论文部分内容阅读
编者按:进入数字时代,人们的日常生活足迹逐渐转移到互联网上,大家用虚拟的身份在互联网上进行着各种社会活动,这些虚拟的身份信息被称为“数字身份”。随着数字身份逐渐成为人们在互联网上的身份标识,数字身份的真实性、安全性、合规性等问题成为人们关注的焦点,而《数字身份监管指引》的出台,恰好为数字身份的安全使用提供了示范和保障。
为了应对数字交易的快速增长,解决新兴支付的安全和透明度问题,反洗钱金融行动特别工作组(Financial Action Task Force on Money Laundering,以下简称“FATF”)一直在酝酿着发布数字身份相关指引。2019年10月,FATF开始在全球征集《数字身份系统使用指南(草案)》(Draft Guidance on Digital Identity)意见,征求意见的范围除具体建议外,还覆盖了应用于客户尽职调查的数字身份系统可能引起的特定洗钱/恐怖融资风险、数字身份系统在尽职调查或交易监控中发挥的作用等四个重点领域。同时,此次征求意见稿还提出分布式账本,促进了区块链技术的应用,为数字身份系统的发展奠定了基础。2020年3月6日,FATF在充分吸纳各方观点的征求意见稿的基础上,发布了正式指引——《数字身份监管指引》(《Digital identity》,以下简称《指引》),对监管者、数字身份系统的使用者、开发商等提出了具体指导意见,规范了全球数字身份的应用,从而降低了因数字身份系统引发的洗钱风险。
出台背景
1998年,美国时任副总统艾伯特·戈尔提出“数字地球”的概念后,世界各国也先后提出数字国家、数字政府等概念,并大力发展数字化,推动全球数字化技术演进。数字交易的数量以每年近13%的速度增长,预计到2022年,全球将有60%的GDP被数字化。数字身份也在世界范围内迅速增长,对人们的生活产生了巨大影响,联合国和世界银行还制定了目标,将于2030年前为地球上的每个人提供合法数字身份,以供各国建立包容性和可信赖的身份系统。这意味着一些发展中国家将直接跨越性地转向数字身份系统领域。但目前,全球还没有达成一个全面的、国际共识的数字身份开发协议标准。
高速发展的数字化技术激发了快速增长的数字化需求。对各国金融机构来说,开展客户尽职调查,“了解您的客户”是践行FATF“风险为本”建议的首要原则,也是守住洗钱和恐怖融资风险的第一道重要防线。面对日新月异的技术手段,传统的验证身份工具将无法发挥效用,如何创新客户身份识别方式、利用数字技术有效防范洗钱风险也成为各国金融机构关注的重点。尤其是2020年初,全球爆发新冠肺炎疫情,足不出户的困境令世界各国的金融机构纷纷开始思考利用数字身份开展客户身份识别的可行性。为帮助各国政府、金融机构乃至数字身份系统的供应商、开发商能够参考统一的数字身份标准,并确保金融机构使用或供应商开发的数字身份标准满足FATF相关建议要求,FATF以借鉴美国和欧盟等国家的数字标识框架和标准为基点,从数字身份方面建立打击洗钱和恐怖融资的技术和政策联系,出台了《指引》。
主要内容简介
《指引》面对的对象主要是政府、金融機构、虚拟资产服务提供商和其他受监管实体。
数字身份的定义及适用范围。数字身份是一种证明身份的技术。其与电子身份的区别主要在于引入了生物识别、大数据等新兴技术,能够利用数字身份系统进行数据整合、分析及运算,发挥大数据的高效性、可视性和生物识别的唯一性、安全性,而电子身份仅仅是传统身份的电子版。数字身份的适用范围包括政府监管部门和金融机构、虚拟资产服务提供商和特定非金融机构。同时,考虑到金融机构在使用供应商提供的数字身份系统等服务后,应满足FATF的相关要求,《指引》将提供数字身份服务的供应商也纳入了适用范围。
