网络电子身份管理政策法规研究

邹翔，胡传平，方滨兴，陈兵

（1. 中华人民共和国公安部第三研究所，上海 200031；2. 中国网络空间安全协会，北京 100010）

网络电子身份管理政策法规研究

邹翔1，胡传平1，方滨兴2，陈兵1

（1. 中华人民共和国公安部第三研究所，上海 200031；2. 中国网络空间安全协会，北京 100010）

本文对世界主要国家和地区网络电子身份管理的政策、法律法规等情况进行了全面分析与梳理，并结合我国网络身份管理发展国情，提出“十三五”期间我国网络电子身份管理政策法规的发展思路和建设性意见，以期为“十三五”期间我国网络身份管理发展政策法规的制定和修订工作提供借鉴和参考。

网络电子身份；身份管理；政策法规

DOI 10.15302/J-SSCAE-2016.06.005

一、前言

网络已成为继陆地、海洋、天空、太空之后的第五大战略空间。中共中央总书记习近平指出：“没有网络安全，就没有国家安全。”网络空间安全已上升至国家安全战略的高度。网络空间身份管理是构建可信网络空间的重要基础，直接影响网络空间安全。美国等西方国家对此高度重视，几年前已先后将网络空间身份管理作为其国家安全战略，着力加强总体规划，加快部署实施。当前我国网络空间身份管理相对滞后，如不从战略高度加快顶层设计部署和基础设施建设，将严重威胁我国的国家安全和网络空间安全。

为此，本研究对世界各主要国家和地区网络电子身份管理的政策、法律法规等情况进行了全面的分析与梳理，并结合我国网络身份管理发展国情，提出“十三五”期间我国网络电子身份管理政策法规的发展思路和建设性意见，以期为“十三五”期间我国网络身份管理发展政策法规的制定和修订工作提供借鉴和参考。

二、国外主要国家和地区网络电子身份管理政策法规

当今世界各国社会运转与网络密不可分，日益严峻的网络空间安全形势给维护国家安全和社会稳定、商业信用及电子交易安全等方面带来了巨大的挑战。全球很多国家都已围绕网络空间身份管理，从战略计划、标准、法律法规等方面开展了大规模的战略部署与实施。下面重点对欧盟及成员国、美国以及亚洲的韩国、日本等具有代表性的国家和地区进行阐述。

（一）欧盟及成员国

欧盟采用网络电子身份证（eID）作为网络身份管理[1]的实施方法，其政策法规体系建设从战略层面注重顶层设计到个人数据隐私权及跨境自由流动、电子签名法律效力、跨境运行的电子身份及可信服务、电子身份证法等方面，确保了eID有效实施和推进[2,3]。

1. 从战略计划层面注重顶层设计规划

自2000年开始，在“i2010战略计划”“欧洲电子政务行动计划2011—2015”“欧洲2020战略计划”中，欧盟委员会从欧盟层面统筹规划了eID的实施，提出要统一建设泛欧洲级别的eID管理框架。迄今，欧盟制定的网络身份管理相关技术标准已达100余项，包括电子签名算法、签名设备、签名生成等基础技术标准，时间戳服务、验证服务等可信服务标准，以及跨境互操作相关标准。

2. 强调个人数据隐私权及跨境自由流动

1995年欧盟颁布了《关于个人数据的处理保护以及个人数据的自由流动的指令》，强调了欧盟成员国应当保护自然人的基本权利和自由，尤其是处理个人数据的隐私权。成员国不得以任何理由限制或者禁止个人数据在各个成员国之间的自由流动。德国1997年出台了《信息和通讯服务规范法》，以及2002年颁布、2006年修订的《德国联邦数据保护法》，涉及较多用户数据保护的内容。

3. 确立电子签名法律效力基础

1999年欧盟发布了《关于建立电子签名共同法律框架的指令》，确立了面向电子签名和相关证明服务的法律框架，其主要目标是促进欧盟各国国内电子签名市场的发展，确保电子签名的法律效力，为相关的电子商务活动创造合适的环境。德国1997年出台了《电子签名法》及2001年公布了《德国电子签名框架条件法》，以国家立法的形式对公民的电子签名进行强有力的保护。

4. 规范跨境运行的电子身份及可信服务

欧盟2006年颁布了《有关盟内服务贸易市场的第2006/123/EC号指令》，并于2014年颁布了《内部市场电子交易中的电子身份和可信服务规范》，确保欧盟成员国的人员、商务可以使用其自己国家的eID访问他国的公共服务；创建欧洲电子可信服务市场，主要包括电子签名、电子印章、时间戳、电子文件传输、网站认证等；确保各国eID跨境运作时有同样的法律状态。其配套政策包括关于电子身份（eID）的实施及关于电子可信服务实施的各个委员会的实施规定和决议。

