当前,新一轮科技革命和产业变革突飞猛进。科学技术尤其是以互联网、大数据、云计算、人工智能和区块链等为代表的数字技术正与社会交往、社会服务、社区建设、社会治理等领域不断渗透融合,社会正在由人与环境构成的物理关系总和向“万物数字化”和万物互联的数字关系总和转变,社会关系和社会结构呈现出前所未有的新特征,社会运行的机理与方式正在发生深刻变革。人类社会正在经历一场由科学技术引发的社会数字化变革,并全面融入到一个迈向智能的数字社会。
当前,我国正全面迈入数字社会,数字化转型全面渗透和深刻影响着经济运行、社会活动及国家治理的各个环节。中国互联网络信息中心发布的第53次《中国互联网络发展状况统计报告》显示,截至2023年6月,我国网民规模已达10.79亿人,大量经济活动、金融活动和社会公共活动都通过网络进行,网络社会逐渐形成新的生态,传统社会管理模式面临海量用户和数据管理挑战。
在数字社会中,人的数字化是反映整个数字社会数字化水平的核心指标。人的数字化进程就是人从出生到托育、入园、上学、工作、结婚、生育、退休、养老乃至死亡的整个生命周期的数字化。因此,相较于人的社会化进程,人的数字化进程不仅要早,而且持续时间要长。人作为数字社会的行动者的独特性在于,人在数字化进程中形成了独特的数字虚拟性属性。在数字社会中,人是数字虚拟性和数字现实性相统一的行动主体。人的数字虚拟属性既是虚拟的又是现实的,既是数字的又是物理的。
人的数字虚拟性属性是人作为数字社会的行动者具有超越物理现实参与到虚拟空间或者虚拟社会的属性,指的是人作为虚拟社会的行动主体可以以虚拟身份或者匿名身份在虚拟环境中开展一系列社会互动的特性。比如,以匿名身份参与到社区、微博、新闻事件的点评和讨论,以匿名的微信号参与到网络交友和群信朋友群讨论中,以及以虚拟身份参与到相关游戏活动中。在数字社会中的一系列社会互动构成了人的虚拟实践。
数字身份是构建数字社会的基石
数字身份是我们在数字世界中任何活动的唯一凭证。随着人类活动不断向网络空间延伸,对于人们身份的认证,成为系统安全防护的第一道防线。用户登录、支付、授权等都需要进行身份认证,随之而来的就是数字身份。
数字身份是身份标识方式的一种,将真实身份信息浓缩为数字代码,通过网络、相关设备等查询和识别的公共密钥(实体的数字化刻画所形成的数字信息,如个人标识及可与标识一一映射的绑定信息),用户在不同的应用服务中使用不同的数字身份进行标识。
数字身份是数字生态中“自然人”的映射体现,我国科学技术名词审定委员会将数字身份定义为“实体社会中自然人身份在数字空间的映射”,揭示了数字身份内涵,表明数字身份是自然人在数字空间的事物现象及其属性标识的集合。
数字身份是在数字和在线环境中识别和验证个人或实体的电子形式的身份,是通过各种数字证书、用户名、密码、生物特征和其他认证方法来表示和确认的,是一个人、实体或对象的交易数据,被捕获并用于验证、认证或授权交易或交互。这些凭据(通常是个人可识别信息)是可以验证的,并且是信任某人或某事的基础,因为凭据能够证实“他们确实是他们所描述的自己”。
可信数字身份是筑牢数字空间安全的重要保障,是发展数字经济的信任基础,是提升数字治理能力的有效手段。物理空间现有的身份系统已经难以适应数字经济活动需求,需要建设数字身份体系,保障数字经济运行安全可靠、激活数字经济发展新动能、提升数字经济运行效率。同时,在物理世界与数字世界互动过程中,存在诸多不容忽视的风险问题,如身份伪造、欺诈等,而可信数字身份具有安全可信、主体可验证、操作可追溯等特质,是政府提升现代化治理能力的重要抓手,助力社会治理创新,有效提升治理效率和服务水平,为维护国家安全和社会稳定奠定了重要基础。
可信数字身份具有如下关键特性:
-
身份真实性:可信数字身份能够确保用户或实体的身份是经过验证的,具备真实的身份凭证。
-
安全性:可信数字身份通过加密技术、多因素认证、行为分析等手段确保身份信息在数字环境中的安全,防止身份盗窃、篡改和滥用。
-
隐私保护:用户能够控制自己的身份信息,并在必要时选择性披露信息,确保隐私不被过度泄露。这种“最小化数据披露”的原则确保在验证身份时仅共享必要信息,而非全部身份数据。
-
可验证性:可信数字身份具有可验证的特性,其他系统或服务提供者可以通过指定的身份验证机构来确认身份的有效性。
-
互操作性:可信数字身份需要在不同的系统、应用和平台间具备互操作性,确保用户能够在多个数字环境中使用相同的身份凭证,无需重复创建多个身份。
