國際網絡可信身份戰略研究及對我國的啟示

劉耀華

摘 要：網絡可信身份管理是網絡信息時代各國出于網絡安全及為公民提供相關服務的需要而對使用網絡服務主體進行管理的行為，涉及到相關政府部門、有關企業等多方主體。目前國際主要國家均針對網絡身份管理進行了頂層設計，并完善了有關立法，我國在這一領域也處于不斷發展完善過程中。文章旨在針對我國網絡身份管理的相關立法及政策總結問題、提出建議。

關鍵詞：網絡身份；網絡身份管理；隱私

中圖分類號：DF92 文獻標識碼：A

Research on trusted identity of international network and its enlightenment to china

Abstract： Trusted network identity management is the behavior of all countries in the era of network information for the purpose of network security and the provision of related services to citizens. It involves the government agencies and related enterprises. At present， all the major countries in the world have carried out the top-level design for network identity management and perfected the relevant legislation. Our country is also in the process of continuous development and improvement in this field. This paper aims at the legislation and policy summary of network identity management in China.

Key words： network identity； network identity management； privacy

1 引言

隨著人類活動不斷向網絡空間延伸，網絡空間被視為繼陸、海、空、天之后的“第五空間”，對國際政治、經濟、文化、社會、軍事等領域都產生了深刻影響。開展網絡身份管理、確保網絡主體身份可信、行為可追溯等已成為網絡空間治理的重要內容。國際主要國家如歐美地區均針對網絡身份進行了管理，不僅制定了頂層戰略設計規劃，而且完善了配套的技術標準、個人信息保護等各種法律法規及文件政策等。我國目前也有一些初步的政策和實踐經驗，但仍有待完善。

2 網絡身份相關理解

2.1 相關概念

2.1.1 網絡身份

網絡身份指的是在網絡空間中識別特定主體的數字化表述。Twitter前CEO Evan Williams曾發表博文，稱網絡身份已經成為網絡服務急需處理的最為棘手的問題之一，從某種程度上來講是因為“身份”這個詞涵蓋了不同的意義。網絡身份具有五大要素。

身份驗證：它關系到你是否具有某項操作的權限，就像是你身份證明上的照片、某張會員卡、家里或房門的一串鑰匙。

代表身份：它涉及到你的身份或你宣稱的身份，這和個人名片、個人資料一樣，因為它讓別人知道你的身份、職業等其他背景資料。

通訊：它涉及到“如何能聯系到你？”的問題。這和電話號碼一樣，不過如今涉及到更多的通訊工具，比如電子郵件、Twitter和Facebook。

個性特點：這里不僅僅是身份特征，而是開始判斷用戶的喜好和興趣，這就好比去一家常去的咖啡店，店家對你的口味十分熟悉，因此不需要詢問便可為你端上一杯你喜歡的飲品。

聲望：它是基于別人對你的看法，現實中類似的對照物是個人口碑、信貸機構等第三方組織等為你編譯的個人誠信檔案。

2.1.2 現實身份及身份認證技術

與網絡身份相對應的是現實身份，指的是在特定的現實環境中能夠識別特定主體的信息表述，如姓名、身份證號碼等?，F實身份無需借助網絡得到實現，但是網絡身份的實現則不能脫離現實身份，在某些情況下，網絡身份應當通過某些身份認證技術確保和現實身份達到一致，身份認證技術就是為了保證操作者的現實身份與網絡身份相對應而生的。

身份認證技術是在計算機網絡中確認操作者身份的過程而產生的解決方法。計算機網絡世界中一切信息包括用戶的身份信息都是用一組特定的數據來表示的，計算機只能識別用戶的網絡身份，所有對用戶的授權也是針對用戶網絡身份的授權。如何保證以網絡身份進行操作的操作者就是這個身份的合法擁有者，也就是說保證操作者的現實身份與網絡身份相對應，身份認證技術就是為了解決這個問題應運而生的。作為防護網絡資產和網絡信息的第一道關口，身份認證有著舉足輕重的作用。電子簽名則是現代認證技術的泛稱，并非是書面簽名的數字圖像化，它其實是一種電子代碼，利用它，收件人便能在網上輕松驗證發件人的身份和簽名。它還能驗證出文件的原文在傳輸過程中有無變動。

