国际网络可信身份战略研究及对我国的启示

2018-06-29 02:01刘耀华
网络空间安全 2018年2期
关键词:隐私

刘耀华

摘 要:网络可信身份管理是网络信息时代各国出于网络安全及为公民提供相关服务的需要而对使用网络服务主体进行管理的行为,涉及到相关政府部门、有关企业等多方主体。目前国际主要国家均针对网络身份管理进行了顶层设计,并完善了有关立法,我国在这一领域也处于不断发展完善过程中。文章旨在针对我国网络身份管理的相关立法及政策总结问题、提出建议。

关键词:网络身份;网络身份管理;隐私

中图分类号:DF92 文献标识码:A

Research on trusted identity of international network and its enlightenment to china

Abstract: Trusted network identity management is the behavior of all countries in the era of network information for the purpose of network security and the provision of related services to citizens. It involves the government agencies and related enterprises. At present, all the major countries in the world have carried out the top-level design for network identity management and perfected the relevant legislation. Our country is also in the process of continuous development and improvement in this field. This paper aims at the legislation and policy summary of network identity management in China.

Key words: network identity; network identity management; privacy

1 引言

隨着人类活动不断向网络空间延伸,网络空间被视为继陆、海、空、天之后的“第五空间”,对国际政治、经济、文化、社会、军事等领域都产生了深刻影响。开展网络身份管理、确保网络主体身份可信、行为可追溯等已成为网络空间治理的重要内容。国际主要国家如欧美地区均针对网络身份进行了管理,不仅制定了顶层战略设计规划,而且完善了配套的技术标准、个人信息保护等各种法律法规及文件政策等。我国目前也有一些初步的政策和实践经验,但仍有待完善。

2 网络身份相关理解

2.1 相关概念

2.1.1 网络身份

网络身份指的是在网络空间中识别特定主体的数字化表述。Twitter前CEO Evan Williams曾发表博文,称网络身份已经成为网络服务急需处理的最为棘手的问题之一,从某种程度上来讲是因为“身份”这个词涵盖了不同的意义。网络身份具有五大要素。

身份验证:它关系到你是否具有某项操作的权限,就像是你身份证明上的照片、某张会员卡、家里或房门的一串钥匙。

代表身份:它涉及到你的身份或你宣称的身份,这和个人名片、个人资料一样,因为它让别人知道你的身份、职业等其他背景资料。

通讯:它涉及到“如何能联系到你?”的问题。这和电话号码一样,不过如今涉及到更多的通讯工具,比如电子邮件、Twitter和Facebook。

个性特点:这里不仅仅是身份特征,而是开始判断用户的喜好和兴趣,这就好比去一家常去的咖啡店,店家对你的口味十分熟悉,因此不需要询问便可为你端上一杯你喜欢的饮品。

声望:它是基于别人对你的看法,现实中类似的对照物是个人口碑、信贷机构等第三方组织等为你编译的个人诚信档案。

2.1.2 现实身份及身份认证技术

与网络身份相对应的是现实身份,指的是在特定的现实环境中能够识别特定主体的信息表述,如姓名、身份证号码等。现实身份无需借助网络得到实现,但是网络身份的实现则不能脱离现实身份,在某些情况下,网络身份应当通过某些身份认证技术确保和现实身份达到一致,身份认证技术就是为了保证操作者的现实身份与网络身份相对应而生的。

身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法。计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的网络身份,所有对用户的授权也是针对用户网络身份的授权。如何保证以网络身份进行操作的操作者就是这个身份的合法拥有者,也就是说保证操作者的现实身份与网络身份相对应,身份认证技术就是为了解决这个问题应运而生的。作为防护网络资产和网络信息的第一道关口,身份认证有着举足轻重的作用。电子签名则是现代认证技术的泛称,并非是书面签名的数字图像化,它其实是一种电子代码,利用它,收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。