数字身份的优势。满足高技术、高标准的数字身份系统极大地提高了金融服务、卫生和政府等部门在进行身份识别时的可信赖性、安全性、私密性和便利性。从FATF标准角度看,可靠、独立的数字身份系统可以在与客户初次建立业务时开展有效的客户身份识别,并在建立业务关系后,能够进行持续的客户身份识别。此外,还可以支持在整个业务过程中对交易进行尽职调查和审查,满足多种客户尽职调查措施需求,协助交易监测,发现和上报可疑交易报告。
在客户尽职调查中使用数字身份的风险。一是线上交易风险。传统支付时期,犯罪分子使用现金进行交易,但目前他们可以通过伪造、变造身份进行数字交易来转移资金。二是网络风险。数字身份系统在一定程度上会发生信息泄露风险,一方面没有足够技术水平保障的数字身份系统极易发生网络安全风险,甚至可能引发网络攻击;另一方面还可能因为存在网络安全漏洞导致大规模的身份失窃,危及个人数据安全,从而造成重大的隐私欺诈或其他相关金融犯罪风险。三是非面对面的客户识别和交易风险。《指引》指出,依赖可靠、独立的数字身份系统开展尽职调查,并采取适当的风险缓解措施的非面对面的客户和交易,也存在一般或较低风险。
数字身份系统进行客户尽职调查的时机。FATF建议采用基于风险的方法将数字身份用于客户识别和验证。尽管不同司法管辖区要求不同,但指导方针中的决策过程流程图将帮助义务机关明确开展时机(见图1)。
数字身份技术及数字身份隐私保护。在技术方面,FATF保持技术中立标准,不为任何相关方提供技术支持。在隐私保护方面,FATF建议各国政府在全面了解数字身份的机会与风险后,制定法规和指导方针以减轻这些风险,采取的措施包括与有关当局合作,保证数字身份系统的反洗钱和反恐怖融资要求满足数据保护及隐私规则(符合FATF建议2)。数据和隐私保护对于降低身份盗窃和网络安全风险非常重要,这方面发生风险可能会破坏数字身份系统的可靠性。FATF指出,《指引》所依据的数字身份标准和框架包括数据保护和隐私相关的技术、安全、治理和资源考虑。各国政府可创新开发科技解决方案(如去中心化的数码身份),让个人更能控制如何与他人分享个人资料,以及进一步解决隐私和资料保护的安全问题。 我国数字身份发展展望
习近平总书记强调:“加快数字中国建设,就是要适应我国发展新的历史方位,全面贯彻新发展理念,以信息化培育新动能,用新动能推动新发展,以新发展创造新辉煌。”为了有效贯彻习近平总书记关于数字建设的要求,考虑我国当前身份管理现状以及网络社会个人信息保护的现实需求,公安部第三研究所以公民身份号码为基础,搭建了既能保障个人信息安全又能适应网络社会数据开放和流通需求的统一数字身份体系。
我国数字身份发展历程
2010年,公安部第三研究所根据公安部指示开展网络身份管理试点,于2011年4月建成全国唯一的“公民网络身份识别系统”(简称“eID”)并投入使用。
2014年,我国正式提出“五位一体”的战略实施框架,大力开展eID与各类金融机构、移动通信等网络身份运营商,华为、魅族等通信公司,社保部门以及服务机构的深入合作,推进eID 的产业化进程。目前,我国已在金融IC卡、SIM贴膜卡、智能手机上加载了eID,累计发行eID载体数超过2亿个。
我国数字身份特点
由公安部第三研究所承担并研究的eID是以公民身份号码为根,由“公民网络身份识别系统”基于密码算法统一为中国公民生成的数字标记,在确保签发给每个公民的数字身份唯一性的同时,可以减少公民身份信息在网上的传播。
