各國數字身份建設情況及我國可信數字身份發展路徑

于 銳

當前網絡化、數字化、智能化應用廣泛、深入地滲入到國家政治、經濟、文化和社會的各個領域，網絡空間與現實社會高度融合.面對數字化轉型快速發展、網絡安全問題日益嚴峻的新局面，以及社會治理提出的新要求，一個可以確認行為主體身份的可信數字空間越來越重要，數字身份已經成為實現經濟健康發展與社會和諧安全穩定的基石，并在數字經濟、數字社會、數字國家中發揮至關重要的作用.

1 數字身份的概念

國際標準化組織/國際電子技術委員會(ISO/IEC)將“身份”定義為“一組與實體關聯的屬性”.數字身份是指：為解決數字空間實體的識別與信任，適應網絡信息系統安全傳輸、存儲、使用、管理，賦予實體的唯一對應數字標識及與之關聯的屬性聲明.數字身份系統的作用是認證數字身份所有者的身份屬性，基于其身份信息提供應用系統的授權訪問和服務.可信數字身份是指：基于法定身份信息由權威機構簽發，有政策法規保障支撐的數字身份，是數字空間自然人身份的信任根.

伴隨著計算機科學和互聯網的應用發展，20世紀50—90年代，數字身份通常是e-mail地址、IP地址、域名，由網絡服務提供.隨著越來越多的工作、生產和生活線上化，數字身份演變為復雜的體系，成為處理認證和訪問控制的關鍵業務系統.為方便應用，大多數互聯網平臺的數字身份是賬號+密碼(用戶名+口令).21世紀互聯網應用量級劇增，網絡可信和隱私保護的合規要求不斷提升，質的變化悄然發生，國家級權威、可信數字身份需求應運而生.基于社會治理及政務服務形成的全量權威身份數據，使用密碼技術變換形成不含屬性信息的標識身份的數字化字符串，并按業務和應用場景采用安全數據文件或二維碼等形態承載使用，為各類身份鑒別應用提供根信任.

2 建立數字身份的必要性和緊迫性

1) 網絡安全形勢日益嚴峻，可信數字身份成為維護國家網絡安全和社會穩定的重要基礎.一是以虛擬身份利用社交媒體傳播負面虛假信息，危害國家政治安全；二是個人信息的泄露、交易和濫用，給人們生產生活帶來極大困擾；三是網絡犯罪逐年上升，詐騙案件占比最高，多以冒充他人身份等方式實施.

2) 數字經濟成為發展重要推動力，可信數字身份成為數字經濟健康快速發展的重要支撐之一.一是可信數字身份將推動各個場景中的數據安全流通、開放和確權，促進數字經濟繁榮發展；二是可信數字身份將成為社會信用體系建設的重要支撐要素；三是可信身份將成為創新監管的重要可信錨點.

3) 數字化、智能化深入發展，可信數字身份成為社會治理創新和社會管理服務效率提升的有效有段.一是可信身份是支撐數字政府建設的重要基礎設施；二是互聯網時代要在傳統身份制度基礎上創新人口管理和服務體系，加快網絡可信身份發展；三是可信身份將為防范化解重大危機和各類突發風險提供基礎保障.

3 主要國家和地區的數字身份情況

近年來世界主要國家和地區為支撐經濟社會發展，提升國家競爭力，高度重視大力推進可信數字身份建設.

1) 歐盟：制定新的泛歐數字身份框架擴展計劃，加快推進跨國家數字身份認證體系建設.自發布《2010泛歐洲電子身份管理框架路線圖》，對數字身份進行了頂層設計以來，歐盟不斷完善相關法律法規和技術標準體系，開展了一系列數字身份項目建設.基于eIDAS條例的技術統一、政府監管、全面適用的電子身份識別和信任服務體系雛型基本形成.其中：丹麥于2016年發布《2016—2020年數字化戰略》，提出了全面加速實現安全數字身份以及在所有歐盟成員國內可使用丹麥數字身份(NemID)的目標；法國于2019年宣布在全國推行“AliceM”身份項目，利用人臉識別技術為公民提供數字身份等.但目前僅有14個歐盟成員國推出了符合eIDAS條例要求的數字身份項目.為此2020年9月，歐盟委員會公布將在整個歐盟推行新的數字身份計劃，并開始《eIDAS條例》修訂工作，預計于近期提出“歐洲數字身份”新方案.

