说到丹麦的身份认证系统,不得不提丹麦的中央人口数据库系统。1968年,丹麦开始了中央人口登记,每一位丹麦居民的数据都登记在中央数据库中。中央人口登记系统为丹麦的数字化进程奠定了重要的基础。其中,登记号被用于识别公民的数字身份,以及与公民身份有关的各项服务。随着数字技术的发展,20世纪90年代,丹麦政府开始提出通用电子身份的概念。
1992年,丹麦首次在全国电子政府提案中提出通用电子身份的想法。当时的财政部基于智能卡技术提出了发行多功能身份证件的想法。按照当时的设想,通用电子身份证应具有三重功能:一是作为线下视觉身份识别的途径,二是作为国家中央人口登记的电子密钥,三是作为当局访问个人信息的工具。财政部的愿景是用通用电子身份来取代当时所有正在使用的社会保障卡、学生卡、驾照等身份识别卡。但是,当时议会中很大一部分议员在隐私问题上有所疑虑,反对这项提案的通过。1996年,财政部再次提出关于在线认证的备选卡提案,但由于缺少技术上的统一标准,这项提案再度被否决。
2000年左右,丹麦改变了以卡为基础的电子身份认证系统,转而开始开发数字签名,为丹麦建立通用电子身份打下了第一步基础。随着1998年大选结束,丹麦新政府上台,电子政府政策移交到科学、技术和创新部手中。科技创新部随后发表建立公共服务网的意见。虽然这项意见并没有在当时的政府实践中激起太大的水花,但使得信息技术在丹麦的政治话语中的角色出现大幅度提高。1999年,当时的丹麦信息技术和研究部开展了九项数字签名试点项目。随着这些试点项目的展开,政府与市政采购部门、市议会和丹麦地区政府,共同制定了提供合格证书的框架协议。
除了框架协议之外,丹麦政府也在立法和政府的组织机构内进行创新。2001年10月1日,丹麦电子签名法案开始实施。电子签名法案和框架协议的出台意在刺激市场,增加数字签名的使用,为数字身份的建立铺下制度的基石。同年,随着政府内阁重组,财政部成立了一个新的以项目为中心的机构——数字特别工作小组,负责调度所有与电子政务有关的实体,包括中央政府、大区政府、地方政府和商业机构,从政府的组织结构上确保专门的调度机构。
在技术开发上,公共部门同时出现了几个不同且互不联系的身份认证系统,既有大区的医保卡,又有两项税务系统认证技术:一个基于一次性密码,另一个需要用户在自己的设备上安装软件进行操作。同时,银行也在为自己的网上银行服务开发自己的安全解决方案Net-ID。各家银行在金融机构付款系统的认证机构下推行Net-ID认证系统。有趣的是,丹麦各家银行在当时并没有看到与公共部门在身份认证领域合作的益处,也没有选择与公共部门一起开发Net-ID。实际上,对于银行来说,它们当时唯一从公共部门中获取的就是作为公民唯一标识的中央人口登记号码[47]。
从技术上来看,当时存在的各种电子签名系统之间缺乏标准化和互通性。与提供数字签名的互联网服务相比,使用现有服务的成本也相对较高。除此之外,电子签名仍与其他要求个人出席、增加责任和硬件解决方案的法律相挂钩。从商业模式来看,当时市民需要付款才能有数字签名,这种商业模式在当时的市场上行不通。由于技术标准化、立法、成本及商业模式上的障碍,电子签名法案和框架协议并没有在真正意义上刺激市场。
对于丹麦政府来说,当时的一项重要任务是打破这些障碍。2002年,丹麦政府发起两个重要的活动。(www.daowen.com)
一个是开始电子服务公共证书的标准化流程,以确保各系统之间的互通性,以及电子服务公共证书与国际标准接轨。按照丹麦政府当时的设想,电子服务公共证书应该为国家、县和市的服务提供访问权,并且私人部门也应该从这个基础架构中收益。
另一个是根据欧盟的招标指令对数字签名以项目竞赛的形式进行公开招标。项目竞赛的主要想法是为数字签名找到可行的商业模式,并且将现有供应商的应用和基础设施进行整合。最终目标是为市民在互联网上建立基于数字签名的公共服务统一认证。科学、技术和创新部希望避免市民在使用市民服务时在不同的服务中心需要不同的认证。
项目竞赛一共邀请了五家通过资格预审的供应商竞标。2002年秋天,五家供应商中的四家提交了竞标书,其中两家供应商进入最后的评估:一家是由银行与金融机构付款系统认证机构联合组成的财团,向丹麦政府提供Net-ID服务;另一家是前国有电信公司丹麦电信。2003年2月,通过多轮谈判,丹麦电信成为数字签名项目的承包方。项目最终交付的是一个基于软件的认证签名系统,主要用于访问公共服务。用户需要输入自己的中央人口登记号码、邮政编码和电子邮箱地址。激活签名需要在市民的设备上下载专门的软件,以及邮递到市民地址的密码。
虽然丹麦电信开发的认证系统与银行开发的Net-ID流程基本相似,但是丹麦电信的系统在市民中的采用率远低于丹麦银行开发的Net-ID。2003—2007年年间,只有25万市民使用了丹麦电信的系统,使用Net-ID则有220万人之多。丹麦电信开发的认证系统之所以采用率低,除了各种技术困难之外[48],主要原因是市民与商业机构看不到采用技术带来的益处。
随着2008年丹麦电信和国家信息技术与电信委员会的合同到期,金融机构付款系统认证机构(后更名为NETS)取代丹麦电信成为新的供应商,提供了新的解决方案,即名为NemID的丹麦通用电子身份认证系统。与旧系统相比,NemID有三个主要特点:一是可以用作银行服务的签名;二是双重认证技术,由用户已知的用户名和密码,以及一次性密码组合而成;三是支持多设备登录。
NemID在2011年开始运营时,在安全和隐私方面受到不少质疑。吸取过去的经验教训,国家信息技术与电信委员会决定虚心听取市民的意见。委员会邀请丹麦信息技术政治协会与消费者协会一同参与软件和统一标准的选择。这一做法在当时回应了市民的质疑。不过,由于丹麦信息技术政治协会不满意协商的结果,出现了丹麦信息技术政治协会退出工作小组并重新制定新技术标准的局面。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。