一是可以确保信息安全保密。为防止公民个人信息泄露和确保大数据精准画像,保障公民的生活安宁以及财产和人身安全,eID将公民身份信息转化成去身份化和碎片化的个人标记,分散记录公民身份信息,保证数字信息的安全。此外,为确保数字信息安全,eID还分别对其数字身份颁发过程和数字身份认证过程的安全可靠程度进行了分级,构建了eID数字身份体系框架。二是在技术支撑方面,eID在全面研究分析我国主流身份认证技术及应用的基础上,引入eID数字身份构建全國统一数字身份体系,能够包容各种数字身份认证技术并实现认证互通。
我国数字身份发展难点及展望
从制度层面上规范。目前,我国尚未出台有关数字身份的相关法律法规,对于数字身份的开发、使用、管理没有明确的规定,不利于数字身份市场的有序运行,限制了数字身份普及化的推进进程。所以,建议从国家层面以法律形式对数字身份相关内容予以明确,本着“风险为本”的原则,制定详细的使用规范和管理细则。
从技术层面上创新。要想建立起强大的数字身份系统,需要强大的技术支撑以及各相关政府部门的大力配合。目前,我国数字身份系统仍无法达到与金融、税务、海关等多部门进行全角度的网络互连,且未构建完成各部际间网络互连的网络框架,在技术层面削减了数字身份信息范围的全面性,通过数字身份识别出的身份背景无法达到全覆盖。为此,建议创新技术手段,以政府为发起点,将公安身份系统所登记的指纹、照片作为真实性的验证手段,搭建融合金融、税务、海关、交通等多部门的“大网络平台”,实现数据互连共享,同时运用区块链等技术,保障信息储存和使用的保密性和安全性。
从操作层面上推广。目前,eID已累计发行2亿多个,对于我国的14亿人口来说,拥有eID的人数占比仅有14.3%,数字身份的普及程度还远远不够。数字身份建设的主要目的就是推广使用,建议从操作层面培养技术型人才,做好使用数字身份的大众技术指导,降低数字身份的使用陌生感和难度。此外,在操作界面方面,数字身份在满足合规要求的同时,可以简化操作步骤,创建既高效又简洁安全的数字身份系统,提高广大群众对eID的接受度和认可度。
(作者单位:中国人民银行长春中心支行,中国人民银行松原市中心支行)
为了应对数字交易的快速增长,解决新兴支付的安全和透明度问题,反洗钱金融行动特别工作组(Financial Action Task Force on Money Laundering,以下简称“FATF”)一直在酝酿着发布数字身份相关指引。2019年10月,FATF开始在全球征集《数字身份系统使用指南(草案)》(Draft Guidance on Digital Identity)意见,征求意见的范围除具体建议外,还覆盖了应用于客户尽职调查的数字身份系统可能引起的特定洗钱/恐怖融资风险、数字身份系统在尽职调查或交易监控中发挥的作用等四个重点领域。同时,此次征求意见稿还提出分布式账本,促进了区块链技术的应用,为数字身份系统的发展奠定了基础。2020年3月6日,FATF在充分吸纳各方观点的征求意见稿的基础上,发布了正式指引——《数字身份监管指引》(《Digital identity》,以下简称《指引》),对监管者、数字身份系统的使用者、开发商等提出了具体指导意见,规范了全球数字身份的应用,从而降低了因数字身份系统引发的洗钱风险。
出台背景
1998年,美国时任副总统艾伯特·戈尔提出“数字地球”的概念后,世界各国也先后提出数字国家、数字政府等概念,并大力发展数字化,推动全球数字化技术演进。数字交易的数量以每年近13%的速度增长,预计到2022年,全球将有60%的GDP被数字化。数字身份也在世界范围内迅速增长,对人们的生活产生了巨大影响,联合国和世界银行还制定了目标,将于2030年前为地球上的每个人提供合法数字身份,以供各国建立包容性和可信赖的身份系统。这意味着一些发展中国家将直接跨越性地转向数字身份系统领域。但目前,全球还没有达成一个全面的、国际共识的数字身份开发协议标准。
