网络可信身份管理是网络信息时代各国出于网络安全及为公民提供相关服务的需要而对使用网络服务主体进行管理的行为,涉及到相关政府部门、有关企业等多方主体。目前国际主要国家均针对网络身份管理进行了顶层设计,并完善了有关立法,我国在这一领域也处于不断发展完善过程中,本文旨在针对我国网络身份管理的相关立法及政策总结问题、提出建议。

一、网络身份相关理解

(一)相关概念

1、网络身份

网络身份指的是在网络空间中识别特定主体的数字化表述,Twitter前CEO Evan Williams曾发表博文,称网络身份已经成为网络服务急需处理的最为棘手的问题之一,从某种程度上来讲是因为“身份”这个词涵盖了不同的意义。网络身份具有五大要素:

身份验证:它关系到你是否具有某项操作的权限,就像是你身份证明上的照片、某张会员卡、家里或房门的一串钥匙。

代表身份:它涉及到你的身份或你宣称的身份,这和个人名片、个人资料一样,因为它让别人知道你的身份、职业等其他背景资料。

通讯:它涉及到“如何能联系到你?”的问题。这和电话号码一样,不过如今涉及到更多的通讯工具,比如电子邮件、Twitter和Facebook。

个性特点:这里不仅仅是身份特征,而是开始判断用户的喜好和兴趣,这就好比去一家常去的咖啡店,店家对你的口味十分熟悉,因此不需要询问便可为你端上一杯你喜欢的饮品。

声望:它是基于别人对你的看法,现实中类似的对照物是个人口碑、信贷机构等第三方组织等为你编译的个人诚信档案。

2、现实身份及身份认证技术

与网络身份相对应的是现实身份,指的是在特定的现实环境中能够识别特定主体的信息表述,如姓名、身份证号码等等。现实身份无需借助网络得到实现,但是网络身份的实现则不能脱离现实身份,在某些情况下,网络身份应当通过某些身份认证技术确保和现实身份达到一致,身份认证技术就是为了保证操作者的现实身份与网络身份相对应而生的。

身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的网络身份,所有对用户的授权也是针对用户网络身份的授权。如何保证以网络身份进行操作的操作者就是这个身份的合法拥有者,也就是说保证操作者的现实身份与网络身份相对应,身份认证技术就是为了解决这个问题应运而生的。作为防护网络资产和网络信息的第一道关口,身份认证有着举足轻重的作用。电子签名则是现代认证技术的泛称,并非是书面签名的数字图像化,它其实是一种电子代码,利用它,收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。

3、网络可信身份体系

网络可信身份体系是以密码技术为基础,包括法律法规、技术标准和基础设施等内容,解决网络应用中的身份认证、授权管理和责任认定问题的完整体系。而网络用户身份的有效标识和认证是其关键环节。贸法会在一次会议上总结了对网络身份体系进行管理的概念,即(a)用以在网上环境中管理个人、法律实体、设备或其他主体的身份识别、认证和授权的一套程序。(b)用于保证身份信息(如标识符、证书、属性);保证实体身份;以及支持商业和安全应用目的的一系列功能和能力。

(二)必要性和意义

网络空间的虚拟性,以及用户身份和行为的不确定性等因素, 给网络空间管理和网络信任体系建设造成了巨大困难,制约了网络应用发展。网络身份安全不仅影响到个人及财产安全,大规模身份数据甚至影响到国家安全。因此,迫切需要研究建设网络可信身份体系。

1、保障网络空间安全的需要

随着社会生活对网络依赖的不断加深, 网络空间安全已成为社会安全的一部分。正如实体社会的秩序保障依赖于对自然人的身份管理,网络空间的有序也离不开网络可信身份管理。

2、有序开展电子政务、电子商务、信息共享等各类网络的应用前提

网络可信身份管理手段的缺失,将导致面向公众的电子政务无法切实开展;网络交易过程中,用户身份确认是基本环节,而各类数据海量累计催生的大数据分析,也进一步增加了个人信息泄露的风险;网络信息共享给人们带来极大便利的同时,网络谣言、网络欺诈、淫秽信息传播等问题也日趋严峻。网络可信身份管理是电子政务、电子商务、信息共享等各类网络应用有序开展的前提。

二、国际主要国家的网络身份管理

(一)美国网络空间可信身份国家战略

2011年4月,美国在以前的基础上,公布《美国网络空间可信身份国家战略(NSTIC)》(NATIONAL STRATEGY FOR TRUSTEDIDENTITIES IN CYBERSPACE),计划用10年左右的时间,通过政府推动和产业界努力,建立一个以用户为中心的身份生态体系。

