欧洲电子签名及信任体系：深度解读eIDAS 下

时间：2023-02-12

　　真实身份很重要

　　上述提到的eIDAS体系中，很重要的起点就是eID，即电子身份证。在线交易时如果存在身份欺诈或错误，则后续的交易会存在较大的欺诈风险。身份认证的实现通常有两个方向：

　　1）利用中心化的身份认证，即通过一个中心化的权威机构提供的数据库或服务，根据被认证者的过程参与，完成真实身份的认证。

　　2）利用大数据确定参与者的特征。在大数据时代流行的一句话是“在互联网上很多人都知道你是一条狗”。即通过大数据风控模型，通过采集参与者的历史数据，有较大概率可以确定参与交易一方的关键特征。

　　前者目前正在被广泛的采用，而后者由于无法达到商业目的的完全确定性，因此目前大多采用1）来完成身份认证，而采用2）来进行风控。

　　在欧盟，成员国都有自己相应指定的数据库和身份认证可信服务供应商。比如在英国，通过gov.uk政府网站公布了认证过的身份认证供应商，用于英国的交易相关方确认身份。在身份认证完成后，即可发放基于各种方式的eID进行二次认证凭证，如：银行卡、USB Token、智能卡、动态口令锁等。之后签署者就可以通过持有的eID进行各类在线行为了。

　　在eIDAS体系中“签署者”（Signatory）必须是一个自然人，因此用于签名的证书不可以颁发给法人。法人可以在电子印章中使用证书，但电子印章的目的是为了保护数据而非签署。这一点跟我国的电子签名惯例有很大差别。eIDAS这么设计的逻辑也很合理：签这个动作都是自然人做的，每个签署动作都要能唯一的追溯到具体签署的自然人，即便是法人签署，也要由被授权的自然人代执行。与此类似的思路，e签宝的高可信企业身份认证必须由法人代表对授权经办人进行身份核实，因为证据链的末端指向的应该是可信经办人而非企业。

　　eIDAS体系中对身份认证做了明确的三个身份认证等级定义，而不同的身份认证等级对应着不同的法律效力。由于可能涉及到个人隐私，欧盟并没有强制选用哪种身份认证等级，但各成员国自己定义身份认证的模型，并为相应的身份认证数据库建立、服务提供商监管和审核负责。

　　Low Assurance（低保证）

　　提供有限的签名者身份认证信息。这confidence类身份认证可能仅仅要求被认证者提供了邮件地址或者社交媒体账号。

　　Substantial Assurance （实质保证）

　　提供较多的签名者身份认证信息。这类身份认证可能提供了除了邮件地址外的其他身份信息，比如姓名、出生年月等可能涉及隐私的关键信息。

　　High Assurance（高保证）

　　提供较完整的签名者身份认证信息，包括个人或组织的详细信息，社会身份等可用于唯一标定签名者身份的信息。

　　可信电子服务

　　欧盟各国通过构建互通、透明的可信电子服务（Electronic Trust Services）将安全的跨境在线交易往前推进了一大步。实际上，欧盟eIDAS所说的可信服务就是基于电子签名技术基础上的一系列在线交易保障技术。

　　基于eIDAS，可信电子服务（包括电子身份证eID、电子签名eSignature、电子印章eSeal、时间戳eTimeStamp、可信电子数据送达eDelivery和网站认证Web Authentication等）产生的结果将与纸质流程具有同等法律效力。这将增加社会对于数字交易的安全度、可信度的信心，并最终增加电子交易的渗透率。

　　那怎么才能获得别可信的服务呢？找可信的服务提供商就对了！在eIDAS体系中，欧盟各国在eID的体系建立上不仅实现了中心化的eID创建，还实现了互认。欧盟各国都有各自的管理机构，比如ICO(Information Commissioner's Office, https://ico.org.uk)就是英国的eIDAS监管机构。这些监管机构负责认证和监管本国的可信服务提供商（Trusted Service Provider）。各服务提供商在遵循欧盟eIDAS规范的前提下，需要向所在欧盟成员国的委员会提出申请，委员会经过评估、评审通过后，授予相应的可信服务提供商。供应商的名单都公布在欧盟eIDAS的官网上。

　　(https://webgate.ec.europa.eu/tl-browser/#/)

