数字身份无疑是数字环境中最为重要的身份标识,数字身份构建范式关乎未来数字社会治理与新的数字生态架构。数字身份构建不仅需要主权国家政府推动,也离不开科技巨头的支撑,其中博弈力量复杂。近年来,美欧等主要发达经济体积极部署数字身份建设,极力寻求推动数字身份建设与合理监管的平衡,为未来适应数字经济发展谋篇布局。
一、数字身份管理建设是传统社会向数字社会演进的核心关键
数字身份是数字生态中“自然人”的映射体现
我国科学技术名词审定委员会将数字身份定义为“实体社会中自然人身份在数字空间的映射”,揭示了数字身份内涵,表明数字身份是自然人在数字空间的事物现象及其属性标识的集合。当前,数字身份确立认证已囊括自然人的生物信息(例如:DNA、血管、指纹、脸部等)、合法证件(例如:护照,驾驶执照等)、使用的软件产品(例如:电子邮件,社交媒体、VR、游戏等)和自身行为模式(例如:访问过的地方,消费习惯等)等。
数字身份的监管是未来数字生态治理的重要基础
数字身份监管与互认是解决数字欺诈、数字盗窃等数字生态恶性事件的关键一步。美国参议院国土安全和政府事务委员会认为,数字身份认证监管与互认缺位导致美国出现数量庞大的数字欺诈事件,便于2022年9月正式提交了《改进数字身份法》至美国参议院审议。这是自美国2011年发布《网络空间可信身份国家战略》后,首次在数字身份领域推动立法。
数字身份的全生命周期管理贯穿整个数字生态
2017年,美国国家标准与技术研究院(NIST)发布数字身份指南,全面系统的阐释了数字身份全生命周期管理的内容。当前,数字身份全生命周期已衍生出身份认证、身份存储、身份监管、身份更新、身份安全等多个产品场景,深度贯穿整个数字生态体系。数字身份多场景的生命周期涉及多类技术,包括生物识别技术、区块链技术、信息加密技术等前沿技术,NIST直言其是一项“技术挑战”。
二、美欧等主要经济体数字身份管理建设的主要情况
美欧等政府不断思考及探索监管模式与产业发展间的最优平衡,近年为推进数字身份管理建设实施了一系列举措与行动。
(一)美国
美国在立法及政策、技术及标准、应用三个层面推动数字身份管理建设。
美国从立法及国家战略角度推动数字身份构建
2005年,美国国会通过了《真实身份法案》(REAL ID Act),提出安全的驾驶执照和身份证明是国家安全框架的重要组成部分,并指定国土安全部(DHS)加速推动;2011年,美国白宫发布《网络空间可信身份国家战略》,将集合政府和产业界共同努力,建立以用户为中心的数字身份生态系统;2022年,美国众议院正式审议《美国数据隐私和保护法案》,在原有联邦隐私法基础上为美国商用数据隐私和保护设定新的边界,也为解决数字身份推广过程中出现的隐私保护纠纷提供关键法理依据;10月,美国参议院国土安全和政府事务委员会正式提交《改进数字身份法》至美国参议院审议。
美国加紧开展数字身份标准、技术研究工作
2017年,美国国家标准与技术研究院(NIST) 正式发布数字身份指南(SP 800-63),为机构提供全面的数字身份的技术使用指导;2018年,在美国网络安全政策中心的指导下,NIST身份管理的高级执行顾问Jeremy Grant成立了涵盖20余家美国科技企业的Better Identity联盟,并以联盟形式与政府开展政策制度、标准讨论等合作,旨在改善美国数字身份验证、保护等方面现况;2020年,美国国家安全局(NSA)发布了网络安全信息表,其中包含选择和安全使用多因素身份验证解决方案,为国家安全系统、国防部和国防工业基地等用户提供决策支撑。
美国在驾照、医疗等方面积极推进数字身份使用
