Top
首页 > 正文

简评欧盟《eIDAS条例》的特点与起始

欧盟自2008年开始,由各国共同参与进行了关于电子身份识别、电子认证、电子签名其定义和逻辑关系的广泛研究和讨论,并出台了具有里程碑意义的《eIDAS条例》,其对我国有如下启示:
发布时间:2020-07-07 13:28        来源:赛迪智库        作者:赛迪智库

欧盟自2008年开始,由各国共同参与进行了关于电子身份识别、电子认证、电子签名其定义和逻辑关系的广泛研究和讨论,并出台了具有里程碑意义的《eIDAS条例》,其对我国有如下启示:

1、将“身份识别”与“身份认证”分离

身份管理中涉及到的核心内容可以进行进一步的细分。在以往的一些研究和实践中,以“电子签名”为代表,其进行签名的一个动作本质上代表了两重意思。第一层意思即为身份识别:电子签名中自然人或组织回首先声明自己的姓名或组织名(即PKI体系中的“证书持有者”)。第二层意思为身份认证,生成一段仅有该“持有者”才能够制作的数据,从密码学的角度对自己声称身份进行证明。

“身份识别”又称“身份确认”“身份创建”“身份注册”。这个过程一般不涉及密码学的相关内容,而仅涉及国家对于自然人和法人的管理。这个概念与我国的公安机关的户籍管理及市场监管总局的企业注册信息管理较为类似。其中包括身份由来材料的收集,信息真实性的审核,经过审核资料的存档和保管,身份附属信息的修改以及错误身份信息的删除等。其本质是赋予了欧盟的成员国在其国家范围内,对某一自然人或者法人进行确认和识别以保证这个自然人或法人是独一无二的。通常这一过程会生成一个唯一识别码(unique identifier)以确定这个实体。

身份认证是指建立一个可接受水平的保证过程,用以保证声称的身份(claimed identity)是真实的。这里面的“保证过程”即为身份认证。在电子化的语言中,这一保证过程也可以被称之为用户电子身份的原始性、完整性被确认的电子化过程。

联合国贸易法委员会的《电子签名示范法》中,并未对识别和认证两个过程进行区分,由于电子签名涉及较多技术上的细节,这导致了部分自然人和组织对于法律流程和技术细节的混淆和误解,容易产生“眉毛胡子一把抓”的情况。

2、注重数据保护

众所周知,欧盟的各国对于用户个人隐私的保护非常严格。据调查,有大于一半的欧洲公民对个人数据的滥用产生的诈骗标识非常担忧。尽管数据的隐私性和网络身份跨境身份识别及互认存在一些对抗,但是《eIDAS条例》在制定的过程中努力进行了对数据处里和保护的协调。其“数据处理与保护”的内容中,确立了数据最小化原则。在某些情况下,使用“假名”或“网络昵称”进行电子商务活动也是允许的。例如,奥地利政府从居民登记中心提取了唯一的标识符(Unique Identifier UID),这个UID可以作为假名或网络昵称使用,爱沙尼亚等国也采取了类似的策略。但是类似于爱沙尼亚的公民号码是公开的信息,而在奥地利、匈牙利、葡萄牙等公民号码仅能在特定的服务中使用。

3、设定互认分级即保证级别

《eIDAS条例》的一大亮点即为对于多种类的互认需求进行了分级。对于跨系统、跨国境的互认进行了分级,以“低、中、高”(Low,Substantial,High)这一形式对信赖度进行了划分。具体而言,低保证级别的主要特点是采用了减少身份滥用或身份改动的风险控制技术;中保证级别的主要特点是实质上减少的身份滥用或身份改动的风险技术控制;高保证级别基本上防止了身份滥用或身份改动的风险技术控制。

合作站点
stat