欧盟eIDAs条例对我国身份管理的立法启示

黄旒

【摘要】身份管理的可靠性对于网络交易日益重要，然而我国至今未有法律对身份数据的收集、使用和保管等等方面进行具体的规定。鉴于国内对于身份管理的法律问题研究处于起步阶段，笔者在第一部分依照国际文件对身份管理的概念进行了分析并与电子签名进行了对比;后文则根据国内的法律现状，提出了若干有待解决的法律问题，并参照欧盟eIDAS条例，对这些问题的进行了初步的立法分析。

【关键词】身份管理;电子签名;欧盟eIDAS条例;立法

Abstract：Reliable identity management has become a critical requirement for electronic business activities. However，there is no detailed regulations on the accumulation，usage and storage of personal identification data in our country so far. Considering that the research on the legal issues of identity management has just begun，Ive started the essay with the concept of identity management in the light of international documents and then compared it with electronic signature. As a number of legal issues have been raised due to the current national legal situation on identity management，Ive tried to make a preliminary legislative analysis on these issues by referring to the EU eIDAS regulation.

Key words：identity management;electronic signature;EU eIDAS regulation;legislation

一、身份管理与电子签名

我国对于身份管理的法律问题仍处于起步阶段，厘清身份管理的概念及其与电子签名的区别对于进一步研究我国身份管理的法律问题有着重要的影响。身份管理，管理谁的身份，身份包括哪些内容，谁来管理，如何管理，权利义务如何分配，责任如何承担等等，都是身份管理法律需要解决的问题。对于身份管理到底是什么，目前广为接受的解释来源于国际电信联盟，在其2010年发布的身份管理基准术语定义ITU-TX。1252建议书中规定：“身份管理是用于保证身份信息（如标识符、证书、属性）、保证实体以及支持商业和安全应用目的的一系列功能和能力（如管理、管理和维护、发现、通信交换、关联和绑定，政策执行、认证和维护等）”。依此看来，身份管理应通过如管理、管理和维护、发现、通信交换、关联和绑定，政策执行、认证和维护等实现三个功能或者说有能力：

1、保证身份信息（如标识符、证书、属性）;

2、保证实体;

3、支持商业和安全应用目的。

为顺利进行研究，必须对以上信息做出澄清：由于自然人、法人、设备、软件等等均可称为实体，导致研究的范围过于广泛。又于对人的身份研究最具有法律上的意义，因此我们把实体的范围缩小到人（包括自然人和法人），即对人的身份管理研究。那么以上的身份管理要实现的功能即成：保证个人的身份信息、保证个人、支持商业和安全应用目的。

目前，我国诸多电子签名认证中心提供的电子签名服务也实现了上述功能，即可以通过电子签名可以鉴定签名人的身份、支持商业应用并且安全可靠。那么这样是否就意味着身份管理等同于电子签名？产生疑惑的原因其实是未对身份管理两个核心问题进行区分，即你是谁？你如何证明？在身份管理中，我们用身份确认（identification）用来回答“你是谁”，而身份认证（authentication）则是解决“你如何证明”。身份确认和身份认证是身份管理的重要组成部分。身份确认有时也称作身份注册，例如我们若要在微博上发表评论，则要先进行会员注册，为获得一个微博的用户身份，微博会要求我们在注册时进行一系列的操作，如输入手机号、设置密码、昵称及个人资料等。经过手机验证通过后，则微博账号注册成功。在线下也是如此，例如为获得一张身份证，我们需要去当地派出所填写申请表并进行现场拍照，递交户口本，经过确认之后才能获得公安局颁发的身份证。身份确认通常都是一次性行为，一经确认之，我们便可以通过身份提供方（Identity Provider简称IDP）签发的身份凭证（identity credential），进行身份认证。例如，微博注册号账号后，并不能马上发表评论，必须经过另外一个步骤“登录”才可进行。此时，登录则是身份认证。认证通过后，微博根据我们的用户级别进行授权访问。同样，根据规定，十八周岁以上才能在网咖上网，因此我们需要出示身份证以认证身份：1、通过照片对比认证是本人;2、根据出生年月认证是否已达十八周岁。当符合这些条件后，网咖才会为我们开通上网账号。身份确认与身份认证是身份管理不同的步骤，但联系紧密。