美国部分州已经通过立法或授权研究智能手机驾驶执照应用程序。爱荷华州、田纳西州、肯塔基州、加利福尼亚州、伊利诺伊州等17个州已开展数字驾照身份认证工作;医疗方面,美国卫生与公众服务部(HHS)根据《健康保险流通与责任法案》(HIPAA)要求建立了美国医疗系统的身份和访问管理系统,对美国医疗保健和健康计划采用电子化标准识别,其中根识别号(EIN)由美国国税局(IRS)颁发,用于识别实体。2020第四季度,美国食品和药物管理局(FDA)在HHS基础上推出数字健康卓越医疗中心,开展多类数字医疗等服务。
(二)欧盟
欧盟在保护隐私与数据安全的前提下,将数字身份建设作为欧盟2030数字战略的重要支柱
数字身份互认方面,欧盟相继推出并实施了欧洲电子识别和信任服务倡议(eIDAS Regulation),电子识别和签名(eIDAS)法规。目前欧盟已根据eIDAS法规要求实现强制跨境识别电子ID,欧洲各国现有和未来的国家数字身份计划必须在欧盟内可实现互操作。但是,成员国不会被迫要求实施及开展数字身份证计划。
数字医疗方面,2021年3月9日,欧盟委员会提出了“数字指南针”(Digital Compass)计划,表示要在2030年前实现所有关键公共服务在线提供、所有公民均可访问电子医疗记录、80%的公民使用电子ID解决方案。
数字钱包方面,2021年6月,欧盟委员会提出欧盟数字身份(European Digital Identity)框架,计划创建欧盟范围内的数字ID钱包,计划到2030年,80%以上的人口可以在欧盟范围内使用。
(三)英国
英国将数字身份管理建设纳入数字政府建设计划,全面推动数字身份认证。2011年英国上线政府数字服务(GDS),并提出要推出一项名为 GOV.UK Verify的新身份验证服务。2014年英国政府推出电子识别计划,为英国公民提供数字身份。2016年5月英国正式推出GOV.UK Verify在线身份识别平台,为电子政务提供身份认证服务,并通过官方的身份证明文件(护照、驾照等)推广GOV.UK Verify。英国政府选择Digidentity成为 GOV.UK 验证的原始身份提供商(IdP)之一,提供YubiKey和U2F协议支持,使英国成为世界第一个支持U2F服务的国家。2019年,英国发起Digital Identity: Call for Evidence Response,全面征集公众及企业在数字身份方面建议。2021年8月英国推出更新版的《数字身份和属性信任框架》,旨在使人们更快、更轻松地使用现代技术验证。
三、美欧围绕建设与管理数字身份产生新的竞争格局
当前,欧美围绕数字身份建设与管理已产生出新的竞争。随着区块链技术不断成熟以及Web3.0、元宇宙等新型网络空间走向实际应用,美欧等国数字身份体系的构建与推广将不仅是国家“内”的管理,更是国家“外”的博弈。
(一)数据管理方面
欧美不同的数据管理模式促使各自数字身份管理建设呈现不同发展态势。
欧洲“安全优先”的数据管理模式增加其数字身份推广难度
德国在设计数字ID系统之初,就提出了“非常安全”的数据保护理念,从法律层面设计了复杂的管理体系,加剧了其数字ID的推广难度;英国从 2022 年 4 月起将数字身份认证系统的使用范围从最初系统设计的15项政务条目缩减至5项;法国2016年、2019年、2022年分别在原有在线认证基础上,进一步以法令形式添加新的验证以保障认证安全。截止2021年,欧盟范围内仅有15个国家/地区推出数字身份计划并实现数字身份的可互操作。
美国“自由流动”的数据管理模式,增加其在数字身份保护及安全等方面的管理难度
美国参议院国土安全和政府事务委员会在2022年9月审议《改进数字身份法》法案时明确表示:当前数据泄露、身份盗用和金融欺诈在美国愈发严重。美国2017年以来,身份欺诈造成的损失增加了333%,2021年有超过2.9亿人受到数据泄露的影响,数字身份盗窃及欺诈事件持续上升。
互联互通方面,有待进一步厘清数据保护边界
