關于美國2020改善數字身份法律提案的思考及政策建議

2020年9月11日，在美國116屆國會第2次會議上，Foster等議員提出了一份關于美國政府范圍內建立改善數字身份途徑的法律提案。 該法律提案主 要聚焦于數字身份核驗服務（ digital i dentity verification），認為現階段政府、企業和社會組織缺乏簡單、經濟、可靠的方法來核驗在線實體的身份，身份竊取和假冒等網絡安全事件頻發，不僅妨礙了高價值在線交易的順利執行，也導致大量個人隱私信息泄露。 因此該提案建議從政府監管的角度入手，通過法令和標準執行等形式推動聯邦、州和地方政府提供可靠的、可互操作的數字身份核驗服務，以保護隱私和個人信息安全。

一、法律提案主要內容

法律提案內容主要涵蓋以下部分： 背景介紹、成立專項工作組并規定主要的工作職責、以及從各相關行政主管部門的角度制定具體的改善措施和步驟。

法律提案規定了專項工作組的八項職責和任務：①識別聯邦、州和地方的，發布和掌握個人身份信息的機構。②評估這些機構為其他政府、非政府機構提供數字身份核驗服務的條件。③評估潛在的法令、條例或政策修訂，來強化這類數字身份核驗服務條件。④給出在消費者同意基礎上，安全、可保護隱私的數字身份核驗服務標準架構的建議。⑤給出資金預算建議。⑥判斷政府機構向私營部門提供付費數字身份核驗服務的可行性。⑦判斷聯邦、州、地方政府還需進一步采取的措施。⑧判斷與數字身份核驗服務相關的潛在犯罪風險。⑨判斷與私營部門協作實現上述設想的可行性。

法律提案提出以下四個方面的改善措施和實施步驟：①責成NIST建立一套數字身份的標準框架，指導聯邦、州和地方政府提供數字身份核驗服務。②國土安全部授權政府相關部門升級數字身份核驗服務系統。③聯邦審計總署調研分析非政府組織收集和存儲社會安全號碼（類似中國身份證號）的必要性，給出是否可用其他形式身份標識來代替的建議。④國土安全部責令聯邦機構嚴格實施NIST SP800-63“數字身份指南”等標準規范。

此外，本法律提案還針對上述任務和改善措施給出了執行時限。

二、關于數字身份服務的一般理解

根據 2020年2月NIST最新修訂的第三版 SP800-6 3 v3 標準中對數字身份模型的定義 ，數字身份被劃分為了注冊和身份證明（ Enrollment and Identity Proofing）、數字身份鑒別（Digital Authe ntication）兩個關鍵過程（如下圖1所示）。 其中，對于真實身份進行注冊和身份證明的目的旨在為用戶簽發身份憑證（Credential），而此時注冊和身份證明的過程便可稱之為身份核驗（verification）的過程，具體實現方式可以是現場人工核驗、遠程在線核驗，亦或離線+在線相結合的方式。

圖1 NIST數字身份模型

從上述法律提案內容可以看出，該提案主要聚焦在針對個人的遠程在線身份核驗服務，希望從政府的角度對這類服務進行統一的標準化管理。然而，從“數字身份服務”整體來看，在線身份核驗服務僅是其中一個環節，數字身份服務涵蓋在線身份核驗、數字身份憑證、在線身份鑒別等多個環節：

在線身份核驗服務 （digital identity verification）可理解為，通過在線方式收集和核實實體身份信息，以確認實體真實身份的過程。可根據在線身份核驗的手段以及收集和驗證的身份信息的種類及內容的不同，劃分身份核驗服務的可信程度，比如在NIST標準中就規定了IAL（Identity Assurance Level）1、2、3三個保障級別。

數字身份憑證服務 （digital identity credential）可理解為，以身份核驗的結果為前置條件，為實體注冊并頒發數字身份憑證的過程。憑證的形式是純數字化的，如數字證書、網證、手機號、郵箱賬號等。有些數字身份憑證自身含有頒發者、有效期、完整性證明等信息，如數字證書；有些則僅是一個ID，如手機號、郵箱賬號等。

實際上，物理世界已經廣泛使用身份憑證，如身份證、駕照、社保卡、銀行卡等，只不過其都以物理載體承載。鑒于本文討論的是數字身份的在線應用，因此不將這些物理世界身份憑證的頒發和管理考慮在內；雖如此，數字身份憑證也可復用物理世界的身份信息，如我國CTID網證即復用了居民身份證的信息。

