黃旒

【摘要】身份管理的可靠性對于網(wǎng)絡(luò)交易日益重要，然而我國至今未有法律對身份數(shù)據(jù)的收集、使用和保管等等方面進行具體的規(guī)定。鑒于國內(nèi)對于身份管理的法律問題研究處于起步階段，筆者在第一部分依照國際文件對身份管理的概念進行了分析并與電子簽名進行了對比;后文則根據(jù)國內(nèi)的法律現(xiàn)狀，提出了若干有待解決的法律問題，并參照歐盟eIDAS條例，對這些問題的進行了初步的立法分析。

【關(guān)鍵詞】身份管理;電子簽名;歐盟eIDAS條例;立法

Abstract：Reliable identity management has become a critical requirement for electronic business activities. However，there is no detailed regulations on the accumulation，usage and storage of personal identification data in our country so far. Considering that the research on the legal issues of identity management has just begun，Ive started the essay with the concept of identity management in the light of international documents and then compared it with electronic signature. As a number of legal issues have been raised due to the current national legal situation on identity management，Ive tried to make a preliminary legislative analysis on these issues by referring to the EU eIDAS regulation.

Key words：identity management;electronic signature;EU eIDAS regulation;legislation

一、身份管理與電子簽名

我國對于身份管理的法律問題仍處于起步階段，厘清身份管理的概念及其與電子簽名的區(qū)別對于進一步研究我國身份管理的法律問題有著重要的影響。身份管理，管理誰的身份，身份包括哪些內(nèi)容，誰來管理，如何管理，權(quán)利義務(wù)如何分配，責(zé)任如何承擔等等，都是身份管理法律需要解決的問題。對于身份管理到底是什么，目前廣為接受的解釋來源于國際電信聯(lián)盟，在其2010年發(fā)布的身份管理基準術(shù)語定義ITU-TX。1252建議書中規(guī)定：“身份管理是用于保證身份信息（如標識符、證書、屬性）、保證實體以及支持商業(yè)和安全應(yīng)用目的的一系列功能和能力（如管理、管理和維護、發(fā)現(xiàn)、通信交換、關(guān)聯(lián)和綁定，政策執(zhí)行、認證和維護等）”。依此看來，身份管理應(yīng)通過如管理、管理和維護、發(fā)現(xiàn)、通信交換、關(guān)聯(lián)和綁定，政策執(zhí)行、認證和維護等實現(xiàn)三個功能或者說有能力：

1、保證身份信息（如標識符、證書、屬性）;

2、保證實體;

3、支持商業(yè)和安全應(yīng)用目的。

為順利進行研究，必須對以上信息做出澄清：由于自然人、法人、設(shè)備、軟件等等均可稱為實體，導(dǎo)致研究的范圍過于廣泛。又于對人的身份研究最具有法律上的意義，因此我們把實體的范圍縮小到人（包括自然人和法人），即對人的身份管理研究。那么以上的身份管理要實現(xiàn)的功能即成：保證個人的身份信息、保證個人、支持商業(yè)和安全應(yīng)用目的。

目前，我國諸多電子簽名認證中心提供的電子簽名服務(wù)也實現(xiàn)了上述功能，即可以通過電子簽名可以鑒定簽名人的身份、支持商業(yè)應(yīng)用并且安全可靠。那么這樣是否就意味著身份管理等同于電子簽名？產(chǎn)生疑惑的原因其實是未對身份管理兩個核心問題進行區(qū)分，即你是誰？你如何證明？在身份管理中，我們用身份確認（identification）用來回答“你是誰”，而身份認證（authentication）則是解決“你如何證明”。身份確認和身份認證是身份管理的重要組成部分。身份確認有時也稱作身份注冊，例如我們?nèi)粢谖⒉┥习l(fā)表評論，則要先進行會員注冊，為獲得一個微博的用戶身份，微博會要求我們在注冊時進行一系列的操作，如輸入手機號、設(shè)置密碼、昵稱及個人資料等。經(jīng)過手機驗證通過后，則微博賬號注冊成功。在線下也是如此，例如為獲得一張身份證，我們需要去當?shù)嘏沙鏊顚懮暾埍聿⑦M行現(xiàn)場拍照，遞交戶口本，經(jīng)過確認之后才能獲得公安局頒發(fā)的身份證。身份確認通常都是一次性行為，一經(jīng)確認之，我們便可以通過身份提供方（Identity Provider簡稱IDP）簽發(fā)的身份憑證（identity credential），進行身份認證。例如，微博注冊號賬號后，并不能馬上發(fā)表評論，必須經(jīng)過另外一個步驟“登錄”才可進行。此時，登錄則是身份認證。認證通過后，微博根據(jù)我們的用戶級別進行授權(quán)訪問。同樣，根據(jù)規(guī)定，十八周歲以上才能在網(wǎng)咖上網(wǎng)，因此我們需要出示身份證以認證身份：1、通過照片對比認證是本人;2、根據(jù)出生年月認證是否已達十八周歲。當符合這些條件后，網(wǎng)咖才會為我們開通上網(wǎng)賬號。身份確認與身份認證是身份管理不同的步驟，但聯(lián)系緊密。