欧盟委员会在2021年European Digital Identity提案中明确指出:在新的数字身份系统中,欧盟将直接约束数据搜集和使用,避免遭到Facebook等美国巨头垄断数据。美国为加强与欧盟的数据跨境流动,在2022年3月,与欧盟就跨大西洋数据隐私框架达成原则性共识;2022年10月,美国总统拜登签署行政令以解决欧盟法院提出数据问题,限制美国相关部门访问欧盟数据,建立数据保护审查多层法院,为进一步打通美欧数据流通奠定基础。
(二)管理权限方面
美欧在数字身份构建与管理过程中,政府、公民等利益主体存在不同的利益诉求,产生了管理权限方面的博弈。
推广过程中,美欧内部目前尚未就数字身份认证与推广达成一致
美国方面,以数字身份驾照为例,州与州间并未就形成统一的数字驾照系统达成一致。目前仅有17个州开通了数字驾照身份认证。美国在2022年9月推进《改进数字身份法》也是基于此类问题考虑,提出由国土安全部牵头建设数字身份认证的基础设施,带动美国身份凭证系统的全面升级。
欧盟方面,虽然欧洲主要国家数字身份政策出台较早,但受欧盟《通用数据保护条例》(GDPR)影响,数字身份推行难度较大。目前,欧盟范围内有27个主权国家,但在European Digital Identity框架及GDPR的双重管理下,仅有15个国家完成了数字ID互认。
新型网络空间的数字身份管理中将涌现出新势力
在现实社会,身份认证和监督一直由主权国家作为唯一机构进行管理。在Web3.0架构下,平台割据的数字生态或将不复存在,进而转变成人人参与、共享共建的新型数字生态体系。科技巨头、组织团体等利益相关方作为Web3.0、元宇宙等新型网络空间不可或缺的重要“建设者”,将与主权国家就数字身份构建、互认、监督方面产生新的管理权限竞争。
(三)技术发展方面
新型网络空间技术的不断成熟,将为数字身份构建与管理带来更多可能。
新型网络空间将促使数字身份衍生更多的发展可能
当前,元宇宙发展虽处于起步阶段,但元宇宙已引发在线数字身份与真实性深刻讨论。其中比较有代表性的问题是:个人如何在元宇宙中真实的表达自己?如何从现实社会“人”转变为元宇宙“数字人”?物理与数字间的界限如何界定?这为数字身份的前行发展提供了更多空间与可能。
各方在新型网络空间演进的不确定中探索发展与监管的新平衡
Web 3.0发展将重新定义人的“数字权力”。当前的数字生态是建立在Web 2.0体系上,Web 3.0是互联网发展的下一代关键趋势。Web 3.0框架下的数字身份可以契合非同质化货币(NFT)、元宇宙、分散式金融(DeFi)、集中式分散式金融(CeDeFi)等新兴产业模式。面对新业态带来的高度不确定性,历来以“技术为先”的美国也出现了关于“监管与发展”的不同观点。2021年12月,美国国会举行“数字资产与金融未来”的听证会,这是国会首次以听证会形式思考Web 3.0的发展,与会各方表达了对新业态监管与发展的不同观点。其中,美国金融市场工作组展示了一份多部门联合调查报告,认为数字货币存在监管空白,要求数字钱包供应商接受联邦监督;共和党籍众议院议员Patrick McHenry在会上提出:“互联网是美国未来的重要创新和优势,不能因为对未知恐惧而做出下意识的监管反应”。
四、美欧数字身份技术与标准的发展趋势
当前,一些政府和科技巨头纷纷布局元宇宙,虚拟现实经济迎来热潮,数字身份建立成为必须逾越的一道门槛,其技术与标准发展呈现新趋势。
技术的快速发展为未来数字身份认证创造更多想象空间
2012年梅琳达·盖茨基金会就开始关注并资助麻省理工学院及相关微芯片生物技术公司研究微芯片技术,开发长寿命可植入人体的芯片设备,应用场景包括数字身份认证;2020年英国莱斯大学与美国麻省理工联合创造性的发明出“量子点纹身”,形成可用于数字认证的信息标记;脑机接口技术不断成熟,将人与数字社会直接链接,未来也是数字身份认证的可行性方案之一。
美欧高度重视分布式数字身份发展