数字身份作为数字社会的入口,是重塑数字社会经济发展模式和国家治理体系的基础条件和关键要素,是塑造数字生态的关键基础,已经成为实现经济健康发展与社会和谐安全稳定的基石,并在数字经济、数字社会、数字国家建设中发挥至关重要的作用。加强数字身份管理,有助于防范身份数据丢失、泄露、伪造等风险,对保护国家安全、社会安全和个人安全具有重要意义,对推进国家治理体系和治理能力现代化、建设数字中国也将发挥积极影响。
数字身份管理研究和实践的浪潮正席卷全球
纵观全球,全球主要国家和地区高度重视数字身份对数字经济发展和网络空间安全的重要支撑作用,纷纷出台战略规划、完善法律法规、开展试点应用,大力推进数字身份体系建设。
国外主要经济体高度重视数字身份
国际上,许多国家和地区积极探索符合本地特点的数字身份管理模式,以适应全球化背景下的数据流通和身份认证需求。
-
2005年,美国国会通过了《真实身份法案》(REAL ID Act),提出安全的驾驶执照和身份证明是国家安全框架的重要组成部分,并指定国土安全部(DHS)加速推动;2011年,美国白宫发布《网络空间可信身份国家战略》,将集合政府和产业界共同努力,建立以用户为中心的数字身份生态系统;2022年,美国众议院正式审议《美国数据隐私和保护法案》,在原有联邦隐私法基础上为美国商用数据隐私和保护设定新的边界,也为解决数字身份推广过程中出现的隐私保护纠纷提供关键法理依据;10月,美国参议院国土安全和政府事务委员会正式提交《改进数字身份法》至美国参议院审议。
-
2018年,美国国家标准与技术研究所(NIST)正式发布了《数字身份指南》(SP 800)系列标准,为机构提供全面的数字身份的技术使用指导;2018年,在美国网络安全政策中心的指导下,NIST身份管理的高级执行顾问Jeremy Grant成立了涵盖20余家美国科技企业的Better Identity联盟,并以联盟形式与政府开展政策制度、标准讨论等合作,旨在改善美国数字身份验证、保护等方面现况;2020年,美国国家安全局(NSA)发布了网络安全信息表,其中包含选择和安全使用多因素身份验证解决方案,为国家安全系统、国防部和国防工业基地等用户提供决策支撑。
-
2024年8月21日,美国国家标准与技术研究所(NIST)发布了第二版《数字身份指南》公开草案(NIST SP 800-63-4.2),旨在为数字身份管理提供指导,使得用户通过各类身份证明方式均能够安全直接地访问在线服务,实现可访问性与安全性的平衡。核心内容如下:
-
身份管理与身份验证框架:介绍了数字身份的概念和组成部分,强调了身份管理的重要性,以及如何通过多因素身份验证(MFA)提高安全性;
-
身份验证方法:提供了不同类型的身份验证方法,如基于知识的验证、基于生物特征的验证等,并对每种方法的安全性、适用场景和潜在风险进行了分析;
-
联合身份管理要求:提出了如何进行身份验证过程中的隐私保护、如何确保用户数据的安全性等一系列联合身份管理要求;
-
风险管理策略:强调在设计和实施身份验证系统时必须考虑到潜在的风险,并提出了相关的风险管理策略。
-
技术操作指南:为机构提供了详细的技术操作指南,有利于其选择合适的身份验证技术,并确保技术的实施符合联邦和行业的标准。
《数字身份指南》不仅为技术实施提供了框架,对于从事数字身份管理、网络安全和隐私保护工作的专业人员具有重要的指导意义,同时由于其致力于确保数字身份系统的安全性和可靠性,也为政策制定者提供了参考。
我国大力推进可信数字身份体系
近年来,我国也大力倡导和发展数字经济,数字化服务已深入人民群众生产生活各个方面。我国通过立法和政策引导,不断加强数字身份管理的规范性和系统性。近年来,我国密集出台相关法律法规,对我国网络可信身份战略进行顶层规划。
数字身份作为实体进入数字世界的第一道闸口,数字身份技术逐渐成为贯穿数字信任体系、支撑数字空间实体信任关系的核心技术,是构建数字信任架构的前提,是促进数字经济发展的基石,是推动已有数字化范式再升级的动力,是数字经济社会活动的信任支撑。
目前,我国已完成国家网上身份认证服务基础设施建设,具备了依托国家基础设施、以公民身份信息为信任根、建设中国特色数字身份体系,支撑数字社会管理服务的基础能力。但是,当前我国数字身份顶层设计仍有待加强,配套法律法规仍有待完善,数字身份安全事件仍时有发生,且在企业侧数字身份能力正处于高速建设阶段,给数字身份体系造成了巨大的风险隐患。