欧盟《数字身份条例》的内容与特色

张怡辰

　　立法背景与目的

　　随着数字经济的发展，数字身份已成为在线服务的核心凭证。数字身份，是指身份持有人于在线互动和交易中，实现个人身份识别、身份验证以及执行特定操作的身份凭证。欧盟较早认识到统一数字身份框架对促进数字经济发展的重要性，于1999年便制定了《电子签名指令》。该指令旨在赋予电子签名与传统手写签名同等法律效力。然而，随着数字身份需求的日益增长，该指令已难以适应技术进步与市场发展的新要求。

　　为弥补原有立法的局限性，欧盟于2008年实施了跨境安全身份链接项目，致力于构建一个关于电子身份识别的互通操作平台，以便公民能够使用本国数字身份凭证进行跨境身份认证。

　　在此基础上，欧盟于2014年公布了关于电子身份识别和信托服务的《数字身份条例》，取代了《电子签名指令》。新条例旨在提供一个可互通操作的欧盟框架，让欧盟公民在使用自己数字身份的同时，能够验证并与其他成员国的在线服务进行通信。按照该条例，欧盟成员国可自愿推行本国电子身份认证计划，其他成员国有义务承认该国实施的电子身份。但是，该条例未对成员国建立数字身份计划作出强制性要求，加之技术标准各异，致使成员国之间的互通操作性受限。

　　近年来，社会生活中数字身份服务的需求进一步增加，特别是个性化服务数量的增加以及电子身份功能的多样化，2014年的欧盟《数字身份条例》已无法充分适应现实环境，欧盟于2024年4月30日发布了新修订的《数字身份条例》（以下称2024年《数字身份条例》）。

　　条例内容

　　2024年《数字身份条例》对欧洲数字身份钱包、数字身份的信托服务、电子签名的法律效力和合格电子归档服务等进行了详细规定，以使自然人和法人享有安全参与数字社会和在线访问欧盟公共和私人服务的权利。

　　统一欧盟数字身份钱包。2024年《数字身份条例》旨在消除成员国之间数字身份系统的壁垒，建立欧盟范围内互认的电子身份体系。欧盟明确了成员国具有提供数字身份钱包的义务，该条例第5a（1）条规定：“为确保欧盟所有自然人和法人能够安全、可信和无缝地跨境获取公共和私人服务，同时对其数据拥有充分控制权，欧盟成员国须在通过实施法案设定欧盟数字身份钱包和认证的技术规范后的24个月内，为其公民提供欧盟数字身份钱包。”

　　条例强调用户对其欧盟数字身份钱包的使用及数据拥有完全控制权，规定欧盟数字身份钱包的提供商不得收集不必要的使用信息，也不得将个人识别数据或存储的任何其他个人数据与该提供商提供的任何其他服务或第三方服务中的个人数据结合起来，除非用户明确要求。

　　制定信托服务规则。信托服务通常是指以报酬方式提供的电子服务，例如签发电子签名证书、发出电子属性证明书等。欧盟明确了信托服务提供商（以信托服务提供者的身份提供一项或多项信托服务的自然人或法人）的赔偿责任。该条例第13条规定：“信托服务提供商需对其故意或过失未履行条例义务而对自然人或法人造成的损害承担责任。任何因信托服务提供商违反本条例而遭受物质或非物质损害的自然人或实体，有权根据欧盟和国家法律寻求赔偿。”

　　对合格信托服务提供商的监管要求是，合格信托服务提供商应至少每24个月自费接受合格评估机构的审计；在不违反前述规定的前提下，监督机构可随时对合格信托服务提供商进行审计或要求合格评估机构对合格信托服务提供商进行合格评估；如果合格信托服务提供商不符合本条例规定要求，监督机构应责令其在规定时限内采取补救措施。

　　明确电子签名的法律效力与合格电子归档服务。电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。该条例第25条规定了电子签名的法律效力，要求“不得仅以电子形式或不符合合格电子签名要求为由，否定电子签名在法律程序中的法律效力和作为证据的可接受性；合格的电子签名应具有与手写签名同等的法律效力”。

　　合格电子归档服务是指由合格信托服务提供商提供符合规定要求的电子归档业务。合格电子归档服务需满足以下条件：一是由合格的信托服务提供商提供；二是信托服务提供商能够确保电子数据和电子文件在技术有效期之后和至少在整个法律或合同保存期内的持久性和可读性；三是信托服务提供商具备保持电子文档完整性和来源准确性的程序和技术；四是信托服务提供商保存电子文档的方式能够防止电子数据和电子文件的丢失和更改，除非介质或电子格式发生了变化。

　　条例特色

　　采用以用户为中心的生态模型。不同的数字身份模型，在身份数据的安全级别、访问限度以及技术吸引力等方面有很大差异。全球范围内主要有集中式、联合式与分散式三种数字身份生态模型，集中式模型中单个实体在集中式生态中建立和管理身份，因简单和方便被广泛使用，但容易遭受网络攻击。联合式模式由一组相互信任的组织组成，用户可以通过身份提供者访问集团中其他组织提供的服务，但容易受到单点故障的影响。欧盟采取的是分散式模型，该模式融合传统互联网协议与区块链等新型基础网络，构建了“强调用户可以完全控制其数据、安全可信的去中心化”的新型互联数字身份体系，从根本上解决了数字身份系统中用户信息容易泄露、数据共享受限等问题。

　　显著增强了数字身份的跨境互认性。2024年《数字身份条例》借助欧盟数字身份钱包实现更广泛的跨境互认，体现在：其一，成员国的政府网站与电子政务系统，对持有成员国发行的电子身份钱包的用户均应承认其身份合法性；其二，私营部门对欧盟数字身份钱包的互认也被纳入法律框架。在跨境提供服务的私营依赖方，同样须在用户请求下接受欧盟数字身份钱包进行身份识别；其三，条例明确属性证书的等效效力规则。成员国公共机构签发的电子属性证明（如电子驾照、学历证书），在成员国之间具有相同的法律效力，这使身份认证以及各种附属资格证明在跨境场景中被承认。

　　具有超主权国家适用的特点。2024年《数字身份条例》充分体现了超国家协调与成员国主权平衡的特点。一方面，2024年《数字身份条例》直接适用于所有成员国，无需转化为国内法，避免了成员国立法差异导致的碎片化，确保成员国开发的数字身份钱包在欧盟内部能够互通、互认，有利于解决成员国技术标准不同导致的跨境服务障碍。另一方面，2024年《数字身份条例》通过构建一个独立于大型平台的数字身份系统，实现数字主权和安全战略的整合，提升了欧盟整体的数据安全水平。 （来源：人民法院报 作者单位：河南大学法学院）