劉耀華

摘 要：網(wǎng)絡可信身份管理是網(wǎng)絡信息時代各國出于網(wǎng)絡安全及為公民提供相關(guān)服務的需要而對使用網(wǎng)絡服務主體進行管理的行為，涉及到相關(guān)政府部門、有關(guān)企業(yè)等多方主體。目前國際主要國家均針對網(wǎng)絡身份管理進行了頂層設(shè)計，并完善了有關(guān)立法，我國在這一領(lǐng)域也處于不斷發(fā)展完善過程中。文章旨在針對我國網(wǎng)絡身份管理的相關(guān)立法及政策總結(jié)問題、提出建議。

關(guān)鍵詞：網(wǎng)絡身份；網(wǎng)絡身份管理；隱私

中圖分類號：DF92 文獻標識碼：A

Research on trusted identity of international network and its enlightenment to china

Abstract： Trusted network identity management is the behavior of all countries in the era of network information for the purpose of network security and the provision of related services to citizens. It involves the government agencies and related enterprises. At present， all the major countries in the world have carried out the top-level design for network identity management and perfected the relevant legislation. Our country is also in the process of continuous development and improvement in this field. This paper aims at the legislation and policy summary of network identity management in China.

Key words： network identity； network identity management； privacy

1 引言

隨著人類活動不斷向網(wǎng)絡空間延伸，網(wǎng)絡空間被視為繼陸、海、空、天之后的“第五空間”，對國際政治、經(jīng)濟、文化、社會、軍事等領(lǐng)域都產(chǎn)生了深刻影響。開展網(wǎng)絡身份管理、確保網(wǎng)絡主體身份可信、行為可追溯等已成為網(wǎng)絡空間治理的重要內(nèi)容。國際主要國家如歐美地區(qū)均針對網(wǎng)絡身份進行了管理，不僅制定了頂層戰(zhàn)略設(shè)計規(guī)劃，而且完善了配套的技術(shù)標準、個人信息保護等各種法律法規(guī)及文件政策等。我國目前也有一些初步的政策和實踐經(jīng)驗，但仍有待完善。

2 網(wǎng)絡身份相關(guān)理解

2.1 相關(guān)概念

2.1.1 網(wǎng)絡身份

網(wǎng)絡身份指的是在網(wǎng)絡空間中識別特定主體的數(shù)字化表述。Twitter前CEO Evan Williams曾發(fā)表博文，稱網(wǎng)絡身份已經(jīng)成為網(wǎng)絡服務急需處理的最為棘手的問題之一，從某種程度上來講是因為“身份”這個詞涵蓋了不同的意義。網(wǎng)絡身份具有五大要素。

身份驗證：它關(guān)系到你是否具有某項操作的權(quán)限，就像是你身份證明上的照片、某張會員卡、家里或房門的一串鑰匙。

代表身份：它涉及到你的身份或你宣稱的身份，這和個人名片、個人資料一樣，因為它讓別人知道你的身份、職業(yè)等其他背景資料。

通訊：它涉及到“如何能聯(lián)系到你？”的問題。這和電話號碼一樣，不過如今涉及到更多的通訊工具，比如電子郵件、Twitter和Facebook。

個性特點：這里不僅僅是身份特征，而是開始判斷用戶的喜好和興趣，這就好比去一家常去的咖啡店，店家對你的口味十分熟悉，因此不需要詢問便可為你端上一杯你喜歡的飲品。

聲望：它是基于別人對你的看法，現(xiàn)實中類似的對照物是個人口碑、信貸機構(gòu)等第三方組織等為你編譯的個人誠信檔案。

2.1.2 現(xiàn)實身份及身份認證技術(shù)

與網(wǎng)絡身份相對應的是現(xiàn)實身份，指的是在特定的現(xiàn)實環(huán)境中能夠識別特定主體的信息表述，如姓名、身份證號碼等。現(xiàn)實身份無需借助網(wǎng)絡得到實現(xiàn)，但是網(wǎng)絡身份的實現(xiàn)則不能脫離現(xiàn)實身份，在某些情況下，網(wǎng)絡身份應當通過某些身份認證技術(shù)確保和現(xiàn)實身份達到一致，身份認證技術(shù)就是為了保證操作者的現(xiàn)實身份與網(wǎng)絡身份相對應而生的。

