網絡電子身份管理政策法規研究

鄒翔，胡傳平，方濱興，陳兵

（1. 中華人民共和國公安部第三研究所，上海 200031；2. 中國網絡空間安全協會，北京 100010）

網絡電子身份管理政策法規研究

鄒翔1，胡傳平1，方濱興2，陳兵1

（1. 中華人民共和國公安部第三研究所，上海 200031；2. 中國網絡空間安全協會，北京 100010）

本文對世界主要國家和地區網絡電子身份管理的政策、法律法規等情況進行了全面分析與梳理，并結合我國網絡身份管理發展國情，提出“十三五”期間我國網絡電子身份管理政策法規的發展思路和建設性意見，以期為“十三五”期間我國網絡身份管理發展政策法規的制定和修訂工作提供借鑒和參考。

網絡電子身份；身份管理；政策法規

DOI 10.15302/J-SSCAE-2016.06.005

一、前言

網絡已成為繼陸地、海洋、天空、太空之后的第五大戰略空間。中共中央總書記習近平指出：“沒有網絡安全，就沒有國家安全?！本W絡空間安全已上升至國家安全戰略的高度。網絡空間身份管理是構建可信網絡空間的重要基礎，直接影響網絡空間安全。美國等西方國家對此高度重視，幾年前已先后將網絡空間身份管理作為其國家安全戰略，著力加強總體規劃，加快部署實施。當前我國網絡空間身份管理相對滯后，如不從戰略高度加快頂層設計部署和基礎設施建設，將嚴重威脅我國的國家安全和網絡空間安全。

為此，本研究對世界各主要國家和地區網絡電子身份管理的政策、法律法規等情況進行了全面的分析與梳理，并結合我國網絡身份管理發展國情，提出“十三五”期間我國網絡電子身份管理政策法規的發展思路和建設性意見，以期為“十三五”期間我國網絡身份管理發展政策法規的制定和修訂工作提供借鑒和參考。

二、國外主要國家和地區網絡電子身份管理政策法規

當今世界各國社會運轉與網絡密不可分，日益嚴峻的網絡空間安全形勢給維護國家安全和社會穩定、商業信用及電子交易安全等方面帶來了巨大的挑戰。全球很多國家都已圍繞網絡空間身份管理，從戰略計劃、標準、法律法規等方面開展了大規模的戰略部署與實施。下面重點對歐盟及成員國、美國以及亞洲的韓國、日本等具有代表性的國家和地區進行闡述。

（一）歐盟及成員國

歐盟采用網絡電子身份證（eID）作為網絡身份管理[1]的實施方法，其政策法規體系建設從戰略層面注重頂層設計到個人數據隱私權及跨境自由流動、電子簽名法律效力、跨境運行的電子身份及可信服務、電子身份證法等方面，確保了eID有效實施和推進[2,3]。

1. 從戰略計劃層面注重頂層設計規劃

自2000年開始，在“i2010戰略計劃”“歐洲電子政務行動計劃2011—2015”“歐洲2020戰略計劃”中，歐盟委員會從歐盟層面統籌規劃了eID的實施，提出要統一建設泛歐洲級別的eID管理框架。迄今，歐盟制定的網絡身份管理相關技術標準已達100余項，包括電子簽名算法、簽名設備、簽名生成等基礎技術標準，時間戳服務、驗證服務等可信服務標準，以及跨境互操作相關標準。

2. 強調個人數據隱私權及跨境自由流動

1995年歐盟頒布了《關于個人數據的處理保護以及個人數據的自由流動的指令》，強調了歐盟成員國應當保護自然人的基本權利和自由，尤其是處理個人數據的隱私權。成員國不得以任何理由限制或者禁止個人數據在各個成員國之間的自由流動。德國1997年出臺了《信息和通訊服務規范法》，以及2002年頒布、2006年修訂的《德國聯邦數據保護法》，涉及較多用戶數據保護的內容。

3. 確立電子簽名法律效力基礎

1999年歐盟發布了《關于建立電子簽名共同法律框架的指令》，確立了面向電子簽名和相關證明服務的法律框架，其主要目標是促進歐盟各國國內電子簽名市場的發展，確保電子簽名的法律效力，為相關的電子商務活動創造合適的環境。德國1997年出臺了《電子簽名法》及2001年公布了《德國電子簽名框架條件法》，以國家立法的形式對公民的電子簽名進行強有力的保護。

4. 規范跨境運行的電子身份及可信服務

歐盟2006年頒布了《有關盟內服務貿易市場的第2006/123/EC號指令》，并于2014年頒布了《內部市場電子交易中的電子身份和可信服務規范》，確保歐盟成員國的人員、商務可以使用其自己國家的eID訪問他國的公共服務；創建歐洲電子可信服務市場，主要包括電子簽名、電子印章、時間戳、電子文件傳輸、網站認證等；確保各國eID跨境運作時有同樣的法律狀態。其配套政策包括關于電子身份（eID）的實施及關于電子可信服務實施的各個委員會的實施規定和決議。