2) 美國：制定網絡空間可信身份國家戰略，構建標準體系，開展試點項目，網絡身份生態系統初步構建完成.2011年，美國發布了《網絡空間可信身份國家戰略》，計劃用10年左右的時間，通過政府推動和產業界努力，建立以用戶為中心的數字身份生態系統，提升網絡安全，改善隱私保護環境，實現在線交易的便利性和敏感信息的安全性.10年來美國制定了SP 800數字身份標準體系和技術框架，增加了網絡可信數字身份的互操作性；分批資助了22個引導工程項目，引導聯邦政府部門、地方政府機構、企業和個人參與試點建設與應用.政府部門中的使用場景不斷增多，網絡可信數字身份市場不斷發展和成熟，企業和個人對可信數字身份的使用也在不斷增加.

3) 英國：實施“數字政府即平臺”計劃，發展易用、通用數字身份，支撐數字經濟發展.2015年“數字政府即平臺”計劃啟動；2016年5月英國政府推出GOV.UK Verify在線身份識別平臺，為電子政務提供身份認證服務，也可供公共和私營部門使用.2022年初發布的《數字身份和屬性信任框架》報告指出：擁有易用的、通用的數字身份將是未來經濟的基石，要構建完善的法律框架以及相應的管理和監督機制，消除應用障礙.同時英國政府數字服務組(GDS)宣布將運行新數字身份系統，替換GOV.UK Verify.

4) 澳大利亞：發布新版數字身份框架，建立全國性數字身份認證、管理和運作機制.2020年第4版“可信數字身份框架(TDIF)”發布，由管理、要求和指導3類13份政策文件組成，規定了數字身份生態系統的參與方應滿足的要求，以及服務提供商可以擁有的各個信任等級.目前，澳大利亞已啟用myGovID身份識別系統，民眾通過蘋果和谷歌商店在移動設備上下載安裝myGovID訪問myGov(政府在線服務)平臺發起身份認證.該系統加入了“活體檢測”功能，提高了認證服務的安全性.現在澳大利亞公民已經可以使用該系統訪問政府在線服務，進行護照、駕駛證和醫療卡驗證.澳大利亞政府還計劃制定相關法律，將此系統用于支撐日常生活的各種交易.

5) 新加坡：全面推廣國家數字身份認證系統.2003年新加坡政府推出SingPass國家數字身份認證系統.居民在系統中申請的ID相當于新加坡居民的數字身份證，用于訪問政府機構和私營企業的在線服務.2018年新加坡政府推出SingPass手機應用程序，2020年在其中納入基于人臉識別的身份認證機制，將人臉認證技術用于國民身份認證系統.至2021年新加坡本地70%的人口擁有SingPass賬戶，約300萬人使用SingPass手機應用程序，并有超過460家政府機構和私營企業通過SingPass提供1 700余項服務.目前，新加坡政府正在積極擴大系統的應用范圍.

6) 印度：實施“唯一身份識別計劃Aadhaar”，完善法律法規，面向政府機構全面推廣身份認證服務.2010年印度建成了以唯一身份號碼為索引、多模生物識別技術等為認證手段的面向政府機關、各行各業和居民應用的網絡可信數字身份認證系統.同步啟動立法工作，相繼通過了《印度身份管理局(UIDAI)法案》《2019年數字身份證修正案》《將Aadhaar認證用于善政(社會福利、革新和傳授知識)條例》，形成有效的法律保障.UIDAI全面推廣Aadhaar應用，截至2019年底，已發放12.5億個唯一身份號碼，每天收到大約3億次認證請求.印度公民可以在醫療、社保、培訓、申請駕駛證、就業等服務中應用網絡可信數字身份認證.

4 分布式數字身份

1) 分布式數字身份產生的背景.

中心化的身份認證系統除國家層面的公共服務建設外，許多互聯網平臺基于其業務積累的身份數據也提供第三方認證服務，形成許多隱患.一是互聯網巨頭依靠平臺效應，利用用戶數據產生了大量價值，但用戶并沒有對自己的數據擁有話語權和價值收入；二是由于利益驅使，圍繞用戶數據發生的非法收集、數據泄露和買賣行為防不勝防，損害用戶安全；三是用戶的數字身份(賬號密碼)由服務商控制，用戶租借使用，服務商可以決定賬號禁用、服務終止；四是互聯網的數字身份從屬于應用系統，用戶要重復注冊很多賬號密碼，對于需要用戶確權的跨應用業務，需要更改業務架構增加跨應用的用戶身份.此外，還存在單點故障導致系統全面停服，以及身份數據集中存儲易受攻擊產生數據泄露等風險.為此，亟需解決個人數據應用和機構間數據協同的權益、主權、隱私、互信與安全問題.在政策、技術、市場因素的共同驅動下，分布式數字身份建設已逐步引起重視并得到發展.

區塊鏈技術為實現分布式數字身份帶來了新途徑.該技術用分布式基礎設施讓用戶控制和管理數字身份，通過將數據所有權歸還用戶解決隱私問題，通過定義身份層協議提供跨應用的互操作性，實現了一種扁平化、彈性化的數字身份模式，即分布式數字身份.

