第一節 歐盟推進eID的概況

一、陸續出臺推進eID相關戰略計劃

eID的相關工作源于歐盟的電子政府計劃，從20世紀90年代末，歐盟就致力于在歐洲范圍內推廣eID，并陸續制訂多個推進eID的總體戰略和計劃。1999年12月，歐盟提出“電子歐洲”的概念，并發布了建設歐洲信息社會的戰略—《電子歐洲：所有人的信息社會》。該戰略從十個方面對全面建設歐洲信息社會進行了規劃。2002年，歐盟委員會啟動第六次技術發展和示范研究框架計劃（FP6），陸續開展“PRIME”“FIDIS”“TRSAER”等項目的研究，包括身份管理研究，以及構架、關鍵技術、平臺、應用等方面的研究。2005年6月，歐盟委員會正式提出“i2010戰略計劃”，以建立一體化的歐洲信息社會。計劃提出了三個優先發展的領域：建立“單一歐洲信息市場”；加強ICT（信息和通信技術）的創新和研究投入；建立高包容性的歐洲信息社會。根據該計劃的安排，2006年4月，歐盟發布《i2010電子政府行動計劃》，以建立安全系統，開展公共管理網站和服務領域國家電子身份的相互認證，指導公共服務領域更好地運用信息技術。同年，歐盟委員會發布《2010泛歐洲eID管理框架路線圖》報告，該路線圖指出了泛歐洲eID管理框架的時間安排、模塊組成及發展階段，并規定泛歐洲eID管理框架的核心原則，即在發展歐盟成員國eID的過程中，要以公民為中心，全面為公民服務并保障公民的隱私。歐盟成員國公民持有個人eID可在任意一個成員國享受醫療保險等電子政務和電子商務服務。2011年，歐盟委員會推出i2010后續計劃“數字化議程”時指出，未來eID技術和認證服務將成為政府和私營機構在互聯網業務中的一部分。2018年9月29日起，歐盟《電子身份識別和信托服務條例》（eIDAS）正式生效。該條例在歐盟范圍內承認電子身份證的合法地位，歐盟居民和企業可在成員國范圍內跨境進行網上納稅申報、建立銀行賬戶、登記企業、申請學校、讀取個人電子病歷等。該條例確保為個人數據保護提供最高級別的標準。根據條例規定，歐盟各成員國將從法律上互相認可國民電子身份證系統。

二、不斷完善eID相關法律法規體系

歐盟eID戰略計劃下，歐盟著手制定eID適用的法律法規，不斷完善其法律法規體系，為eID在歐盟范圍內推廣奠定基礎。歐盟為推動電子簽名的應用，協調成員國之間的規范，提高人們對電子簽名的信心，創設了一種彈性的、與國際行動規則相容的、具有競爭性的跨境電子交易環境，制定了統一的電子簽名法律框架《關于建立電子簽名共同法律框架的指令》。2006年，《有關盟內服務貿易市場的第2006/123/EC號指令》通過取消成員國之間的監管和行政障礙，建立服務貿易內部統一市場構架，提出“單一接觸”的概念，要求成員國之間建立特定的在線電子政務服務入口，并通過此入口為其他成員國提供公共服務。2012年，歐委會提出了《電子簽名和電子身份證法規》草案，新規則包含電子身份證和電子簽名兩部分，成員國通過互認和接受原則為電子身份證提供法律確定性，新法規為服務提出了電子簽名共同規則和操作規范。該法規的目的是彌補《關于建立電子簽名共同法律框架的指令》的不足，保障公民和企業能夠使用本國eID獲得其他歐盟成員國的公共服務，創建電子簽名和跨境網上服務的單一市場，確保這些服務具有與傳統的紙質文件同樣的法律效力。2014年，歐盟成員國對關于單一市場內電子交易的電子身份認證和信托服務的法案草案予以認可。一方面，該法案草案在充分尊重隱私和數據保護規則的基礎上，確保個人和企業可以跨國使用其本國的eID，獲取其他歐盟國家的公共服務。另一方面，該法案草案旨在消除跨國界無縫電子信托服務障礙，確保其享有與紙質程序相同的法律價值。新的規則將允許單一市場的所有參與者，包括公民、消費者、企業和行政主管部門，都可以開展“線上”業務。2018年，歐盟《通用數據保護條例》生效，該條例作為史上最嚴格的個人信息保護法，對個人信息的采集、存儲、使用做了系統的規定，歐盟還圍繞《通用數據保護條例》發布了一系列指南，這將有助于解決eID應用過程中隱私保護的問題。

三、積極開展eID相關技術標準研究

歐盟積極開展eID技術、產業、應用推廣等領域的相關研究工作，制定出臺了多部eID相關標準，發布系列框架計劃，以及發展現狀研究報告。

在標準方面，歐洲電信標準化協會（ETSI）專門成立了電子簽名和基礎設施技術委員會TC ESI，負責電子簽名和身份管理相關標準的制定。已形成了簽名、證書策略、時間戳等系列標準，主要包括：針對安全簽名生成設備提供統一的可信服務商的狀態信息標準；用于安全電子簽名的邏輯和參數、擴展商業模式的簽名策略標準；國際統一的電子簽名格式、CMS高級電子簽名標準；ASN.1簽名策略格式、XLM高級電子簽名標準；SEC ESI簽名策略報告標準；簽名策略XML描述標準；歐洲電子簽名標準應用、eID卡、角色和屬性證書請求標準；證書服務商用有效證書發布的屬性證書策略請求標準；證書描述預研標準；認證中心服務有效證書的策略請求標準；認證中心發布公鑰證書的策略請求標準；有效證書描述標準；擁有歐洲電信標準化協會可交互維護的過程和工具標準；時間戳授權請求標準；時間戳描述標準等一系列eID相關技術標準。