5. 確立電子身份證法

德國2009年頒布了《個人身份卡法案》，制定了網絡電子身份標識eID的整體法律框架，為在線認證建立身份管理系統（IdMS）。該法律從各個方面對德國eID實施的約束規范以及立法實現做了詳細的規定。德國2010年頒布了《電子身份證條例》，明確規定了德國新一代身份卡（德國eID卡）基礎設施的安全和數據保護要求；同年還頒布了《身份費用條例》，規定了電子身份卡的收費標準和計算公式。

（二）美國

美國網絡電子身份管理的政策法規體系建設從國家戰略層面、電子簽名法律效力、網絡和信息安全、個人網絡身份驗證等方面，保障了網絡電子身份管理的有效實施和推進[4]。

1. 從國家戰略層面進行頂層設計

美國2011年4月頒布了《網絡空間可信身份國家戰略》，計劃用10年的時間構建一個網絡身份生態體系，推動個人和組織在網絡上使用安全、高效、易用的身份解決方案。旨在謀求對網絡空間的主導權和控制權，并希望通過繁榮網絡經濟再次引領世界經濟新潮流，占領未來全球經濟的制高點。

2. 確立電子簽名法律效力

美國2000年頒布了《聯邦電子簽名法》，使電子簽名獲得與手寫簽名平等的法律地位，掃除了使用電子技術制定、簽署合同，收集和儲存文件以及發送通知的法律障礙。

3. 強調網絡和信息安全

美國2002年頒布的《聯邦信息安全管理法》和2009年頒布的《網絡安全法案》，確立了美國聯邦信息系統安全的總體制度框架，明確了管理責任，強調了網絡和信息安全方面的內容。

4. 關注個人網絡身份驗證

2004年8月，美國出臺了第12號國土安全總指令（HSPD-12），為政府部門管理聯邦雇員與合同制雇員提供了一套新型身份管理標準策略。為了響應HSPD-12，美國國家標準與技術研究院發布了聯邦信息處理標準，目的是為政府職員和承包商制定個人身份驗證（PIV）標準。此項標準的身份識別定義了技術需求及框架，明確了用于聯邦身份識別系統里所需要的所有技術標準。

（三）韓國和日本

韓國、日本的網絡電子身份管理政策法規著重于電子（數字）簽名、認證服務、個人信息保護等方面，有力促進了網絡電子身份管理的應用發展[4]。

1. 確立電子（數字）簽名法律地位

韓國1997年頒布了《電子商務基本法》，該法對數字簽名等基本概念做出了定義；對通信信息的有效性作了規定。2000年日本頒布了《電子簽名和認證服務法》，涉及電子簽名的立法原則、宗旨、電子簽名的種類與效力以及對電子簽名犯罪的懲罰等內容。

2. 強調認證服務的法律效力

日本2000年頒布的《電子簽名和認證服務法》，強調了認證機關的職能及其認證條件、承認外國認證機關頒發的電子說明書的效力問題以及對電子簽名犯罪的懲罰等內容。

3. 關注個人信息保護

韓國1997年頒布的《電子商務基本法》，詳細地規定了個人信息安全方面的內容，包括收集、處理、發送或儲存等。日本2003年頒布的《個人信息保護法》，制定了個人信息保護的基本方針和個人信息的正當處理內容，旨在協調國家以及地方公共團體，從而對個人信息進行強有力的保護。

三、我國網絡電子身份管理政策法規

我國網絡電子身份管理政策法規從電子（數字）簽名、網絡實名制[5]、加強網絡信息保護等方面進行了初步推進。

（一）確立電子簽名法律地位

2005年4月，我國頒布施行的《中華人民共和國電子簽名法》，規定可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力，確立了電子簽名的法律效力和依據。2000年中國香港出臺了《電子交易條例》，確立“電子合約”與“數字簽名”的有效性，明確指出了所認可的數字簽名應當是由非對稱密碼技術產生的數字簽名。

（二）制定網絡實名制法規

2005—2013年，教育部發布的《關于進一步加強高等學校校園網絡管理工作的意見》，明確提出在高校教育網實施網絡實名制；信息產業部發布的《非經營性互聯網信息服務備案管理辦法》規定，非經營性網站要辦理非營業性互聯網信息服務業務備案證；國家工商總局頒布的《網絡商品交易及有關服務行為管理暫行辦法》施行“網店實名”；國家文化部頒布的《網絡游戲管理暫行辦法》施行“網游實名”；國家財政部頒布的《互聯網銷售彩票管理暫行辦法》施行“彩票實名制”；工信部發布《電話用戶真實身份信息登記規定》和《電信和互聯網用戶個人信息保護規定》，要求用戶辦理固定電話、移動電話（含無線上網卡）時必須實名入網[6～11]。