根据1996年《联合国国际贸易法委员会电子商业示范法》第7条第1款规定：如果法律要求有一个人签字，则对于一项数据电文而言，倘若情况如下，即满足了该项要求：1、使用了一种方法，鉴定了该人的身份（used to identify that person），并且表明该人认可了数据电文内含的信息;2、从所有各种情况来看，包括根据任何相关协议，所用方法是可靠的，对生成或传递数据电文的目的来说也是适当的。此处，我们看到电子签名有一项重要的功能，即鉴定人的身份。然而，电子签名是如何来鉴定人的身份的？以我国北京数字认证股份有限公司（简称BJCA）提供的电子签章服务为例，BJCA电子签章系统已能将传统印章图片与可靠的电子签名技术完美结合，在电子文档中实现可视化电子签名的专用产品。

也就是说，BJCA现提供的电子签章服务，通过电子签章本身便可鉴别出签章者的身份。那么这里的身份鉴别和身份管理的关系又是什么呢？我们知道，进行电子签名，首先需要向CA申请数字证书，而根据《北京数字认证股份有限公司电子认证业务规则》，若要申请数字证书，要先进行个人身份的鉴别：个人需持个人有效身份证件（包括港澳台居民身份证、户口簿、护照、军官证、警官证、外国人永久居留证、士兵证、身份证、士官证和文职干部证），到BJCA授权的注册机构提交书面数字证书申请表（一式两份）和上述有效身份证件的复印件等申请资料，并缴纳证书服务费用。批准申请后，BJCA或注册机构将为证书申请人制作并颁发数字证书。通过分析，我们知道这里所谓的个人身份鉴别，其实是前文身份管理两个核心概念中的第一点：即身份确认。这里CA充当了身份提供方，对申请人的身份进行确认，并颁发身份证明（这里为数字证书）。依此推断，身份确认是电子签名的逻辑前提，用户必须要先经过身份确认，拿到证书后方可进行电子签名，而身份确认是身份管理的核心步骤，因此身份管理和电子签名并不一致。另外，由于电子签名能鉴定（identify）人的身份，那么电子签名则应是一种标识符（identifier），而电子签名只是身份标识符的一种。根据上文，身份管理保证的身份信息不仅包括标识符还涵盖了证书以及属性，因此身份管理的内涵远大于电子签名。再者，虽电子签名和身份管理虽都可以用来进行身份认证，但有适用范围也有差异，例如，由于签名便意味着签署的数据电文内容进行认可，而有时并不需要对内容认可，例如进入某个数据系统，此时使用电子签名来进行身份认定并不恰当。

二、我国身份管理法律现状及不足

1、我国身份管理法律现状

虽然电子签名与身份管理并不相同，但我国有关电子签名的法律中却能寻到身份管理的踪影。2004年我国《电子签名法》第20条第2款规定电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。该法律在身份管理方面仅规定了电子认证服务提供者（即身份提供方）对确定身份的义务。不过，《电子认证服务管理办法》第20条，进一步规定了对电子认证服务机构对收集的身份信息隐私的保密义务：电子认证服务机构应当遵守国家的保密规定，建立完善的保密制度。电子认证服务机构对电子签名人和电子签名依赖方的资料，负有保密的义务。除此之外，我国2011年修正的《居民身份证法》也对居民身份证办理对公民的身份收集形式和内容进行了规定，明确了保密的义务、居民违法申领身份证的情形及法律后果。对个人信息（包括身份信息）规定最为明确的2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》，该决定中明确了公民个人身份和涉及公民个人隐私的电子信息应受到法律的保护，网络服务提供者和其他企事业单位应采用合法的形式收集、使用公民个人电子信息，并采取技术措施和其他必要措施确保信息安全。公民有权要求网络服务提供者删除泄露的个人身份信息，或者采取其他必要措施予以制止，除此之外，还规定了用户入网提供真实身份信息的义务及相应的救济方式。对于个人信息保护的还有2014年的《网络交易管理办法》。该法第十八条规定了信息的收集、使用原则，并要求有关服务经营者采取必要措施确保信息安全。

