欧美日国家电子认证的发展及启示.docxVIP

?

?

欧美日国家电子认证的发展及启示

?

?

周鸣爱

随着信息通信网络和技术的快速发展，以网络和电子商务为特征的新经济正席卷全球，产品和服务已经可以实现在世界范围内的即时交易。随着科技的发展及人们便利性的需求，移动电子商务的发展异军突起，逐渐成为电子商务领域中不可忽视的一股中坚力量。尤其是移动支付的兴起和应用使得商业交易更加便利。而在这繁荣发展的背后，关于电子商务中身份认证，授权管理和责任确定的问题变得更加复杂。作为解决网络安全和信任问题的最重要手段，电子认证的安全问题在电子商务领域变得越来越重要。作为互联网技术起步较早的国家，欧美日等发达国家电子商务的发展居于世界前列，对于电子认证安全性这一问题他们也进行了许多深入的研究，值得我们借鉴与学习。

欧盟

发展历史：自20世纪90年代以来，随着互联网技术的迅速发展，电子政务、电子商务等网络服务逐渐在欧洲兴起。但是，当时大多数欧盟成员国都无法通过互联网提供跨境服务。为给欧盟范围内各国公民与企业的跨国活动及交易提供便利，欧盟各国建立数据分享平台。2018年9月29日，欧盟在2014年颁布的910/2014Regulation正式生效，取代了欧洲电子签名规范的前一个版本eSignaturesDirective1999

/93/EC。此次颁布的910/2014条例的全称是electronicIDentificationandAuthenticationServices，简称eIDAS。在eIDAS的支持下，欧盟公民现在可以使用他们的电子身份证（eID）进行一系列可信和纯粹的跨境在线活动。这一规定与2018年5月25日生效的《通用数据保护条例》（GeneralDataProtectionRegulation，简称GDPR）条例呼应，eIDAS的实施进一步加强了GDPR法规的实施。但是，在电子认证服务快速发展的背后，还存在很大的安全隐患：2018年1月29日，荷兰的三家主要银行（荷兰银行，荷兰合作银行和ING银行）遭到DDoS的攻击，导致互联网业务瘫痪，顾客用于电子认证的ID及密码遭到泄露;2018年世界杯期间，俄罗斯遭到多起黑客攻击，黑客利用WiFi上松懈的安全控制，竊取信息，而许多球迷粉丝在购票时下载“假应用”，并输入了自己的ID及密码，这些ID及密码与其他平台电子认证（如网银、手机支付等）的ID及密码重合，造成了信息泄露。这些事件的发生无疑为我们如何安全的进行电子认证敲响了警钟。

发展环境：第一，建立健全的法律法规体系。自1999年起，欧盟先后颁布了《电子签名同意框架指令》《电子通信中个人数据处理和隐私保护条例》，以及《电子签名和电子身份证条例》等法律，在充分尊重隐私和保护数据安全的基础上，着眼于电子身份证和电子签名的两个基本要素，为创建无边界的欧盟数字单一市场提供可能性。此外，值得一提的是，2018年5月25日，欧盟《通用数据保护法》生效。作为保护欧盟公民隐私和数据的一套新法规，它的正式应用意味着欧盟对个人信息的保护和监督达到了前所未有的高度，从法律方面保障了电子认证服务的安全发展。

第二，重视技术创新，不断在数字签名、密码算法和身份认证等方面取得突破。2009年，欧盟最大的芯片研究项目启动，旨在开发在电子认证方面更安全和可操作的芯片。欧盟各国通过搭建公共平台及共享数据信息，企图构建大数据生命运行周期保障体系，并采用有效的检测方法对已收集及存储的相关数据进行安全性分析，避免发生安全隐患，确保数据安全。另外，通过欧盟各国之间行政部门的合作，共同探索研究各项新技术及新应用，为实现安全化的电子认证提供强有力的政府支持。

第三，建立了独立的标准体系。与美国不同，欧盟采用“双轨”模式的电子认证标准体系。首先，它确定了电子交易安全的最低要求，重点关注电子签名和认证服务提供商应具备的条件;其次，国家是电子商务发展的主导力量;再次，承认数字签名和其他形式的电子签名的法律效力，但其法律约束力取决于每个成员国的国内法规;最后，详细定义了认证服务提供商的责任，但没有对证书持有者的责任做出具体规定，也没有规定消费者对认证服务提供者的权利。该系统在欧盟内广泛使用，为安全开发电子认证服务提供了理论框架。

第四，建立和促进在线电子身份证（eID）的开发和应用。为了解决欧盟成员国之间网络应用中的身份认证，电子签名和数据保护等问题，2006年欧盟委员会发布了《2010年泛欧eID管理框架路线图》，开始启动eID计划。目前，eID在欧洲已经拥有非常高的普及率，并被广泛应用在电子商务、金融支付等领域，值得一提的是，在公共服务的电子政务领域也实现了跨境操作，例如欧洲旅行证件和欧洲的跨境银行业务，为欧盟成员国的公民的生活提供便利。当然，在发展的同时，欧盟各国也高度重视保护公民的隐私及信息安全，致力于打