黃旒

【摘要】身份管理的可靠性對(duì)于網(wǎng)絡(luò)交易日益重要，然而我國(guó)至今未有法律對(duì)身份數(shù)據(jù)的收集、使用和保管等等方面進(jìn)行具體的規(guī)定。鑒于國(guó)內(nèi)對(duì)于身份管理的法律問題研究處于起步階段，筆者在第一部分依照國(guó)際文件對(duì)身份管理的概念進(jìn)行了分析并與電子簽名進(jìn)行了對(duì)比;后文則根據(jù)國(guó)內(nèi)的法律現(xiàn)狀，提出了若干有待解決的法律問題，并參照歐盟eIDAS條例，對(duì)這些問題的進(jìn)行了初步的立法分析。

【關(guān)鍵詞】身份管理;電子簽名;歐盟eIDAS條例;立法

Abstract：Reliable identity management has become a critical requirement for electronic business activities. However，there is no detailed regulations on the accumulation，usage and storage of personal identification data in our country so far. Considering that the research on the legal issues of identity management has just begun，Ive started the essay with the concept of identity management in the light of international documents and then compared it with electronic signature. As a number of legal issues have been raised due to the current national legal situation on identity management，Ive tried to make a preliminary legislative analysis on these issues by referring to the EU eIDAS regulation.

Key words：identity management;electronic signature;EU eIDAS regulation;legislation

一、身份管理與電子簽名

我國(guó)對(duì)于身份管理的法律問題仍處于起步階段，厘清身份管理的概念及其與電子簽名的區(qū)別對(duì)于進(jìn)一步研究我國(guó)身份管理的法律問題有著重要的影響。身份管理，管理誰的身份，身份包括哪些內(nèi)容，誰來管理，如何管理，權(quán)利義務(wù)如何分配，責(zé)任如何承擔(dān)等等，都是身份管理法律需要解決的問題。對(duì)于身份管理到底是什么，目前廣為接受的解釋來源于國(guó)際電信聯(lián)盟，在其2010年發(fā)布的身份管理基準(zhǔn)術(shù)語定義ITU-TX。1252建議書中規(guī)定：“身份管理是用于保證身份信息（如標(biāo)識(shí)符、證書、屬性）、保證實(shí)體以及支持商業(yè)和安全應(yīng)用目的的一系列功能和能力（如管理、管理和維護(hù)、發(fā)現(xiàn)、通信交換、關(guān)聯(lián)和綁定，政策執(zhí)行、認(rèn)證和維護(hù)等）”。依此看來，身份管理應(yīng)通過如管理、管理和維護(hù)、發(fā)現(xiàn)、通信交換、關(guān)聯(lián)和綁定，政策執(zhí)行、認(rèn)證和維護(hù)等實(shí)現(xiàn)三個(gè)功能或者說有能力：

1、保證身份信息（如標(biāo)識(shí)符、證書、屬性）;

2、保證實(shí)體;

3、支持商業(yè)和安全應(yīng)用目的。

為順利進(jìn)行研究，必須對(duì)以上信息做出澄清：由于自然人、法人、設(shè)備、軟件等等均可稱為實(shí)體，導(dǎo)致研究的范圍過于廣泛。又于對(duì)人的身份研究最具有法律上的意義，因此我們把實(shí)體的范圍縮小到人（包括自然人和法人），即對(duì)人的身份管理研究。那么以上的身份管理要實(shí)現(xiàn)的功能即成：保證個(gè)人的身份信息、保證個(gè)人、支持商業(yè)和安全應(yīng)用目的。