高速发展的数字化技术激发了快速增长的数字化需求。对各国金融机构来说,开展客户尽职调查,“了解您的客户”是践行FATF“风险为本”建议的首要原则,也是守住洗钱和恐怖融资风险的第一道重要防线。面对日新月异的技术手段,传统的验证身份工具将无法发挥效用,如何创新客户身份识别方式、利用数字技术有效防范洗钱风险也成为各国金融机构关注的重点。尤其是2020年初,全球爆发新冠肺炎疫情,足不出户的困境令世界各国的金融机构纷纷开始思考利用数字身份开展客户身份识别的可行性。为帮助各国政府、金融机构乃至数字身份系统的供应商、开发商能够参考统一的数字身份标准,并确保金融机构使用或供应商开发的数字身份标准满足FATF相关建议要求,FATF以借鉴美国和欧盟等国家的数字标识框架和标准为基点,从数字身份方面建立打击洗钱和恐怖融资的技术和政策联系,出台了《指引》。
主要内容简介
《指引》面对的对象主要是政府、金融機构、虚拟资产服务提供商和其他受监管实体。
数字身份的定义及适用范围。数字身份是一种证明身份的技术。其与电子身份的区别主要在于引入了生物识别、大数据等新兴技术,能够利用数字身份系统进行数据整合、分析及运算,发挥大数据的高效性、可视性和生物识别的唯一性、安全性,而电子身份仅仅是传统身份的电子版。数字身份的适用范围包括政府监管部门和金融机构、虚拟资产服务提供商和特定非金融机构。同时,考虑到金融机构在使用供应商提供的数字身份系统等服务后,应满足FATF的相关要求,《指引》将提供数字身份服务的供应商也纳入了适用范围。
数字身份的优势。满足高技术、高标准的数字身份系统极大地提高了金融服务、卫生和政府等部门在进行身份识别时的可信赖性、安全性、私密性和便利性。从FATF标准角度看,可靠、独立的数字身份系统可以在与客户初次建立业务时开展有效的客户身份识别,并在建立业务关系后,能够进行持续的客户身份识别。此外,还可以支持在整个业务过程中对交易进行尽职调查和审查,满足多种客户尽职调查措施需求,协助交易监测,发现和上报可疑交易报告。
在客户尽职调查中使用数字身份的风险。一是线上交易风险。传统支付时期,犯罪分子使用现金进行交易,但目前他们可以通过伪造、变造身份进行数字交易来转移资金。二是网络风险。数字身份系统在一定程度上会发生信息泄露风险,一方面没有足够技术水平保障的数字身份系统极易发生网络安全风险,甚至可能引发网络攻击;另一方面还可能因为存在网络安全漏洞导致大规模的身份失窃,危及个人数据安全,从而造成重大的隐私欺诈或其他相关金融犯罪风险。三是非面对面的客户识别和交易风险。《指引》指出,依赖可靠、独立的数字身份系统开展尽职调查,并采取适当的风险缓解措施的非面对面的客户和交易,也存在一般或较低风险。
数字身份系统进行客户尽职调查的时机。FATF建议采用基于风险的方法将数字身份用于客户识别和验证。尽管不同司法管辖区要求不同,但指导方针中的决策过程流程图将帮助义务机关明确开展时机(见图1)。
数字身份技术及数字身份隐私保护。在技术方面,FATF保持技术中立标准,不为任何相关方提供技术支持。在隐私保护方面,FATF建议各国政府在全面了解数字身份的机会与风险后,制定法规和指导方针以减轻这些风险,采取的措施包括与有关当局合作,保证数字身份系统的反洗钱和反恐怖融资要求满足数据保护及隐私规则(符合FATF建议2)。数据和隐私保护对于降低身份盗窃和网络安全风险非常重要,这方面发生风险可能会破坏数字身份系统的可靠性。FATF指出,《指引》所依据的数字身份标准和框架包括数据保护和隐私相关的技术、安全、治理和资源考虑。各国政府可创新开发科技解决方案(如去中心化的数码身份),让个人更能控制如何与他人分享个人资料,以及进一步解决隐私和资料保护的安全问题。 我国数字身份发展展望