分布式数字身份(又称:去中心化数字身份)是区块链技术的应用之一,核心是中心化标识符 (DID)。研究公司Forrester在2020年分析当前全球数字身份发展情况时就提出:“目前的数字身份框架是集中式的,问题表现在缺乏信任、消费者没有权力。” 在去中心化的身份系统中,人可以控制自己的身份,并允许可信的交互,或将有效解决身份欺诈问题,成为数字身份未来发展的关键趋势。2022年10月,Marketsand Markets发布报告称,分布式数字身份市场规模预计将从2022年的2.85亿美元快速增长到2027年的68.22亿美元,市场的复合年增长率高达88.7%。
目前,存在两种分布式数字身份建设路径。根据NIST发布的《理解新兴区块链身份管理系统》分类方法,建设思路可以按照授权的模式不同分为“自上而下”和“自下而上”而建:自上而下是以政府机构为主体作为数字身份所有者,控制DID生成及凭证签发,通过层次管理来创建数字身份体系,在区块链技术应用下,最大程度保障用户隐私及权利;自下而上是以系统参与者为自由主体,参与者无需任何权限即可管理DID标识和凭证,去除实体机构的管理,通过区块链系统的智能合约强制执行数字身份管理规则。
欧盟已率先开展分布式数字身份实际应用设。欧盟创建了欧洲区块链伙伴关系(EBP),并发起成立欧洲区块链服务基础设施倡议(EBSI),由数字欧洲计划进行资助。自2020年以来,EBSI正在欧洲部署分布式节点网络,目前已有29个欧洲国家加入。此外,在EBSI倡议中,欧盟针对身份跨境使用,建立了欧洲自我主权身份框架(ESSIF),规定了用户在EBP整体要求下,才能够跨境创建、控制和使用其身份。欧盟标识目前EBSI建设的分布式数字身份可以适配GDPR要求。具体应用领域,采用分布式身份解决方案将进一步有利于欧盟的数字ID项目推广及应用。以IOTA公司为例,IOTA目前为欧盟提供的基于区块链的数字ID解决方案,欧盟已在工业机器人、外用电池及电动汽车等方面使用IOTA产品。
多层次的数字身份标准互认成为关键
随着数字身份的使用数量、范围不断扩大,多层次的数字身份标准互认成为未来发展的关键。
一是不同系统间的数字身份互认标准建设。目前存在驾照、医保、税务、财务等多套系统的数字身份,不同系统的数字身份间关联的数据各不相同,未来能否以唯一系统的数字身份链接全部系统使用、打通系统间数据的互联互通?此外,随着数字身份互联互通建设的不断深入,需要进一步考虑系统性建设数字身份安全防护措施。
二是主权国家间的数字身份验证及互认标准建设。国际数据机构ABI Research在2021年预测,到2026年,将有超过8.5亿公民配备某种形式的数字身份。国际数字身份标准互认已提上日程,以民航领域为例,2018年4月澳大利亚牵头在国际民航组织框架下成立数字旅行证书工作组,旨在推广下一代机器可读护照(LDS2)。当前,由国际民航组织定义的逻辑数据结构版本(LDS1)广泛应用于国际各大民航机场,确保护照的国际互操作性。澳大利亚牵头研究的LDS2是新一代逻辑数据结构,通过增加读写功能来扩展电子护照的使用。可以添加旅行数据,以及其他信息,如额外的生物识别技术。LDS2将进一步保护文档免受伪造,复制和未经授权的读取或写入。LDS2将提高信息的可读性和可靠性,便利各国之间的信息交流,在生物识别捕获基础设施及隐私等领域形成国际共识。
三是在元宇宙、Web3.0等新型网络空间,数字身份互认的技术标准与互操作的智能协议将成为发展的核心关切。网络空间的边界与现实中的地理疆界不同,唯有互认的技术标准与互操作的智能协议,才能使数字身份发挥更大作用。2021年12月,Foreign Policy发布的一篇《Great Protocol Politics》中提出:在未来Web3.0的发展形态下,未来区块链协议的标准互认将成为国际竞争焦点。
五、结语
参考文献:
[1]于锐.各国数字身份建设情况及我国可信数字身份发展路径[J].信息安全研究,2022,8(09):858-862.