1、出台背景

(1)身份盗窃和欺诈已成为影响美国网络安全的重要问题。美国社会生产生活已越来越依赖于互联网,从收发email、社交网络到网络购物、网上银行等各种活动都依赖于互联网。然而,对于大多数的用户甚至是安全专家而言,互联网上充斥着身份盗窃、隐私泄露、诈骗等大量安全问题。如何在互联网上识别我们自己和他人已经成为关键的安全问题之一。美国《2009年网络犯罪报告》中写道,“2009年1月1日至12月31日,互联网犯罪投诉中心(IC3)网站共计接受到336,655份投诉,与2008年相比增加了22.3%;涉案金额共计5.5597亿美金,而2008年的涉案金额为2.646亿美金。总统奥巴马在《网络安全政策检讨》(Cyberspace Policy Review )中呼吁“建立更加安全、可信赖的在线环境”。他指出:安全的网络空间对于美国经济的健康发展至关重要。提高在线身份认证信用水平是预防和减少在线欺诈和身份道歉的关键步骤。此次《战略》的提出正是为响应总统的上述呼吁。

(2)各互联网业务的账户缺乏互用性,为用户使用业务带来不便和安全隐患。目前大部分用户在使用各类网络服务时,使用不同的用户帐号和密码。并且安全专家建议网民:应当对每一个账户设定不同的账户名称和密码,并每隔30天修改密码。如此庞大的账户清单为用户使用互联网业务带来了不便,同时也产生相关的安全隐患。统一的网络认证账户,将会提供更加安全的、更加充分的隐私保护,并且能够在各类业务中使用。这个可信任的网络身份可以比作是另一种形式的信用卡。信用卡由各类不同的机构发行,用户可以自愿办理,但是这些信用卡可以被任何一个ATM机或商户认可并接受。

(3)当前技术的发展为实施新的身份解决方案提供了可能性。美国已经出现了一些解决互联网业务中账户过多问题的技术,例如开放标准技术openID,该技术将帮助人们仅使用一个证书就可以登录各种网站。部分互联网公司也开始积极尝试解决多账户问题,例如Facebook的用户可以使用他们在facebook上的账户登录其他网站。《战略》即是以现有的技术条件为基础,从解决互联网账户管理中存在的问题出发,提出的身份管理新方案。

2、主要目标:

《战略》的主要目的是建立“可信任的身份生态系统”( Identity Ecosystem),该系统将提供可相互兼容的、保护用户隐私的、并基于自愿使用的服务。政府将推进现有的网络身份认证管理方式的改革,新的方式将不仅应用于政务服务,如税收服务,也将应用于各类商业网站。但同时,政府并不是意图创建一个国家身份卡体系或者政府强制的网络身份体系。相反,该战略的意图是通过整合现有的身份认证技术,以创建更加简单的,并且用户隐私能够得到更好保护的身份管理体系,但政府并不参与控制整个体系。

3、主要内容:

《战略》共36页,分7个主要部分,分别是:行动纲要、总体介绍、指导原则、愿景和收益、宗旨与目标、行动承诺、结论。其核心内容主要有以下几点:

(1)新的身份生态系统将会更加安全,并且能够与其他身份管理体系相互兼容。整个体系的实施将会基于用户的自愿。

(2)建议可以从用户已有的网络账户开始实施,比如用户的Google或者Facebook的账户。用户可以自由选择提供网络身份认证的公司或组织,从这些服务商那里获得符合标准形式的,可被广泛认可的身份证书。

(3)用户可以选择与自己的手机绑定的身份认证技术。也可以使用储存在本人电脑上的认证证书登录网上药店等业务。通过运用统一的帐号,可以保证用户在特定的网络业务中,可以不必提交与业务提供不相关的个人信息,个人可以对自己的个人信息进行更好的管理。

(4)《战略》设定了四项总体目标:即制定一个全面的身份生态系统框架;建立和实施可互操作的身份管理基础设施,并与生态系统的框架一致;增强参与身份生态系统各方的信心和意愿;确保身份生态系统取得长远的成功。

(5)《战略》的实施将会为个人用户、企业、政府带来诸多益处,包括更加安全、高效,并且能够促进创新。

(6)《战略》设定了政府应当采取的9项优先行动,包括:授权一个联邦机构以负责组织实施《战略》;制定更为具体的实施计划;促进身份生态系统在政府领域的应用、业务试点和政策的普及;加强隐私政策的执行;协调标准制定;明确身份认证服务提供商的责任;推广和认知活动等。

美国政府建议由私营企业运作网络身份标识生态系统,政府只是在先期启动、示范应用上做表率。具体的分工建议为:联邦政府提供领导、协调、协作和激励,加强与私营部门、州、地方及各国政府的合作,参考私营机构的意见制定证书标准;证书提供商授权提供、管理和存储证书;企业使用证书认证用户身份;终端用户购买身份证书用户身份认证,明确与各方共享的不同信息内容。