根據(jù)1996年《聯(lián)合國國際貿(mào)易法委員會電子商業(yè)示范法》第7條第1款規(guī)定：如果法律要求有一個人簽字，則對于一項數(shù)據(jù)電文而言，倘若情況如下，即滿足了該項要求：1、使用了一種方法，鑒定了該人的身份（used to identify that person），并且表明該人認可了數(shù)據(jù)電文內(nèi)含的信息;2、從所有各種情況來看，包括根據(jù)任何相關(guān)協(xié)議，所用方法是可靠的，對生成或傳遞數(shù)據(jù)電文的目的來說也是適當?shù)?。此處，我們看到電子簽名有一項重要的功能，即鑒定人的身份。然而，電子簽名是如何來鑒定人的身份的？以我國北京數(shù)字認證股份有限公司（簡稱BJCA）提供的電子簽章服務(wù)為例，BJCA電子簽章系統(tǒng)已能將傳統(tǒng)印章圖片與可靠的電子簽名技術(shù)完美結(jié)合，在電子文檔中實現(xiàn)可視化電子簽名的專用產(chǎn)品。

也就是說，BJCA現(xiàn)提供的電子簽章服務(wù)，通過電子簽章本身便可鑒別出簽章者的身份。那么這里的身份鑒別和身份管理的關(guān)系又是什么呢？我們知道，進行電子簽名，首先需要向CA申請數(shù)字證書，而根據(jù)《北京數(shù)字認證股份有限公司電子認證業(yè)務(wù)規(guī)則》，若要申請數(shù)字證書，要先進行個人身份的鑒別：個人需持個人有效身份證件（包括港澳臺居民身份證、戶口簿、護照、軍官證、警官證、外國人永久居留證、士兵證、身份證、士官證和文職干部證），到BJCA授權(quán)的注冊機構(gòu)提交書面數(shù)字證書申請表（一式兩份）和上述有效身份證件的復(fù)印件等申請資料，并繳納證書服務(wù)費用。批準申請后，BJCA或注冊機構(gòu)將為證書申請人制作并頒發(fā)數(shù)字證書。通過分析，我們知道這里所謂的個人身份鑒別，其實是前文身份管理兩個核心概念中的第一點：即身份確認。這里CA充當了身份提供方，對申請人的身份進行確認，并頒發(fā)身份證明（這里為數(shù)字證書）。依此推斷，身份確認是電子簽名的邏輯前提，用戶必須要先經(jīng)過身份確認，拿到證書后方可進行電子簽名，而身份確認是身份管理的核心步驟，因此身份管理和電子簽名并不一致。另外，由于電子簽名能鑒定（identify）人的身份，那么電子簽名則應(yīng)是一種標識符（identifier），而電子簽名只是身份標識符的一種。根據(jù)上文，身份管理保證的身份信息不僅包括標識符還涵蓋了證書以及屬性，因此身份管理的內(nèi)涵遠大于電子簽名。再者，雖電子簽名和身份管理雖都可以用來進行身份認證，但有適用范圍也有差異，例如，由于簽名便意味著簽署的數(shù)據(jù)電文內(nèi)容進行認可，而有時并不需要對內(nèi)容認可，例如進入某個數(shù)據(jù)系統(tǒng)，此時使用電子簽名來進行身份認定并不恰當。

