楊 林 國 偉 章 鋒 郝久月

當前，世界主要國家高度重視可信數字身份對數字經濟發(fā)展和網絡空間治理的重要支撐作用，紛紛出臺戰(zhàn)略規(guī)劃，建立技術體系，完善法律法規(guī)，大力推動數字身份體系建設應用.近年來，我國也大力倡導和發(fā)展數字經濟，數字化服務已深入人民群眾生產生活各個方面.在給人民群眾帶來便利的同時，也產生了一些不容忽視的問題，如傳統(tǒng)的基于實體證件的身份認證方式已難以適應網絡化、數字化活動需求；個人身份信息濫采、濫用以及泄露問題依然突出，網絡詐騙、侵犯公民個人隱私信息等違法案事件時有發(fā)生，嚴重擾亂了社會公共秩序，威脅著人民群眾生命財產安全.因此，加快建立符合我國國情的網絡可信身份服務管理體系.

1 國內外網絡可信身份體系發(fā)展態(tài)勢

1.1 國外網絡可信身份體系發(fā)展趨勢

縱觀全球，主要國家和地區(qū)高度重視可信數字身份對數字經濟發(fā)展和網絡空間安全的重要支撐作用，紛紛出臺戰(zhàn)略規(guī)劃，完善法律法規(guī)，開展試點應用，大力推進數字身份體系建設，經多年發(fā)展取得了很多成績和經驗，值得我國借鑒.

歐盟在數字身份的發(fā)展進程中不斷發(fā)布各類法律法規(guī)，引導成員國在數字身份領域的發(fā)展，通過發(fā)放eID實體卡支持成員國間數字身份互認互通，實現線上線下一體化的網絡身份管理[1-2].2022年初歐盟最新發(fā)布了《數字身份：利用自主身份概念建立信任》和《歐洲數字身份體系架構和參考框架》(eIDAS 2.0)，提出采用傳統(tǒng)的eID和自主主權身份SSI混合發(fā)展的技術路線.目前歐盟基于eIDAS條例的電子身份識別和信任服務體系基本建成，并大力推廣基于區(qū)塊鏈技術的自主主權身份研究和應用.

美國于2011年發(fā)布《網絡空間可信身份國家戰(zhàn)略》，并于2017年由美國國家標準與技術研究所(NIST)發(fā)布了《數字身份指南》(SP 800)系列標準.相較于歐盟，美國不強調技術體系的統(tǒng)一，更加重視網絡可信身份的互操作性，追求商業(yè)機構的深度參與的、多系統(tǒng)松耦合架構的融合共存[3].

1.2 我國網絡可信身份體系發(fā)展現狀

我國網絡可信身份建設應與我國國情相適應，充分考慮我國人口管理現狀和人口基數，以及數字中國、數字經濟、社會治理的發(fā)展新需求，提出具有中國特色的網絡可信身份發(fā)展路徑[4]：

一是我國數字身份體系建設要充分吸收國際經驗，但更要適應中國國情，利用好我國在法定基礎身份證件和國際標準的機讀旅行證件管理過程中形成的數據、運行機制、應用體系和管理體制等；

二是在實現公民隱私保護和數據安全同時，滿足“前臺匿名、后臺實名”的網絡身份管理要求；

三是數字身份相關法律法規(guī)、管理制度、標準體系等要與新一代信息技術融合規(guī)劃，進一步推動網絡可信身份認證基礎支撐能力；

四是落實以人民為中心的理念，滿足便捷操作，保證應用安全；

五是建設國家權威網絡身份認證公共服務基礎設施，積極推動數字身份生態(tài)建立和產業(yè)發(fā)展.

近年來，我國密集出臺相關法律法規(guī)，對我國網絡可信身份戰(zhàn)略進行頂層規(guī)劃.《中華人民共和國網絡安全法》(2016)中提出：“國家實施網絡可信身份戰(zhàn)略，支持研究安全和方便的電子身份認證技術，推動不同電子身份認證之間的互認”；《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)(2021)第62條指出：“支持研究開發(fā)和推廣應用安全、方便的電子身份認證技術，推進網絡身份認證公共服務建設”；同年《網絡數據安全管理條例》公開征求意見，提出“國家建設網絡身份認證公共服務基礎設施”.兩法一條例的頒布標志著個人信息權益有了更系統(tǒng)的法治保障，個人信息處理活動有了更明確的法律指引，為國家級、可信、權威的數字身份管理服務體系建設奠定了堅實的法律基礎.

