杨 林 国 伟 章 锋 郝久月
当前,世界主要国家高度重视可信数字身份对数字经济发展和网络空间治理的重要支撑作用,纷纷出台战略规划,建立技术体系,完善法律法规,大力推动数字身份体系建设应用.近年来,我国也大力倡导和发展数字经济,数字化服务已深入人民群众生产生活各个方面.在给人民群众带来便利的同时,也产生了一些不容忽视的问题,如传统的基于实体证件的身份认证方式已难以适应网络化、数字化活动需求;个人身份信息滥采、滥用以及泄露问题依然突出,网络诈骗、侵犯公民个人隐私信息等违法案事件时有发生,严重扰乱了社会公共秩序,威胁着人民群众生命财产安全.因此,加快建立符合我国国情的网络可信身份服务管理体系.
纵观全球,主要国家和地区高度重视可信数字身份对数字经济发展和网络空间安全的重要支撑作用,纷纷出台战略规划,完善法律法规,开展试点应用,大力推进数字身份体系建设,经多年发展取得了很多成绩和经验,值得我国借鉴.
欧盟在数字身份的发展进程中不断发布各类法律法规,引导成员国在数字身份领域的发展,通过发放eID实体卡支持成员国间数字身份互认互通,实现线上线下一体化的网络身份管理[1-2].2022年初欧盟最新发布了《数字身份:利用自主身份概念建立信任》和《欧洲数字身份体系架构和参考框架》(eIDAS 2.0),提出采用传统的eID和自主主权身份SSI混合发展的技术路线.目前欧盟基于eIDAS条例的电子身份识别和信任服务体系基本建成,并大力推广基于区块链技术的自主主权身份研究和应用.
美国于2011年发布《网络空间可信身份国家战略》,并于2017年由美国国家标准与技术研究所(NIST)发布了《数字身份指南》(SP 800)系列标准.相较于欧盟,美国不强调技术体系的统一,更加重视网络可信身份的互操作性,追求商业机构的深度参与的、多系统松耦合架构的融合共存[3].
我国网络可信身份建设应与我国国情相适应,充分考虑我国人口管理现状和人口基数,以及数字中国、数字经济、社会治理的发展新需求,提出具有中国特色的网络可信身份发展路径[4]:
一是我国数字身份体系建设要充分吸收国际经验,但更要适应中国国情,利用好我国在法定基础身份证件和国际标准的机读旅行证件管理过程中形成的数据、运行机制、应用体系和管理体制等;
二是在实现公民隐私保护和数据安全同时,满足“前台匿名、后台实名”的网络身份管理要求;
三是数字身份相关法律法规、管理制度、标准体系等要与新一代信息技术融合规划,进一步推动网络可信身份认证基础支撑能力;
四是落实以人民为中心的理念,满足便捷操作,保证应用安全;
五是建设国家权威网络身份认证公共服务基础设施,积极推动数字身份生态建立和产业发展.
近年来,我国密集出台相关法律法规,对我国网络可信身份战略进行顶层规划.《中华人民共和国网络安全法》(2016)中提出:“国家实施网络可信身份战略,支持研究安全和方便的电子身份认证技术,推动不同电子身份认证之间的互认”;《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)(2021)第62条指出:“支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设”;同年《网络数据安全管理条例》公开征求意见,提出“国家建设网络身份认证公共服务基础设施”.两法一条例的颁布标志着个人信息权益有了更系统的法治保障,个人信息处理活动有了更明确的法律指引,为国家级、可信、权威的数字身份管理服务体系建设奠定了坚实的法律基础.
2013年以来,为深入贯彻落实习近平总书记网络强国重要思想,公安部第一研究所在中央网信办的指导下,开展我国网络可信身份战略研究,组织院士、专家、学者广泛调研、充分论证,形成了“以居民身份证为根、以密码技术为手段、以不改变群众习惯为要求、以安全便捷为目标、以匿名服务为解决方案”的中国特色网络身份认证策略,并设计了以“身份证网上凭证”为核心的技术实施方案,将“身份证网上凭证”打造为网上“认证的凭据、执法的证据、追溯的依据”[4].
公安部第一研究所在网络可信身份领域经历了理论研究、试点示范、科研创新、产业化推广、多元化拓展5个里程碑阶段(如图1所示),先后完成中央网信办2个课题任务以及“十三五”国家重点专项研究,并于2016年实现成果转化,建设完成国家互联网+可信身份认证平台(CTID平台).截至目前,CTID平台已为全国一体化政务服务平台及50余个行业、350多家机构提供身份认证服务超过200亿次[5].