二、我國身份管理法律現(xiàn)狀及不足

1、我國身份管理法律現(xiàn)狀

雖然電子簽名與身份管理并不相同，但我國有關(guān)電子簽名的法律中卻能尋到身份管理的蹤影。2004年我國《電子簽名法》第20條第2款規(guī)定電子認證服務(wù)提供者收到電子簽名認證證書申請后，應(yīng)當對申請人的身份進行查驗，并對有關(guān)材料進行審查。該法律在身份管理方面僅規(guī)定了電子認證服務(wù)提供者（即身份提供方）對確定身份的義務(wù)。不過，《電子認證服務(wù)管理辦法》第20條，進一步規(guī)定了對電子認證服務(wù)機構(gòu)對收集的身份信息隱私的保密義務(wù)：電子認證服務(wù)機構(gòu)應(yīng)當遵守國家的保密規(guī)定，建立完善的保密制度。電子認證服務(wù)機構(gòu)對電子簽名人和電子簽名依賴方的資料，負有保密的義務(wù)。除此之外，我國2011年修正的《居民身份證法》也對居民身份證辦理對公民的身份收集形式和內(nèi)容進行了規(guī)定，明確了保密的義務(wù)、居民違法申領(lǐng)身份證的情形及法律后果。對個人信息（包括身份信息）規(guī)定最為明確的2012年《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，該決定中明確了公民個人身份和涉及公民個人隱私的電子信息應(yīng)受到法律的保護，網(wǎng)絡(luò)服務(wù)提供者和其他企事業(yè)單位應(yīng)采用合法的形式收集、使用公民個人電子信息，并采取技術(shù)措施和其他必要措施確保信息安全。公民有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除泄露的個人身份信息，或者采取其他必要措施予以制止，除此之外，還規(guī)定了用戶入網(wǎng)提供真實身份信息的義務(wù)及相應(yīng)的救濟方式。對于個人信息保護的還有2014年的《網(wǎng)絡(luò)交易管理辦法》。該法第十八條規(guī)定了信息的收集、使用原則，并要求有關(guān)服務(wù)經(jīng)營者采取必要措施確保信息安全。

綜合以上現(xiàn)有的規(guī)定，我們可以看到，目前我國對于身份管理的規(guī)范集中在如下領(lǐng)域：

（1）規(guī)定身份信息隱私保護的規(guī)范性文件：《電子認證服務(wù)管理辦法》、《居民身份證法》、《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》以及《網(wǎng)絡(luò)交易管理辦法》;

（2）規(guī)定身份信息搜集的規(guī)范性文件：《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》及《網(wǎng)絡(luò)交易管理辦法》;

（3）規(guī)定身份管理法律責(zé)任的規(guī)范性文件：《居民身份證法》;

（4）規(guī)定審核用戶身份信息真實性義務(wù)的規(guī)范性文件：《電子簽名法》;

（5）規(guī)定提供身份信息真實性義務(wù)的規(guī)范性文件：《居民身份證法》、《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》（下稱《決定》）。

2、現(xiàn)行法律的不足

盡管我國目前有多部法律對身份管理的多方面進行了規(guī)定，但仍存不足。由于我國目前并無針對身份管理的專門立法，雖然部分規(guī)范涉及到身份管理，但這些規(guī)范都有其專門的調(diào)整對象，在規(guī)范中提到身份管理的某個方面只是為保持該法律調(diào)整對象本身的完整性。從體系的完整性來說，我國身份管理的法律系統(tǒng)并不完全。這些不完整主要體現(xiàn)在：身份管理運作、安全標準、數(shù)據(jù)保護、身份管理系統(tǒng)間的合作及責(zé)任承擔缺乏法律根據(jù)。

（1）身份管理運作

《電子簽名法》之所以要求認證機構(gòu)對申請人的身份進行查驗，是因為要實現(xiàn)電子簽名，認證機構(gòu)需要對申請人發(fā)放電子簽名證書，而證書的產(chǎn)生必是和個體聯(lián)系在一起，確定個體的身份是實現(xiàn)電子簽名的必要前提，因而法律對此有所規(guī)定。但是認證機構(gòu)應(yīng)如何進行身份查驗，如何保管身份信息等身份管理運作的方式，《電子簽名法》并及其他文件都無涉及。