2.1.3 網絡可信身份體系

網絡可信身份體系是以密碼技術為基礎，包括法律法規、技術標準和基礎設施等內容，解決網絡應用中的身份認證、授權管理和責任認定問題的完整體系。而網絡用戶身份的有效標識和認證是其關鍵環節。貿法會在一次會議上總結了對網絡身份體系進行管理的概念：（a）用以在網上環境中管理個人、法律實體、設備或其他主體的身份識別、認證和授權的一套程序；（b）用于保證身份信息（如標識符、證書、屬性），保證實體身份，以及支持商業和安全應用目的的一系列功能和能力。

2.2 必要性和意義

網絡空間的虛擬性，以及用戶身份和行為的不確定性等因素， 給網絡空間管理和網絡信任體系建設造成了巨大困難，制約了網絡應用發展。網絡身份安全不僅影響到個人及財產安全，大規模身份數據甚至影響到國家安全。因此，迫切需要研究建設網絡可信身份體系。

2.2.1 保障網絡空間安全的需要

隨著社會生活對網絡依賴的不斷加深， 網絡空間安全已成為社會安全的一部分。正如實體社會的秩序保障依賴于對自然人的身份管理， 網絡空間的有序也離不開網絡可信身份管理。

2.2.2 有序開展電子政務、電子商務、信息共享等各類網絡的應用前提

網絡可信身份管理手段的缺失，將導致面向公眾的電子政務無法切實開展；網絡交易過程中，用戶身份確認是基本環節，而各類數據海量累計催生的大數據分析，也進一步增加了個人信息泄露的風險；網絡信息共享給人們帶來極大便利的同時，網絡謠言、網絡欺詐、淫穢信息傳播等問題也日趨嚴峻。網絡可信身份管理是電子政務、電子商務、信息共享等各類網絡應用有序開展的前提。

3 國際主要國家的網絡身份管理

3.1 美國網絡空間可信身份國家戰略

2011年4月，美國在以前的基礎上，公布《美國網絡空間可信身份國家戰略（NSTIC）》（National Strategy For Trusted Identities In Cyberspace），計劃用10年左右的時間，通過政府推動和產業界努力，建立一個以用戶為中心的身份生態體系。該方案將網絡空間身份認證管理提升為國家戰略，明確指出了美國可信身份體系的四個建設目標：建設綜合的身份生態系統框架；構建并實施彼此聯通的身份解決方案；提高身份生態系統的安全性，擴大參與范圍；保證身份生態系統的長期可用性。2016年4月15日，官方網站發表了一篇五年歷程回顧的文章——《WHOA-OH！ WERE HALFWAY THERE！ Happy NSTICiversary！》，主要是在NSTIC戰略五周年之際，通過一組數據比較美國這五年間的發展變化。

2011年，美國出臺戰略以來，市場不斷發展和成熟。政府通過不斷提高標準、技術等方面來驅動商業和政府來使用可信電子身份方式，為此，正在實行四種主要策略：合作、出版物、市場情報和通信。

標準的開發增加了身份解決方案的互操作性。在過去的5年里，取得了巨大的進步，開發了可以跨部門使用的以身份為中心的安全和隱私標準、協議和概要文件。有幾個項目正在利用OAuth 2.0，這是一種協議，允許用戶從服務提供商的站點向依賴方提供私有資源的訪問權；身份生態系統指導小組（IDESG）發布了身份生態系統框架（IDEF），其中包括組織遵守NSTIC指導原則的要求，以及補充指南和功能模型。

政府的使用不斷增多。數據顯示，2011年以來，美國政府部分在采用NSTIC解決方案，增強網絡安全與隱私方面取得很大進步，如在增強身份認證方面，2013財年美國商務部從30%增長到88%，2014財年，美國環保署從0%增長到69%?？倓帐鹩形鍌€部門對隱私增強技術進行操作實施。