综合以上现有的规定，我们可以看到，目前我国对于身份管理的规范集中在如下领域：

（1）规定身份信息隐私保护的规范性文件：《电子认证服务管理办法》、《居民身份证法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》以及《网络交易管理办法》;

（2）规定身份信息搜集的规范性文件：《全国人民代表大会常务委员会关于加强网络信息保护的决定》及《网络交易管理办法》;

（3）规定身份管理法律责任的规范性文件：《居民身份证法》;

（4）规定审核用户身份信息真实性义务的规范性文件：《电子签名法》;

（5）规定提供身份信息真实性义务的规范性文件：《居民身份证法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》（下称《决定》）。

2、现行法律的不足

尽管我国目前有多部法律对身份管理的多方面进行了规定，但仍存不足。由于我国目前并无针对身份管理的专门立法，虽然部分规范涉及到身份管理，但这些规范都有其专门的调整对象，在规范中提到身份管理的某个方面只是为保持该法律调整对象本身的完整性。从体系的完整性来说，我国身份管理的法律系统并不完全。这些不完整主要体现在：身份管理运作、安全标准、数据保护、身份管理系统间的合作及责任承担缺乏法律根据。

（1）身份管理运作

《电子签名法》之所以要求认证机构对申请人的身份进行查验，是因为要实现电子签名，认证机构需要对申请人发放电子签名证书，而证书的产生必是和个体联系在一起，确定个体的身份是实现电子签名的必要前提，因而法律对此有所规定。但是认证机构应如何进行身份查验，如何保管身份信息等身份管理运作的方式，《电子签名法》并及其他文件都无涉及。

（2）系统安全与保证标准

尽管《决定》中第2点要求网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公开其收集、使用规则。但《决定》决定只是规定了相应的原则，即合法、正当、必要。但何种方式即为合法，何种程度即为正当和必要，《决定》并无规定，只是规定当事人应通过自治的方式来约定收集、使用个人信息的方式。然而，个人通常处于弱势方，并无能力与身份提供方（包括网络服务提供者和其他企业事业单位）进行约定，相反，个人常常为使用某项服务，被迫接受信息收集方制定的个人信息收集规则和使用方式。除此之外，对于依赖方来说，其是否能信赖身份提供方的身份保证，这种保证可信度有几分？是否能得到法律的认可？对此，我国目前并无规定。

（3）数据保护

建立一个安全系统有利于个人数据的保护，但仅靠一个安全的系统却无法对个人数据进行有效的保护，此时法律保护显得尤为重要。虽我国还未正式出台《个人信息保护法》（已提交《个人信息法草案》），但对于数据的保护已有不少的法律规范（见上文法律规范分类部分）。此外，2013年《电信和互联网用户个人信息保护规定》第10条：电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。但是无论是那一部法律规定，都只限定在该部门法内。值得反思的是，数据保护已经全面渗透互联网生活，若能对其保护主体、形式和内容等等提取公因式，是否还仍需每一个部门法都对数据保护进行规定？

