2018—2019年中国网络可信身份服务发展蓝皮书
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

第一节 欧盟推进eID的概况

一、陆续出台推进eID相关战略计划

eID的相关工作源于欧盟的电子政府计划,从20世纪90年代末,欧盟就致力于在欧洲范围内推广eID,并陆续制订多个推进eID的总体战略和计划。1999年12月,欧盟提出“电子欧洲”的概念,并发布了建设欧洲信息社会的战略—《电子欧洲:所有人的信息社会》。该战略从十个方面对全面建设欧洲信息社会进行了规划。2002年,欧盟委员会启动第六次技术发展和示范研究框架计划(FP6),陆续开展“PRIME”“FIDIS”“TRSAER”等项目的研究,包括身份管理研究,以及构架、关键技术、平台、应用等方面的研究。2005年6月,欧盟委员会正式提出“i2010战略计划”,以建立一体化的欧洲信息社会。计划提出了三个优先发展的领域:建立“单一欧洲信息市场”;加强ICT(信息和通信技术)的创新和研究投入;建立高包容性的欧洲信息社会。根据该计划的安排,2006年4月,欧盟发布《i2010电子政府行动计划》,以建立安全系统,开展公共管理网站和服务领域国家电子身份的相互认证,指导公共服务领域更好地运用信息技术。同年,欧盟委员会发布《2010泛欧洲eID管理框架路线图》报告,该路线图指出了泛欧洲eID管理框架的时间安排、模块组成及发展阶段,并规定泛欧洲eID管理框架的核心原则,即在发展欧盟成员国eID的过程中,要以公民为中心,全面为公民服务并保障公民的隐私。欧盟成员国公民持有个人eID可在任意一个成员国享受医疗保险等电子政务和电子商务服务。2011年,欧盟委员会推出i2010后续计划“数字化议程”时指出,未来eID技术和认证服务将成为政府和私营机构在互联网业务中的一部分。2018年9月29日起,欧盟《电子身份识别和信托服务条例》(eIDAS)正式生效。该条例在欧盟范围内承认电子身份证的合法地位,欧盟居民和企业可在成员国范围内跨境进行网上纳税申报、建立银行账户、登记企业、申请学校、读取个人电子病历等。该条例确保为个人数据保护提供最高级别的标准。根据条例规定,欧盟各成员国将从法律上互相认可国民电子身份证系统。

二、不断完善eID相关法律法规体系

欧盟eID战略计划下,欧盟着手制定eID适用的法律法规,不断完善其法律法规体系,为eID在欧盟范围内推广奠定基础。欧盟为推动电子签名的应用,协调成员国之间的规范,提高人们对电子签名的信心,创设了一种弹性的、与国际行动规则相容的、具有竞争性的跨境电子交易环境,制定了统一的电子签名法律框架《关于建立电子签名共同法律框架的指令》。2006年,《有关盟内服务贸易市场的第2006/123/EC号指令》通过取消成员国之间的监管和行政障碍,建立服务贸易内部统一市场构架,提出“单一接触”的概念,要求成员国之间建立特定的在线电子政务服务入口,并通过此入口为其他成员国提供公共服务。2012年,欧委会提出了《电子签名和电子身份证法规》草案,新规则包含电子身份证和电子签名两部分,成员国通过互认和接受原则为电子身份证提供法律确定性,新法规为服务提出了电子签名共同规则和操作规范。该法规的目的是弥补《关于建立电子签名共同法律框架的指令》的不足,保障公民和企业能够使用本国eID获得其他欧盟成员国的公共服务,创建电子签名和跨境网上服务的单一市场,确保这些服务具有与传统的纸质文件同样的法律效力。2014年,欧盟成员国对关于单一市场内电子交易的电子身份认证和信托服务的法案草案予以认可。一方面,该法案草案在充分尊重隐私和数据保护规则的基础上,确保个人和企业可以跨国使用其本国的eID,获取其他欧盟国家的公共服务。另一方面,该法案草案旨在消除跨国界无缝电子信托服务障碍,确保其享有与纸质程序相同的法律价值。新的规则将允许单一市场的所有参与者,包括公民、消费者、企业和行政主管部门,都可以开展“线上”业务。2018年,欧盟《通用数据保护条例》生效,该条例作为史上最严格的个人信息保护法,对个人信息的采集、存储、使用做了系统的规定,欧盟还围绕《通用数据保护条例》发布了一系列指南,这将有助于解决eID应用过程中隐私保护的问题。

三、积极开展eID相关技术标准研究

欧盟积极开展eID技术、产业、应用推广等领域的相关研究工作,制定出台了多部eID相关标准,发布系列框架计划,以及发展现状研究报告。

在标准方面,欧洲电信标准化协会(ETSI)专门成立了电子签名和基础设施技术委员会TC ESI,负责电子签名和身份管理相关标准的制定。已形成了签名、证书策略、时间戳等系列标准,主要包括:针对安全签名生成设备提供统一的可信服务商的状态信息标准;用于安全电子签名的逻辑和参数、扩展商业模式的签名策略标准;国际统一的电子签名格式、CMS高级电子签名标准;ASN.1签名策略格式、XLM高级电子签名标准;SEC ESI签名策略报告标准;签名策略XML描述标准;欧洲电子签名标准应用、eID卡、角色和属性证书请求标准;证书服务商用有效证书发布的属性证书策略请求标准;证书描述预研标准;认证中心服务有效证书的策略请求标准;认证中心发布公钥证书的策略请求标准;有效证书描述标准;拥有欧洲电信标准化协会可交互维护的过程和工具标准;时间戳授权请求标准;时间戳描述标准等一系列eID相关技术标准。