（2）系統(tǒng)安全與保證標準

盡管《決定》中第2點要求網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集、使用公民個人電子信息，應(yīng)當公開其收集、使用規(guī)則。但《決定》決定只是規(guī)定了相應(yīng)的原則，即合法、正當、必要。但何種方式即為合法，何種程度即為正當和必要，《決定》并無規(guī)定，只是規(guī)定當事人應(yīng)通過自治的方式來約定收集、使用個人信息的方式。然而，個人通常處于弱勢方，并無能力與身份提供方（包括網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位）進行約定，相反，個人常常為使用某項服務(wù)，被迫接受信息收集方制定的個人信息收集規(guī)則和使用方式。除此之外，對于依賴方來說，其是否能信賴身份提供方的身份保證，這種保證可信度有幾分？是否能得到法律的認可？對此，我國目前并無規(guī)定。

（3）數(shù)據(jù)保護

建立一個安全系統(tǒng)有利于個人數(shù)據(jù)的保護，但僅靠一個安全的系統(tǒng)卻無法對個人數(shù)據(jù)進行有效的保護，此時法律保護顯得尤為重要。雖我國還未正式出臺《個人信息保護法》（已提交《個人信息法草案》），但對于數(shù)據(jù)的保護已有不少的法律規(guī)范（見上文法律規(guī)范分類部分）。此外，2013年《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第10條：電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者及其工作人員對在提供服務(wù)過程中收集、使用的用戶個人信息應(yīng)當嚴格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。但是無論是那一部法律規(guī)定，都只限定在該部門法內(nèi)。值得反思的是，數(shù)據(jù)保護已經(jīng)全面滲透互聯(lián)網(wǎng)生活，若能對其保護主體、形式和內(nèi)容等等提取公因式，是否還仍需每一個部門法都對數(shù)據(jù)保護進行規(guī)定？

（4）身份管理系統(tǒng)間合作

對于合作的內(nèi)容，理論上有兩個重要的方面，憑證可調(diào)動性（credential port ability）和數(shù)據(jù)可調(diào)動行（data port ability）。憑證可調(diào)動性，簡單地說就是一個系統(tǒng)簽發(fā)的身份憑證可以在不同的系統(tǒng)中使用。例如，在過去我們的QQ賬號只能用來登陸QQ，而現(xiàn)在，我們可以用它登錄完全不同的網(wǎng)站、應(yīng)用，無需重新申請賬戶。而數(shù)據(jù)可調(diào)動性指的身份數(shù)據(jù)可以在不同的系統(tǒng)中轉(zhuǎn)移，無需為注冊一個新的身份而重復(fù)輸入身份信息。雖然憑證和數(shù)據(jù)在不同系統(tǒng)中的調(diào)動給用戶帶來了方便，給服務(wù)提供者也減少了管理成本，但卻有其自身的風(fēng)險。如不正當競爭、互操作性、數(shù)據(jù)安全等等。目前，身份系統(tǒng)間的合作僅存在于自治規(guī)范中。我國法律對此并無相關(guān)規(guī)定。

（5）責(zé)任承擔

在身份管理的任何一個階段產(chǎn)生了損害，都應(yīng)有責(zé)任產(chǎn)生，但我國對于這方面的規(guī)定卻較少。從身份管理最初的身份確認階段開始，就缺乏相應(yīng)的法律責(zé)任。雖《居民身份證法》詳細規(guī)定了公民使用虛假材料騙取身份證明的法律后果，但由于該法僅適用于公安部門對我國公民身份的管理，其他私營機構(gòu)或公共機構(gòu)對個人身份的管理對于個人利用虛假材料騙取的身份憑證而導(dǎo)致的損害應(yīng)如何承擔責(zé)任？反之，若由于身份提供方未盡到身份真實性的審查義務(wù)，而導(dǎo)致?lián)p害，責(zé)任應(yīng)如何承擔？從規(guī)定了要求用戶提供真實信息的另一份規(guī)范性文件《決定》及依其制定《電話用戶真實身份信息登記規(guī)定》中，我們也未找到法律責(zé)任的相關(guān)規(guī)定。然而這只是身份管理諸多法律責(zé)任中的冰山一角。需要注意的是，責(zé)任承擔并不是要求法律對身份管理中產(chǎn)生的每一種損害如何賠償有具體的規(guī)定，對于責(zé)任如何規(guī)定需要進一步的研究。