（三）強調加強網絡信息保護

2012年12月，全國人大常委會審議了委員長會議通過的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，這一決定的立法目的是保護公民網絡信息不被泄露、篡改和濫用。全國人大常委會法工委副主任李飛在說明中指出，決定突出強調國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，對網絡服務提供者和其他企業事業單位收集、使用個人信息的規范及其保護個人電子信息的義務做出多項規定，政府有關部門及其工作人員對在履行職責中知悉的公民個人信息同樣負有保密和保護義務[12]。

四、對我國網絡電子身份管理政策法規的思考與建議

通過以上主要國家和地區網絡電子身份管理政策法規分析,結合我國國情，對我國網絡電子身份管理政策法規體系建設提出以下建議：

一是從國家戰略層面注重頂層設計，明確eID的法律支撐。研究確定立法需求，包括在目前討論的《中華人民共和國網絡安全法》中增加條款“由國家簽發的eID作為公民網絡身份的信任源”，并制定《網絡電子身份證法》。

二是網絡身份管理法律法規推進路線應當借鑒現實社會的身份管理機制，根據不同場景應用網絡身份證。現實生活中，我們在乘坐飛機、搭乘火車、入住賓館、銀行開戶、證券開戶等事關人身安全和社會公共安全的場合都需要出示公安機關頒發的公民身份證，進行真實身份信息的核查，但在逛街購物、飯店就餐、景點旅游、觀看電影等場合并不需要實名。事實上在網絡空間也是一樣，各類互聯網應用可以劃分為三個區間：第一個區間是所謂的注冊實名和使用實名，即事關金融安全、個人財產安全和社會公共安全的場合，如大額電子商務、金融交易和與個人相關的政府網上公共服務等網絡活動中需要進行真實身份驗證；第二個區間是注冊實名使用匿名，如網絡游戲、電子郵件等應用，在使用應用時，人們不希望以實名形式出現，而在賬號出現被盜取和丟失問題時，需要通過真實身份驗證找回賬戶等虛擬財物；第三個區間是注冊匿名、使用匿名，如網上瀏覽。網絡業務處于哪一個區間或適用何種程度的網絡身份管理，應當取決于用戶的意愿和業務的需要，才能得到民眾的認同和接受。

三是網絡身份管理法律法規制定的目的應當以國家和公民的安全和權益為中心。當前網絡環境下，個人在使用不同的互聯網應用時需要提供不同的賬戶名和密碼，并且用戶每申請一次賬戶，就必須提交相關的個人信息，這也埋下了隱私泄露的隱患。必須建立完善的個人信息保護法律制度和有效的法律執行機制，嚴格規范身份信息使用范圍和方法，減少用戶為申請賬戶提交個人信息的環節，降低隱私泄露風險，避免身份信息的盜取和濫用，可有效保障個人隱私安全。各國在推行數字身份管理戰略時都十分重視建立完善的個人信息保護法律框架和有效的法律執行機制。美國及歐盟還將在技術層面采用嚴格的隱私保護政策，要求服務提供商收集、使用、披露用戶信息的各個環節，從技術層面做好相應的隱私保護設計和風險評估工作。

四是在制定網絡身份管理法律法規的過程中應當充分發揮各方作用。以美國為例，2011年發布的《網絡空間可信身份國家戰略》將身份認證界定為一種市場服務活動，既存在著企業和用戶對于網絡安全與隱私保護的需求，也存在著滿足上述需求的市場供給。在網絡身份生態系統中，個人用戶、服務提供商、政府都將發揮重要作用，并且彼此制約和相互影響，其中由市場機制主導系統的正常運作，而政府則在其中發揮引領、協調和整合作用。我國網絡身份管理法律法規應該體現國家和社會各實體的權益、義務和責任。

[1]Identity management [EB/OL]. (2016-09-02) [2016-09-10]. http:// en.wikipedia.org/wiki/Identity_management.

[2]European Commission. i2010-A European information society for growth and employment [R/OL]. Brussels: Communication department of the European Commission. (2005-06-01) [2016-09-10]. http://europa.eu/rapid/press-release_MEMO-05-184_en.htm.

[3]European Commission. A roadmap for a pan-European eIDM Framework by 2010 [R/OL]. Brussels: Brussels: Communication department of the European Commission. (2010-02-01) [2016-09-10]. http://www.statewatch.org/news/2008/jul/eu-com-eidmroadmap-paper.pdf.

[4]胡傳平,鄒翔,楊明慧,等. 全球網絡身份管理現狀與發展[M].北京:人民郵電出版社, 2014. Hu C P, Zou X, Yang M H, et al. Status and development of global network identity management [M]. Beijing: People’s Posts and Telecommunications Press, 2014.