　　成为可信的服务提供商后，即可获得如下好处：

　　▲由于认证过程非常严格，经过批准的可信服务提供商提供的服务更容易获得司法体系的认可。

　　▲欧盟要求只有被批准进入欧盟可信服务商名单的服务商才有资格提供“可信服务”。

　　▲可信服务商可以采用欧盟统一的“可信”商标（Trust Mark）进行推广营销他们的服务。

　　▲只有可信服务商才能提供符合欧盟eIDAS标准安全级别的服务。

　　只有欧盟可信服务提供商可采用的Trust Mark

　　简单说，在欧洲只要进入Trusted Service Provider名单的供应商大家可以闭着眼睛选啦！而在中国呢，这个难度要大很多，即便像伴随着中国《电子签名法》产生的e签宝，作为过去十多年电子签名技术在中国各行业的普及、开拓者，在面临客户时也常常需要自证合规和服务资格。这就是制度缺失带来的信任成本。

　　一些延伸的思考

　　从全球范围看，欧洲、中国和美国在许多方面都是世界的三极。欧洲严谨，美国务实，而中国往往有自身特点（中国国情）。

　　从电子签名角度看，欧洲人对电子签名的严谨度要远高于美国，对于身份认证的规范、电子签名的等级分类都有十分明确和严苛的规范。而在美国，人们往往通过email发送待签署合约，然后在电子文稿上签上自己的笔迹即可达成互信。极少有人会抵赖自己通过email、手写笔迹签署的合约，甚至点击即签署这种意愿表达形式都在被广泛的采用。

　　从这个角度看，美国像一个宗族大家庭，主体之间由于社会文化习俗公约数较大的缘故，高度互信，组织或个人失信的社会成本也很高，因此技术手段反而成为一个辅助。而与之相反，欧洲的社会互信度虽然也很高（许多国家至今仍然是夜不闭户，欧盟公民在国境之间旅行毫无限制），但在商业社会中，欧洲各国的政治、社会习俗并未完全融合。这里，欧盟就好比一个由多个不同家庭组成的村庄，商业互信程度没美国那么高，所以自然而然的形成了强契约需求；反映到电子签名技术上，美国签署电子合同的个人和法人基本不存在身份认证的概念，而在欧洲，身份认证是电子签名的必要步骤。

　　在我国，技术体系和法律体系上，许多方面与欧洲接近，因此研究欧洲的电子签名实践对我国行业的发展有较好的借鉴作用。

　　解读欧盟eIDAS的条例和体系，可以看到其涉及的身份认证、数据安全、合作框架、认证流程、以及责任承担等涵盖的较为完整，通过观察条例以及欧洲电子签名业者的相应实践，我们可以得到一些启示。

　　01统一的制度带来经济规模

　　虽然从总体上看欧洲互联网服务在许多方面落后于中国，但我们通过eIDAS可以看到，欧洲在数字经济驱动方面走在了中国的前列。在线化的可信电子服务为欧盟提供能了极高的效率，同时也带来了各类基于在线化的商业机会。通过技术手段建立信任，无论是欧盟当局、企业和个人都能从 eIDAS 的实施中受益。据预估，eIDAS有望在 2022 年之前创造价值超过 25 亿美元的认证，授权和身份服务市场。利用电子身份证每一年将为企业节省超过 110 亿美元。

　　而在我国，往往由于缺乏制度引导，常常形成地方保护主义或七国八制的现状。目前的电子签名行业虽然总体上遵循PKI体系，但实际上由于CA的割据、行业监管条例不清晰、监管不严格，导致鱼龙混杂，客户选择供应商的难度也较大。至今还有平台公开宣称“《商用密码型号证书》是不必要的，只要CA公司拥有了就好”这种从监管部门角度看完全错误的言论。另外，新加入的电子签名业者无底线的价格战、口水战常有发生，经常存在劣币驱逐良币的现象，这对行业的发展及规模化是极为不利的。e签宝在过去的十多年内致力于拟定各种行业的规范，以期通过标准来规范各方操作，最终促进行业的良性健康发展。

　　02数据处理与保护

　　通过立法以及严格的司法执行是总体社会成本最低的数据保护方法。根据欧盟 2016发布的《通用数据保护条例》（GDPR），条例的法律直接效力是水平的，即条例直接约束各成员国主体。eIDAS是从可信电子服务角度和GDPR配套的，因此条例的生效，意味着减少了数据保护潜在的阻力，欧盟对于数据的保护进一步得到加强。

