《數字身份監管指引》解析

荀雨杰 魏景茹 陳昱含

編者按：進入數字時代，人們的日常生活足跡逐漸轉移到互聯網上，大家用虛擬的身份在互聯網上進行著各種社會活動，這些虛擬的身份信息被稱為“數字身份”。隨著數字身份逐漸成為人們在互聯網上的身份標識，數字身份的真實性、安全性、合規性等問題成為人們關注的焦點，而《數字身份監管指引》的出臺，恰好為數字身份的安全使用提供了示范和保障。

為了應對數字交易的快速增長，解決新興支付的安全和透明度問題，反洗錢金融行動特別工作組（Financial Action Task Force on Money Laundering，以下簡稱“FATF”）一直在醞釀著發布數字身份相關指引。2019年10月，FATF開始在全球征集《數字身份系統使用指南（草案）》（Draft Guidance on Digital Identity）意見，征求意見的范圍除具體建議外，還覆蓋了應用于客戶盡職調查的數字身份系統可能引起的特定洗錢/恐怖融資風險、數字身份系統在盡職調查或交易監控中發揮的作用等四個重點領域。同時，此次征求意見稿還提出分布式賬本，促進了區塊鏈技術的應用，為數字身份系統的發展奠定了基礎。2020年3月6日，FATF在充分吸納各方觀點的征求意見稿的基礎上，發布了正式指引——《數字身份監管指引》（《Digital identity》，以下簡稱《指引》），對監管者、數字身份系統的使用者、開發商等提出了具體指導意見，規范了全球數字身份的應用，從而降低了因數字身份系統引發的洗錢風險。

出臺背景

1998年，美國時任副總統艾伯特·戈爾提出“數字地球”的概念后，世界各國也先后提出數字國家、數字政府等概念，并大力發展數字化，推動全球數字化技術演進。數字交易的數量以每年近13%的速度增長，預計到2022年，全球將有60%的GDP被數字化。數字身份也在世界范圍內迅速增長，對人們的生活產生了巨大影響，聯合國和世界銀行還制定了目標，將于2030年前為地球上的每個人提供合法數字身份，以供各國建立包容性和可信賴的身份系統。這意味著一些發展中國家將直接跨越性地轉向數字身份系統領域。但目前，全球還沒有達成一個全面的、國際共識的數字身份開發協議標準。

高速發展的數字化技術激發了快速增長的數字化需求。對各國金融機構來說，開展客戶盡職調查，“了解您的客戶”是踐行FATF“風險為本”建議的首要原則，也是守住洗錢和恐怖融資風險的第一道重要防線。面對日新月異的技術手段，傳統的驗證身份工具將無法發揮效用，如何創新客戶身份識別方式、利用數字技術有效防范洗錢風險也成為各國金融機構關注的重點。尤其是2020年初，全球爆發新冠肺炎疫情，足不出戶的困境令世界各國的金融機構紛紛開始思考利用數字身份開展客戶身份識別的可行性。為幫助各國政府、金融機構乃至數字身份系統的供應商、開發商能夠參考統一的數字身份標準，并確保金融機構使用或供應商開發的數字身份標準滿足FATF相關建議要求，FATF以借鑒美國和歐盟等國家的數字標識框架和標準為基點，從數字身份方面建立打擊洗錢和恐怖融資的技術和政策聯系，出臺了《指引》。

主要內容簡介

《指引》面對的對象主要是政府、金融機構、虛擬資產服務提供商和其他受監管實體。

數字身份的定義及適用范圍。數字身份是一種證明身份的技術。其與電子身份的區別主要在于引入了生物識別、大數據等新興技術，能夠利用數字身份系統進行數據整合、分析及運算，發揮大數據的高效性、可視性和生物識別的唯一性、安全性，而電子身份僅僅是傳統身份的電子版。數字身份的適用范圍包括政府監管部門和金融機構、虛擬資產服務提供商和特定非金融機構。同時，考慮到金融機構在使用供應商提供的數字身份系統等服務后，應滿足FATF的相關要求，《指引》將提供數字身份服務的供應商也納入了適用范圍。

數字身份的優勢。滿足高技術、高標準的數字身份系統極大地提高了金融服務、衛生和政府等部門在進行身份識別時的可信賴性、安全性、私密性和便利性。從FATF標準角度看，可靠、獨立的數字身份系統可以在與客戶初次建立業務時開展有效的客戶身份識別，并在建立業務關系后，能夠進行持續的客戶身份識別。此外，還可以支持在整個業務過程中對交易進行盡職調查和審查，滿足多種客戶盡職調查措施需求，協助交易監測，發現和上報可疑交易報告。

在客戶盡職調查中使用數字身份的風險。一是線上交易風險。傳統支付時期，犯罪分子使用現金進行交易，但目前他們可以通過偽造、變造身份進行數字交易來轉移資金。二是網絡風險。數字身份系統在一定程度上會發生信息泄露風險，一方面沒有足夠技術水平保障的數字身份系統極易發生網絡安全風險，甚至可能引發網絡攻擊;另一方面還可能因為存在網絡安全漏洞導致大規模的身份失竊，危及個人數據安全，從而造成重大的隱私欺詐或其他相關金融犯罪風險。三是非面對面的客戶識別和交易風險?！吨敢分赋?，依賴可靠、獨立的數字身份系統開展盡職調查，并采取適當的風險緩解措施的非面對面的客戶和交易，也存在一般或較低風險。