2.1.3 网络可信身份体系

网络可信身份体系是以密码技术为基础,包括法律法规、技术标准和基础设施等内容,解决网络应用中的身份认证、授权管理和责任认定问题的完整体系。而网络用户身份的有效标识和认证是其关键环节。贸法会在一次会议上总结了对网络身份体系进行管理的概念:(a)用以在网上环境中管理个人、法律实体、设备或其他主体的身份识别、认证和授权的一套程序;(b)用于保证身份信息(如标识符、证书、属性),保证实体身份,以及支持商业和安全应用目的的一系列功能和能力。

2.2 必要性和意义

网络空间的虚拟性,以及用户身份和行为的不确定性等因素, 给网络空间管理和网络信任体系建设造成了巨大困难,制约了网络应用发展。网络身份安全不仅影响到个人及财产安全,大规模身份数据甚至影响到国家安全。因此,迫切需要研究建设网络可信身份体系。

2.2.1 保障网络空间安全的需要

随着社会生活对网络依赖的不断加深, 网络空间安全已成为社会安全的一部分。正如实体社会的秩序保障依赖于对自然人的身份管理, 网络空间的有序也离不开网络可信身份管理。

2.2.2 有序开展电子政务、电子商务、信息共享等各类网络的应用前提

网络可信身份管理手段的缺失,将导致面向公众的电子政务无法切实开展;网络交易过程中,用户身份确认是基本环节,而各类数据海量累计催生的大数据分析,也进一步增加了个人信息泄露的风险;网络信息共享给人们带来极大便利的同时,网络谣言、网络欺诈、淫秽信息传播等问题也日趋严峻。网络可信身份管理是电子政务、电子商务、信息共享等各类网络应用有序开展的前提。

3 国际主要国家的网络身份管理

3.1 美国网络空间可信身份国家战略

2011年4月,美国在以前的基础上,公布《美国网络空间可信身份国家战略(NSTIC)》(National Strategy For Trusted Identities In Cyberspace),计划用10年左右的时间,通过政府推动和产业界努力,建立一个以用户为中心的身份生态体系。该方案将网络空间身份认证管理提升为国家战略,明确指出了美国可信身份体系的四个建设目标:建设综合的身份生态系统框架;构建并实施彼此联通的身份解决方案;提高身份生态系统的安全性,扩大参与范围;保证身份生态系统的长期可用性。2016年4月15日,官方网站发表了一篇五年历程回顾的文章——《WHOA-OH! WERE HALFWAY THERE! Happy NSTICiversary!》,主要是在NSTIC战略五周年之际,通过一组数据比较美国这五年间的发展变化。

2011年,美国出台战略以来,市场不断发展和成熟。政府通过不断提高标准、技术等方面来驱动商业和政府来使用可信电子身份方式,为此,正在实行四种主要策略:合作、出版物、市场情报和通信。

标准的开发增加了身份解决方案的互操作性。在过去的5年里,取得了巨大的进步,开发了可以跨部门使用的以身份为中心的安全和隐私标准、协议和概要文件。有几个项目正在利用OAuth 2.0,这是一种协议,允许用户从服务提供商的站点向依赖方提供私有资源的访问权;身份生态系统指导小组(IDESG)发布了身份生态系统框架(IDEF),其中包括组织遵守NSTIC指导原则的要求,以及补充指南和功能模型。

政府的使用不断增多。数据显示,2011年以来,美国政府部分在采用NSTIC解决方案,增强网络安全与隐私方面取得很大进步,如在增强身份认证方面,2013财年美国商务部从30%增长到88%,2014财年,美国环保署从0%增长到69%。总务署有五个部门对隐私增强技术进行操作实施。

企业对可信身份解决方案的使用也在不断增加。NSTIC呼吁私营部门“引领这一身份生态系统的发展和实施”,企业已经加快步伐改善他们的身份管理。在过去的五年里,许多公司为用户启用了MFA的版本(有时为双重认证或两步验证):谷歌和脸书是在2011年启用的,苹果、推特、LinkedIn于2013年,Slack、Snapchat和Amazon是在2015年,Instagram于2016年开始启用双重认证。2012年开始,共出资设立了18个试点,推动NSTIC的使用,試点涉及了380万人。