三、歐盟eIDAS條例及對我國的立法啟示

1、歐盟eIDAS條例簡介

歐盟eIDAS條例實際是指歐盟在2014年發(fā)布的No910/2014條例，主要包括兩個部分：電子身份和信任服務(wù)。條例的縮寫和它的全稱并不一致，eIDAS本身代表著“電子身份認證與簽名”（electronic identity authentication and signature），而條例不僅僅規(guī)定了電子身份和簽名，還規(guī)定了除簽名外的其他信任服務(wù)。值得注意的是，歐盟eIDAS條例廢除了歐盟《電子簽名法指令》（1999/93/EC號），電子簽名作為信任服務(wù)的組成部分規(guī)定到了該條例中。

2、歐盟eIDAS條例的相關(guān)規(guī)定及對我國的啟示

歐盟eIDAS條例對身份管理的規(guī)定主要集中在第一章和第二章，其內(nèi)容如下：

從該表可以看出，歐盟eIDAS條例涉及身份管理的方面較為全面，總體上包括了數(shù)據(jù)、安全、合作及責(zé)任承擔，我們從這個幾個方面分析歐盟的條例及對我國的立法啟示。

（1）數(shù)據(jù)處理與保護

歐盟采取了“參引性行規(guī)范”結(jié)構(gòu)對數(shù)據(jù)處理與保護進行了規(guī)定。根據(jù)條例第5條第1款，個人數(shù)據(jù)的處理應(yīng)根據(jù)歐盟《數(shù)據(jù)保護指令》（NO95/46/EC）進行。但根據(jù)歐盟最新立法，該數(shù)據(jù)保護指令已由2016發(fā)布的《通用數(shù)據(jù)保護條例》（GDPR）所廢除。由于指令的法律直接效力是垂直的，只能直接約束國家主體，若國家并沒有根據(jù)指令制定相應(yīng)的國內(nèi)法對數(shù)據(jù)進行保護，或即便是制定了，但國家之間對于數(shù)據(jù)保護的規(guī)定不一致，很可能會產(chǎn)生出數(shù)據(jù)保護本身以外的法律適用的問題。條例的生效，意味著減少了數(shù)據(jù)保護潛在的阻力，歐盟對于數(shù)據(jù)的保護進一步得到加強。從GDRP的內(nèi)容來看，它對個人數(shù)據(jù)的保護也的確達到了空前的高度，通過對細節(jié)的規(guī)范，使得義務(wù)方有操作的可能性。如此立法，一方面，可以使歐盟的法律規(guī)范之間得以相互呼應(yīng)，另一方面，可以有效避免繁復(fù)的立法技術(shù)。數(shù)據(jù)的處理和保護是身份管理的重要部分，但歐盟eIDAS條例本身不對數(shù)據(jù)保護的具體內(nèi)容進行規(guī)定，而參引歐盟的其他立法已對該部分的法律問題進行規(guī)定的方式與我國諸多立法均對數(shù)據(jù)進行保護的立法形式形成了鮮明對比。我國可以從本國的現(xiàn)實狀況出發(fā)，及時修改并通過個人數(shù)據(jù)保護的相關(guān)立法，刪除不必要的重復(fù)性法律條文。

（2）保證水平

歐盟eIDAS條例對于身份保證水平性規(guī)定了低中高（low，substantial，high）三個等級，以適用不同級別的要求。等級越高，個人身份的可信度就越高。歐盟通過條例授權(quán)歐盟委員會來制定實施辦法（implementing acts，包括實施條例和實施決定）以確定與三個等級相適應(yīng)的最低技術(shù)規(guī)格、標準和程序。目前歐盟2015/1502實施條例是在考慮ISO/IEC29115、Large-Scale Pilot STORK、ISO/IEC27000、ISO/IEC20000等標準下制定的，在一定程度上限制了“技術(shù)中立”。但由于該實施條例為非立法性法律規(guī)范，歐盟委員會可以根據(jù)技術(shù)的發(fā)展，對條例的內(nèi)容及時進行修改和完善，而無需經(jīng)過繁雜的立法程序，因此可以從一定程度上避免法律滯后性給技術(shù)發(fā)展帶來的問題。我國涉及身份管理的相關(guān)法律對保證水平并無規(guī)定，更多是而是通過合同進行“約定”。然而，這種約定似乎由于各方實際地位的不平等，常常是失效的，這時適當?shù)姆山槿氡泔@必要。同時，為避免法律給技術(shù)發(fā)展帶來障礙，如歐盟為技術(shù)采取進行特別的規(guī)定以適應(yīng)時代的發(fā)展，是值得借鑒的。