目前，我國(guó)諸多電子簽名認(rèn)證中心提供的電子簽名服務(wù)也實(shí)現(xiàn)了上述功能，即可以通過電子簽名可以鑒定簽名人的身份、支持商業(yè)應(yīng)用并且安全可靠。那么這樣是否就意味著身份管理等同于電子簽名？產(chǎn)生疑惑的原因其實(shí)是未對(duì)身份管理兩個(gè)核心問題進(jìn)行區(qū)分，即你是誰？你如何證明？在身份管理中，我們用身份確認(rèn)（identification）用來回答“你是誰”，而身份認(rèn)證（authentication）則是解決“你如何證明”。身份確認(rèn)和身份認(rèn)證是身份管理的重要組成部分。身份確認(rèn)有時(shí)也稱作身份注冊(cè)，例如我們?nèi)粢谖⒉┥习l(fā)表評(píng)論，則要先進(jìn)行會(huì)員注冊(cè)，為獲得一個(gè)微博的用戶身份，微博會(huì)要求我們?cè)谧?cè)時(shí)進(jìn)行一系列的操作，如輸入手機(jī)號(hào)、設(shè)置密碼、昵稱及個(gè)人資料等。經(jīng)過手機(jī)驗(yàn)證通過后，則微博賬號(hào)注冊(cè)成功。在線下也是如此，例如為獲得一張身份證，我們需要去當(dāng)?shù)嘏沙鏊顚懮暾?qǐng)表并進(jìn)行現(xiàn)場(chǎng)拍照，遞交戶口本，經(jīng)過確認(rèn)之后才能獲得公安局頒發(fā)的身份證。身份確認(rèn)通常都是一次性行為，一經(jīng)確認(rèn)之，我們便可以通過身份提供方（Identity Provider簡(jiǎn)稱IDP）簽發(fā)的身份憑證（identity credential），進(jìn)行身份認(rèn)證。例如，微博注冊(cè)號(hào)賬號(hào)后，并不能馬上發(fā)表評(píng)論，必須經(jīng)過另外一個(gè)步驟“登錄”才可進(jìn)行。此時(shí)，登錄則是身份認(rèn)證。認(rèn)證通過后，微博根據(jù)我們的用戶級(jí)別進(jìn)行授權(quán)訪問。同樣，根據(jù)規(guī)定，十八周歲以上才能在網(wǎng)咖上網(wǎng)，因此我們需要出示身份證以認(rèn)證身份：1、通過照片對(duì)比認(rèn)證是本人;2、根據(jù)出生年月認(rèn)證是否已達(dá)十八周歲。當(dāng)符合這些條件后，網(wǎng)咖才會(huì)為我們開通上網(wǎng)賬號(hào)。身份確認(rèn)與身份認(rèn)證是身份管理不同的步驟，但聯(lián)系緊密。

根據(jù)1996年《聯(lián)合國(guó)國(guó)際貿(mào)易法委員會(huì)電子商業(yè)示范法》第7條第1款規(guī)定：如果法律要求有一個(gè)人簽字，則對(duì)于一項(xiàng)數(shù)據(jù)電文而言，倘若情況如下，即滿足了該項(xiàng)要求：1、使用了一種方法，鑒定了該人的身份（used to identify that person），并且表明該人認(rèn)可了數(shù)據(jù)電文內(nèi)含的信息;2、從所有各種情況來看，包括根據(jù)任何相關(guān)協(xié)議，所用方法是可靠的，對(duì)生成或傳遞數(shù)據(jù)電文的目的來說也是適當(dāng)?shù)?。此處，我們看到電子簽名有一?xiàng)重要的功能，即鑒定人的身份。然而，電子簽名是如何來鑒定人的身份的？以我國(guó)北京數(shù)字認(rèn)證股份有限公司（簡(jiǎn)稱BJCA）提供的電子簽章服務(wù)為例，BJCA電子簽章系統(tǒng)已能將傳統(tǒng)印章圖片與可靠的電子簽名技術(shù)完美結(jié)合，在電子文檔中實(shí)現(xiàn)可視化電子簽名的專用產(chǎn)品。