《战略》的主要目标和内容反映了一种以用户为中心的身份生态体系,适用于个人、企业、非盈利组织、宣传团体、协会和各级政府。

2016年4月15日,美国官方网站发表了一篇五年历程回顾的文章——《WHOA-OH! WE’RE HALFWAY THERE! Happy NSTICiversary!》,主要是在NSTIC战略五周年之际,通过一组数据比较美国这五年间的发展变化。

2011年,美国出台战略以来,市场不断发展和成熟。政府通过不断提高标准、技术等方面来驱动商业和政府来使用可信电子身份方式,为此,正在实行四种主要策略:合作、出版物、市场情报和通信。

标准的开发增加了身份解决方案的互操作性。在过去的5年里,取得了巨大的进步,开发了可以跨部门使用的以身份为中心的安全和隐私标准、协议和概要文件。有几个项目正在利用OAuth 2.0——这是一种协议,允许用户从服务提供商的站点向依赖方提供私有资源的访问权;身份生态系统指导小组(IDESG)发布了身份生态系统框架(IDEF),其中包括组织遵守NSTIC指导原则的要求,以及补充指男和功能模型。

政府的使用不断增多。数据显示,2011年以来,美国政府部分在采用NSTIC解决方案,增强网络安全与隐私方面取得很大进步,如在增强身份认证方面,2013财年美国商务部从30%增长到88%,2014财年,美国环保署从0%增长到69%。总务署有五个部门对隐私增强技术进行操作实施。

企业对可信身份解决方案的使用也在不断增加。NSTIC呼吁私营部门“引领这一身份生态系统的发展和实施”,企业已经加快步伐改善他们的身份管理。在过去的五年里,许多公司为用户启用了MFA的版本(有时为双重认证或两步验证):谷歌和脸书是在2011年启用的,苹果、推特、LinkedIn于2013年,Slack、Snapchat和Amazon是在2015年,Instagram于2016年开始启用双重认证。2012年开始,共出资设立了18个试点,推动NSTIC的使用,试点涉及了380万人。

个人的使用也在增加。身份生态系统的成功在于越来越多的个人和组织使用,因为,参与人数越多,个体获得的价值越大。2013年,只有25%的美国人使用双重认证,2015年,这一数据上升到了39%;

(二)欧盟

顶层设计已基本完成。欧盟委员会2006 年发布了《2010泛欧洲eID管理框架路线图》(以下简称《路线图》)从欧盟层面统筹规划了 eID 的实施,标志着欧盟推进 eID 的顶层设计方案已经成型。《路线图》提出要统一建设泛欧洲级别的 eID 管理框架,制定了为期 5 年的欧盟推进 eID 的时间安排及阶段计划。

法律法规体系较为健全。欧盟形成了较为完善的法律法规体系,规范 eID 和电子签名应用,保护持有者隐私权益。为推动电子签名应用、促进对电子签名法律效力的认可,还颁布了《电子签名统一框架指令》、《关于电子通信方面个人数据处理及隐私保护指令》等。

技术创新成果丰硕。欧盟非常重视技术创新,在密码算法、数字签名、身份认证等技术方面取得创新突破,另外,还通过研发搭建公共平台,包括敏感数据信息交换和共享平台、多语言服务平台、数据共享安全网络平台等,促进成员国的公共行政部门的合作;等。

标准体系比较完善。欧盟电子签名领域标准化工作起步较早,初步形成了较为合理的标准体系框架,相关标准不仅在欧盟范围内被广泛使用,在全球都具有广泛影响力。截止到 2014 年 10月,欧盟制定的电子签名相关标准已达100余项。

应用取得显著进展。在各成员国的支持和推动下欧盟 eID 应用取得了长足的进展。目前,多数欧盟成员国都颁布了 eID发展规划,采用 eID 来解决网络应用中身份鉴别、认证、电子签名、数据保护等问题。

(三)总结

从对美国及欧盟各个地区和国家的网络身份管理的总结来看,这些国家凸显了以下网路身份管理的特点:

一是网络空间可信身份被提升为顶层战略。美国2011年《网络空间可信身份国家战略》和欧盟2010年《泛欧洲eID管理框架路线图》最为典型,但是二者具有不同的发展路径,前者以推动第三方认证市场为主要发展路径,后者则以推动国家统一电子身份、集中认证方式为主要发展路径。

二是各国均基于本国传统确立了网络身份管理的实现模式。目前各国一般以自身的传统身份管理模式为基础实现网络身份管理,进行线下到线上的迁移,在这一过程中充分体现度国家文化传统、政府体制、线下身份管理传统的尊重。政府在网络身份管理中的作用一般在于建立临界规模的身份验证用户和服务数量,协调身份体系。