图1 我国网络可信身份体系发展历程
网络可信身份管理涉及网络空间多个参与方,可进一步划分为网络身份监管机构、评估机构、基础身份管理机构、身份提供机构、服务提供机构和用户(服务使用方)6个角色,构筑起网络可信身份管理体系的六方模型(如图2所示).
图2 网络可信身份管理体系模型
1) 网络身份监管机构.具有法定权利或由主管部门授予监管职责的监管机构,对网络提供机构和网络服务机构的服务能力和安全运营能力进行监管,包括产品检测、风险检测、责任认定、网络执法等监管职责.
2) 评估机构.网络身份监管机构认可的第三方独立测评机构,受网络身份监管机构的委托,对网络身份提供机构和网络服务机构的服务能力和安全运营能力进行评测,并出具客观、公平的测评结果,供监管机构决策使用.
3) 基础身份管理机构.汇集包括权威国家级基础身份信息库,为身份提供机构提供基础身份信息的校验、属性信息的核验等服务;为多个身份提供机构提供互认服务.
4) 身份提供机构.专业提供网络身份签发服务、网络身份鉴别服务等活动的服务提供商,向网络身份监管机构申请合格资质,通过评估机构测评成为合格的网络身份服务商后,可以为个人网络用户、网络业务应用提供网络可信身份服务,为业务应用等依赖方提供网络身份鉴别服务等.
5) 服务提供机构.提供包括身份认证、属性验证、行为取证和信用服务等各类身份服务的提供者,依托身份服务机构和基础身份管理机构校验用户身份,为用户提供各项身份服务.
6) 用户方.涉及电子商务、电子政务、社交生活、互联网金融等互联网服务提供方,这些主体依托身份服务提供机构提供的身份服务校验使用互联网应用的用户身份.
六方模型实现身份提供和业务服务统一监管、身份管理服务和业务服务分离的思路,可有效解决传统的三方模型(用户、身份提供机构、服务提供机构)或五方模型(用户、身份登记机构、证书服务机构、验证服务提供机构、身份依赖方)所面临的身份隐私信息易被过度采集、滥用、误用和盗用,身份信息易被复制和伪造,认证结果不可信,不同网络身份系统间互认互操作性困难等种种问题:
1) 通过引入网络身份监管机构,对网络身份提供机构和服务提供机构进行有效监管,对身份提供机构能力进行评估,为《个人信息保护法》的落地实施提供监管机制.
2) 通过引入基础身份管理机构,解决了身份信息信任基础问题及缺乏统一身份信息信任基础、网络身份溯源难等问题.
3) 提供统一、安全可信、全生命周期的身份管理,解决了不同网络身份系统之间身份的互认互通难题.基于基础身份管理机构建立的基础信息库,建立服务于全网络的网络身份提供机构,其签发的网络身份标识可以作为各网络服务提供机构对用户身份核验的信任基础,网络身份提供机构可以根据网络身份标识在机构内建立对应身份映射关系,并据此签发相关的证书、身份凭证等;各机构的网络身份标识可以通过网络基础身份管理机构进行关联互认,使得网络身份标识成为不同网络身份系统之间互认互操作的信任基础.
基于以上6个参与角色,网络可信身份管理体系的六方模型以用户为导向、以网络身份监管机构为指引、以基础身份管理机构为基础、以评估机构为支持、以身份服务提供机构和服务机构为核心,协同运转、相互联系,共同构建起中国特色的网络可信身份管理体系生态圈.
我国网络可信身份认证服务体系(如图3所示)按“1个平台、2种服务、1个APP入口,满足3大需求”的思路开展建设.
图3 我国网络可信身份认证服务体系
“1个平台”即CTID平台致力于为政务、金融、互联网及社会生产生活各行业提供网络身份认证公共服务;将切实保护个人隐私身份信息,减少个人信息过度收集和不规范留存.
“2种服务”即以CTID平台为依托,形成一体化技术解决方案,同时提供网络可信身份认证服务和居民身份证电子证照服务,满足身份认证、留档存证和保护个人隐私“3大需求”.网络可信身份认证服务是面向个人提供匿名化的网络身份认证服务,可在不暴露公民身份信息的前提下证明真实身份,支持线上线下一体化应用.居民身份证电子证照服务是依托于居民身份证实体证件对应的数据文件,通过数字签名技术保证安全性,替代居民身份证复印件或影印件,在政务领域留档存证.群众在手机中安装一个APP,扫码即可办事,既便捷又安全,适应了群众在信息化、网络化、数字化条件下线上线下身份认证的需求.