企業對可信身份解決方案的使用也在不斷增加。NSTIC呼吁私營部門“引領這一身份生態系統的發展和實施”，企業已經加快步伐改善他們的身份管理。在過去的五年里，許多公司為用戶啟用了MFA的版本（有時為雙重認證或兩步驗證）：谷歌和臉書是在2011年啟用的，蘋果、推特、LinkedIn于2013年，Slack、Snapchat和Amazon是在2015年，Instagram于2016年開始啟用雙重認證。2012年開始，共出資設立了18個試點，推動NSTIC的使用，試點涉及了380萬人。

個人的使用也在增加。身份生態系統的成功在于越來越多的個人和組織使用，因為參與人數越多，個體獲得的價值越大。2013年只有25%的美國人使用雙重認證，2015年這一數據上升到了39%。

3.2 歐盟

頂層設計已基本完成。歐盟委員會 2006 年發布了《2010泛歐洲eID管理框架路線圖》（以下簡稱“路線圖”）從歐盟層面統籌規劃了eID的實施，標志著歐盟推進eID的頂層設計方案已經成型。路線圖提出要統一建設泛歐洲級別的eID管理框架，制定了為期5年的歐盟推進eID的時間安排及階段計劃。

法律法規體系較為健全。歐盟形成了較為完善的法律法規體系，規范 eID 和電子簽名應用，保護持有者隱私權益。為推動電子簽名應用、促進對電子簽名法律效力的認可，還頒布了《電子簽名統一框架指令》《關于電子通信方面個人數據處理及隱私保護指令》等。

技術創新成果豐碩。歐盟非常重視技術創新，在密碼算法、數字簽名、身份認證等技術方面取得創新突破，另外還通過研發搭建公共平臺，包括敏感數據信息交換和共享平臺、多語言服務平臺、數據共享安全網絡平臺等，促進成員國的公共行政部門的合作等。

標準體系比較完善。歐盟電子簽名領域標準化工作起步較早，初步形成了較為合理的標準體系框架，相關標準不僅在歐盟范圍內被廣泛使用，在全球都具有廣泛影響力。截止到 2014 年 10月，歐盟制定的電子簽名相關標準已達100余項。

應用取得顯著進展。在各成員國的支持和推動下歐盟 eID 應用取得了長足的進展。目前，多數歐盟成員國都頒布了 eID發展規劃，采用 eID 來解決網絡應用中身份鑒別、認證、電子簽名、數據保護等問題。

3.3 總結

從對美國及歐盟各個地區和國家的網絡身份管理的總結來看，這些國家凸顯了以下網路身份管理的特點。

一是網絡空間可信身份被提升為頂層戰略。美國2011年《網絡空間可信身份國家戰略》和歐盟2010年《泛歐洲eID管理框架路線圖》最為典型，但是二者具有不同的發展路徑，前者以推動第三方認證市場為主要發展路徑，后者則以推動國家統一電子身份、集中認證方式為主要發展路徑。

二是各國均基于本國傳統確立了網絡身份管理的實現模式。目前各國一般以自身的傳統身份管理模式為基礎實現網絡身份管理，進行線下到線上的遷移，在這一過程中充分體現度國家文化傳統、政府體制、線下身份管理傳統的尊重。政府在網絡身份管理中的作用一般在于建立臨界規模的身份驗證用戶和服務數量，協調身份體系。

三是所有國家高度重視隱私保護政策。所有國家都將應用現有隱私保護立法框架作為隱私保護主要政策工具，如一些國家提及對政府系統進行隱私影響評估（PIA），如澳大利亞、加拿大、盧森堡、新西蘭和美國等。

四是主要國家的基礎法律體系完備。如歐美完善的法律體系為網絡身份管理政策的實施提供了充分的法律保障，歐美均在隱私與個人數據保護、網絡與信息安全、網絡犯罪、電子簽名與認證機構等方面進行了立法。

4 我國網絡身份管理存在的立法問題及建議

4.1現行的立法及文件

我國的《網絡安全法》第24條規定：國家實施網絡可信身份戰略，支持研究開發安全、方便的電子身份認證技術，推動不同電子身份認證之間的互認。我國網絡電子身份管理政策法規從電子（數字）簽名、網絡實名制[5]、加強網絡信息保護等方面進行了初步推進。

2005年4月，我國頒布施行的《中華人民共和國電子簽名法》，規定可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力，確立了電子簽名的法律效力和依據。2000年中國香港出臺了《電子交易條例》，確立“電子合約”與“數字簽名”的有效性，明確指出了所認可的數字簽名應當是由非對稱密碼技術產生的數字簽名。