（4）身份管理系统间合作

对于合作的内容，理论上有两个重要的方面，凭证可调动性（credential port ability）和数据可调动行（data port ability）。凭证可调动性，简单地说就是一个系统签发的身份凭证可以在不同的系统中使用。例如，在过去我们的QQ账号只能用来登陆QQ，而现在，我们可以用它登录完全不同的网站、应用，无需重新申请账户。而数据可调动性指的身份数据可以在不同的系统中转移，无需为注册一个新的身份而重复输入身份信息。虽然凭证和数据在不同系统中的调动给用户带来了方便，给服务提供者也减少了管理成本，但却有其自身的风险。如不正当竞争、互操作性、数据安全等等。目前，身份系统间的合作仅存在于自治规范中。我国法律对此并无相关规定。

（5）责任承担

在身份管理的任何一个阶段产生了损害，都应有责任产生，但我国对于这方面的规定却较少。从身份管理最初的身份确认阶段开始，就缺乏相应的法律责任。虽《居民身份证法》详细规定了公民使用虚假材料骗取身份证明的法律后果，但由于该法仅适用于公安部门对我国公民身份的管理，其他私营机构或公共机构对个人身份的管理对于个人利用虚假材料骗取的身份凭证而导致的损害应如何承担责任？反之，若由于身份提供方未尽到身份真实性的审查义务，而导致损害，责任应如何承担？从规定了要求用户提供真实信息的另一份规范性文件《决定》及依其制定《电话用户真实身份信息登记规定》中，我们也未找到法律责任的相关规定。然而这只是身份管理诸多法律责任中的冰山一角。需要注意的是，责任承担并不是要求法律对身份管理中产生的每一种损害如何赔偿有具体的规定，对于责任如何规定需要进一步的研究。

三、欧盟eIDAS条例及对我国的立法启示

1、欧盟eIDAS条例简介

欧盟eIDAS条例实际是指欧盟在2014年发布的No910/2014条例，主要包括两个部分：电子身份和信任服务。条例的缩写和它的全称并不一致，eIDAS本身代表着“电子身份认证与签名”（electronic identity authentication and signature），而条例不仅仅规定了电子身份和签名，还规定了除签名外的其他信任服务。值得注意的是，欧盟eIDAS条例废除了欧盟《电子签名法指令》（1999/93/EC号），电子签名作为信任服务的组成部分规定到了该条例中。

2、欧盟eIDAS条例的相关规定及对我国的启示

欧盟eIDAS条例对身份管理的规定主要集中在第一章和第二章，其内容如下：

从该表可以看出，欧盟eIDAS条例涉及身份管理的方面较为全面，总体上包括了数据、安全、合作及责任承担，我们从这个几个方面分析欧盟的条例及对我国的立法启示。

（1）数据处理与保护

欧盟采取了“参引性行规范”结构对数据处理与保护进行了规定。根据条例第5条第1款，个人数据的处理应根据欧盟《数据保护指令》（NO95/46/EC）进行。但根据欧盟最新立法，该数据保护指令已由2016发布的《通用数据保护条例》（GDPR）所废除。由于指令的法律直接效力是垂直的，只能直接约束国家主体，若国家并没有根据指令制定相应的国内法对数据进行保护，或即便是制定了，但国家之间对于数据保护的规定不一致，很可能会产生出数据保护本身以外的法律适用的问题。条例的生效，意味着减少了数据保护潜在的阻力，欧盟对于数据的保护进一步得到加强。从GDRP的内容来看，它对个人数据的保护也的确达到了空前的高度，通过对细节的规范，使得义务方有操作的可能性。如此立法，一方面，可以使欧盟的法律规范之间得以相互呼应，另一方面，可以有效避免繁复的立法技术。数据的处理和保护是身份管理的重要部分，但欧盟eIDAS条例本身不对数据保护的具体内容进行规定，而参引欧盟的其他立法已对该部分的法律问题进行规定的方式与我国诸多立法均对数据进行保护的立法形式形成了鲜明对比。我国可以从本国的现实状况出发，及时修改并通过个人数据保护的相关立法，删除不必要的重复性法律条文。