5. 确立电子身份证法

德国2009年颁布了《个人身份卡法案》，制定了网络电子身份标识eID的整体法律框架，为在线认证建立身份管理系统（IdMS）。该法律从各个方面对德国eID实施的约束规范以及立法实现做了详细的规定。德国2010年颁布了《电子身份证条例》，明确规定了德国新一代身份卡（德国eID卡）基础设施的安全和数据保护要求；同年还颁布了《身份费用条例》，规定了电子身份卡的收费标准和计算公式。

（二）美国

美国网络电子身份管理的政策法规体系建设从国家战略层面、电子签名法律效力、网络和信息安全、个人网络身份验证等方面，保障了网络电子身份管理的有效实施和推进[4]。

1. 从国家战略层面进行顶层设计

美国2011年4月颁布了《网络空间可信身份国家战略》，计划用10年的时间构建一个网络身份生态体系，推动个人和组织在网络上使用安全、高效、易用的身份解决方案。旨在谋求对网络空间的主导权和控制权，并希望通过繁荣网络经济再次引领世界经济新潮流，占领未来全球经济的制高点。

2. 确立电子签名法律效力

美国2000年颁布了《联邦电子签名法》，使电子签名获得与手写签名平等的法律地位，扫除了使用电子技术制定、签署合同，收集和储存文件以及发送通知的法律障碍。

3. 强调网络和信息安全

美国2002年颁布的《联邦信息安全管理法》和2009年颁布的《网络安全法案》，确立了美国联邦信息系统安全的总体制度框架，明确了管理责任，强调了网络和信息安全方面的内容。

4. 关注个人网络身份验证

2004年8月，美国出台了第12号国土安全总指令（HSPD-12），为政府部门管理联邦雇员与合同制雇员提供了一套新型身份管理标准策略。为了响应HSPD-12，美国国家标准与技术研究院发布了联邦信息处理标准，目的是为政府职员和承包商制定个人身份验证（PIV）标准。此项标准的身份识别定义了技术需求及框架，明确了用于联邦身份识别系统里所需要的所有技术标准。

（三）韩国和日本

韩国、日本的网络电子身份管理政策法规着重于电子（数字）签名、认证服务、个人信息保护等方面，有力促进了网络电子身份管理的应用发展[4]。

1. 确立电子（数字）签名法律地位

韩国1997年颁布了《电子商务基本法》，该法对数字签名等基本概念做出了定义；对通信信息的有效性作了规定。2000年日本颁布了《电子签名和认证服务法》，涉及电子签名的立法原则、宗旨、电子签名的种类与效力以及对电子签名犯罪的惩罚等内容。

2. 强调认证服务的法律效力

日本2000年颁布的《电子签名和认证服务法》，强调了认证机关的职能及其认证条件、承认外国认证机关颁发的电子说明书的效力问题以及对电子签名犯罪的惩罚等内容。

3. 关注个人信息保护

韩国1997年颁布的《电子商务基本法》，详细地规定了个人信息安全方面的内容，包括收集、处理、发送或储存等。日本2003年颁布的《个人信息保护法》，制定了个人信息保护的基本方针和个人信息的正当处理内容，旨在协调国家以及地方公共团体，从而对个人信息进行强有力的保护。

三、我国网络电子身份管理政策法规

我国网络电子身份管理政策法规从电子（数字）签名、网络实名制[5]、加强网络信息保护等方面进行了初步推进。

（一）确立电子签名法律地位

2005年4月，我国颁布施行的《中华人民共和国电子签名法》，规定可靠的电子签名与手写签名或者盖章具有同等的法律效力，确立了电子签名的法律效力和依据。2000年中国香港出台了《电子交易条例》，确立“电子合约”与“数字签名”的有效性，明确指出了所认可的数字签名应当是由非对称密码技术产生的数字签名。

（二）制定网络实名制法规

2005—2013年，教育部发布的《关于进一步加强高等学校校园网络管理工作的意见》，明确提出在高校教育网实施网络实名制；信息产业部发布的《非经营性互联网信息服务备案管理办法》规定，非经营性网站要办理非营业性互联网信息服务业务备案证；国家工商总局颁布的《网络商品交易及有关服务行为管理暂行办法》施行“网店实名”；国家文化部颁布的《网络游戏管理暂行办法》施行“网游实名”；国家财政部颁布的《互联网销售彩票管理暂行办法》施行“彩票实名制”；工信部发布《电话用户真实身份信息登记规定》和《电信和互联网用户个人信息保护规定》，要求用户办理固定电话、移动电话（含无线上网卡）时必须实名入网[6～11]。