2013年以來，為深入貫徹落實習近平總書記網絡強國重要思想，公安部第一研究所在中央網信辦的指導下，開展我國網絡可信身份戰(zhàn)略研究，組織院士、專家、學者廣泛調研、充分論證，形成了“以居民身份證為根、以密碼技術為手段、以不改變群眾習慣為要求、以安全便捷為目標、以匿名服務為解決方案”的中國特色網絡身份認證策略，并設計了以“身份證網上憑證”為核心的技術實施方案，將“身份證網上憑證”打造為網上“認證的憑據、執(zhí)法的證據、追溯的依據”[4].

公安部第一研究所在網絡可信身份領域經歷了理論研究、試點示范、科研創(chuàng)新、產業(yè)化推廣、多元化拓展5個里程碑階段(如圖1所示)，先后完成中央網信辦2個課題任務以及“十三五”國家重點專項研究，并于2016年實現成果轉化，建設完成國家互聯(lián)網+可信身份認證平臺(CTID平臺).截至目前，CTID平臺已為全國一體化政務服務平臺及50余個行業(yè)、350多家機構提供身份認證服務超過200億次[5].

圖1 我國網絡可信身份體系發(fā)展歷程

2 我國網絡可信身份體系理論及實踐探索

2.1 我國網絡可信身份管理體系模型

網絡可信身份管理涉及網絡空間多個參與方，可進一步劃分為網絡身份監(jiān)管機構、評估機構、基礎身份管理機構、身份提供機構、服務提供機構和用戶(服務使用方)6個角色，構筑起網絡可信身份管理體系的六方模型(如圖2所示).

圖2 網絡可信身份管理體系模型

1) 網絡身份監(jiān)管機構.具有法定權利或由主管部門授予監(jiān)管職責的監(jiān)管機構，對網絡提供機構和網絡服務機構的服務能力和安全運營能力進行監(jiān)管，包括產品檢測、風險檢測、責任認定、網絡執(zhí)法等監(jiān)管職責.

2) 評估機構.網絡身份監(jiān)管機構認可的第三方獨立測評機構，受網絡身份監(jiān)管機構的委托，對網絡身份提供機構和網絡服務機構的服務能力和安全運營能力進行評測，并出具客觀、公平的測評結果，供監(jiān)管機構決策使用.

3) 基礎身份管理機構.匯集包括權威國家級基礎身份信息庫，為身份提供機構提供基礎身份信息的校驗、屬性信息的核驗等服務；為多個身份提供機構提供互認服務.

4) 身份提供機構.專業(yè)提供網絡身份簽發(fā)服務、網絡身份鑒別服務等活動的服務提供商，向網絡身份監(jiān)管機構申請合格資質，通過評估機構測評成為合格的網絡身份服務商后，可以為個人網絡用戶、網絡業(yè)務應用提供網絡可信身份服務，為業(yè)務應用等依賴方提供網絡身份鑒別服務等.

5) 服務提供機構.提供包括身份認證、屬性驗證、行為取證和信用服務等各類身份服務的提供者，依托身份服務機構和基礎身份管理機構校驗用戶身份，為用戶提供各項身份服務.

6) 用戶方.涉及電子商務、電子政務、社交生活、互聯(lián)網金融等互聯(lián)網服務提供方，這些主體依托身份服務提供機構提供的身份服務校驗使用互聯(lián)網應用的用戶身份.

六方模型實現身份提供和業(yè)務服務統(tǒng)一監(jiān)管、身份管理服務和業(yè)務服務分離的思路，可有效解決傳統(tǒng)的三方模型(用戶、身份提供機構、服務提供機構)或五方模型(用戶、身份登記機構、證書服務機構、驗證服務提供機構、身份依賴方)所面臨的身份隱私信息易被過度采集、濫用、誤用和盜用，身份信息易被復制和偽造，認證結果不可信，不同網絡身份系統(tǒng)間互認互操作性困難等種種問題：

1) 通過引入網絡身份監(jiān)管機構，對網絡身份提供機構和服務提供機構進行有效監(jiān)管，對身份提供機構能力進行評估，為《個人信息保護法》的落地實施提供監(jiān)管機制.

