第二节
主要国家推进网络可信身份服务业的做法

一、出台相关政策和法律法规

2019年，德国发布了国家区块链战略，提出推动基于区块链的数字身份建设，美国和欧盟则进一步修改或发布了数据泄露相关法律法规，进一步强化个人身份信息的保护。

（一）《德国国家区块链战略》提出推进基于区块链技术的数字身份应用

《德国国家区块链战略》指出，到2021年年底，德国联邦政府将在“保障稳定与刺激创新：金融领域的区块链技术”“促使创新走向成熟：推进项目和监管沙箱”“使投资成为可能：明确、可靠的框架条件”“应用技术：数字化的公共行政服务”和“传播信息：知识、网络与合作”五个方面采取措施，利用区块链技术的机会，发掘其潜力。其中，在数字化公共行政服务方面，联邦政府正在试验基于区块链技术的数字身份证明并正在评估其他合适的应用。

（二）美国多个州修订数据泄露通知相关法律法规

美国《数据泄露通知法》普遍规定了适用主体范围、PII（可识别个人信息）的定义、触发通知的要素、评估损失和通知公众的程序、赔偿及具体实施机构、罚款规则等。随着南达科他州和亚拉巴马州颁布数据泄露通知法，全美50个州均实现数据泄露通知的专门立法。2018—2019年，阿肯色州、伊利诺伊州、缅因州、新泽西州等开展了数据泄露通知法的修订工作，重点是扩大PII定义、缩短通知的时间、增加泄露主体机构数据泄露后的信用监控职责等。例如，阿肯色州、新泽西州分别将生物识别数据、用户网上账户纳入PII的范畴；缅因州将意识到数据泄露后需告知受影响公众的时间改为30天；康涅狄格州要求企业向社保号遭到泄露的个人提供两年的免费身份盗窃防护服务和补救服务。

（三）爱尔兰数据保护委员会发布《GDPR下个人数据泄露通知的实用指南》

2019年10月，爱尔兰数据保护委员会发布了《GDPR下个人数据泄露通知的实用指南》（以下简称《指南》），《指南》指出，延迟通知、难以评估风险等级、在可行的情况下未能将泄露行为传达给数据主体、重复通知泄露、报告不充分是数据泄露通知制度实施面临的障碍，《指南》阐述了何时向监管机构和数据主体报告、报告的内容、风险评估的关键要素等。

二、推进国家级网络可信身份项目

一是爱沙尼亚的eID项目。该项目于2000年发起，截至2019年4月，已有超过940个公共和私营机构加入，基于数字密钥或装有芯片的实体卡实现身份验证、数据存储和共享、数字签名等，爱沙尼亚超过90%的民众已拥有eID。

二是瑞典的BankID项目。该项目于2003年由瑞典一些金融机构发起，目前已得到政府的认可，基于智能卡或数字设备（移动设备或电脑等）实现电子身份的认证和数字签名等，只需要在公共和私营机构间共享较少的数据即可实现。截至2019年4月，瑞典超过70%的民众已拥有BankID。

三是英国的UK Verify项目。2016年，英国政府联合身份服务企业推出该系统，供公共部门在线核验身份使用。截至2019年4月，英国使用该系统的公众尚不足10%。

四是加拿大的SecureKey Concierge项目。该项目于2012年由加拿大联邦政府发起，目前运营在金融机构中，能够供公共部门在线核验身份。截至2019年4月，加拿大使用该系统的公众约50%。

五是阿根廷的Digital Identification System（SID）项目。2018年，阿根廷公共部门联合私营部门推出该项目，支持基于生物识别技术的远程身份认证。截至2019年4月，阿根廷使用该系统的公众尚不足10%。

六是尼日利亚的National eID项目。2014年尼日利亚政府与万事达共同发起的该项目，能够通过芯片卡实现身份认证，并给予公共部门之间数据共享以进行反洗钱调查。截至2019年4月，尼日利亚使用该系统的公众尚不足10%。

七是印度的Aadhaar项目。2009年，印度公共机构发起了该项目，能够实现基于生物识别技术的身份认证，进而优化政府福利发放、反洗钱、电子文档存储等工作。截至2019年1月，印度使用该系统的公众已超过90%。

八是意大利的公共数字身份系统（SPID）。该项目2016年启动，截至2020年3月已发布了600万个数字身份代码。公众可使用该数字身份代码访问税收、医疗、养老等领域的公共服务。 SndKOz50qTOLSZSB/Y8ME1ZHdw0HwVF9gOvISkHJZxK+1EXOkEpkDb3yFGhVajI/