（三）强调加强网络信息保护

2012年12月，全国人大常委会审议了委员长会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》，这一决定的立法目的是保护公民网络信息不被泄露、篡改和滥用。全国人大常委会法工委副主任李飞在说明中指出，决定突出强调国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，对网络服务提供者和其他企业事业单位收集、使用个人信息的规范及其保护个人电子信息的义务做出多项规定，政府有关部门及其工作人员对在履行职责中知悉的公民个人信息同样负有保密和保护义务[12]。

四、对我国网络电子身份管理政策法规的思考与建议

通过以上主要国家和地区网络电子身份管理政策法规分析,结合我国国情，对我国网络电子身份管理政策法规体系建设提出以下建议：

一是从国家战略层面注重顶层设计，明确eID的法律支撑。研究确定立法需求，包括在目前讨论的《中华人民共和国网络安全法》中增加条款“由国家签发的eID作为公民网络身份的信任源”，并制定《网络电子身份证法》。

二是网络身份管理法律法规推进路线应当借鉴现实社会的身份管理机制，根据不同场景应用网络身份证。现实生活中，我们在乘坐飞机、搭乘火车、入住宾馆、银行开户、证券开户等事关人身安全和社会公共安全的场合都需要出示公安机关颁发的公民身份证，进行真实身份信息的核查，但在逛街购物、饭店就餐、景点旅游、观看电影等场合并不需要实名。事实上在网络空间也是一样，各类互联网应用可以划分为三个区间：第一个区间是所谓的注册实名和使用实名，即事关金融安全、个人财产安全和社会公共安全的场合，如大额电子商务、金融交易和与个人相关的政府网上公共服务等网络活动中需要进行真实身份验证；第二个区间是注册实名使用匿名，如网络游戏、电子邮件等应用，在使用应用时，人们不希望以实名形式出现，而在账号出现被盗取和丢失问题时，需要通过真实身份验证找回账户等虚拟财物；第三个区间是注册匿名、使用匿名，如网上浏览。网络业务处于哪一个区间或适用何种程度的网络身份管理，应当取决于用户的意愿和业务的需要，才能得到民众的认同和接受。

三是网络身份管理法律法规制定的目的应当以国家和公民的安全和权益为中心。当前网络环境下，个人在使用不同的互联网应用时需要提供不同的账户名和密码，并且用户每申请一次账户，就必须提交相关的个人信息，这也埋下了隐私泄露的隐患。必须建立完善的个人信息保护法律制度和有效的法律执行机制，严格规范身份信息使用范围和方法，减少用户为申请账户提交个人信息的环节，降低隐私泄露风险，避免身份信息的盗取和滥用，可有效保障个人隐私安全。各国在推行数字身份管理战略时都十分重视建立完善的个人信息保护法律框架和有效的法律执行机制。美国及欧盟还将在技术层面采用严格的隐私保护政策，要求服务提供商收集、使用、披露用户信息的各个环节，从技术层面做好相应的隐私保护设计和风险评估工作。

四是在制定网络身份管理法律法规的过程中应当充分发挥各方作用。以美国为例，2011年发布的《网络空间可信身份国家战略》将身份认证界定为一种市场服务活动，既存在着企业和用户对于网络安全与隐私保护的需求，也存在着满足上述需求的市场供给。在网络身份生态系统中，个人用户、服务提供商、政府都将发挥重要作用，并且彼此制约和相互影响，其中由市场机制主导系统的正常运作，而政府则在其中发挥引领、协调和整合作用。我国网络身份管理法律法规应该体现国家和社会各实体的权益、义务和责任。

[1]Identity management [EB/OL]. (2016-09-02) [2016-09-10]. http:// en.wikipedia.org/wiki/Identity_management.

[2]European Commission. i2010-A European information society for growth and employment [R/OL]. Brussels: Communication department of the European Commission. (2005-06-01) [2016-09-10]. http://europa.eu/rapid/press-release_MEMO-05-184_en.htm.

[3]European Commission. A roadmap for a pan-European eIDM Framework by 2010 [R/OL]. Brussels: Brussels: Communication department of the European Commission. (2010-02-01) [2016-09-10]. http://www.statewatch.org/news/2008/jul/eu-com-eidmroadmap-paper.pdf.

[4]胡传平,邹翔,杨明慧,等. 全球网络身份管理现状与发展[M].北京:人民邮电出版社, 2014. Hu C P, Zou X, Yang M H, et al. Status and development of global network identity management [M]. Beijing: People’s Posts and Telecommunications Press, 2014.