也就是說，BJCA現(xiàn)提供的電子簽章服務(wù)，通過電子簽章本身便可鑒別出簽章者的身份。那么這里的身份鑒別和身份管理的關(guān)系又是什么呢？我們知道，進(jìn)行電子簽名，首先需要向CA申請(qǐng)數(shù)字證書，而根據(jù)《北京數(shù)字認(rèn)證股份有限公司電子認(rèn)證業(yè)務(wù)規(guī)則》，若要申請(qǐng)數(shù)字證書，要先進(jìn)行個(gè)人身份的鑒別：個(gè)人需持個(gè)人有效身份證件（包括港澳臺(tái)居民身份證、戶口簿、護(hù)照、軍官證、警官證、外國(guó)人永久居留證、士兵證、身份證、士官證和文職干部證），到BJCA授權(quán)的注冊(cè)機(jī)構(gòu)提交書面數(shù)字證書申請(qǐng)表（一式兩份）和上述有效身份證件的復(fù)印件等申請(qǐng)資料，并繳納證書服務(wù)費(fèi)用。批準(zhǔn)申請(qǐng)后，BJCA或注冊(cè)機(jī)構(gòu)將為證書申請(qǐng)人制作并頒發(fā)數(shù)字證書。通過分析，我們知道這里所謂的個(gè)人身份鑒別，其實(shí)是前文身份管理兩個(gè)核心概念中的第一點(diǎn)：即身份確認(rèn)。這里CA充當(dāng)了身份提供方，對(duì)申請(qǐng)人的身份進(jìn)行確認(rèn)，并頒發(fā)身份證明（這里為數(shù)字證書）。依此推斷，身份確認(rèn)是電子簽名的邏輯前提，用戶必須要先經(jīng)過身份確認(rèn)，拿到證書后方可進(jìn)行電子簽名，而身份確認(rèn)是身份管理的核心步驟，因此身份管理和電子簽名并不一致。另外，由于電子簽名能鑒定（identify）人的身份，那么電子簽名則應(yīng)是一種標(biāo)識(shí)符（identifier），而電子簽名只是身份標(biāo)識(shí)符的一種。根據(jù)上文，身份管理保證的身份信息不僅包括標(biāo)識(shí)符還涵蓋了證書以及屬性，因此身份管理的內(nèi)涵遠(yuǎn)大于電子簽名。再者，雖電子簽名和身份管理雖都可以用來進(jìn)行身份認(rèn)證，但有適用范圍也有差異，例如，由于簽名便意味著簽署的數(shù)據(jù)電文內(nèi)容進(jìn)行認(rèn)可，而有時(shí)并不需要對(duì)內(nèi)容認(rèn)可，例如進(jìn)入某個(gè)數(shù)據(jù)系統(tǒng)，此時(shí)使用電子簽名來進(jìn)行身份認(rèn)定并不恰當(dāng)。