在線身份鑒別服務 （digital identity authentication）可理解為，數字身份憑證擁有者提供“證據”，證明自己就是數字身份憑證擁有者的過程，目的一般是接入某個在線資源或服務。例如，用數字證書做身份鑒別的證據是私鑰和數字簽名，用郵箱賬號做身份鑒別的證據是口令，用手機號做身份鑒別的證據是短信驗證碼等。根據實體掌握和控制的證據類型，身份鑒別的安全強度也會有所差異，比如NIST標準中規定了AAL（Authenticator Assurance Level）1、2、3三個保障級別。

總的來看，完整的數字身份服務本質上是以上三個階段的綜合。不同類型的數字身份憑證，在數字世界可發揮的作用也有不同，例如郵箱賬號、手機號只能用于在接入應用時標識身份，而數字證書還可用于通信密鑰協商、數字信封傳遞、具有法律效力的文件簽署等。

此外，如果將“身份核驗”廣義理解為“個人在數字世界自證身份的方式”，那么不依賴數字身份憑證的在線數字身份核驗服務可認為是“實時”身份核驗，即每次會話都提供個人身份信息供核驗；而基于數字身份憑證的身份鑒別可理解為“先驗”身份核驗，即由數字身份憑證頒發機構擔保“已經做過身份核驗，并為此承擔責任”。

三、我國數字身份服務現狀分析

目前我 國的數字身份服務已經廣泛存在，已有一定數量的數字身份服務提供機構，且均具備以上三個環節的服務。 從服務模式上來看，主要有三類：

一是基于法定證件的數字身份服務 ，比如由政府建立和維護的CTID平臺，用戶既可通過安全通道直接向其提供個人信息（如身份證號、生物特征）供核驗，也可以“網證”作為數字身份憑據實施在線身份鑒別。“網證”即CTID網證，是CTID平臺面向公眾頒發的數字身份憑證，公民做在線身份鑒別時以輸入口令或再次刷臉作為“證據”。

二是商業機構提供的數字身份服務 ，例如某些商業機構，在與客戶簽訂的身份服務協議框架下，基于自行采集和存儲的個人身份信息來向客戶提供數字身份服務。其中手機號、銀行賬號、應用賬號等可視作數字身份憑證；實現在線身份鑒別的“證據”包括銀行賬戶打款回填隨機數、手機號動態驗證碼回填，或賬戶口令等。

三是由權威機構背書的數字身份服務 ，比如由依法設立的電子認證機構通過在線或離線的身份核驗手段，對個人的身份進行先驗確認，隨后簽發數字證書作為數字身份憑證。數字證書就是電子認證機構“已經做過身份核驗，并為此承擔責任”的承諾，可通過數字簽名驗簽機制來完成身份鑒別。

四、意見和建議

（1）推進以法定數字身份為基礎，以數字證書為數字身份憑證的數字身份服務體系建設。

建議從數字身份服務的三個主要環節出發，推進完整數字身份服務體系的構建。首先，對于在線身份核驗服務，建議將在線身份核驗服務統一到政府服務的框架下，一方面最大程度保障在線身份核驗的可信程度，另一方面盡可能縮小公民個人身份信息的知悉、留存范圍，保障公民隱私權。其次，對于數字身份憑證服務，建議以數字證書作為數字身份憑據的主要形式，由依法設立的電子認證機構基于政府提供的在線身份核驗服務為公民簽發數字證書，當然，數字證書的規格可根據需求而改變，并不限于X.509格式。最后，對于在線身份鑒別服務，伴隨信息技術新模式、新業態的發展，也需持續規范和鼓勵基于數字憑證的身份鑒別服務模式創新。

（2）摸底數字身份服務個人信息采集狀況，完善法規標準，切實規范和加強對數字身份服務的個人信息保護。

建議借鑒美國Foster法律提案，國家層面組織多部門聯合調研當前政府/非政府機構尤其是各類互聯網服務提供商掌握個人身份信息的現狀，并從政策、標準（參考NIST SP800-63）多個方面，強化對個人信息采集的規范和約束。

（3）強化對電子認證機構入根的身份核驗要求，促進數字證書憑證互通互認。

建議從監管層面來統一增加和細化對入根電子認證機構的身份核驗要求，例如通過制定對電子認證機構CP/CPS的統一規范性文件，要求電子認證機構公開聲明采用的身份核驗方法，并對身份核驗方法的可信程度做統一評估和分級等。