在技術框架研究方面，1998年，歐盟委員會啟動第五次技術發展和示范研究框架計劃（FP5），提出信息與通信技術的發展在促進電子商務、遠程學習、遠程醫療等快速發展的同時，還面臨著個人身份丟失和個人隱私泄露的極大挑戰，并圍繞電子政務、個人隱私保護等方面開展了一系列的研究。2002年，歐盟委員會啟動第六次技術發展和示范研究框架計劃（FP6），陸續開展“PRIME”“FIDIS”“TRSAER”等項目的研究，包括身份管理研究，以及構架、關鍵技術、平臺、應用等方面的研究。2004年，歐盟啟動電子政務與公共機構、企業、公民的對接計劃“IDABC”。IDABC定義了歐盟互操作框架，并將其分為三類操作級別：組織級別的互操作，涉及不同管理部門提供服務的業務目標和過程；語義級別的互操作，涉及各類應用信息交換的語法和語義；技術級別的互操作，涉及聯網計算機的開放接口、中間件等。

在eID發展研究方面，2009年，歐盟委員會下設的歐洲網絡與信息安全局發布《泛歐洲網絡身份管理倡議發展現狀發展報告》，將eID的管理舉措分為兩類：一是針對跨境身份證明，如規范化倡議《有關盟內服務貿易市場的第2006/123/EC號指令》和互操作倡議“STORK”項目；二是針對跨境身份資源可用，例如，身份信息資源互換機制倡議“BRITE”計劃和實現終端用戶使用身份認證資源的倡議計劃“PEOPLE”。《泛歐洲網絡身份管理倡議發展現狀發展報告》在政策層面，分析了《2010泛歐洲eID管理框架路線圖》的目標、原理、里程碑以及eID管理框架的實施情況；在構架層面，對實施路線圖的整體構架及其執行情況進行討論；在應用層面，討論了為實現《有關盟內服務貿易市場的第2006/123/EC號指令》的“單一接觸”所做的一系列努力。2018年9月—11月，歐盟開展了一系列eID研討會，主要探討中小企業eID應用的最佳場景和實踐。隨后，歐盟委員會的一項研究發現，中小企業實施eID能夠減輕管理負擔，提高業務流程效率，顯著降低成本和開展更為安全的電子交易。該研究表明，應大力推廣金融、在線零售、運輸等領域的eID應用。

四、鼓勵開展eID基礎建設和應用推廣

近年來，歐盟鼓勵各國積極開展eID基礎設施建設和互聯互通，在各領域積極推廣eID技術和應用。2017年3月7日，德國、荷蘭和奧地利已經成功連接了eID基礎設施，從而可以使用奧地利和德國的eID來訪問荷蘭的在線公共服務。具體示例包括農業門戶網站、處理交通罰款和市政當局提供的服務。這項工作是歐盟共同資助的e-SENS項目中的一項工作。2018年2月，全球移動通信系統協會稱，已開展試點將其多功能身份解決方案應用于歐盟的eID相關應用和服務框架，試點項目重點關注移動網絡可信身份認證。2018年11月，歐盟發布了針對中小企業的eID應用指南。指南對eID相關法規和政策進行了介紹，給出了實現eID應用的解決方案，并提供了在金融、在線零售、運輸等領域應用eID的案例，并為中小企業選擇適合自身的解決方案提供指導。自2018年9月29日起，歐盟范圍內允許跨境識別公民eID，允許公民必要時可跨境分享身份數據，例如，使用eID登錄歐盟國家的在線公共服務網站，并訪問位于歐盟國家的自身醫療數據。

歐盟希望能夠跨境使用eID的國家應當首先將本國eID的解決方案告知歐盟，以便歐盟委員會進行評審。評審通過即得到其他國家的資格承認，進而成為“eID成員國”，能夠在成員國范圍內實現跨境使用eID。根據歐盟委員會的報道，截至2018年9月，德國、意大利、克羅地亞、愛沙尼亞、盧森堡、西班牙已告知歐盟委員會希望開展評審，比利時、葡萄牙也有意向加入。歐盟委員會認為，eID相關應用和服務將提供多方面的便利。一是為跨境電子業務提供便利。例如，在注冊外國大學、開設銀行賬戶、訪問電子健康記錄等方面，消除各國身份認證方式不一致的麻煩。二是便于GDPR的實施。eID便于網站識別基本信息，包括年齡信息等，例如，網絡運營商發現訪問社交媒體或網站的是未成年人，則應當按照GDPR對未成年人身份信息保護的規定，不得向其索要過多身份信息。三是推進身份認證服務技術的創新和服務的開展。歐盟委員會表示，推廣eID能夠為歐盟企業每年節省110億美元。