二、我國(guó)身份管理法律現(xiàn)狀及不足

1、我國(guó)身份管理法律現(xiàn)狀

雖然電子簽名與身份管理并不相同，但我國(guó)有關(guān)電子簽名的法律中卻能尋到身份管理的蹤影。2004年我國(guó)《電子簽名法》第20條第2款規(guī)定電子認(rèn)證服務(wù)提供者收到電子簽名認(rèn)證證書申請(qǐng)后，應(yīng)當(dāng)對(duì)申請(qǐng)人的身份進(jìn)行查驗(yàn)，并對(duì)有關(guān)材料進(jìn)行審查。該法律在身份管理方面僅規(guī)定了電子認(rèn)證服務(wù)提供者（即身份提供方）對(duì)確定身份的義務(wù)。不過，《電子認(rèn)證服務(wù)管理辦法》第20條，進(jìn)一步規(guī)定了對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)對(duì)收集的身份信息隱私的保密義務(wù)：電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)遵守國(guó)家的保密規(guī)定，建立完善的保密制度。電子認(rèn)證服務(wù)機(jī)構(gòu)對(duì)電子簽名人和電子簽名依賴方的資料，負(fù)有保密的義務(wù)。除此之外，我國(guó)2011年修正的《居民身份證法》也對(duì)居民身份證辦理對(duì)公民的身份收集形式和內(nèi)容進(jìn)行了規(guī)定，明確了保密的義務(wù)、居民違法申領(lǐng)身份證的情形及法律后果。對(duì)個(gè)人信息（包括身份信息）規(guī)定最為明確的2012年《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，該決定中明確了公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息應(yīng)受到法律的保護(hù)，網(wǎng)絡(luò)服務(wù)提供者和其他企事業(yè)單位應(yīng)采用合法的形式收集、使用公民個(gè)人電子信息，并采取技術(shù)措施和其他必要措施確保信息安全。公民有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者刪除泄露的個(gè)人身份信息，或者采取其他必要措施予以制止，除此之外，還規(guī)定了用戶入網(wǎng)提供真實(shí)身份信息的義務(wù)及相應(yīng)的救濟(jì)方式。對(duì)于個(gè)人信息保護(hù)的還有2014年的《網(wǎng)絡(luò)交易管理辦法》。該法第十八條規(guī)定了信息的收集、使用原則，并要求有關(guān)服務(wù)經(jīng)營(yíng)者采取必要措施確保信息安全。

綜合以上現(xiàn)有的規(guī)定，我們可以看到，目前我國(guó)對(duì)于身份管理的規(guī)范集中在如下領(lǐng)域：

（1）規(guī)定身份信息隱私保護(hù)的規(guī)范性文件：《電子認(rèn)證服務(wù)管理辦法》、《居民身份證法》、《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》以及《網(wǎng)絡(luò)交易管理辦法》;

（2）規(guī)定身份信息搜集的規(guī)范性文件：《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》及《網(wǎng)絡(luò)交易管理辦法》;

（3）規(guī)定身份管理法律責(zé)任的規(guī)范性文件：《居民身份證法》;

（4）規(guī)定審核用戶身份信息真實(shí)性義務(wù)的規(guī)范性文件：《電子簽名法》;

（5）規(guī)定提供身份信息真實(shí)性義務(wù)的規(guī)范性文件：《居民身份證法》、《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（下稱《決定》）。

2、現(xiàn)行法律的不足

盡管我國(guó)目前有多部法律對(duì)身份管理的多方面進(jìn)行了規(guī)定，但仍存不足。由于我國(guó)目前并無針對(duì)身份管理的專門立法，雖然部分規(guī)范涉及到身份管理，但這些規(guī)范都有其專門的調(diào)整對(duì)象，在規(guī)范中提到身份管理的某個(gè)方面只是為保持該法律調(diào)整對(duì)象本身的完整性。從體系的完整性來說，我國(guó)身份管理的法律系統(tǒng)并不完全。這些不完整主要體現(xiàn)在：身份管理運(yùn)作、安全標(biāo)準(zhǔn)、數(shù)據(jù)保護(hù)、身份管理系統(tǒng)間的合作及責(zé)任承擔(dān)缺乏法律根據(jù)。

（1）身份管理運(yùn)作

《電子簽名法》之所以要求認(rèn)證機(jī)構(gòu)對(duì)申請(qǐng)人的身份進(jìn)行查驗(yàn)，是因?yàn)橐獙?shí)現(xiàn)電子簽名，認(rèn)證機(jī)構(gòu)需要對(duì)申請(qǐng)人發(fā)放電子簽名證書，而證書的產(chǎn)生必是和個(gè)體聯(lián)系在一起，確定個(gè)體的身份是實(shí)現(xiàn)電子簽名的必要前提，因而法律對(duì)此有所規(guī)定。但是認(rèn)證機(jī)構(gòu)應(yīng)如何進(jìn)行身份查驗(yàn)，如何保管身份信息等身份管理運(yùn)作的方式，《電子簽名法》并及其他文件都無涉及。

（2）系統(tǒng)安全與保證標(biāo)準(zhǔn)