數字身份系統進行客戶盡職調查的時機。FATF建議采用基于風險的方法將數字身份用于客戶識別和驗證。盡管不同司法管轄區要求不同，但指導方針中的決策過程流程圖將幫助義務機關明確開展時機（見圖1）。

數字身份技術及數字身份隱私保護。在技術方面，FATF保持技術中立標準，不為任何相關方提供技術支持。在隱私保護方面，FATF建議各國政府在全面了解數字身份的機會與風險后，制定法規和指導方針以減輕這些風險，采取的措施包括與有關當局合作，保證數字身份系統的反洗錢和反恐怖融資要求滿足數據保護及隱私規則（符合FATF建議2）。數據和隱私保護對于降低身份盜竊和網絡安全風險非常重要，這方面發生風險可能會破壞數字身份系統的可靠性。FATF指出，《指引》所依據的數字身份標準和框架包括數據保護和隱私相關的技術、安全、治理和資源考慮。各國政府可創新開發科技解決方案（如去中心化的數碼身份），讓個人更能控制如何與他人分享個人資料，以及進一步解決隱私和資料保護的安全問題。

我國數字身份發展展望

習近平總書記強調：“加快數字中國建設，就是要適應我國發展新的歷史方位，全面貫徹新發展理念，以信息化培育新動能，用新動能推動新發展，以新發展創造新輝煌?！睘榱擞行ж瀼亓暯娇倳涥P于數字建設的要求，考慮我國當前身份管理現狀以及網絡社會個人信息保護的現實需求，公安部第三研究所以公民身份號碼為基礎，搭建了既能保障個人信息安全又能適應網絡社會數據開放和流通需求的統一數字身份體系。

我國數字身份發展歷程

2010年，公安部第三研究所根據公安部指示開展網絡身份管理試點，于2011年4月建成全國唯一的“公民網絡身份識別系統”（簡稱“eID”）并投入使用。

2014年，我國正式提出“五位一體”的戰略實施框架，大力開展eID與各類金融機構、移動通信等網絡身份運營商，華為、魅族等通信公司，社保部門以及服務機構的深入合作，推進eID 的產業化進程。目前，我國已在金融IC卡、SIM貼膜卡、智能手機上加載了eID，累計發行eID載體數超過2億個。

我國數字身份特點

由公安部第三研究所承擔并研究的eID是以公民身份號碼為根，由“公民網絡身份識別系統”基于密碼算法統一為中國公民生成的數字標記，在確保簽發給每個公民的數字身份唯一性的同時，可以減少公民身份信息在網上的傳播。

一是可以確保信息安全保密。為防止公民個人信息泄露和確保大數據精準畫像，保障公民的生活安寧以及財產和人身安全，eID將公民身份信息轉化成去身份化和碎片化的個人標記，分散記錄公民身份信息，保證數字信息的安全。此外，為確保數字信息安全，eID還分別對其數字身份頒發過程和數字身份認證過程的安全可靠程度進行了分級，構建了eID數字身份體系框架。二是在技術支撐方面，eID在全面研究分析我國主流身份認證技術及應用的基礎上，引入eID數字身份構建全國統一數字身份體系，能夠包容各種數字身份認證技術并實現認證互通。

我國數字身份發展難點及展望

從制度層面上規范。目前，我國尚未出臺有關數字身份的相關法律法規，對于數字身份的開發、使用、管理沒有明確的規定，不利于數字身份市場的有序運行，限制了數字身份普及化的推進進程。所以，建議從國家層面以法律形式對數字身份相關內容予以明確，本著“風險為本”的原則，制定詳細的使用規范和管理細則。

從技術層面上創新。要想建立起強大的數字身份系統，需要強大的技術支撐以及各相關政府部門的大力配合。目前，我國數字身份系統仍無法達到與金融、稅務、海關等多部門進行全角度的網絡互連，且未構建完成各部際間網絡互連的網絡框架，在技術層面削減了數字身份信息范圍的全面性，通過數字身份識別出的身份背景無法達到全覆蓋。為此，建議創新技術手段，以政府為發起點，將公安身份系統所登記的指紋、照片作為真實性的驗證手段，搭建融合金融、稅務、海關、交通等多部門的“大網絡平臺”，實現數據互連共享，同時運用區塊鏈等技術，保障信息儲存和使用的保密性和安全性。

從操作層面上推廣。目前，eID已累計發行2億多個，對于我國的14億人口來說，擁有eID的人數占比僅有14.3%，數字身份的普及程度還遠遠不夠。數字身份建設的主要目的就是推廣使用，建議從操作層面培養技術型人才，做好使用數字身份的大眾技術指導，降低數字身份的使用陌生感和難度。此外，在操作界面方面，數字身份在滿足合規要求的同時，可以簡化操作步驟，創建既高效又簡潔安全的數字身份系統，提高廣大群眾對eID的接受度和認可度。

（作者單位：中國人民銀行長春中心支行，中國人民銀行松原市中心支行）