在技术框架研究方面,1998年,欧盟委员会启动第五次技术发展和示范研究框架计划(FP5),提出信息与通信技术的发展在促进电子商务、远程学习、远程医疗等快速发展的同时,还面临着个人身份丢失和个人隐私泄露的极大挑战,并围绕电子政务、个人隐私保护等方面开展了一系列的研究。2002年,欧盟委员会启动第六次技术发展和示范研究框架计划(FP6),陆续开展“PRIME”“FIDIS”“TRSAER”等项目的研究,包括身份管理研究,以及构架、关键技术、平台、应用等方面的研究。2004年,欧盟启动电子政务与公共机构、企业、公民的对接计划“IDABC”。IDABC定义了欧盟互操作框架,并将其分为三类操作级别:组织级别的互操作,涉及不同管理部门提供服务的业务目标和过程;语义级别的互操作,涉及各类应用信息交换的语法和语义;技术级别的互操作,涉及联网计算机的开放接口、中间件等。

在eID发展研究方面,2009年,欧盟委员会下设的欧洲网络与信息安全局发布《泛欧洲网络身份管理倡议发展现状发展报告》,将eID的管理举措分为两类:一是针对跨境身份证明,如规范化倡议《有关盟内服务贸易市场的第2006/123/EC号指令》和互操作倡议“STORK”项目;二是针对跨境身份资源可用,例如,身份信息资源互换机制倡议“BRITE”计划和实现终端用户使用身份认证资源的倡议计划“PEOPLE”。《泛欧洲网络身份管理倡议发展现状发展报告》在政策层面,分析了《2010泛欧洲eID管理框架路线图》的目标、原理、里程碑以及eID管理框架的实施情况;在构架层面,对实施路线图的整体构架及其执行情况进行讨论;在应用层面,讨论了为实现《有关盟内服务贸易市场的第2006/123/EC号指令》的“单一接触”所做的一系列努力。2018年9月—11月,欧盟开展了一系列eID研讨会,主要探讨中小企业eID应用的最佳场景和实践。随后,欧盟委员会的一项研究发现,中小企业实施eID能够减轻管理负担,提高业务流程效率,显著降低成本和开展更为安全的电子交易。该研究表明,应大力推广金融、在线零售、运输等领域的eID应用。

四、鼓励开展eID基础建设和应用推广

近年来,欧盟鼓励各国积极开展eID基础设施建设和互联互通,在各领域积极推广eID技术和应用。2017年3月7日,德国、荷兰和奥地利已经成功连接了eID基础设施,从而可以使用奥地利和德国的eID来访问荷兰的在线公共服务。具体示例包括农业门户网站、处理交通罚款和市政当局提供的服务。这项工作是欧盟共同资助的e-SENS项目中的一项工作。2018年2月,全球移动通信系统协会称,已开展试点将其多功能身份解决方案应用于欧盟的eID相关应用和服务框架,试点项目重点关注移动网络可信身份认证。2018年11月,欧盟发布了针对中小企业的eID应用指南。指南对eID相关法规和政策进行了介绍,给出了实现eID应用的解决方案,并提供了在金融、在线零售、运输等领域应用eID的案例,并为中小企业选择适合自身的解决方案提供指导。自2018年9月29日起,欧盟范围内允许跨境识别公民eID,允许公民必要时可跨境分享身份数据,例如,使用eID登录欧盟国家的在线公共服务网站,并访问位于欧盟国家的自身医疗数据。

欧盟希望能够跨境使用eID的国家应当首先将本国eID的解决方案告知欧盟,以便欧盟委员会进行评审。评审通过即得到其他国家的资格承认,进而成为“eID成员国”,能够在成员国范围内实现跨境使用eID。根据欧盟委员会的报道,截至2018年9月,德国、意大利、克罗地亚、爱沙尼亚、卢森堡、西班牙已告知欧盟委员会希望开展评审,比利时、葡萄牙也有意向加入。欧盟委员会认为,eID相关应用和服务将提供多方面的便利。一是为跨境电子业务提供便利。例如,在注册外国大学、开设银行账户、访问电子健康记录等方面,消除各国身份认证方式不一致的麻烦。二是便于GDPR的实施。eID便于网站识别基本信息,包括年龄信息等,例如,网络运营商发现访问社交媒体或网站的是未成年人,则应当按照GDPR对未成年人身份信息保护的规定,不得向其索要过多身份信息。三是推进身份认证服务技术的创新和服务的开展。欧盟委员会表示,推广eID能够为欧盟企业每年节省110亿美元。