2) 分布式數字身份的解決方案.

分布式數字身份包括分布式數字身份標識符(DID)和數字身份憑證(聲明集合)2部分.分布式DID由字符串組成，用來代表一個數字身份并可驗證.實體可自主完成DID的注冊、解析、更新或者撤銷操作.歐盟區塊鏈觀測站和論壇發布的《區塊鏈和數字身份》報告指出，通過將來自權威機構(通常是政府)的可驗證聲明與個人數字身份關聯，生成身份標識.數字身份憑證中一般包含1個或多個與身份關聯的屬性信息，通常包括姓名、年齡、學歷、職業等.憑證由發行者簽名，可證明是否由憑證中聲稱的實體簽發且未被篡改，被稱為可驗證憑證.

分布式數字身份的核心模型是分布式DID和可驗證憑證流轉，以分布式賬本和密碼學技術創建不可抵賴、不可篡改的身份記錄.一般將分布式數字身份體系架構分為分布式賬本基礎設施、基于DID的交互、可驗證憑證應用和治理框架4層，將身份標識符的生成/維護與身份屬性聲明的生成/存儲/使用分離開來，構建一個模塊化的、靈活的、具有競爭力的身份服務生態系統.

目前，分布式數字身份建設有2種思路：一是傳統數字身份+區塊鏈模式，將已有的數字身份信息置于去中心化的區塊鏈之上；另一種是由用戶控制身份，創建全新的區塊鏈數字身份系統.美國標準技術研究所(NIST)在其發布的《新興區塊鏈身份管理系統分類方法》報告中，根據控制模式的不同，將身份管理系統分為“自上而下”和“自下而上”2類.前者指由數字身份系統所有者充當中央機構，控制身份標識符的生成和憑證的簽發，通過授權來創建數字身份管理層次結構，在為用戶提供增強的控制和隱私保護的同時，保持系統的所有權和對其治理的控制.后者指沒任何實體充當權威機構控制身份標識和憑證的簽發，交由參與者自己管理，通過一組智能合約強制執行數字身份管理規則.

分布式數字身份需要政策法規、標準協議來規范、支撐其建設應用.目前，W3C(WWW Consortium)和DIF(Decentralized Identity Foundation)積極推動分布式數字身份標準的起草與發布工作，W3C主要集中在DID規范和可驗證聲明方面，DIF致力于提高區塊鏈身份系統互操作性.

3) 分布式數字身份的應用實踐.

近年來一些國家和機構開始探索建設和應用基于區塊鏈的數字身份系統，形成了幾類有代表性的模式.

uPort：Consensys于2017年推出的基于以太坊的分布式數字身份管理服務，允許用戶進行身份驗證、無密登錄、數字簽名并和以太坊上的其他應用交互，為用戶提供持久可用的數字身份.

Sovrin：Sovrin基金會運營的一種開源用戶自主主權身份(SSI)和去中心化信任協議，提供自主主權身份的全球公共網絡，該網絡于2017年7月正式啟動.

下午，是最后一門全院必修課——經濟法。顏曉晨去上課時，發現階梯大教室里人格外多，一眼望去，只看見黑壓壓的人頭，看不到空位。她這才想起今天發期中考試卷，難怪來上課的人這么多。

ID2020/ION：2018年微軟與國際公司合作聯盟聯合開發分布式數字身份認證網絡ID2020，幫助個人和難民獲得基本服務.2019年微軟在比特幣網絡的基礎上與DIF成員一起開發、建立身份識別基礎設施與生態系統ION(身份覆蓋網絡)，系統中的組織、人和設備可以在基于標準和開源組件的互操作系統上安全地交互，進行每秒數萬次的并發操作.

WeIdentity：微眾銀行2019年推出的基于聯盟鏈身份的實體身份標識和可信數據交換解決方案，依托權威機構提供用戶KYC服務，并以聯盟鏈作為各用戶角色的連接中心和信息的存證中心，促進數據可信交換.

SecureKey：SecureKey公司與IBM聯合發布的數字身份網絡，同加拿大數字身份生態系統成員(包括主要銀行、電信公司和政府機構)一起基于區塊鏈技術構建.2018年加拿大銀行家協會發布《加拿大數字身份認證的未來——聯合身份認證白皮書》，倡導建立“加拿大數字身份體系”，將個人身份信息存儲在相互聯通但各自獨立的系統中，為用戶提供無縫體驗.同時，SecureKey公司推出了移動數字身份認證應用Verified.Me.

PASS：2019年韓國政府發布《數字政府革新推進計劃》，其中數字身份證是重點之一.作為計劃的一部分，韓國科學和信息通信技術部開展分布式數字駕駛證建設應用，駕駛員可以在手機上安裝名為“PASS”的應用程序，存儲數字版的駕駛證用于個人身份證明.其身份驗證服務還將擴展到移動金融交易領域，至2020年已有100萬韓國人開始使用.

