域外观察 | 欧洲数字身份提案最新进展

2021年6月，欧盟委员会公布了一项关于提供可信安全数字身份的提案（以下简称“数字身份提案”），以支持更多类型的数字身份场景。2023年3月16日，欧洲议会以418票赞成，103票反对，24票弃权的明显多数票，通过了其对数字身份提案的最新立场。[1]随后，数字身份提案将进入欧洲议会、欧盟理事会和欧盟委员会之间的“三方会谈”[2]。 

2014年《电子身份识别和受信服务条例》（以下简称《eIDAS条例》）要求欧盟成员国建立符合某些技术和安全标准的国家电子识别计划，为欧盟内部的跨境电子识别、认证和网站认证提供了基础。然而，该条例并未强制要求成员国为其公民和企业提供一个数字身份系统使公民和企业能够安全地获得公共服务，或确保其在欧盟境内的使用。同时，该条例并未包含关于将身份识别用于商业服务或移动设备的规定。

《eIDAS条例》公布以来，欧盟成员国之间有关数字身份的实践情况存在差异，即部分国家向其公民提供了数字身份系统，但其他国家没有数字身份系统或不可以跨境使用。目前，已有14个成员国使用了数字身份方案，覆盖了欧盟27国近60%的人口，但使用率很低，使用方式不便捷，且商业案例有限。[3]

在此背景下，欧盟委员会2021年6月提出的数字身份提案中，着手对《eIDAS条例》进行修订，以解决上述问题，为欧洲公民提供一个高度集成的身份管理工具。此外，欧洲数字身份的发展还有助于实现《2030数字罗盘》中的目标。

数字身份提案的核心是增加了有关欧洲数字身份钱包的规定。欧洲数字身份钱包是个人数字钱包，允许公民以数字方式识别自己，存储和管理电子格式的身份数据和官方文件证明，包括驾驶执照、医疗处方或毕业证书等。欧洲公民将能够利用数据身份钱包证明自己的身份，以获得在线服务、分享数字文件，或只用于证明如年龄这种特定的个人属性而不透露他们的身份或其他细节。数字身份提案规定，每个人都有权利而非义务拥有一个所有成员国都接受的欧洲数字身份钱包。欧洲数字身份钱包可以被用于：1）使用数字身份钱包，下载、存储和使用基本个人数据、驾照、毕业证书、银行卡等；2）证明年龄，使用数字身份钱包来证明年龄并无需展示其他个人数据；3）租赁服务，如在租车场景下，可以直接使用数字身份钱包提供自身的护照或身份证扫描件、驾驶执照、信用卡等；4）向在线服务提供商证明自己的身份。

具体而言，数字身份提案删除了《eIDAS条例》第6条，并新增了有关欧洲数字身份钱包的条款。其中：

第6a条引入了欧洲数字身份钱包，规定成员国应在条例生效后12个月内发行欧洲数字身份钱包。该条规定欧洲数字身份钱包应使用户能够以透明和可追踪的方式，安全地访问和获得、存储、选择、组合和分享必要的法人身份数据和电子属性证明，进行在线和离线认证，以便使用在线公共和私人服务。此外，欧洲数字身份钱包应通过合格的电子签名方式进行签署。欧洲数字身份钱包应1）提供通用接口；2）确保合格信任服务供应商（Qualified Trust Service Provider）不能收到关于使用个人属性的任何信息；3）满足高水平保证级别；4）提供确保依赖方（Relying Parties）能够对用户进行认证并接收电子属性证明的机制；5）确保个人识别数据能唯一地、持续地代表与其相关的自然人或法人。

第6b条引入了欧洲数字身份钱包依赖方。如果依赖方打算依赖根据条例发放的欧洲数字身份钱包，其应向所在的成员国通报，以确保符合欧盟法律或成员国法律规定的提供具体服务的要求。依赖方在表达其依赖欧洲数字身份钱包的意图时，他们也应告知欧洲数字身份钱包的预期用途。

第6c条引入了欧洲数字身份钱包认证。欧洲数字身份钱包已根据(欧盟)2019/881号条例获得认证，或根据网络安全计划发布了符合性声明，其参考资料已在欧盟官方公报上公布的，只要其网络安全证书或符合性声明内容涵盖条例要求，就应推定其符合第6a条规定的网络安全相关要求。除上述情况，欧洲数字身份钱包是否符合第6a条规定的要求，应由成员国指定的经认可的公共或私营机构进行认证。