2) 通過引入基礎身份管理機構，解決了身份信息信任基礎問題及缺乏統(tǒng)一身份信息信任基礎、網絡身份溯源難等問題.

3) 提供統(tǒng)一、安全可信、全生命周期的身份管理，解決了不同網絡身份系統(tǒng)之間身份的互認互通難題.基于基礎身份管理機構建立的基礎信息庫，建立服務于全網絡的網絡身份提供機構，其簽發(fā)的網絡身份標識可以作為各網絡服務提供機構對用戶身份核驗的信任基礎，網絡身份提供機構可以根據網絡身份標識在機構內建立對應身份映射關系，并據此簽發(fā)相關的證書、身份憑證等；各機構的網絡身份標識可以通過網絡基礎身份管理機構進行關聯(lián)互認，使得網絡身份標識成為不同網絡身份系統(tǒng)之間互認互操作的信任基礎.

基于以上6個參與角色，網絡可信身份管理體系的六方模型以用戶為導向、以網絡身份監(jiān)管機構為指引、以基礎身份管理機構為基礎、以評估機構為支持、以身份服務提供機構和服務機構為核心，協(xié)同運轉、相互聯(lián)系，共同構建起中國特色的網絡可信身份管理體系生態(tài)圈.

2.2 我國網絡可信身份體系建設思路

我國網絡可信身份認證服務體系(如圖3所示)按“1個平臺、2種服務、1個APP入口，滿足3大需求”的思路開展建設.

圖3 我國網絡可信身份認證服務體系

“1個平臺”即CTID平臺致力于為政務、金融、互聯(lián)網及社會生產生活各行業(yè)提供網絡身份認證公共服務；將切實保護個人隱私身份信息，減少個人信息過度收集和不規(guī)范留存.

“2種服務”即以CTID平臺為依托，形成一體化技術解決方案，同時提供網絡可信身份認證服務和居民身份證電子證照服務，滿足身份認證、留檔存證和保護個人隱私“3大需求”.網絡可信身份認證服務是面向個人提供匿名化的網絡身份認證服務，可在不暴露公民身份信息的前提下證明真實身份，支持線上線下一體化應用.居民身份證電子證照服務是依托于居民身份證實體證件對應的數據文件，通過數字簽名技術保證安全性，替代居民身份證復印件或影印件，在政務領域留檔存證.群眾在手機中安裝一個APP，掃碼即可辦事，既便捷又安全，適應了群眾在信息化、網絡化、數字化條件下線上線下身份認證的需求.

2.3 我國網絡可信身份管理應用實踐

CTID平臺是支撐國家互聯(lián)網+行動計劃，在中央網信辦、國家發(fā)展改革委和科技部的支持指導下，公安部領導組織建設的互聯(lián)網+重大工程基礎保障類項目.

在政務服務方面，2019年5月上線后，CTID平臺已為46個國務院部門和31個省級單位及新疆生產建設兵團政務服務平臺提供了身份認證的相關服務，實現在線政務一次認證、全網通辦.目前全國一體化政務服務平臺實名用戶超過9.5億人，其中國家政務服務平臺注冊用戶超過5.8億人.已匯聚共享電子證照類型近900種，為電子證照跨地區(qū)互認、“減證明、減材料”提供了有力支撐.

在防疫支持方面，自疫情侵襲以來CTID平臺持續(xù)支撐“國家防疫健康信息碼服務系統(tǒng)”，依托CTID平臺生成的個人身份標識，與個人健康數據進行關聯(lián)和綁定，生成具備身份和業(yè)務雙重屬性的安全二維碼，實現了“人碼合一、身份共識、一碼通行”.

在地方公共服務方面，CTID為無錫市提供了權威的身份認證服務能力，支持無錫市在電子政務、社會治理、社會服務、民生應用等各方面提供“跨域信任、跨域互通”的可信數字身份認證服務，為無錫市民簽發(fā)全域多維通用的無錫數字身份.