盡管《決定》中第2點(diǎn)要求網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集、使用公民個(gè)人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集、使用公民個(gè)人電子信息，應(yīng)當(dāng)公開其收集、使用規(guī)則。但《決定》決定只是規(guī)定了相應(yīng)的原則，即合法、正當(dāng)、必要。但何種方式即為合法，何種程度即為正當(dāng)和必要，《決定》并無規(guī)定，只是規(guī)定當(dāng)事人應(yīng)通過自治的方式來約定收集、使用個(gè)人信息的方式。然而，個(gè)人通常處于弱勢(shì)方，并無能力與身份提供方（包括網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位）進(jìn)行約定，相反，個(gè)人常常為使用某項(xiàng)服務(wù)，被迫接受信息收集方制定的個(gè)人信息收集規(guī)則和使用方式。除此之外，對(duì)于依賴方來說，其是否能信賴身份提供方的身份保證，這種保證可信度有幾分？是否能得到法律的認(rèn)可？對(duì)此，我國(guó)目前并無規(guī)定。

（3）數(shù)據(jù)保護(hù)

建立一個(gè)安全系統(tǒng)有利于個(gè)人數(shù)據(jù)的保護(hù)，但僅靠一個(gè)安全的系統(tǒng)卻無法對(duì)個(gè)人數(shù)據(jù)進(jìn)行有效的保護(hù)，此時(shí)法律保護(hù)顯得尤為重要。雖我國(guó)還未正式出臺(tái)《個(gè)人信息保護(hù)法》（已提交《個(gè)人信息法草案》），但對(duì)于數(shù)據(jù)的保護(hù)已有不少的法律規(guī)范（見上文法律規(guī)范分類部分）。此外，2013年《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第10條：電信業(yè)務(wù)經(jīng)營(yíng)者、互聯(lián)網(wǎng)信息服務(wù)提供者及其工作人員對(duì)在提供服務(wù)過程中收集、使用的用戶個(gè)人信息應(yīng)當(dāng)嚴(yán)格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。但是無論是那一部法律規(guī)定，都只限定在該部門法內(nèi)。值得反思的是，數(shù)據(jù)保護(hù)已經(jīng)全面滲透互聯(lián)網(wǎng)生活，若能對(duì)其保護(hù)主體、形式和內(nèi)容等等提取公因式，是否還仍需每一個(gè)部門法都對(duì)數(shù)據(jù)保護(hù)進(jìn)行規(guī)定？

（4）身份管理系統(tǒng)間合作

對(duì)于合作的內(nèi)容，理論上有兩個(gè)重要的方面，憑證可調(diào)動(dòng)性（credential port ability）和數(shù)據(jù)可調(diào)動(dòng)行（data port ability）。憑證可調(diào)動(dòng)性，簡(jiǎn)單地說就是一個(gè)系統(tǒng)簽發(fā)的身份憑證可以在不同的系統(tǒng)中使用。例如，在過去我們的QQ賬號(hào)只能用來登陸QQ，而現(xiàn)在，我們可以用它登錄完全不同的網(wǎng)站、應(yīng)用，無需重新申請(qǐng)賬戶。而數(shù)據(jù)可調(diào)動(dòng)性指的身份數(shù)據(jù)可以在不同的系統(tǒng)中轉(zhuǎn)移，無需為注冊(cè)一個(gè)新的身份而重復(fù)輸入身份信息。雖然憑證和數(shù)據(jù)在不同系統(tǒng)中的調(diào)動(dòng)給用戶帶來了方便，給服務(wù)提供者也減少了管理成本，但卻有其自身的風(fēng)險(xiǎn)。如不正當(dāng)競(jìng)爭(zhēng)、互操作性、數(shù)據(jù)安全等等。目前，身份系統(tǒng)間的合作僅存在于自治規(guī)范中。我國(guó)法律對(duì)此并無相關(guān)規(guī)定。

