第一節 德國eID體系建設的現狀

一、完善相關法律法規體系

歐盟發布了《電子簽名統一框架指令》后，又發布了《隱私保護和電子通信指令》，為建立歐盟范圍內網絡可信體系奠定了法律基礎。隨后，歐盟委員會提出了歐盟網絡發展策略，建設歐盟創新開放、公平無縫的網絡環境。歐盟網絡發展戰略突出了建立網絡可信身份體系的必要性。為了適應歐盟一體化發展戰略，響應歐盟的統一號令，德國推出eID作為可信身份在本國的解決方案。利用eID，可以識別身份、保護數據，降低網絡欺詐的風險，一方面，確保歐盟內部跨境網上交易的安全性和可行性；另一方面，保障了本國公民能夠在其他歐盟國家方便地獲得公共服務。為了規范eID的應用，德國修訂了多個法律法規。2010年修訂的《德國國民身份證法》中規定2010年11月以后公民只能領取包含eID功能的新版身份證；開通eID后，年滿16歲的身份證持有人可以用電子方式證明身份。此外，德國電子政務法規定，所有政府當局機構必須接受公民使用eID進行身份認證。德國行政程序法規定，使用eID功能進行身份認證可以代替手寫簽名。2018年，德國政府對與在線報關、簽名等相關的法律也做了相應調整，使其適配新版身份證的電子功能。

二、建立了各部門相互協調的組織架構

為了推行eID在德國的應用，截至2018年12月，德國已建立了由德國聯邦內政部牽頭，德國聯邦印鈔公司、德國聯邦信息安全辦公室、授權證書發放處等機構相互協調的組織架構。其中，德國聯邦內政部（BMI）主要負責新版身份證的發行管理工作，德國聯邦印鈔公司負責為新版身份證中的eID簽署密鑰，德國聯邦安全辦公室（BSI）主要負責制定eID安全標準，授權證書發放處（VfB）負責eID鑒定授權證書的發放。服務商如果想使用eID對客戶進行身份鑒定，必須到授權證書發放處申請相應的國家授權證書。授權證書發放處按照嚴格的規定進行審核，哪項服務確實需要哪些數據，然后針對該數據發放授權證書。這些機構協調配合，共同保證了eID功能的順利推行。

三、形成了較為完善的安全標準體系

截至2018年12月，為保障eID在應用過程中的信息安全，德國建立了較為完善的安全標準體系，包含相關標準超過30個。其中，德國聯邦信息安全辦公室頒布了近20個電子身份證技術準則和保護配置文件，主要分為四類：技術標準、加密標準、檢查標準、安全防護配置準則。技術標準規定了電子身份證的功能要求和安全機制的標準；加密標準記錄了電子身份證中應用的基于密碼學建立的多種加密算法；測試標準明確了電子身份證應符合的有關技術準則；安全防護配置準則描述了潛在的安全威脅和安全防范措施的最低要求。這些安全標準規定了電子身份證基礎設施的安全性，描述了對數據保護的要求，明確了個人信息保護的原則，有效地保障了eID持有者在使用過程中的隱私安全。

四、技術進步保障用戶使用安全

德國新版身份證采用智能卡，包含適用于ISO-14443標準的芯片，內置存儲空間。新版身份證的發行為eID的啟用提供了合適的載體，內置RFID芯片，通過身份證讀卡器可以讀取身份證芯片內所存儲的信息，如姓名、地址、照片等。使用者在家輕點鼠標就能完成網上購物或在政府部門網上辦理手續。統計數據顯示，截至2018年12月，德國新版身份證發行數量超過3500萬張（注：德國人口約8000萬，新版身份證不強制更換，傳統身份證在有效期內仍可正常使用）。其中，eID功能的啟用是自愿的，既可以在身份證登記處激活，也可以停用。出于隱私考慮，德國不對外公布eID啟用的數量。2018年11月，德國正在使用的eID系統被發現存在漏洞，該漏洞能夠被用來開展身份欺詐攻擊，迷惑eID的認證功能。該漏洞存在于支持eID身份認證的網站軟件包中，而非存在于eID卡射頻識別芯片里。發現該漏洞的德國網絡安全公司表示，他們已經向CERT-Bund（德國計算機應急響應小組）報告了此問題，CERT-Bund已與供應商Governikus合作發布了補丁。