第二章 国外网络可信身份服务业发展总体情况
第一节 出台战略和政策推进网络可信身份服务业发展
美国、欧盟、日本、韩国等国家和地区积极出台网络可信相关战略和政策,推进网络可信身份服务业发展。
美国发布了《网络空间可信身份国家战略》(以下简称“NSTIC”),计划用10年左右的时间,构建一个网络空间可信身份生态系统,使个人和机构能够在提高隐私性、选择性和创新性的情况下,运用安全、有效、易用、可互操作的身份解决方案进行在线服务。美国很早就开始在联邦机构推行身份管理,通过向联邦机构雇员推行强身份认证方式,提高政府管理的安全性。联邦机构身份管理工作为NSTIC的实施奠定了实践基础。美国出台了第12号国土安全总统令(HSPD-12),提出在联邦政府部门推广集成了芯片、数字证书和生物识别等技术的强化安全性的个人身份认证(PIV)卡,该法令有79个政府部门参与执行,有效降低了身份仿冒、盗用的可能性。“维基解密”事件发生后,美国政府高度重视涉密系统身份认证及文档访问控制,进一步提出了联邦标识、凭据与接入管理政策,出台了一系列凭据与接入管理路线图、实施指南等,目的是在涉密信息系统中建立统一的身份、证书和访问管理系统,解决联邦涉密网络间的协同工作和身份认证问题。联邦政府身份管理工作取得了积极效果,以国防部为例,国防部向其雇员、服役军人,以及相关赞助承包商发放基于硬件设备的PKI证书,普通接入卡的发放量已超过6000万张,网络攻击数量降低了46%以上。
欧盟为加快实现“单一欧洲信息空间”的目标,2006年发布了《2010泛欧洲eID管理框架路线图》报告,指出可靠和准确地识别个人身份已经成为政府服务和商务服务的基础和中心环节,欧盟各成员国必须在现有eID管理系统的基础上,建立一个泛欧级别的eID管理框架。报告提出了泛欧eID管理框架的时间安排、组成模块及发展过程中的各里程碑,并明确泛欧eID管理应以公民个人为中心、全面为公民提供服务并且保护公民隐私。2009年,欧盟委员会下设的欧洲网络与信息安全局发布了《泛欧网络身份管理发展现状》报告,对《2010泛欧洲eID管理框架路线图》所确定的目标、原则、里程碑及执行情况进行了分析和讨论,并提出应建立身份信息资源互换机制,以提高跨境身份资源的可用性,并通过互操作协议提高跨境身份证明的可用性。2011年,欧盟委员会提出了“数字化议程”计划,制定了欧盟到2020年的发展战略,其中明确指出eID技术和认证服务是今后政府和私营机构在互联网上开展业务所必需的。为了确保欧盟网络可信身份安全发展,欧盟2018年4月出台《关于加强联盟公民身份证安全的提议》,该提议解决了身份证和居留证件识别困难和安全性不足的问题,特别是针对非居民的身份证件和居留证件,同时建议通过使用生物识别技术确保个人数据准确并得到适当保护,从而可以更可靠地识别个人。为推进欧盟各国eID卡的使用,自2018年9月29日起,欧盟范围内允许跨境识别公民eID。例如,允许公民必要时可跨境分享身份数据,使用eID登录欧盟国家的在线公共服务网站,并访问位于欧盟国家的自身医疗数据。
韩国在2007年7月正式实施网络实名制,要求主要网站必须引入身份认证机制,用户必须用真实姓名和身份证号码才能注册。2008年,韩国又将实名制扩展到所有日访问量超过10万的网站。到2012年,韩国网络实名制废止前,韩国的网络实名用户超过4000万个,超过总人口的80%,网络实名制基本涵盖所有网络应用,包括社交网站、即时通信工具、论坛社区、购物网站、信息共享平台及网络新闻媒体。但是,韩国网络实名制实施以来,发生了多起个人信息泄露事件,造成了恶劣的影响。2012年8月,韩国宪法裁判所8名法官做出一致判决,裁定网络实名制违宪,网络实名制宣告失败。但这并不意味着韩国完全放弃所有领域的实名制,韩国在加入开放政府关系(open government partnership)后,发布了《韩国行动计划2018—2020》,宣布建设“实名政策系统”(Real-Name Policy System),管理政府机构中政策制定者和执行者的实名信息,并对其政策制定和执行过程中采取的行动进行备案,以此增强政府人员工作的透明度,同时有利于问责制度的建立。
日本的国民身份证制度为“My Number”系统,于2015年推出,2016年1月开始实施。这是一个随机生成的12位身份证号码,以数字身份证智能卡(称为“个人号码卡”)的形式发给所有持有居住记录的公民。它包含存储在芯片中用于数字认证的证书,姓名、地址、出生日期、性别、身份证号码和照片都显示在卡片上。该卡主要用于社会保障、纳税申报和救灾援助等服务。
巴基斯坦每位年满18岁的公民都有资格获得国家数据库和注册局(NADRA)颁发的巴基斯坦国家身份证(NIC)。为了减少虚假身份的发生率,2016年,NADRA发起了一项活动,允许NIC持有者通过手机发送短信,重新认证其注册家庭成员的身份,这使公民有机会向国家举报任何在同一家谱下非法登记的人。通过该活动,巴基斯坦已经能够利用其“以公民为中心的数据”开展工作,如利用相关数据计算社会补助和养老金等。