个人的使用也在增加。身份生态系统的成功在于越来越多的个人和组织使用,因为参与人数越多,个体获得的价值越大。2013年只有25%的美国人使用双重认证,2015年这一数据上升到了39%。

3.2 欧盟

顶层设计已基本完成。欧盟委员会 2006 年发布了《2010泛欧洲eID管理框架路线图》(以下简称“路线图”)从欧盟层面统筹规划了eID的实施,标志着欧盟推进eID的顶层设计方案已经成型。路线图提出要统一建设泛欧洲级别的eID管理框架,制定了为期5年的欧盟推进eID的时间安排及阶段计划。

法律法规体系较为健全。欧盟形成了较为完善的法律法规体系,规范 eID 和电子签名应用,保护持有者隐私权益。为推动电子签名应用、促进对电子签名法律效力的认可,还颁布了《电子签名统一框架指令》《关于电子通信方面个人数据处理及隐私保护指令》等。

技术创新成果丰硕。欧盟非常重视技术创新,在密码算法、数字签名、身份认证等技术方面取得创新突破,另外还通过研发搭建公共平台,包括敏感数据信息交换和共享平台、多语言服务平台、数据共享安全网络平台等,促进成员国的公共行政部门的合作等。

标准体系比较完善。欧盟电子签名领域标准化工作起步较早,初步形成了较为合理的标准体系框架,相关标准不仅在欧盟范围内被广泛使用,在全球都具有广泛影响力。截止到 2014 年 10月,欧盟制定的电子签名相关标准已达100余项。

应用取得显著进展。在各成员国的支持和推动下欧盟 eID 应用取得了长足的进展。目前,多数欧盟成员国都颁布了 eID发展规划,采用 eID 来解决网络应用中身份鉴别、认证、电子签名、数据保护等问题。

3.3 总结

从对美国及欧盟各个地区和国家的网络身份管理的总结来看,这些国家凸显了以下网路身份管理的特点。

一是网络空间可信身份被提升为顶层战略。美国2011年《网络空间可信身份国家战略》和欧盟2010年《泛欧洲eID管理框架路线图》最为典型,但是二者具有不同的发展路径,前者以推动第三方认证市场为主要发展路径,后者则以推动国家统一电子身份、集中认证方式为主要发展路径。

二是各国均基于本国传统确立了网络身份管理的实现模式。目前各国一般以自身的传统身份管理模式为基础实现网络身份管理,进行线下到线上的迁移,在这一过程中充分体现度国家文化传统、政府体制、线下身份管理传统的尊重。政府在网络身份管理中的作用一般在于建立临界规模的身份验证用户和服务数量,协调身份体系。

三是所有国家高度重视隐私保护政策。所有国家都将应用现有隐私保护立法框架作为隐私保护主要政策工具,如一些国家提及对政府系统进行隐私影响评估(PIA),如澳大利亚、加拿大、卢森堡、新西兰和美国等。

四是主要国家的基础法律体系完备。如欧美完善的法律体系为网络身份管理政策的实施提供了充分的法律保障,欧美均在隐私与个人数据保护、网络与信息安全、网络犯罪、电子签名与认证机构等方面进行了立法。

4 我国网络身份管理存在的立法问题及建议

4.1现行的立法及文件

我国的《网络安全法》第24条规定:国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。我国网络电子身份管理政策法规从电子(数字)签名、网络实名制[5]、加强网络信息保护等方面进行了初步推进。

2005年4月,我国颁布施行的《中华人民共和国电子签名法》,规定可靠的电子签名与手写签名或者盖章具有同等的法律效力,确立了电子签名的法律效力和依据。2000年中国香港出台了《电子交易条例》,确立“电子合约”与“数字签名”的有效性,明确指出了所认可的数字签名应当是由非对称密码技术产生的数字签名。