身份認證技術(shù)是在計算機網(wǎng)絡中確認操作者身份的過程而產(chǎn)生的解決方法。計算機網(wǎng)絡世界中一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計算機只能識別用戶的網(wǎng)絡身份，所有對用戶的授權(quán)也是針對用戶網(wǎng)絡身份的授權(quán)。如何保證以網(wǎng)絡身份進行操作的操作者就是這個身份的合法擁有者，也就是說保證操作者的現(xiàn)實身份與網(wǎng)絡身份相對應，身份認證技術(shù)就是為了解決這個問題應運而生的。作為防護網(wǎng)絡資產(chǎn)和網(wǎng)絡信息的第一道關(guān)口，身份認證有著舉足輕重的作用。電子簽名則是現(xiàn)代認證技術(shù)的泛稱，并非是書面簽名的數(shù)字圖像化，它其實是一種電子代碼，利用它，收件人便能在網(wǎng)上輕松驗證發(fā)件人的身份和簽名。它還能驗證出文件的原文在傳輸過程中有無變動。

2.1.3 網(wǎng)絡可信身份體系

網(wǎng)絡可信身份體系是以密碼技術(shù)為基礎(chǔ)，包括法律法規(guī)、技術(shù)標準和基礎(chǔ)設(shè)施等內(nèi)容，解決網(wǎng)絡應用中的身份認證、授權(quán)管理和責任認定問題的完整體系。而網(wǎng)絡用戶身份的有效標識和認證是其關(guān)鍵環(huán)節(jié)。貿(mào)法會在一次會議上總結(jié)了對網(wǎng)絡身份體系進行管理的概念：（a）用以在網(wǎng)上環(huán)境中管理個人、法律實體、設(shè)備或其他主體的身份識別、認證和授權(quán)的一套程序；（b）用于保證身份信息（如標識符、證書、屬性），保證實體身份，以及支持商業(yè)和安全應用目的的一系列功能和能力。

2.2 必要性和意義

網(wǎng)絡空間的虛擬性，以及用戶身份和行為的不確定性等因素， 給網(wǎng)絡空間管理和網(wǎng)絡信任體系建設(shè)造成了巨大困難，制約了網(wǎng)絡應用發(fā)展。網(wǎng)絡身份安全不僅影響到個人及財產(chǎn)安全，大規(guī)模身份數(shù)據(jù)甚至影響到國家安全。因此，迫切需要研究建設(shè)網(wǎng)絡可信身份體系。

2.2.1 保障網(wǎng)絡空間安全的需要

隨著社會生活對網(wǎng)絡依賴的不斷加深， 網(wǎng)絡空間安全已成為社會安全的一部分。正如實體社會的秩序保障依賴于對自然人的身份管理， 網(wǎng)絡空間的有序也離不開網(wǎng)絡可信身份管理。

2.2.2 有序開展電子政務、電子商務、信息共享等各類網(wǎng)絡的應用前提

網(wǎng)絡可信身份管理手段的缺失，將導致面向公眾的電子政務無法切實開展；網(wǎng)絡交易過程中，用戶身份確認是基本環(huán)節(jié)，而各類數(shù)據(jù)海量累計催生的大數(shù)據(jù)分析，也進一步增加了個人信息泄露的風險；網(wǎng)絡信息共享給人們帶來極大便利的同時，網(wǎng)絡謠言、網(wǎng)絡欺詐、淫穢信息傳播等問題也日趨嚴峻。網(wǎng)絡可信身份管理是電子政務、電子商務、信息共享等各類網(wǎng)絡應用有序開展的前提。

3 國際主要國家的網(wǎng)絡身份管理

3.1 美國網(wǎng)絡空間可信身份國家戰(zhàn)略

2011年4月，美國在以前的基礎(chǔ)上，公布《美國網(wǎng)絡空間可信身份國家戰(zhàn)略（NSTIC）》（National Strategy For Trusted Identities In Cyberspace），計劃用10年左右的時間，通過政府推動和產(chǎn)業(yè)界努力，建立一個以用戶為中心的身份生態(tài)體系。該方案將網(wǎng)絡空間身份認證管理提升為國家戰(zhàn)略，明確指出了美國可信身份體系的四個建設(shè)目標：建設(shè)綜合的身份生態(tài)系統(tǒng)框架；構(gòu)建并實施彼此聯(lián)通的身份解決方案；提高身份生態(tài)系統(tǒng)的安全性，擴大參與范圍；保證身份生態(tài)系統(tǒng)的長期可用性。2016年4月15日，官方網(wǎng)站發(fā)表了一篇五年歷程回顧的文章——《WHOA-OH！ WERE HALFWAY THERE！ Happy NSTICiversary！》，主要是在NSTIC戰(zhàn)略五周年之際，通過一組數(shù)據(jù)比較美國這五年間的發(fā)展變化。