（5）責(zé)任承擔(dān)

在身份管理的任何一個(gè)階段產(chǎn)生了損害，都應(yīng)有責(zé)任產(chǎn)生，但我國(guó)對(duì)于這方面的規(guī)定卻較少。從身份管理最初的身份確認(rèn)階段開始，就缺乏相應(yīng)的法律責(zé)任。雖《居民身份證法》詳細(xì)規(guī)定了公民使用虛假材料騙取身份證明的法律后果，但由于該法僅適用于公安部門對(duì)我國(guó)公民身份的管理，其他私營(yíng)機(jī)構(gòu)或公共機(jī)構(gòu)對(duì)個(gè)人身份的管理對(duì)于個(gè)人利用虛假材料騙取的身份憑證而導(dǎo)致的損害應(yīng)如何承擔(dān)責(zé)任？反之，若由于身份提供方未盡到身份真實(shí)性的審查義務(wù)，而導(dǎo)致?lián)p害，責(zé)任應(yīng)如何承擔(dān)？從規(guī)定了要求用戶提供真實(shí)信息的另一份規(guī)范性文件《決定》及依其制定《電話用戶真實(shí)身份信息登記規(guī)定》中，我們也未找到法律責(zé)任的相關(guān)規(guī)定。然而這只是身份管理諸多法律責(zé)任中的冰山一角。需要注意的是，責(zé)任承擔(dān)并不是要求法律對(duì)身份管理中產(chǎn)生的每一種損害如何賠償有具體的規(guī)定，對(duì)于責(zé)任如何規(guī)定需要進(jìn)一步的研究。

三、歐盟eIDAS條例及對(duì)我國(guó)的立法啟示

1、歐盟eIDAS條例簡(jiǎn)介

歐盟eIDAS條例實(shí)際是指歐盟在2014年發(fā)布的No910/2014條例，主要包括兩個(gè)部分：電子身份和信任服務(wù)。條例的縮寫和它的全稱并不一致，eIDAS本身代表著“電子身份認(rèn)證與簽名”（electronic identity authentication and signature），而條例不僅僅規(guī)定了電子身份和簽名，還規(guī)定了除簽名外的其他信任服務(wù)。值得注意的是，歐盟eIDAS條例廢除了歐盟《電子簽名法指令》（1999/93/EC號(hào)），電子簽名作為信任服務(wù)的組成部分規(guī)定到了該條例中。

2、歐盟eIDAS條例的相關(guān)規(guī)定及對(duì)我國(guó)的啟示

歐盟eIDAS條例對(duì)身份管理的規(guī)定主要集中在第一章和第二章，其內(nèi)容如下：

從該表可以看出，歐盟eIDAS條例涉及身份管理的方面較為全面，總體上包括了數(shù)據(jù)、安全、合作及責(zé)任承擔(dān)，我們從這個(gè)幾個(gè)方面分析歐盟的條例及對(duì)我國(guó)的立法啟示。

（1）數(shù)據(jù)處理與保護(hù)