2005-2013年，教育部發布的《關于進一步加強高等學校校園網絡管理工作的意見》，明確提出在高校教育網實施網絡實名制；信息產業部發布的《非經營性互聯網信息服務備案管理辦法》規定，非經營性網站要辦理非營業性互聯網信息服務業務備案證；國家工商總局頒布的《網絡商品交易及有關服務行為管理暫行辦法》施行“網店實名”；國家文化部頒布的《網絡游戲管理暫行辦法》施行“網游實名”；國家財政部頒布的《互聯網銷售彩票管理暫行辦法》施行“彩票實名制”；工信部發布《電話用戶真實身份信息登記規定》和《電信和互聯網用戶個人信息保護規定》，要求用戶辦理固定電話、移動電話（含無線上網卡）時必須實名入網。

2012年12月，全國人大常委會審議了委員長會議通過的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，這一決定的立法目的是保護公民網絡信息不被泄露、篡改和濫用。在說明中指出，決定突出強調國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，對網絡服務提供者和其他企業事業單位收集、使用個人信息的規范及其保護個人電子信息的義務做出多項規定，政府有關部門及其工作人員對在履行職責中知悉的公民個人信息同樣負有保密和保護義務。

4.2 規范建議

第一，制定網絡空間可信身份國家戰略。按照政府主導、市場驅動的原則，由中央網信辦牽頭，聯合公安部、工信部、大型互聯網企業等，在研究分析現有方案的基礎上，制定網絡空間可信身份國家戰略。一是建立分等級的身份服務機制，根據不同的業務安全需求，采用不同等級的安全技術。二是明確各參與方的角色和職責，完善相關法律法規和政策文件，制定框架、接口、協議等方面標準，推動可信身份服務產業發展。

第二，建立全國性基于PKI的第三方網絡可信身份服務體系。PKI體系安全性較高，獲得業界普遍認可。一是建議以PKI體系中的CA機構為主，以互聯網企業等其他身份服務提供商為輔，建立全國性的網絡可信身份服務體系。同時，以唯一序列號作為身份鑒證環節依據，提高現有網絡身份服務提供商的隱私保護能力。二是建立健全網絡身份服務提供商資質管理制度及系統互連互通等標準，引入第三方評估機制，規范網絡身份服務提供商的市場環境。

第三，發展基于大數據的用戶行為分析的增強型可信身份服務。為滿足多樣化的應用需求，將基于大數據的用戶行為分析作為可信身份服務的輔助手段，發展增強型可信身份服務。一是支持大型互聯網企業建立網絡實體行為大數據分析中心，在日常網絡交易中開展試點，基于異常行為分析，確定操作者網絡身份的真實性，或對某些關鍵操作進行限制。二是支持大型互聯網企業加強大數據等技術研發，在強化對用戶行為分析的同時，加強對用戶隱私的保護。

參考文獻

[1] Traceyxiang.網絡身份的五大要素[EB/OL]. http：//tech.qq.com/a/20110418/000337.htm， 2011年04月18日.

[2] 鐘紅山.網絡實名與數字身份[J].數字技術與應用，2015.6： 1-2.

[3] 張偉麗.構建國家網絡可信身份體系的相關思考[J].技術天地，2016.12： 2-3.

[4] 陳兵.網絡身份管理發展趨勢研究[J].網絡安全，2011.3： 2-3.

[5] 荊繼武.網絡可信身份管理的現狀與趨勢[J].信息安全研究，2016.7： 1-3.

[6] 楊明慧.奧地利網絡身份管理現狀與啟示[J].計算機與數字工程，2014.5： 1-2.

[7] 胡傳平.全球主要國家和地區網絡電子身份管理發展與應用[J].中國工程科學，2016.18： 1-2.

[8] 鄒翔.網絡電子身份管理政策法規研究[J].中國工程科學，2016.6： 1-2.

[9] 顧青.網絡可信身份管理體系研究[J].技術應用，2015.9： 1-2.

[10] 劉素清.網絡信息的安全帶網絡身份管理技術[J].信息通信，2016.9： 1-2.