圖4 CTID平臺典型業(yè)務應用

3 我國網絡可信身份技術發(fā)展分析

3.1 加強關鍵技術研究，服務數字社會創(chuàng)新應用

一是圍繞身份識別精準化、一體化的迫切需求：研究人臉、指紋、聲紋的采集技術，建立采集規(guī)范，形成人臉、指紋和聲紋多生物特征的認證基礎庫和測試庫；研究活體防偽檢測技術，建立活體攻防測試庫，建立基于視頻的活體檢測平臺；結合自主研究的多生物特征融合技術，搭建多模生物特征認證系統(tǒng).

二是以國家權威網絡可信身份為基礎，建立一套支持用戶自主控制、具有用戶自主主權的數字身份分布式認證技術體系框架.解決各域身份認證信任基礎缺失、身份互認困難、多層級數字身份難以溯源等問題，為數字身份分布式認證總體架構及規(guī)范要求的提供標準支撐，有效減少在公共互聯(lián)網上收集、存儲個人信息等行為.

三是研究基于安全芯片的個人信息安全存儲及應用技術，支持存儲用戶端敏感數據(如用戶個人隱私信息、私鑰、數字證書等)；研究隱私計算、零知識證明、不經意傳輸等密碼學技術，支持用戶身份信息最小化及選擇性披露，在不暴露用戶個人信息前提下完成身份認證；支持用戶自主授權身份使用，允許被許可的特定組織或個人訪問、儲存、分析或分享身份數據.

四是研究基于5G SIM卡的數字身份創(chuàng)新應用，將5G SIM卡與數字身份融合共通，滿足互聯(lián)網+可信身份認證平臺在線離線網絡環(huán)境、快速通行、穿戴設備便捷認證、物聯(lián)網應用等各類場景下的身份認證需求，豐富網絡可信身份的應用方式和應用形態(tài)；貫徹個人授權原則，支持用戶自主、靈活地使用5G SIM卡內個人信息，為個人信息授權應用提供新的解決思路.

3.2 加強生態(tài)建設規(guī)劃，推動數字身份產業(yè)優(yōu)化升級

依據網絡可信身份管理體系六方模型，將網絡可信身份的管理和應用適度解耦，在嚴格授權、監(jiān)管和安全可控的情況下，支撐政務應用和行業(yè)應用、城市應用、互聯(lián)網平臺應用等第三方認證服務建立不同信任等級的網絡可信身份提供或服務提供能力，共建國家網絡可信身份應用生態(tài)體系，加快國家網絡可信身份體系的推廣應用.

配合完善網絡可信身份管理及應用的政策法律法規(guī)及標準體系，構建以國家標準為主、行業(yè)標準為輔，覆蓋基礎標準、技術標準、管理標準、應用標準的網絡可信身份管理和認證服務標準體系，規(guī)范促進數字身份產業(yè)發(fā)展.

3.3 加強網絡身份監(jiān)管，提升行業(yè)安全服務能力

密切關注身份信息存儲、傳輸、驗證、使用、保護等相關的立法、修法動態(tài)，積極開展身份信息驗證相關法律的專項研究，推動網絡可信身份管理和服務的立法工作.通過網絡身份監(jiān)管機構，對網絡身份提供機構和服務提供機構對用戶信息的采集、存儲、使用、加工、傳輸等全過程進行有效監(jiān)管.通過委托評估機構對其服務能力進行評估，對身份提供機構建立信任管理機制，持續(xù)提升網絡身份提供機構和服務提供機構服務能力、隱私保護能力、系統(tǒng)安全保障能力，提高網絡安全服務水平.

4 我國網絡可信身份體系未來展望

現階段，公安部第一研究所正在中央網信辦的指導下，在國家發(fā)展改革委的支持下，在公安部的直接領導下，全力落實我國網絡可信身份戰(zhàn)略，以CTID平臺為先導建設國家網絡身份認證基礎設施工程,有效解決個人信息過度采集留存問題.通過國家網絡身份認證基礎設施，優(yōu)先向政務和強制實名制領域提供網絡身份認證服務，為支撐我國社會治理體系和治理能力現代化建設、建設數字中國、實現“中國之治”貢獻力量.