第一节 德国eID体系建设的现状

一、完善相关法律法规体系

欧盟发布了《电子签名统一框架指令》后，又发布了《隐私保护和电子通信指令》，为建立欧盟范围内网络可信体系奠定了法律基础。随后，欧盟委员会提出了欧盟网络发展策略，建设欧盟创新开放、公平无缝的网络环境。欧盟网络发展战略突出了建立网络可信身份体系的必要性。为了适应欧盟一体化发展战略，响应欧盟的统一号令，德国推出eID作为可信身份在本国的解决方案。利用eID，可以识别身份、保护数据，降低网络欺诈的风险，一方面，确保欧盟内部跨境网上交易的安全性和可行性；另一方面，保障了本国公民能够在其他欧盟国家方便地获得公共服务。为了规范eID的应用，德国修订了多个法律法规。2010年修订的《德国国民身份证法》中规定2010年11月以后公民只能领取包含eID功能的新版身份证；开通eID后，年满16岁的身份证持有人可以用电子方式证明身份。此外，德国电子政务法规定，所有政府当局机构必须接受公民使用eID进行身份认证。德国行政程序法规定，使用eID功能进行身份认证可以代替手写签名。2018年，德国政府对与在线报关、签名等相关的法律也做了相应调整，使其适配新版身份证的电子功能。

二、建立了各部门相互协调的组织架构

为了推行eID在德国的应用，截至2018年12月，德国已建立了由德国联邦内政部牵头，德国联邦印钞公司、德国联邦信息安全办公室、授权证书发放处等机构相互协调的组织架构。其中，德国联邦内政部（BMI）主要负责新版身份证的发行管理工作，德国联邦印钞公司负责为新版身份证中的eID签署密钥，德国联邦安全办公室（BSI）主要负责制定eID安全标准，授权证书发放处（VfB）负责eID鉴定授权证书的发放。服务商如果想使用eID对客户进行身份鉴定，必须到授权证书发放处申请相应的国家授权证书。授权证书发放处按照严格的规定进行审核，哪项服务确实需要哪些数据，然后针对该数据发放授权证书。这些机构协调配合，共同保证了eID功能的顺利推行。

三、形成了较为完善的安全标准体系

截至2018年12月，为保障eID在应用过程中的信息安全，德国建立了较为完善的安全标准体系，包含相关标准超过30个。其中，德国联邦信息安全办公室颁布了近20个电子身份证技术准则和保护配置文件，主要分为四类：技术标准、加密标准、检查标准、安全防护配置准则。技术标准规定了电子身份证的功能要求和安全机制的标准；加密标准记录了电子身份证中应用的基于密码学建立的多种加密算法；测试标准明确了电子身份证应符合的有关技术准则；安全防护配置准则描述了潜在的安全威胁和安全防范措施的最低要求。这些安全标准规定了电子身份证基础设施的安全性，描述了对数据保护的要求，明确了个人信息保护的原则，有效地保障了eID持有者在使用过程中的隐私安全。

四、技术进步保障用户使用安全

德国新版身份证采用智能卡，包含适用于ISO-14443标准的芯片，内置存储空间。新版身份证的发行为eID的启用提供了合适的载体，内置RFID芯片，通过身份证读卡器可以读取身份证芯片内所存储的信息，如姓名、地址、照片等。使用者在家轻点鼠标就能完成网上购物或在政府部门网上办理手续。统计数据显示，截至2018年12月，德国新版身份证发行数量超过3500万张（注：德国人口约8000万，新版身份证不强制更换，传统身份证在有效期内仍可正常使用）。其中，eID功能的启用是自愿的，既可以在身份证登记处激活，也可以停用。出于隐私考虑，德国不对外公布eID启用的数量。2018年11月，德国正在使用的eID系统被发现存在漏洞，该漏洞能够被用来开展身份欺诈攻击，迷惑eID的认证功能。该漏洞存在于支持eID身份认证的网站软件包中，而非存在于eID卡射频识别芯片里。发现该漏洞的德国网络安全公司表示，他们已经向CERT-Bund（德国计算机应急响应小组）报告了此问题，CERT-Bund已与供应商Governikus合作发布了补丁。