习近平总书记强调:“加快数字中国建设,就是要适应我国发展新的历史方位,全面贯彻新发展理念,以信息化培育新动能,用新动能推动新发展,以新发展创造新辉煌。”为了有效贯彻习近平总书记关于数字建设的要求,考虑我国当前身份管理现状以及网络社会个人信息保护的现实需求,公安部第三研究所以公民身份号码为基础,搭建了既能保障个人信息安全又能适应网络社会数据开放和流通需求的统一数字身份体系。
我国数字身份发展历程
2010年,公安部第三研究所根据公安部指示开展网络身份管理试点,于2011年4月建成全国唯一的“公民网络身份识别系统”(简称“eID”)并投入使用。
2014年,我国正式提出“五位一体”的战略实施框架,大力开展eID与各类金融机构、移动通信等网络身份运营商,华为、魅族等通信公司,社保部门以及服务机构的深入合作,推进eID 的产业化进程。目前,我国已在金融IC卡、SIM贴膜卡、智能手机上加载了eID,累计发行eID载体数超过2亿个。
我国数字身份特点
由公安部第三研究所承担并研究的eID是以公民身份号码为根,由“公民网络身份识别系统”基于密码算法统一为中国公民生成的数字标记,在确保签发给每个公民的数字身份唯一性的同时,可以减少公民身份信息在网上的传播。
一是可以确保信息安全保密。为防止公民个人信息泄露和确保大数据精准画像,保障公民的生活安宁以及财产和人身安全,eID将公民身份信息转化成去身份化和碎片化的个人标记,分散记录公民身份信息,保证数字信息的安全。此外,为确保数字信息安全,eID还分别对其数字身份颁发过程和数字身份认证过程的安全可靠程度进行了分级,构建了eID数字身份体系框架。二是在技术支撑方面,eID在全面研究分析我国主流身份认证技术及应用的基础上,引入eID数字身份构建全國统一数字身份体系,能够包容各种数字身份认证技术并实现认证互通。
我国数字身份发展难点及展望
从制度层面上规范。目前,我国尚未出台有关数字身份的相关法律法规,对于数字身份的开发、使用、管理没有明确的规定,不利于数字身份市场的有序运行,限制了数字身份普及化的推进进程。所以,建议从国家层面以法律形式对数字身份相关内容予以明确,本着“风险为本”的原则,制定详细的使用规范和管理细则。
从技术层面上创新。要想建立起强大的数字身份系统,需要强大的技术支撑以及各相关政府部门的大力配合。目前,我国数字身份系统仍无法达到与金融、税务、海关等多部门进行全角度的网络互连,且未构建完成各部际间网络互连的网络框架,在技术层面削减了数字身份信息范围的全面性,通过数字身份识别出的身份背景无法达到全覆盖。为此,建议创新技术手段,以政府为发起点,将公安身份系统所登记的指纹、照片作为真实性的验证手段,搭建融合金融、税务、海关、交通等多部门的“大网络平台”,实现数据互连共享,同时运用区块链等技术,保障信息储存和使用的保密性和安全性。
从操作层面上推广。目前,eID已累计发行2亿多个,对于我国的14亿人口来说,拥有eID的人数占比仅有14.3%,数字身份的普及程度还远远不够。数字身份建设的主要目的就是推广使用,建议从操作层面培养技术型人才,做好使用数字身份的大众技术指导,降低数字身份的使用陌生感和难度。此外,在操作界面方面,数字身份在满足合规要求的同时,可以简化操作步骤,创建既高效又简洁安全的数字身份系统,提高广大群众对eID的接受度和认可度。
(作者单位:中国人民银行长春中心支行,中国人民银行松原市中心支行)