2011年，美國出臺戰(zhàn)略以來，市場不斷發(fā)展和成熟。政府通過不斷提高標準、技術(shù)等方面來驅(qū)動商業(yè)和政府來使用可信電子身份方式，為此，正在實行四種主要策略：合作、出版物、市場情報和通信。

標準的開發(fā)增加了身份解決方案的互操作性。在過去的5年里，取得了巨大的進步，開發(fā)了可以跨部門使用的以身份為中心的安全和隱私標準、協(xié)議和概要文件。有幾個項目正在利用OAuth 2.0，這是一種協(xié)議，允許用戶從服務提供商的站點向依賴方提供私有資源的訪問權(quán)；身份生態(tài)系統(tǒng)指導小組（IDESG）發(fā)布了身份生態(tài)系統(tǒng)框架（IDEF），其中包括組織遵守NSTIC指導原則的要求，以及補充指南和功能模型。

政府的使用不斷增多。數(shù)據(jù)顯示，2011年以來，美國政府部分在采用NSTIC解決方案，增強網(wǎng)絡安全與隱私方面取得很大進步，如在增強身份認證方面，2013財年美國商務部從30%增長到88%，2014財年，美國環(huán)保署從0%增長到69%?？倓帐鹩形鍌€部門對隱私增強技術(shù)進行操作實施。

企業(yè)對可信身份解決方案的使用也在不斷增加。NSTIC呼吁私營部門“引領(lǐng)這一身份生態(tài)系統(tǒng)的發(fā)展和實施”，企業(yè)已經(jīng)加快步伐改善他們的身份管理。在過去的五年里，許多公司為用戶啟用了MFA的版本（有時為雙重認證或兩步驗證）：谷歌和臉書是在2011年啟用的，蘋果、推特、LinkedIn于2013年，Slack、Snapchat和Amazon是在2015年，Instagram于2016年開始啟用雙重認證。2012年開始，共出資設(shè)立了18個試點，推動NSTIC的使用，試點涉及了380萬人。

個人的使用也在增加。身份生態(tài)系統(tǒng)的成功在于越來越多的個人和組織使用，因為參與人數(shù)越多，個體獲得的價值越大。2013年只有25%的美國人使用雙重認證，2015年這一數(shù)據(jù)上升到了39%。

3.2 歐盟

頂層設(shè)計已基本完成。歐盟委員會 2006 年發(fā)布了《2010泛歐洲eID管理框架路線圖》（以下簡稱“路線圖”）從歐盟層面統(tǒng)籌規(guī)劃了eID的實施，標志著歐盟推進eID的頂層設(shè)計方案已經(jīng)成型。路線圖提出要統(tǒng)一建設(shè)泛歐洲級別的eID管理框架，制定了為期5年的歐盟推進eID的時間安排及階段計劃。

法律法規(guī)體系較為健全。歐盟形成了較為完善的法律法規(guī)體系，規(guī)范 eID 和電子簽名應用，保護持有者隱私權(quán)益。為推動電子簽名應用、促進對電子簽名法律效力的認可，還頒布了《電子簽名統(tǒng)一框架指令》《關(guān)于電子通信方面?zhèn)€人數(shù)據(jù)處理及隱私保護指令》等。

技術(shù)創(chuàng)新成果豐碩。歐盟非常重視技術(shù)創(chuàng)新，在密碼算法、數(shù)字簽名、身份認證等技術(shù)方面取得創(chuàng)新突破，另外還通過研發(fā)搭建公共平臺，包括敏感數(shù)據(jù)信息交換和共享平臺、多語言服務平臺、數(shù)據(jù)共享安全網(wǎng)絡平臺等，促進成員國的公共行政部門的合作等。

標準體系比較完善。歐盟電子簽名領(lǐng)域標準化工作起步較早，初步形成了較為合理的標準體系框架，相關(guān)標準不僅在歐盟范圍內(nèi)被廣泛使用，在全球都具有廣泛影響力。截止到 2014 年 10月，歐盟制定的電子簽名相關(guān)標準已達100余項。