歐盟采取了“參引性行規(guī)范”結(jié)構(gòu)對(duì)數(shù)據(jù)處理與保護(hù)進(jìn)行了規(guī)定。根據(jù)條例第5條第1款，個(gè)人數(shù)據(jù)的處理應(yīng)根據(jù)歐盟《數(shù)據(jù)保護(hù)指令》（NO95/46/EC）進(jìn)行。但根據(jù)歐盟最新立法，該數(shù)據(jù)保護(hù)指令已由2016發(fā)布的《通用數(shù)據(jù)保護(hù)條例》（GDPR）所廢除。由于指令的法律直接效力是垂直的，只能直接約束國(guó)家主體，若國(guó)家并沒有根據(jù)指令制定相應(yīng)的國(guó)內(nèi)法對(duì)數(shù)據(jù)進(jìn)行保護(hù)，或即便是制定了，但國(guó)家之間對(duì)于數(shù)據(jù)保護(hù)的規(guī)定不一致，很可能會(huì)產(chǎn)生出數(shù)據(jù)保護(hù)本身以外的法律適用的問題。條例的生效，意味著減少了數(shù)據(jù)保護(hù)潛在的阻力，歐盟對(duì)于數(shù)據(jù)的保護(hù)進(jìn)一步得到加強(qiáng)。從GDRP的內(nèi)容來看，它對(duì)個(gè)人數(shù)據(jù)的保護(hù)也的確達(dá)到了空前的高度，通過對(duì)細(xì)節(jié)的規(guī)范，使得義務(wù)方有操作的可能性。如此立法，一方面，可以使歐盟的法律規(guī)范之間得以相互呼應(yīng)，另一方面，可以有效避免繁復(fù)的立法技術(shù)。數(shù)據(jù)的處理和保護(hù)是身份管理的重要部分，但歐盟eIDAS條例本身不對(duì)數(shù)據(jù)保護(hù)的具體內(nèi)容進(jìn)行規(guī)定，而參引歐盟的其他立法已對(duì)該部分的法律問題進(jìn)行規(guī)定的方式與我國(guó)諸多立法均對(duì)數(shù)據(jù)進(jìn)行保護(hù)的立法形式形成了鮮明對(duì)比。我國(guó)可以從本國(guó)的現(xiàn)實(shí)狀況出發(fā)，及時(shí)修改并通過個(gè)人數(shù)據(jù)保護(hù)的相關(guān)立法，刪除不必要的重復(fù)性法律條文。

（2）保證水平

歐盟eIDAS條例對(duì)于身份保證水平性規(guī)定了低中高（low，substantial，high）三個(gè)等級(jí)，以適用不同級(jí)別的要求。等級(jí)越高，個(gè)人身份的可信度就越高。歐盟通過條例授權(quán)歐盟委員會(huì)來制定實(shí)施辦法（implementing acts，包括實(shí)施條例和實(shí)施決定）以確定與三個(gè)等級(jí)相適應(yīng)的最低技術(shù)規(guī)格、標(biāo)準(zhǔn)和程序。目前歐盟2015/1502實(shí)施條例是在考慮ISO/IEC29115、Large-Scale Pilot STORK、ISO/IEC27000、ISO/IEC20000等標(biāo)準(zhǔn)下制定的，在一定程度上限制了“技術(shù)中立”。但由于該實(shí)施條例為非立法性法律規(guī)范，歐盟委員會(huì)可以根據(jù)技術(shù)的發(fā)展，對(duì)條例的內(nèi)容及時(shí)進(jìn)行修改和完善，而無需經(jīng)過繁雜的立法程序，因此可以從一定程度上避免法律滯后性給技術(shù)發(fā)展帶來的問題。我國(guó)涉及身份管理的相關(guān)法律對(duì)保證水平并無規(guī)定，更多是而是通過合同進(jìn)行“約定”。然而，這種約定似乎由于各方實(shí)際地位的不平等，常常是失效的，這時(shí)適當(dāng)?shù)姆山槿氡泔@必要。同時(shí)，為避免法律給技術(shù)發(fā)展帶來障礙，如歐盟為技術(shù)采取進(jìn)行特別的規(guī)定以適應(yīng)時(shí)代的發(fā)展，是值得借鑒的。

（3）系統(tǒng)互認(rèn)與合作

歐盟要求身份系統(tǒng)互認(rèn)和合作是建立在各國(guó)采用不一的身份系統(tǒng)之上的，為保障歐盟數(shù)字一體化的建立，各國(guó)身份系統(tǒng)間的有效交流便顯得十足重要?；フJ(rèn)是法定的要求，為實(shí)現(xiàn)有效合作，除互認(rèn)之外，還須為此建立互操作性的框架。根據(jù)規(guī)定，符合下列標(biāo)準(zhǔn)的即為滿足互操作性框架：