CTID平台是支撑国家互联网+行动计划,在中央网信办、国家发展改革委和科技部的支持指导下,公安部领导组织建设的互联网+重大工程基础保障类项目.
在政务服务方面,2019年5月上线后,CTID平台已为46个国务院部门和31个省级单位及新疆生产建设兵团政务服务平台提供了身份认证的相关服务,实现在线政务一次认证、全网通办.目前全国一体化政务服务平台实名用户超过9.5亿人,其中国家政务服务平台注册用户超过5.8亿人.已汇聚共享电子证照类型近900种,为电子证照跨地区互认、“减证明、减材料”提供了有力支撑.
在防疫支持方面,自疫情侵袭以来CTID平台持续支撑“国家防疫健康信息码服务系统”,依托CTID平台生成的个人身份标识,与个人健康数据进行关联和绑定,生成具备身份和业务双重属性的安全二维码,实现了“人码合一、身份共识、一码通行”.
在地方公共服务方面,CTID为无锡市提供了权威的身份认证服务能力,支持无锡市在电子政务、社会治理、社会服务、民生应用等各方面提供“跨域信任、跨域互通”的可信数字身份认证服务,为无锡市民签发全域多维通用的无锡数字身份.
图4 CTID平台典型业务应用
一是围绕身份识别精准化、一体化的迫切需求:研究人脸、指纹、声纹的采集技术,建立采集规范,形成人脸、指纹和声纹多生物特征的认证基础库和测试库;研究活体防伪检测技术,建立活体攻防测试库,建立基于视频的活体检测平台;结合自主研究的多生物特征融合技术,搭建多模生物特征认证系统.
二是以国家权威网络可信身份为基础,建立一套支持用户自主控制、具有用户自主主权的数字身份分布式认证技术体系框架.解决各域身份认证信任基础缺失、身份互认困难、多层级数字身份难以溯源等问题,为数字身份分布式认证总体架构及规范要求的提供标准支撑,有效减少在公共互联网上收集、存储个人信息等行为.
三是研究基于安全芯片的个人信息安全存储及应用技术,支持存储用户端敏感数据(如用户个人隐私信息、私钥、数字证书等);研究隐私计算、零知识证明、不经意传输等密码学技术,支持用户身份信息最小化及选择性披露,在不暴露用户个人信息前提下完成身份认证;支持用户自主授权身份使用,允许被许可的特定组织或个人访问、储存、分析或分享身份数据.
四是研究基于5G SIM卡的数字身份创新应用,将5G SIM卡与数字身份融合共通,满足互联网+可信身份认证平台在线离线网络环境、快速通行、穿戴设备便捷认证、物联网应用等各类场景下的身份认证需求,丰富网络可信身份的应用方式和应用形态;贯彻个人授权原则,支持用户自主、灵活地使用5G SIM卡内个人信息,为个人信息授权应用提供新的解决思路.
依据网络可信身份管理体系六方模型,将网络可信身份的管理和应用适度解耦,在严格授权、监管和安全可控的情况下,支撑政务应用和行业应用、城市应用、互联网平台应用等第三方认证服务建立不同信任等级的网络可信身份提供或服务提供能力,共建国家网络可信身份应用生态体系,加快国家网络可信身份体系的推广应用.
配合完善网络可信身份管理及应用的政策法律法规及标准体系,构建以国家标准为主、行业标准为辅,覆盖基础标准、技术标准、管理标准、应用标准的网络可信身份管理和认证服务标准体系,规范促进数字身份产业发展.
密切关注身份信息存储、传输、验证、使用、保护等相关的立法、修法动态,积极开展身份信息验证相关法律的专项研究,推动网络可信身份管理和服务的立法工作.通过网络身份监管机构,对网络身份提供机构和服务提供机构对用户信息的采集、存储、使用、加工、传输等全过程进行有效监管.通过委托评估机构对其服务能力进行评估,对身份提供机构建立信任管理机制,持续提升网络身份提供机构和服务提供机构服务能力、隐私保护能力、系统安全保障能力,提高网络安全服务水平.
现阶段,公安部第一研究所正在中央网信办的指导下,在国家发展改革委的支持下,在公安部的直接领导下,全力落实我国网络可信身份战略,以CTID平台为先导建设国家网络身份认证基础设施工程,有效解决个人信息过度采集留存问题.通过国家网络身份认证基础设施,优先向政务和强制实名制领域提供网络身份认证服务,为支撑我国社会治理体系和治理能力现代化建设、建设数字中国、实现“中国之治”贡献力量.