應用取得顯著進展。在各成員國的支持和推動下歐盟 eID 應用取得了長足的進展。目前，多數(shù)歐盟成員國都頒布了 eID發(fā)展規(guī)劃，采用 eID 來解決網(wǎng)絡應用中身份鑒別、認證、電子簽名、數(shù)據(jù)保護等問題。

3.3 總結(jié)

從對美國及歐盟各個地區(qū)和國家的網(wǎng)絡身份管理的總結(jié)來看，這些國家凸顯了以下網(wǎng)路身份管理的特點。

一是網(wǎng)絡空間可信身份被提升為頂層戰(zhàn)略。美國2011年《網(wǎng)絡空間可信身份國家戰(zhàn)略》和歐盟2010年《泛歐洲eID管理框架路線圖》最為典型，但是二者具有不同的發(fā)展路徑，前者以推動第三方認證市場為主要發(fā)展路徑，后者則以推動國家統(tǒng)一電子身份、集中認證方式為主要發(fā)展路徑。

二是各國均基于本國傳統(tǒng)確立了網(wǎng)絡身份管理的實現(xiàn)模式。目前各國一般以自身的傳統(tǒng)身份管理模式為基礎(chǔ)實現(xiàn)網(wǎng)絡身份管理，進行線下到線上的遷移，在這一過程中充分體現(xiàn)度國家文化傳統(tǒng)、政府體制、線下身份管理傳統(tǒng)的尊重。政府在網(wǎng)絡身份管理中的作用一般在于建立臨界規(guī)模的身份驗證用戶和服務數(shù)量，協(xié)調(diào)身份體系。

三是所有國家高度重視隱私保護政策。所有國家都將應用現(xiàn)有隱私保護立法框架作為隱私保護主要政策工具，如一些國家提及對政府系統(tǒng)進行隱私影響評估（PIA），如澳大利亞、加拿大、盧森堡、新西蘭和美國等。

四是主要國家的基礎(chǔ)法律體系完備。如歐美完善的法律體系為網(wǎng)絡身份管理政策的實施提供了充分的法律保障，歐美均在隱私與個人數(shù)據(jù)保護、網(wǎng)絡與信息安全、網(wǎng)絡犯罪、電子簽名與認證機構(gòu)等方面進行了立法。

4 我國網(wǎng)絡身份管理存在的立法問題及建議

4.1現(xiàn)行的立法及文件

我國的《網(wǎng)絡安全法》第24條規(guī)定：國家實施網(wǎng)絡可信身份戰(zhàn)略，支持研究開發(fā)安全、方便的電子身份認證技術(shù)，推動不同電子身份認證之間的互認。我國網(wǎng)絡電子身份管理政策法規(guī)從電子（數(shù)字）簽名、網(wǎng)絡實名制[5]、加強網(wǎng)絡信息保護等方面進行了初步推進。

2005年4月，我國頒布施行的《中華人民共和國電子簽名法》，規(guī)定可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力，確立了電子簽名的法律效力和依據(jù)。2000年中國香港出臺了《電子交易條例》，確立“電子合約”與“數(shù)字簽名”的有效性，明確指出了所認可的數(shù)字簽名應當是由非對稱密碼技術(shù)產(chǎn)生的數(shù)字簽名。

2005-2013年，教育部發(fā)布的《關(guān)于進一步加強高等學校校園網(wǎng)絡管理工作的意見》，明確提出在高校教育網(wǎng)實施網(wǎng)絡實名制；信息產(chǎn)業(yè)部發(fā)布的《非經(jīng)營性互聯(lián)網(wǎng)信息服務備案管理辦法》規(guī)定，非經(jīng)營性網(wǎng)站要辦理非營業(yè)性互聯(lián)網(wǎng)信息服務業(yè)務備案證；國家工商總局頒布的《網(wǎng)絡商品交易及有關(guān)服務行為管理暫行辦法》施行“網(wǎng)店實名”；國家文化部頒布的《網(wǎng)絡游戲管理暫行辦法》施行“網(wǎng)游實名”；國家財政部頒布的《互聯(lián)網(wǎng)銷售彩票管理暫行辦法》施行“彩票實名制”；工信部發(fā)布《電話用戶真實身份信息登記規(guī)定》和《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，要求用戶辦理固定電話、移動電話（含無線上網(wǎng)卡）時必須實名入網(wǎng)。