①技術(shù)中立為目標(biāo)和不歧視成員國(guó)家間任何特定電子身份國(guó)家技術(shù)解決方案;

②遵循歐洲和國(guó)際標(biāo)準(zhǔn)，在可能的情況下;

③促進(jìn)隱私設(shè)計(jì)原則（the principle of privacy by design）的實(shí)施，以及;

④保證個(gè)人數(shù)據(jù)的處理依照《歐盟數(shù)據(jù)保護(hù)指令》。

從條例的規(guī)定可以看出，對(duì)于互操作性，主要應(yīng)滿足兩個(gè)方面：在技術(shù)上，應(yīng)保持技術(shù)中立，不歧視其他國(guó)家的技術(shù)方案;在內(nèi)容上，應(yīng)保護(hù)個(gè)人隱私，保障個(gè)人的數(shù)據(jù)得到適當(dāng)?shù)奶幚?。我?guó)目前確實(shí)存在不同身份管理系統(tǒng)，但是否需以立法的形式來促進(jìn)系統(tǒng)之間的合作，需要進(jìn)一步的調(diào)查和研究。需注意的是網(wǎng)絡(luò)始終是一個(gè)全球開放性的系統(tǒng)，身份管理并非僅拘于一國(guó)之內(nèi)，身份系統(tǒng)間的相互認(rèn)可與合作更是一個(gè)全球化的議題，其重要性自不言而喻。

（4）責(zé)任承擔(dān)

歐盟eIDAS條例規(guī)定了身份提供方（包括通知國(guó)、電子身份憑證簽發(fā)方、認(rèn)證程序運(yùn)行方）的無過錯(cuò)責(zé)任。根據(jù)規(guī)定，通知國(guó)：①應(yīng)根據(jù)實(shí)行條例中為保證等級(jí)制定的技術(shù)規(guī)范、標(biāo)準(zhǔn)和程序，確保唯一代表該人的身份數(shù)據(jù)在電子身份系統(tǒng)簽發(fā)身份憑證簽發(fā)時(shí)屬于該自然人或法人;②應(yīng)確保在線身份認(rèn)證的可用性?？捎眯园ú粚?duì)依賴方施加任何會(huì)阻擋或者嚴(yán)重阻礙被通知電子身份系統(tǒng)的互操作性的不對(duì)稱技術(shù)要求。電子身份憑證簽發(fā)方：應(yīng)根據(jù)實(shí)施條例的相關(guān)規(guī)定確保電子身份系統(tǒng)中電子身份憑證屬于該人。認(rèn)證程序運(yùn)行方：應(yīng)確保在跨國(guó)交易中正確的身份認(rèn)證操作。若身份提供方違反以上規(guī)定，對(duì)自然人或法人造成損害，應(yīng)承擔(dān)法律責(zé)任。簡(jiǎn)單來說：

目前，我國(guó)涉及身份管理的法律對(duì)此均未涉及。但隨著電子政務(wù)和電子商務(wù)的普及，身份管理逐漸成為保證交易安全的重要方面。若在身份管理階段就出現(xiàn)身份數(shù)據(jù)的虛假，或憑證并未交付正確的主體，或是認(rèn)證程序出錯(cuò)，則可能給交易帶來巨大的損失。因此，歐盟這種明確身份提供方的責(zé)任，讓其在趨利避害中主動(dòng)承擔(dān)起相應(yīng)義務(wù)的立法模式，不妨也可以借鑒到我國(guó)立法之中。

【參考文獻(xiàn)】

[1] Peter Parycek Gabriel MLentner. Electronic identity（eID） and electronic signature（eSig） fore Government services–acomparative legal study[M]. Transforming Government： People， Process and Policy， 2016.

[2] Omer Tene. Me， Myself and I： Aggregated and Disaggregated Identities on Social Networking Services[J]. Journal of International Commercial Law and Technology（UK），2013，8（2）：118-132.