（2）保证水平

欧盟eIDAS条例对于身份保证水平性规定了低中高（low，substantial，high）三个等级，以适用不同级别的要求。等级越高，个人身份的可信度就越高。欧盟通过条例授权欧盟委员会来制定实施办法（implementing acts，包括实施条例和实施决定）以确定与三个等级相适应的最低技术规格、标准和程序。目前欧盟2015/1502实施条例是在考虑ISO/IEC29115、Large-Scale Pilot STORK、ISO/IEC27000、ISO/IEC20000等标准下制定的，在一定程度上限制了“技术中立”。但由于该实施条例为非立法性法律规范，欧盟委员会可以根据技术的发展，对条例的内容及时进行修改和完善，而无需经过繁杂的立法程序，因此可以从一定程度上避免法律滞后性给技术发展带来的问题。我国涉及身份管理的相关法律对保证水平并无规定，更多是而是通过合同进行“约定”。然而，这种约定似乎由于各方实际地位的不平等，常常是失效的，这时适当的法律介入便显必要。同时，为避免法律给技术发展带来障碍，如欧盟为技术采取进行特别的规定以适应时代的发展，是值得借鉴的。

（3）系统互认与合作

欧盟要求身份系统互认和合作是建立在各国采用不一的身份系统之上的，为保障欧盟数字一体化的建立，各国身份系统间的有效交流便显得十足重要。互认是法定的要求，为实现有效合作，除互认之外，还须为此建立互操作性的框架。根据规定，符合下列标准的即为满足互操作性框架：

①技术中立为目标和不歧视成员国家间任何特定电子身份国家技术解决方案;

②遵循欧洲和国际标准，在可能的情况下;

③促进隐私设计原则（the principle of privacy by design）的实施，以及;

④保证个人数据的处理依照《欧盟数据保护指令》。

从条例的规定可以看出，对于互操作性，主要应满足两个方面：在技术上，应保持技术中立，不歧视其他国家的技术方案;在内容上，应保护个人隐私，保障个人的数据得到适当的处理。我国目前确实存在不同身份管理系统，但是否需以立法的形式来促进系统之间的合作，需要进一步的调查和研究。需注意的是网络始终是一个全球开放性的系统，身份管理并非仅拘于一国之内，身份系统间的相互认可与合作更是一个全球化的议题，其重要性自不言而喻。

（4）责任承担

欧盟eIDAS条例规定了身份提供方（包括通知国、电子身份凭证签发方、认证程序运行方）的无过错责任。根据规定，通知国：①应根据实行条例中为保证等级制定的技术规范、标准和程序，确保唯一代表该人的身份数据在电子身份系统签发身份凭证签发时属于该自然人或法人;②应确保在线身份认证的可用性。可用性包括不对依赖方施加任何会阻挡或者严重阻碍被通知电子身份系统的互操作性的不对称技术要求。电子身份凭证签发方：应根据实施条例的相关规定确保电子身份系统中电子身份凭证属于该人。认证程序运行方：应确保在跨国交易中正确的身份认证操作。若身份提供方违反以上规定，对自然人或法人造成损害，应承担法律责任。简单来说：

目前，我国涉及身份管理的法律对此均未涉及。但随着电子政务和电子商务的普及，身份管理逐渐成为保证交易安全的重要方面。若在身份管理阶段就出现身份数据的虚假，或凭证并未交付正确的主体，或是认证程序出错，则可能给交易带来巨大的损失。因此，欧盟这种明确身份提供方的责任，让其在趋利避害中主动承担起相应义务的立法模式，不妨也可以借鉴到我国立法之中。

【参考文献】

[1] Peter Parycek Gabriel MLentner. Electronic identity（eID） and electronic signature（eSig） fore Government services–acomparative legal study[M]. Transforming Government： People， Process and Policy， 2016.

[2] Omer Tene. Me， Myself and I： Aggregated and Disaggregated Identities on Social Networking Services[J]. Journal of International Commercial Law and Technology（UK），2013，8（2）：118-132.