2012年12月，全國人大常委會審議了委員長會議通過的《全國人民代表大會常務委員會關(guān)于加強網(wǎng)絡信息保護的決定》，這一決定的立法目的是保護公民網(wǎng)絡信息不被泄露、篡改和濫用。在說明中指出，決定突出強調(diào)國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，對網(wǎng)絡服務提供者和其他企業(yè)事業(yè)單位收集、使用個人信息的規(guī)范及其保護個人電子信息的義務做出多項規(guī)定，政府有關(guān)部門及其工作人員對在履行職責中知悉的公民個人信息同樣負有保密和保護義務。

4.2 規(guī)范建議

第一，制定網(wǎng)絡空間可信身份國家戰(zhàn)略。按照政府主導、市場驅(qū)動的原則，由中央網(wǎng)信辦牽頭，聯(lián)合公安部、工信部、大型互聯(lián)網(wǎng)企業(yè)等，在研究分析現(xiàn)有方案的基礎(chǔ)上，制定網(wǎng)絡空間可信身份國家戰(zhàn)略。一是建立分等級的身份服務機制，根據(jù)不同的業(yè)務安全需求，采用不同等級的安全技術(shù)。二是明確各參與方的角色和職責，完善相關(guān)法律法規(guī)和政策文件，制定框架、接口、協(xié)議等方面標準，推動可信身份服務產(chǎn)業(yè)發(fā)展。

第二，建立全國性基于PKI的第三方網(wǎng)絡可信身份服務體系。PKI體系安全性較高，獲得業(yè)界普遍認可。一是建議以PKI體系中的CA機構(gòu)為主，以互聯(lián)網(wǎng)企業(yè)等其他身份服務提供商為輔，建立全國性的網(wǎng)絡可信身份服務體系。同時，以唯一序列號作為身份鑒證環(huán)節(jié)依據(jù)，提高現(xiàn)有網(wǎng)絡身份服務提供商的隱私保護能力。二是建立健全網(wǎng)絡身份服務提供商資質(zhì)管理制度及系統(tǒng)互連互通等標準，引入第三方評估機制，規(guī)范網(wǎng)絡身份服務提供商的市場環(huán)境。

第三，發(fā)展基于大數(shù)據(jù)的用戶行為分析的增強型可信身份服務。為滿足多樣化的應用需求，將基于大數(shù)據(jù)的用戶行為分析作為可信身份服務的輔助手段，發(fā)展增強型可信身份服務。一是支持大型互聯(lián)網(wǎng)企業(yè)建立網(wǎng)絡實體行為大數(shù)據(jù)分析中心，在日常網(wǎng)絡交易中開展試點，基于異常行為分析，確定操作者網(wǎng)絡身份的真實性，或?qū)δ承╆P(guān)鍵操作進行限制。二是支持大型互聯(lián)網(wǎng)企業(yè)加強大數(shù)據(jù)等技術(shù)研發(fā)，在強化對用戶行為分析的同時，加強對用戶隱私的保護。

參考文獻

[1] Traceyxiang.網(wǎng)絡身份的五大要素[EB/OL]. http：//tech.qq.com/a/20110418/000337.htm， 2011年04月18日.

[2] 鐘紅山.網(wǎng)絡實名與數(shù)字身份[J].數(shù)字技術(shù)與應用，2015.6： 1-2.

[3] 張偉麗.構(gòu)建國家網(wǎng)絡可信身份體系的相關(guān)思考[J].技術(shù)天地，2016.12： 2-3.

[4] 陳兵.網(wǎng)絡身份管理發(fā)展趨勢研究[J].網(wǎng)絡安全，2011.3： 2-3.

[5] 荊繼武.網(wǎng)絡可信身份管理的現(xiàn)狀與趨勢[J].信息安全研究，2016.7： 1-3.

[6] 楊明慧.奧地利網(wǎng)絡身份管理現(xiàn)狀與啟示[J].計算機與數(shù)字工程，2014.5： 1-2.

[7] 胡傳平.全球主要國家和地區(qū)網(wǎng)絡電子身份管理發(fā)展與應用[J].中國工程科學，2016.18： 1-2.

[8] 鄒翔.網(wǎng)絡電子身份管理政策法規(guī)研究[J].中國工程科學，2016.6： 1-2.

[9] 顧青.網(wǎng)絡可信身份管理體系研究[J].技術(shù)應用，2015.9： 1-2.

[10] 劉素清.網(wǎng)絡信息的安全帶網(wǎng)絡身份管理技術(shù)[J].信息通信，2016.9： 1-2.