（3）系統(tǒng)互認與合作

歐盟要求身份系統(tǒng)互認和合作是建立在各國采用不一的身份系統(tǒng)之上的，為保障歐盟數(shù)字一體化的建立，各國身份系統(tǒng)間的有效交流便顯得十足重要?；フJ是法定的要求，為實現(xiàn)有效合作，除互認之外，還須為此建立互操作性的框架。根據(jù)規(guī)定，符合下列標準的即為滿足互操作性框架：

①技術(shù)中立為目標和不歧視成員國家間任何特定電子身份國家技術(shù)解決方案;

②遵循歐洲和國際標準，在可能的情況下;

③促進隱私設(shè)計原則（the principle of privacy by design）的實施，以及;

④保證個人數(shù)據(jù)的處理依照《歐盟數(shù)據(jù)保護指令》。

從條例的規(guī)定可以看出，對于互操作性，主要應(yīng)滿足兩個方面：在技術(shù)上，應(yīng)保持技術(shù)中立，不歧視其他國家的技術(shù)方案;在內(nèi)容上，應(yīng)保護個人隱私，保障個人的數(shù)據(jù)得到適當?shù)奶幚?。我國目前確實存在不同身份管理系統(tǒng)，但是否需以立法的形式來促進系統(tǒng)之間的合作，需要進一步的調(diào)查和研究。需注意的是網(wǎng)絡(luò)始終是一個全球開放性的系統(tǒng)，身份管理并非僅拘于一國之內(nèi)，身份系統(tǒng)間的相互認可與合作更是一個全球化的議題，其重要性自不言而喻。

（4）責(zé)任承擔

歐盟eIDAS條例規(guī)定了身份提供方（包括通知國、電子身份憑證簽發(fā)方、認證程序運行方）的無過錯責(zé)任。根據(jù)規(guī)定，通知國：①應(yīng)根據(jù)實行條例中為保證等級制定的技術(shù)規(guī)范、標準和程序，確保唯一代表該人的身份數(shù)據(jù)在電子身份系統(tǒng)簽發(fā)身份憑證簽發(fā)時屬于該自然人或法人;②應(yīng)確保在線身份認證的可用性?？捎眯园ú粚σ蕾嚪绞┘尤魏螘钃趸蛘邍乐刈璧K被通知電子身份系統(tǒng)的互操作性的不對稱技術(shù)要求。電子身份憑證簽發(fā)方：應(yīng)根據(jù)實施條例的相關(guān)規(guī)定確保電子身份系統(tǒng)中電子身份憑證屬于該人。認證程序運行方：應(yīng)確保在跨國交易中正確的身份認證操作。若身份提供方違反以上規(guī)定，對自然人或法人造成損害，應(yīng)承擔法律責(zé)任。簡單來說：

目前，我國涉及身份管理的法律對此均未涉及。但隨著電子政務(wù)和電子商務(wù)的普及，身份管理逐漸成為保證交易安全的重要方面。若在身份管理階段就出現(xiàn)身份數(shù)據(jù)的虛假，或憑證并未交付正確的主體，或是認證程序出錯，則可能給交易帶來巨大的損失。因此，歐盟這種明確身份提供方的責(zé)任，讓其在趨利避害中主動承擔起相應(yīng)義務(wù)的立法模式，不妨也可以借鑒到我國立法之中。

【參考文獻】

[1] Peter Parycek Gabriel MLentner. Electronic identity（eID） and electronic signature（eSig） fore Government services–acomparative legal study[M]. Transforming Government： People， Process and Policy， 2016.

[2] Omer Tene. Me， Myself and I： Aggregated and Disaggregated Identities on Social Networking Services[J]. Journal of International Commercial Law and Technology（UK），2013，8（2）：118-132.