第6d条要求公布欧洲数字身份钱包清单。成员国应将根据第6a条签发并经第6c条所述机构认证的欧洲数字身份钱包通知欧盟委员会，若认证被取消，成员国也应立即通知欧盟委员会。欧盟委员会应根据收到的信息，建立、公布和维护一份经认证的欧洲数字身份钱包的清单。

此外，为保护个人数据，欧盟委员会将提出并与成员国就标准、技术规范以及操作指南等达成一致，以确保成员国的数字身份钱包具有最高的安全水平。成员国需要对其数字身份钱包进行认证以确保其符合这些要求。

2022年12月，欧盟理事会通过了《关于欧洲数字身份（eID）框架的拟议立法的共同立场》（以下简称“立场文件”）。[4]该立场文件：

1）进一步明确了数字身份钱包的定义以及其与国家电子身份识别手段（Electronic Identification Means）之间的关系，即数字身份钱包本身就是一种电子身份识别手段；

2）增加了一个新条款，以解决高水平保证级别的技术前提；

3）进一步明确依赖方向所在成员国的通知义务；

4）明确适用网络安全法下的认证框架，包括网络安全法中规定的国家网络安全认证机构之间的同行审查机制；

5）建议24个月的执行期从提案通过之日起计算；

6）明确数字身份钱包的发行、认证使用及吊销应对自然人免费；

7）新增第12b条，澄清了商业或专门的钱包提供商或电子识别手段发行商是《数字市场法》定义下的守门人的商业用户，明确了守门人应允许商业用户与守门人提供相关身份服务时所接入、使用的操作系统，硬件或软件免费实现连接和互动操作；

8）提供了公共部门签发电子属性证明这一替代性方案，数字身份提案中规定了由合格信任服务供应商签发合格的电子属性证明，立场文件中引入了另一替代方案，即在满足必要要求的情况下，由负责真实来源的公共部门机构或由指定的公共部门机构直接向钱包签发具有与合格的电子属性证明相同法律效力的证明；

9）将第11a条的名称由“唯一标识（Unique Identification）”修改为“记录匹配（Record Matching）”，以更好反映该条款的目标。根据第11a条的规定，当电子识别手段和欧洲数字身份钱包被用于认证时，成员国应确保具有唯一标识。此外，立场文件在第11a条中引入一项保障条款，即成员国必须确保对个人数据的保护，防止对用户进行分析，且成员国作为依赖方时，必须确保唯一标识与用户相匹配。

2023年3月，欧洲议会批准了数字身份提案。在欧洲议会批准的提案中：

1）要求大型在线平台（拥有超过4500万欧洲用户的平台）接受欧洲数字身份作为登录凭证；

2）增加隐私保护措施，如为不需要身份识别的数字服务提供用户匿名的权利，此外，有的议会成员还坚持要求提供将数字钱包的信息完全保存在用户设备上而非云端的选项；

3）保留了唯一标识符的概念，这一措施引发了人们对政府监控的担忧，但欧洲议会表示，成员国可以为个人创建多个独特和持久的标识符，供特定部门或依赖方使用，此外，一个标识符也可以由几个国家和部门的标识符组合而成。

目前，欧盟理事会与欧洲议会均通过了数字身份提案，随后，数字身份提案将进入欧洲议会、欧盟理事会和欧盟委员会之间的“三方会谈”。鉴于应用程序或网站可以通过要求用户建立数字身份来收集存储大量个人数据，该数字身份提案可以通过要求大型在线平台接受欧洲数字身份作为登录凭证，来削弱谷歌和苹果等大型科技公司的作用。据欧盟委员会预计，到2030年，欧洲公民应该能够在网上获得所有关键的公共服务，一旦该计划全面铺开，80%的欧洲公民将使用数字身份来访问服务。数字身份提案通过后，将为公共和私人服务提供可信和安全的数字身份解决方案，满足仅提供与身份有关的具体属性、保护个人隐私等市场需求，提高成员国之间的网络身份互操作性。