[5]网络实名制[EB/OL]. (2015-05-22) [2016-09-10]. http://baike. baidu.com/view/731760.htm. Network real-name system [EB/OL]. (2015-05-22) [2016-09-10]. http://baike.baidu.com/view/731760.htm.

[6]中华人民共和国教育部,共青团中央. 关于进一步加强高等学校校园网络管理工作的意见[EB/OL]. (2010-05-23) [2016-09-10]. http://www.ssbgzzs.com/txt/2010-05/23/content_3525176.htm.Ministry of Education of the People’s Republic of China, Central Committee of the Communist Youth League. Opinions on further strengthening the management of campus network in colleges and universities [EB/OL]. (2010-05-23) [2016-09-10]. http://www. ssbgzzs.com/txt/2010-05/23/content_3525176.htm.

[7]深圳市公安局网监分局. 关于开展网络公共信息服务场所清理整治工作的通知[EB/OL]. (2005-07-20) [2016-09-10]. http:// news.qq.com/a/20050720/001544.htm. Shenzhen City Public Security Bureau Network Administration. Notice on carrying out the work of cleaning up and rectification of public information service sites in the network [EB/OL]. (2005-07-20) [2016-09-10]. http://news.qq.com/a/20050720/001544.htm.

[8]中华人民共和国文化部,信息产业部. 关于网络游戏发展和管理的若干意见[EB/OL]. (2005-08-04) [2016-09-10]. http://www. gov.cn/jrzg/2005-08/04/content_20403.htm. Ministry of Culture, Ministry of Information Industry of the People’s Republic of China. Some suggestions on the development and management of online game [EB/OL]. (2005-08-04) [2016-09-10]. http://www.gov.cn/jrzg/2005-08/04/content_20403.htm.

[9]中华人民共和国国家工商行政管理总局. 网络商品交易及有关服务行为管理暂行办法[EB/OL]. (2010-06-01) [2016-09-10]. http://www.gov.cn/gzdt/2010-06/01/content_1618532.htm. State Administration for Industry and Commerce of the People’s Republic of China. Interim measures for the administration of online commodity trading and related services [EB/OL]. (2010-06-01) [2016-09-10]. http://www.gov.cn/gzdt/2010-06/01/content_1618532.htm.

[10]中华人民共和国文化部. 网络游戏管理暂行办法[EB/OL]. (2010-06-22) [2016-09-10]. http://www.gov.cn/flfg/2010-06/22/ content_1633935.htm. Ministry of Culture of the People’s Republic of China. Interim measures for the administration of online games [EB/OL]. (2010-06-22) [2016-09-10]. http://www.gov.cn/flfg/2010-06/22/content_1633935.htm.

[11]中华人民共和国财政部. 互联网销售彩票管理暂行办法[EB/ OL]. (2010-10-09) [2016-09-10]. http://www.gov.cn/fwxx/ sh/2010-10/09/content_1718158.htm. Ministry of Finance of the People’s Republic of China. Interim measures for the administration of Internet sales of lottery tickets [EB/OL]. (2010-10-09) [2016-09-10]. http://www.gov.cn/fwxx/ sh/2010-10/09/content_1718158.htm.

[12]全国人民代表大会常务委员会. 关于加强网络信息保护的决 定 [EB/OL]. (2012-12-29) [2016-09-10]. http://www.gov.cn/ jrzg/2012-12/28/content_2301231.htm. Member of the Standing Committee of the National People’s Congress. Decision on strengthening the protection of network information [EB/OL]. (2012-12-29) [2016-09-10]. http://www.gov. cn/jrzg/2012-12/28/content_2301231.htm.

A Study on the Policies and Regulations of Network Electronic Identity Management

Zou Xiang1, Hu Chuanping1, Fang Binxing2, Chen Bing1
(1.The Third Research Institute of the Ministry of Public Security of the People’s Republic of China, Shanghai 200031, China; 2. CyberSecurity Association of China, Beijing 100010, China)

This paper analyzes and sorts out the policies, laws, and regulations of network electronic identity management in major countries, regions in foreign countries, and China. It discusses the development of China’s network identity management, and outlines the 13th Five-Year Plan’s policies and regulations for network electronic identity management in China, including the development of ideas and constructive suggestions, the strengthening of network space identity management, and the construction of a network space identity management system.

network electronic identity; identity management; policies and regulations

TP39

A

2016-09-10；

2016-09-20

邹翔，中华人民共和国公安部第三研究所，研究员，研究方向为网络安全、大数据应用；E-mail: xzou@eid.net.cn

中国工程院重大咨询项目“网络空间安全战略研究”(2015-ZD-10)

本刊网址：www.enginsci.cn