[5]網絡實名制[EB/OL]. (2015-05-22) [2016-09-10]. http://baike. baidu.com/view/731760.htm. Network real-name system [EB/OL]. (2015-05-22) [2016-09-10]. http://baike.baidu.com/view/731760.htm.

[6]中華人民共和國教育部,共青團中央. 關于進一步加強高等學校校園網絡管理工作的意見[EB/OL]. (2010-05-23) [2016-09-10]. http://www.ssbgzzs.com/txt/2010-05/23/content_3525176.htm.Ministry of Education of the People’s Republic of China, Central Committee of the Communist Youth League. Opinions on further strengthening the management of campus network in colleges and universities [EB/OL]. (2010-05-23) [2016-09-10]. http://www. ssbgzzs.com/txt/2010-05/23/content_3525176.htm.

[7]深圳市公安局網監分局. 關于開展網絡公共信息服務場所清理整治工作的通知[EB/OL]. (2005-07-20) [2016-09-10]. http:// news.qq.com/a/20050720/001544.htm. Shenzhen City Public Security Bureau Network Administration. Notice on carrying out the work of cleaning up and rectification of public information service sites in the network [EB/OL]. (2005-07-20) [2016-09-10]. http://news.qq.com/a/20050720/001544.htm.

[8]中華人民共和國文化部,信息產業部. 關于網絡游戲發展和管理的若干意見[EB/OL]. (2005-08-04) [2016-09-10]. http://www. gov.cn/jrzg/2005-08/04/content_20403.htm. Ministry of Culture, Ministry of Information Industry of the People’s Republic of China. Some suggestions on the development and management of online game [EB/OL]. (2005-08-04) [2016-09-10]. http://www.gov.cn/jrzg/2005-08/04/content_20403.htm.

[9]中華人民共和國國家工商行政管理總局. 網絡商品交易及有關服務行為管理暫行辦法[EB/OL]. (2010-06-01) [2016-09-10]. http://www.gov.cn/gzdt/2010-06/01/content_1618532.htm. State Administration for Industry and Commerce of the People’s Republic of China. Interim measures for the administration of online commodity trading and related services [EB/OL]. (2010-06-01) [2016-09-10]. http://www.gov.cn/gzdt/2010-06/01/content_1618532.htm.

[10]中華人民共和國文化部. 網絡游戲管理暫行辦法[EB/OL]. (2010-06-22) [2016-09-10]. http://www.gov.cn/flfg/2010-06/22/ content_1633935.htm. Ministry of Culture of the People’s Republic of China. Interim measures for the administration of online games [EB/OL]. (2010-06-22) [2016-09-10]. http://www.gov.cn/flfg/2010-06/22/content_1633935.htm.

[11]中華人民共和國財政部. 互聯網銷售彩票管理暫行辦法[EB/ OL]. (2010-10-09) [2016-09-10]. http://www.gov.cn/fwxx/ sh/2010-10/09/content_1718158.htm. Ministry of Finance of the People’s Republic of China. Interim measures for the administration of Internet sales of lottery tickets [EB/OL]. (2010-10-09) [2016-09-10]. http://www.gov.cn/fwxx/ sh/2010-10/09/content_1718158.htm.

[12]全國人民代表大會常務委員會. 關于加強網絡信息保護的決 定 [EB/OL]. (2012-12-29) [2016-09-10]. http://www.gov.cn/ jrzg/2012-12/28/content_2301231.htm. Member of the Standing Committee of the National People’s Congress. Decision on strengthening the protection of network information [EB/OL]. (2012-12-29) [2016-09-10]. http://www.gov. cn/jrzg/2012-12/28/content_2301231.htm.

A Study on the Policies and Regulations of Network Electronic Identity Management

Zou Xiang1, Hu Chuanping1, Fang Binxing2, Chen Bing1
(1.The Third Research Institute of the Ministry of Public Security of the People’s Republic of China, Shanghai 200031, China; 2. CyberSecurity Association of China, Beijing 100010, China)

This paper analyzes and sorts out the policies, laws, and regulations of network electronic identity management in major countries, regions in foreign countries, and China. It discusses the development of China’s network identity management, and outlines the 13th Five-Year Plan’s policies and regulations for network electronic identity management in China, including the development of ideas and constructive suggestions, the strengthening of network space identity management, and the construction of a network space identity management system.

network electronic identity; identity management; policies and regulations

TP39

A

2016-09-10；

2016-09-20

鄒翔，中華人民共和國公安部第三研究所，研究員，研究方向為網絡安全、大數據應用；E-mail: xzou@eid.net.cn

中國工程院重大咨詢項目“網絡空間安全戰略研究”(2015-ZD-10)

本刊網址：www.enginsci.cn