2005-2013年,教育部发布的《关于进一步加强高等学校校园网络管理工作的意见》,明确提出在高校教育网实施网络实名制;信息产业部发布的《非经营性互联网信息服务备案管理办法》规定,非经营性网站要办理非营业性互联网信息服务业务备案证;国家工商总局颁布的《网络商品交易及有关服务行为管理暂行办法》施行“网店实名”;国家文化部颁布的《网络游戏管理暂行办法》施行“网游实名”;国家财政部颁布的《互联网销售彩票管理暂行办法》施行“彩票实名制”;工信部发布《电话用户真实身份信息登记规定》和《电信和互联网用户个人信息保护规定》,要求用户办理固定电话、移动电话(含无线上网卡)时必须实名入网。

2012年12月,全国人大常委会审议了委员长会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》,这一决定的立法目的是保护公民网络信息不被泄露、篡改和滥用。在说明中指出,决定突出强调国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,对网络服务提供者和其他企业事业单位收集、使用个人信息的规范及其保护个人电子信息的义务做出多项规定,政府有关部门及其工作人员对在履行职责中知悉的公民个人信息同样负有保密和保护义务。

4.2 规范建议

第一,制定网络空间可信身份国家战略。按照政府主导、市场驱动的原则,由中央网信办牵头,联合公安部、工信部、大型互联网企业等,在研究分析现有方案的基础上,制定网络空间可信身份国家战略。一是建立分等级的身份服务机制,根据不同的业务安全需求,采用不同等级的安全技术。二是明确各参与方的角色和职责,完善相关法律法规和政策文件,制定框架、接口、协议等方面标准,推动可信身份服务产业发展。

第二,建立全国性基于PKI的第三方网络可信身份服务体系。PKI体系安全性较高,获得业界普遍认可。一是建议以PKI体系中的CA机构为主,以互联网企业等其他身份服务提供商为辅,建立全国性的网络可信身份服务体系。同时,以唯一序列号作为身份鉴证环节依据,提高现有网络身份服务提供商的隐私保护能力。二是建立健全网络身份服务提供商资质管理制度及系统互连互通等标准,引入第三方评估机制,规范网络身份服务提供商的市场环境。

第三,发展基于大数据的用户行为分析的增强型可信身份服务。为满足多样化的应用需求,将基于大数据的用户行为分析作为可信身份服务的辅助手段,发展增强型可信身份服务。一是支持大型互联网企业建立网络实体行为大数据分析中心,在日常网络交易中开展试点,基于异常行为分析,确定操作者網络身份的真实性,或对某些关键操作进行限制。二是支持大型互联网企业加强大数据等技术研发,在强化对用户行为分析的同时,加强对用户隐私的保护。

参考文献

[1] Traceyxiang.网络身份的五大要素[EB/OL]. http://tech.qq.com/a/20110418/000337.htm, 2011年04月18日.

[2] 钟红山.网络实名与数字身份[J].数字技术与应用,2015.6: 1-2.

[3] 张伟丽.构建国家网络可信身份体系的相关思考[J].技术天地,2016.12: 2-3.

[4] 陈兵.网络身份管理发展趋势研究[J].网络安全,2011.3: 2-3.

[5] 荆继武.网络可信身份管理的现状与趋势[J].信息安全研究,2016.7: 1-3.

[6] 杨明慧.奥地利网络身份管理现状与启示[J].计算机与数字工程,2014.5: 1-2.

[7] 胡传平.全球主要国家和地区网络电子身份管理发展与应用[J].中国工程科学,2016.18: 1-2.

[8] 邹翔.网络电子身份管理政策法规研究[J].中国工程科学,2016.6: 1-2.

[9] 顾青.网络可信身份管理体系研究[J].技术应用,2015.9: 1-2.

[10] 刘素清.网络信息的安全带网络身份管理技术[J].信息通信,2016.9: 1-2.

猜你喜欢
隐私
论网络隐私权的法律保护
数据安全事件频发 “隐私”何处安放?
新形势下个人信息隐私保护研究
网络环境下的隐私保护
室内窗帘装饰性探析
浅议隐私权的边界
基于大数据时代下的网络安全问题分析
大数据时代下“被直播”问题现状调研报告
被遗忘权的理论探讨
移动互联网时代信息安全问题浅谈