日本富士通、JCB和瑞穗銀行分布式數字身份互操作系統：2019年富士通公司推出了基于區塊鏈的分布式解決方案，用于評估在線交易中的用戶憑證身份和可信度.2020年與日本信用卡發行商JCB和瑞穗銀行開始測試基于該方案的區塊鏈數字身份互操作系統，實現涉及公司和行業之間敏感用戶身份信息的安全交易.

5 我國數字身份建設發展路徑

縱觀全球，可信數字身份建設已經成為保護網絡安全、支撐數字經濟發展和提升國家治理能力現代化的重要基礎工程.我國高度重視數字身份建設工作，出臺了一系列法律法規和標準，如《中華人民共和國網絡安全法》《中華人民共和國密碼法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《信息安全技術 個人信息安全規范》等，指導、規范數字身份技術研究、建設與應用.

我國地域廣闊，網民數量世界第一，互聯網業態、模式豐富，數字經濟、數字政務、數字城市快速發展，數字身份體系建設必須要適應中國國情.既要考慮線上業務也要顧及線下應用；既要滿足便捷操作也要保證應用安全；既要服務國內網民也要支持境外用戶；既要滿足近期互聯網需求也要為數字身份體系長遠建設打好基礎；同時要兼顧老年人等不會使用智能手機的特殊群體.

因此需要在充分吸取國際經驗的基礎上，利用我國以居民身份證為代表的國家法定基礎身份證件和國際標準的機讀旅行證件等重要資源，創新應用人工智能、網絡安全、數據保護等新一代信息技術，完善相關標準體系和法律法規體系，加快推進中國特色的可信數字身份發展.

建設發展路徑需采用兩步走的演進策略.首先按照《中華人民共和國個人信息保護法》第62條要求“推進身份認證公共服務建設”，積極開展中心化的國家級數字身份基礎設施建設，簽發權威的可信數字身份，提供身份鑒別與生物特征比對等服務，支持跨地域、跨業務、跨層級的身份聯合與互認.再以國家簽發的可信數字身份符號為根標識，以權威可驗證憑證為身份屬性聲明，建立“自上而下”的“區塊鏈+”數字身份聯盟鏈，創新標識算法、隱私計算、高并發交易等關鍵技術，逐步向支撐各類分布式應用發展，構建混合架構的先進數字身份體系.從技術角度看需要解決以下問題：

一是要解決基礎數據支撐.匯聚海量多模式、異構身份數據，構建權威、可信的十億級規模國家身份信息庫，為可信數字身份管理奠定數據基礎.同時進行嚴格的數據分級、分類、分域和授權管理.

二是要建立廣域覆蓋的基礎設施.采用模塊化、高可用、彈性可擴展基礎架構，建設完備的容災備份體系，保證業務流量靈活調配、資源快速擴容、故障快速應對，支撐大規模、高并發應用.

三是要滿足不同層次、不同安全等級的身份認證需求.采用多因子鑒別技術，基于可信數字身份體系，兼顧可信與便捷，形成“實人”“實人+實名”“實人+實名+實證”等多信任級服務.

四是要實現高速認證與虛實關聯.通過認證模式和異構數據庫元數據匯聚技術架構創新以及大數據算法應用，實現海量、高并發虛實關聯和認證行為追溯.

五是要解決數字身份安全應用難題.法規、標準、技術、監管相結合，從數字身份申領、簽發、應用到管理，建立完備的客服、救濟、風控機制，防止數字身份被冒領、冒用.

六是要建立數字身份體系“端-網-云-平臺”一體化綜合縱深防御體系，實現全方位信息安全防護.按照關鍵信息基礎設施保護要求，采用國產密碼算法和多種信息安全策略及技術，結合人工智能與安全大數據，防范、抵御各類高強度網絡攻擊.

目前，我國基于居民身份證電子化應用的數字身份技術體系框架已明確.依托居民身份證等國家法定基礎身份證件，使用國密算法將證件號碼變換成標識身份的脫敏數字身份符號，以安全數據文件或二維碼形式由移動設備下載安裝專用的APP來申領、調用和出示.結合生物特征識別等“人證一致性”驗證，向全國各行業提供符合《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《信息安全技術 個人信息安全規范》等要求，合規、便捷的中國特色身份登記、認證、留檔以及數據共享服務.通過對國家發展和改革委2018年批復建設的“互聯網+可信身份認證平臺”的升級、擴容和改造，構建高可用、高安全、高并發、高性能的國家網上身份認證公共服務能力，支撐經濟社會發展，提升社會治理水平和國家競爭力，為數字政府和數字中國建設奠定堅實基礎.