文|王金钧 中国信通院互联网法律研究中心工程师
《欧洲数字身份(EUDI)条例》(以下简称“《条例》”)于今年5月正式生效,欧盟各成员国需在此后两年内向公民提供“数字身份钱包”的服务。为支持这一计划实施,欧盟委员会要求欧洲网络与信息安全局(ENISA)根据《欧盟网络安全法》制定相应的网络安全认证计划,并为保护用户个人信息及隐私安全提供统一技术标准。
一、《条例》概述
欧盟于2014年颁布了第910/2014号条例,该条例主要是关于电子身份(electronic identification)以及信任服务(trust services)的规定,《条例》是对第910/2014号条例的修订,在此基础上提出了“欧盟数字身份框架”。
根据第910/2014号条例的规定,欧盟成员国可以在自愿基础上建立国家电子身份计划,并在其后的规定中明确了其他成员国有义务承认该国实施的电子身份。在《条例》出台前,欧盟未对成员国建立国家电子身份作出强制性要求,且不同国家之间的电子身份也未使用相同的技术规格,因此面临着互操作性问题。为了解决上述问题,欧盟于2021年对第910/2014号条例进行修订,创设“欧洲数字身份钱包”这一新的概念。简言之,数字身份钱包可以将欧盟公民的国家电子身份与其驾照、护照、银行账户等个人资料结合起来,使其能够更加便利地获得公共服务,且能够实现欧盟范围内的跨境使用。
二、“数字身份钱包”主要作用
对欧盟公民和企业而言:一是能够加强其对于自身个人信息及隐私的控制,通过数字身份钱包,可以选择与第三方共享哪些个人信息及相关资料;二是提升跨境服务的便利性,《条例》将进一步提升各个成员国数字身份认证系统的互操作性,确保数字身份钱包可以在整个欧盟范围内使用,为企业和用户提供更加流畅的线上服务。三是保障透明度和安全性,为回应此前社会各界对于数字身份钱包可能引发的“监视”担忧,欧盟对其进行了部分开源处理,以保证足够的透明性;与ENISA此次负责的工作相关,数字身份钱包系统也必须符合一定的网络安全技术标准,防止对个人信息的误用、滥用以及非法追踪。四是更易于使用,公民能够通过其原有的国家电子身份注册,数字身份钱包也将提供更加友好的操作界面,使用户能够更加方便地使用访问服务和管理其数字身份。
对政府而言:一是改善其提供的数字服务,数字身份钱包能够进一步简化政府数字服务的身份认证流程,使公民能更便捷地享受相关公共服务。二是通过提供安全可验证的身份识别方式,有助于减少与政府相关的身份盗窃与欺诈。三是增强欧盟整体的数据安全水平,降低数据泄露的风险。
对数字服务提供商而言:一是减少与传统认证方式相关的责任风险,二是通过自动化身份验证流程降低服务成本,三是有助于减少对拥有更多用户数据的大型网络平台的依赖。
对社会而言:一是随着数字身份的验证流程变得更加便捷安全,人们将更倾向于进行网络交易;二是数字身份钱包可以激发创新,带来更多的数字服务和产品;三是推动数字经济的增长,实现更合理的资源分配。
三、ENISA的后续工作
欧盟要求ENISA负责数字身份钱包相关的网络安全认证及标准化工作,部分源自其自身建议。ENISA在7月刚发布了《数字身份标准化报告》,重点关注欧洲数字身份钱包。ENISA希望欧盟层面能够进一步阐明数字身份钱包的概念,开展数字身份钱包标准化相关工作,一方面实现与现有的国家电子身份、电子认证服务、合格信任服务提供商(QTSP)及相关利益主体和设备的兼容,另一方面则是统一数字身份钱包的个人信息及隐私保护相关标准。该报告提到,ENISA将成立特别小组并与其他标准化组织合作,以应对数字身份钱包可能存在的安全漏洞。
参考文献:
1.https://dig.watch/updates/enisa-set-to-develop-cybersecurity-certification-scheme-for-eus-digital-id-wallets
2.https://digital-strategy.ec.europa.eu/en/policies/eudi-regulation
3.https://www.biometricupdate.com/202409/enisa-to-establish-cybersecurity-certification-scheme-for-eus-digital-id-wallets
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