[2]NIST Special Publication 800-63:Digital Identity Guidelines [EB/OL]. https://pages.nist.gov/800-63-3/
[3]Web 3.0 and digital identity [EB/OL]. https://medium.com/coinmonks/web-3-0-and-digital-identity-7f1f848e933e
[4]Digital identity trends – 5 forces that are shaping 2022 [EB/OL]. https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/identity/digital-identity-services/trends
[5]Improving Digital Identity Act of 2022 [EB/OL]. https://www.congress.gov/bill/117th-congress/senate-bill/4528
[6]The U.S. Digital Identity Crisis [EB/OL]. https://www.theregreview.org/2021/04/29/ahmed-gorfine-lau-us-digital-identity-crisis/
[7]Office of Biometric Identity Management [EB/OL]. https://www.dhs.gov/obim
[8]HEALTH INFORMATION EXCHANGE (HIE) PAGE [EB/OL]. https://nppes.cms.hhs.gov/webhelp/nppeshelp/HEALTH%20INFORMATION%20EXCHANGE.html
[9]Digital Health Center of Excellence [EB/OL]. https://www.fda.gov/medical-devices/digital-health-center-excellence
[10]European Digital Identity [EB/OL]. https://ec.europa.eu/info/strategy/priorities-2019-2024/ urope-fit-digital-age/ uropean-digital-identity_en
[11]UK digital identity & attributes trust framework: updated version [EB/OL].https://www.gov.uk/government/publications/uk-digital-identity-attributes-trust-framework-updated-version
[12]Digidentity Introduction [EB/OL].https://www.digidentity.eu/en/about/#mission
[13]Overview of the German identity card project and lessons learned [EB/OL]. https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/eid-in-germany
[14]Décret n° 2022-676 du 26 avril 2022 [EB/OL]. https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045667825
[15]国内・欧米・中国のデジタル技術関連制度政策動向レポート2022の公開 [EB/OL]. https://www.ipa.go.jp/ikc/reports/20220218.html
[16]Internet Regimes and WTO E-Commerce Negotiations (R46198) [EB/OL]. https://crsreports.congress.gov/product/details?prodcode=R46198
[17]CDT :Updating the Privacy Act of 1974 [EB/OL]. https://cdt.org/insights/updating-the-privacy-act-of-1974/
[18]Digital Economy Report 2021[EB/OL]. https://unctad.org/page/digital-economy-report-2021
[19]ISO/IEC 18013-5:2021 ISO-compliant driving licence — Part 5: Mobile driving licence (mDL) application [EB/OL]. https://www.iso.org/standard/69084.html
[20]New Tech: Decentralized Digital Identity [EB/OL]. https://www.forrester.com/report/New-Tech-Decentralized-Digital-Identity-DDID-Q1-2020/RES147115
[21]NIST CSWP 9:A Taxonomic Approach to Understanding Emerging Blockchain Identity Management Systems [EB/OL]. https://csrc.nist.gov/publications/detail/white-paper/2020/01/14/a-taxonomic-approach-to-understanding-emerging-blockchain-idms/final
[22]Decentralized Identifiers (DIDs) v1.0 [EB/OL]. https://www.w3.org/TR/did-core/#introduction
[23]The 21st century doesn’t belong to China, the United States, or Silicon Valley. It belongs to the internet [EB/OL]. https://foreignpolicy.com/2021/12/11/bitcoin-ethereum-cryptocurrency-web3-great-protocol-politics/
作者简介
白路 国务院发展研究中心国际技术经济研究所研究一室,助理分析员
研究方向:科技战略、科技安全
联系方式:[email protected]
推荐阅读
编辑丨郑实
研究所简介
国际技术经济研究所(IITE)成立于1985年11月,是隶属于国务院发展研究中心的非营利性研究机构,主要职能是研究我国经济、科技社会发展中的重大政策性、战略性、前瞻性问题,跟踪和分析世界科技、经济发展态势,为中央和有关部委提供决策咨询服务。“全球技术地图”为国际技术经济研究所官方微信账号,致力于向公众传递前沿技术资讯和科技创新洞见。
地址:北京市海淀区小南庄20号楼A座
电话:010-82635522
微信:iite_er
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...