　　从GDRP的内容来看，它对个人数据的保护也的确达到了空前的高度，通过对细节的规范，加强了各义务方的可操作性。如此立法，一方面可以使欧盟的法律规范之间得以相互呼应，另一方面可以有效避免繁复的立法。数据的处理和保护是身份管理的重要部分，欧盟eIDAS条例本身不对数据保护的具体内容进行规定。而引用欧盟的其他立法已对该部分的法律问题进行规定的方式，与我国诸多立法均对数据进行保护的立法形式形成了鲜明对比。

　　我国目前对于数据使用的监管也逐渐在细化、收紧，但司法角度对数据保护的监管比欧盟要宽松许多，体系也要比欧盟复杂。因此实际执行过程中非法使用、滥用用户数据的情况普遍存在。如今在中国，互联网上绝大多数用户信息都是裸奔的。电子签名业务往往会涉及敏感信息，因此如何选择一个严谨、品牌成本较高的电子签名平台实际上是在保护自身平台用户的数据安全性。

　　03身份认证保证水平

　　欧盟eIDAS条例对于身份认证的保证水平性规定了低中高（low，substantial，high）三个等级，以适用不同场景的需求。欧盟通过条例授权欧盟委员会来制定实施办法（Implementing Acts，包括实施条例和实施决定）以确定与三个等级相适应的最低技术规格、标准和程序，这在一定程度上限制了“技术中立”。由于该实施条例为非立法性法律规范，欧盟委员会可以根据技术的发展，对条例的内容及时进行修改和完善，而无需经过繁杂的立法程序，因此可以从一定程度上避免法律滞后性给技术发展带来的问题。

　　我国涉及身份管理的相关法律对保证水平并无规定，更多是而是通过合同进行“约定”。然而，这种约定似乎由于发起签约各方相对地位的不平等，常常是被动接受身份认证模式的，这时适当的法律法规约定便显得必要。同时，为避免法律给技术发展带来障碍，如欧盟为技术采取进行特别的规定以适应时代的发展，是值得借鉴的。

　　04系统互认与合作

　　欧盟要求身份系统互认和合作是建立在各国采用不统一的身份系统之上的，为保障欧盟数字一体化的建立，各国身份系统间的有效交流便显得很重要。互认是法定的要求，为实现有效合作，除互认之外，还须为此建立互操作性的框架。根据欧盟的规定，符合下列标准的即为满足互操作性框架：

　　a) 技术中立为目标，不歧视成员国家间任何特定电子身份的技术解决方案；

　　b) 在可能的情况下遵循欧洲和国际标准；

　　c) 促进隐私保护原则的实施，保证个人数据的处理依照《欧盟数据保护指令》即GDPR。

　　从条例的规定可以看出，对于互操作性，主要应满足两个方面：在技术上，应保持技术中立，不歧视其他国家的技术方案；在内容上，应保护个人隐私，保障个人的数据得到适当的处理。我国目前存在多种身份管理系统，但是否需以立法的形式来促进系统之间的合作，还需进一步的推动。需注意的是网络始终是一个全球开放性的系统，身份管理并非仅限于一国之内，身份系统间的相互认可与合作更是一个全球化的议题。

　　05责任承担

　　欧盟eIDAS条例规定了身份认证提供方的无过错责任：

　　通知国：（1）应根据实行条例中为保证等级制定的技术规范、标准和程序，确保唯一代表该人的身份数据在电子身份系统签发身份凭证签发时属于该自然人或法人；

　　（2）应确保在线身份认证的可用性。可用性包括不对依赖方施加任何会阻挡或者严重阻碍被通知电子身份系统的互操作性的不对称技术要求。

　　电子身份凭证签发方：应根据实施条例的相关规定，确保电子身份系统中电子身份凭证属于该人。

　　认证程序运行方：应确保在跨国交易中正确的身份认证操作。若身份提供方违反以上规定，对自然人或法人造成损害，应承担法律责任。

　　目前，我国涉及身份管理的法律对此均未涉及。但随着电子政务和电子商务的普及，身份认证将是交易安全的重要保证。若在身份认证阶段就出现数据的虚假、凭证并未交付正确的主体、或是认证程序出错，则可能给交易带来巨大的损失。欧盟这种明确身份提供方的责任，让其在趋利避害中主动承担起相应义务的立法模式，也可以借鉴到我国的电子签名法律体系之中。