三是所有国家高度重视隐私保护政策。所有国家都将应用现有隐私保护立法框架作为隐私保护主要政策工具,如一些国家提及对政府系统进行隐私影响评估(PIA),如澳大利亚、加拿大、卢森堡、新西兰和美国。一些国家在技术层面实施了严格的隐私保护策略,如在服务提供商收集、应用、批露用户信息的各个环节,从技术层面都要做好相应的隐私保护设计,其中,隐私保护的技术方法也根据登记政策的不同而不同;等。

四是主要国家的基础法律体系完备。如欧美完善的法律体系为网络身份管理政策的实施提供了充分的法律保障,欧美均在隐私与个人数据保护、网络与信息安全、网络犯罪、电子签名与认证机构等方面进行了立法。

三、我国网络身份管理存在的立法问题及建议

(一)现行的立法及文件

我国的《网络安全法》第24条规定:国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。我国网络电子身份管理政策法规从电子(数字)签名、网络实名制[5]、加强网络信息保护等方面进行了初步推进。

2005年4月,我国颁布施行的《中华人民共和国电子签名法》,规定可靠的电子签名与手写签名或者盖章具有同等的法律效力,确立了电子签名的法律效力和依据。2000年中国香港出台了《电子交易条例》,确立“电子合约”与“数字签名”的有效性,明确指出了所认可的数字签名应当是由非对称密码技术产生的数字签名。

2005—2013年,教育部发布的《关于进一步加强高等学校校园网络管理工作的意见》,明确提出在高校教育网实施网络实名制;信息产业部发布的《非经营性互联网信息服务备案管理办法》规定,非经营性网站要办理非营业性互联网信息服务业务备案证;国家工商总局颁布的《网络商品交易及有关服务行为管理暂行办法》施行“网店实名”;国家文化部颁布的《网络游戏管理暂行办法》施行“网游实名”;国家财政部颁布的《互联网销售彩票管理暂行办法》施行“彩票实名制”;工信部发布《电话用户真实身份信息登记规定》和《电信和互联网用户个人信息保护规定》,要求用户办理固定电话、移动电话(含无线上网卡)时必须实名入网。

2012年12月,全国人大常委会审议了委员长会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》,这一决定的立法目的是保护公民网络信息不被泄露、篡改和滥用。全国人大常委会法工委副主任李飞在说明中指出,决定突出强调国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,对网络服务提供者和其他企业事业单位收集、使用个人信息的规范及其保护个人电子信息的义务做出多项规定,政府有关部门及其工作人员对在履行职责中知悉的公民个人信息同样负有保密和保护义务。

(二)规范建议

第一,制定网络空间可信身份国家战略。按照政府主导、市场驱动的原则,由中央网信办牵头,联合公安部、工信部、大型互联网企业等,在研究分析现有方案的基础上,制定网络空间可信身份国家战略。一是建立分等级的身份服务机制,根据不同的业务安全需求,采用不同等级的安全技术。二是明确各参与方的角色和职责,完善相关法律法规和政策文件,制定框架、接口、协议等方面标准,推动可信身份服务产业发展。

第二,建立全国性基于PKI的第三方网络可信身份服务体系。PKI体系安全性较高,获得业界普遍认可。一是建议以PKI体系中的CA机构为主,以互联网企业等其他身份服务提供商为辅,建立全国性的网络可信身份服务体系。同时,以唯一序列号作为身份鉴证环节依据,提高现有网络身份服务提供商的隐私保护能力。二是建立健全网络身份服务提供商资质管理制度及系统互连互通等标准,引入第三方评估机制,规范网络身份服务提供商的市场环境。

第三,发展基于大数据的用户行为分析的增强型可信身份服务。为满足多样化的应用需求,将基于大数据的用户行为分析作为可信身份服务的辅助手段,发展增强型可信身份服务。一是支持大型互联网企业建立网络实体行为大数据分析中心,在日常网络交易中开展试点,基于异常行为分析,确定操作者网络身份的真实性,或对某些关键操作进行限制。二是支持大型互联网企业加强大数据等技术研发,在强化对用户行为分析的同时,加强对用户隐私的保护。

第四,开展网络身份服务试点应用。借鉴国外经验,政府主导,安排专项资金开展网络身份服务试点应用项目。一是开展“一证通用”应用试点,支持实力较强的CA机构开展跨领域的、全网通用的网络身份服务。二是借鉴美国经验,利用政府资金,开展隐私保护、可信身份标识保护和验证系统研发、系统易用性等方面的试点项目,为建设全国统一网络可信身份服务奠定基础。

作者简介:刘耀华,中国信息通信研究院互联网法律研究中心研究员。

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。