的人口中，eID的使用人数超过900万。eID广泛应用在电子政务、电子商务、金融支付等众多领域，并在一些电子政务公共服务中实现了eID的跨境互认，如可以作为欧洲旅行证件使用。

    欧盟网络身份管理主要特点

    一、通过立法保障网络身份管理和应用

        欧盟注重发挥立法对eID应用的保障和推动作用，坚持一手抓法律，一手推应用，立法工作不断适应新形势、解决新问题、引领新发展。在欧盟层面，随着技术和应用的发展，欧盟在1999年原有《电子签名统一框架指令》的基础上，2012年又提出了一个更为全面的关于电子签名和eID的法规——《电子签名和电子身份证法规》（草案），补充了eID的相关内容，明确了eID的法律效力，强化了法律的威慑力度，规范并推动了eID在欧盟范围内推广应用。在成员国层面，各国依据《电子签名统一框架指令》并根据本国国情，纷纷进行本地化立法，制定了二级法律法规。例如西班牙1999年制定了《电子签名条例》，比利时2001年制定了《电子签名和电子认证服务的法律》，德国2001年制定了《德国电子签名框架条件法》后，又于2010年出台了《电子身份证条例》，明确了eID卡基础设施的安全和数据保护要求。

    二、采取多种手段保障个人信息安全

        一方面，欧盟eID采用PKI技术来实现数据保护和防止伪造，多数国家是由政府机构颁发数字证书并存入到eID卡中，还有一些国家采用的是私营证书服务商，尽管欧盟对证书服务商不实行强制行政许可，但是很多国家都建立了自愿认可制度，设立了监管机构，对证书服务商的运营管理进行审计，保障安全。另一方面，合理利用生物识别技术，通过存储面部头像和指纹等生物特征来验证eID持有人的身份，提高eID应用的安全性和可用性，同时，为了保证eID上存储的生物特征具有一定的可读质量，可用于国际出入境检测，欧盟遵循ISO国际标准对如何采集图像和如何检查图像质量进行技术指导。此外，为了加强个人信息保护，德国采取的方式是，不将全部数据都存储在eID上，当需要使用某些信息时，可以通过特定的设备或装置，将信息临时存入射频芯片中，用完后可从卡中删除。

   三、以电子政务领域应用为抓手带动网络身份管理全面推广

         20世纪90年代，随着互联网的发展和普及，电子政务日益兴起。为推动电子政务的发展，方便各国公民与企业享受跨国公共服务，构建欧盟单一数字市场，欧盟推出了一系列电子政务计划。欧盟eID的实施正是源于电子政务计划。自1998年欧盟启动的第五次技术发展和示范研究框架计划（FP5）开始，到2002年的欧盟第六次技术发展和示范研究框架计划（FP6），再到2005年的i2010——促进增长和就业的欧洲信息社会，2008年的行动计划，2011年的欧盟数字化议程等等一系列计划，欧盟不仅围绕着电子政务开展研究，同时还加强了身份管理、隐私保护等方面的研究和实践，为eID的应用普及奠定了基础。欧盟以电子政务领域eID应用为抓手，不断拓展eID的应用领域，逐渐推广到电子商务、网上银行、医疗卫生等领域，同时还积极开展eID的跨境应用，带动eID在欧盟范围内全面推广。