【元宇宙】美國的數字身份之路
數字身份證比實體身份證更方便、更安全、用途更廣泛,但目前很少有美國人擁有這種身份證。通過正確的投資和聯邦政府與州政府之間的合作,美國人可以充分發揮數字身份證的潛力。
關鍵要點
精心設計的數字身份證比實體身份證更方便、更安全、更保護隱私、更實用。
進入21世紀以來,世界各國紛紛開始提供數字身份證,採取了許多不同的數字身份認證方法,值得美國借鑑。
目前,有 13 個州提供移動駕駛執照(一種數字身份證),並面臨着互操作性、可訪問性、可用性和信任等挑戰。
聯邦政府爲建立國家數字身份系統所做的少數努力僅取得了有限的進展。
爲了確保所有美國人都能獲得完善的數字身份證,聯邦政府應該協調全國範圍內的努力,推動數字身份證的開發、實施和使用。
絕大多數擁有智能手機的美國人每天都在用手指點擊屏幕,就能瞭解世界。他們可以與朋友和家人保持聯繫,跨境購買和銷售產品和服務,並訪問看似無窮無盡的信息和娛樂庫。但對於大多數美國人來說,如果他們想證明自己的身份,他們仍然需要伸手到錢包裡,拿出實物身份證件,儘管現在有技術可以升級這一流程。
隨着美國人的日常活動越來越多地轉移到網上,缺乏數字身份解決方案的問題也越來越嚴重。世界各國都在提供數字身份證方面取得了領先,而美國則落後了。在美國,少數幾個州通過提供移動駕駛執照 (mDL) 領先於其他州,但這些努力缺乏協調,在全國大部分地區都無法使用。有一種更好的方法,即由一項全國性倡議牽頭,確保所有美國人都能獲得方便、可訪問且值得信賴的數字身份證形式。
本報告列出了實現這一目標的途徑。首先,它概述了數字身份相對於物理身份識別形式的優勢。然後,它分析了世界各地數字身份的趨勢,研究了各國的數字身份產品以及私營部門在廣泛普及數字身份方面發揮的作用。它探討了美國目前數字身份的拼湊情況以及爲實施數字身份制定國家標準的早期努力。最後,它爲美國數字身份的未來提出了聯邦政府和州政府應採取的政策建議。
數字身份案例
簡而言之,數字身份證是身份證件(如駕照或護照)的數字版本。數字身份證通常存儲在個人的移動設備上,可通過應用程序訪問,與實體身份證相比,數字身份證具有提高便利性、安全性、隱私性和可用性的潛力。藉助完善的數字身份證系統,個人可以在一個地方訪問所有相關身份證件,並使用這些證件完成需要身份驗證的各種活動。
數字身份證的便利性是第一個也是最明顯的好處。根據皮尤研究中心的數據,截至 2023 年,90% 的美國人擁有智能手機,其中 50 歲以下的美國人佔 97%隨着數字支付和數字身份證的興起,這些人將不再需要隨身攜帶實體錢包。
爲了提供更便捷的體驗,數字身份證平臺可以允許個人上傳其他相關文件(許可證、執照、疫苗接種卡等),從而進一步減少對實體錢包的需求。數字身份證還可以傳達與身份相關的其他屬性,例如“退伍軍人”或“在校學生”,從而無需使用單獨的身份證(例如學生證)來傳達這些屬性。
與實體身份證相比,數字身份證更加方便,這對政府和個人都有好處。根據麥肯錫數字公司 2019 年的一份報告,數字身份證可以通過簡化政府服務在全球範圍內節省 1100 億小時。由此產生的成本節約和欺詐減少可能達到 1.6 萬億美元。具體來說,在美國,到 2030 年,全面覆蓋數字身份證可以釋放相當於國內生產總值 (GDP) 4% 的經濟價值。
從實體錢包到移動錢包的轉變也帶來了更高的安全性。竊賊可以輕易地從個人手中偷走錢包,獲取他們的個人物品和實體身份證上的任何信息。然而,雖然竊賊可以很容易地從個人手中偷走智能手機,但只要手機使用密碼或生物識別等內置功能進行保護,手機上存儲的信息就會保持加密狀態。皮尤研究中心在 2023 年發現,83% 的智能手機用戶利用智能手機的安全功能來保護他們的數據。
如果設計得當,數字身份證還可以比實體身份證更能保護隱私。目前,當個人親自交出實體身份證或在線上傳實體身份證的照片時,接收者可以查看身份證上顯示的所有個人信息,包括個人的全名、出生日期、家庭住址和照片。但政府可以設計數字身份證,使其顯示條形碼、二維碼或其他僅顯示相關信息的掃描方法。例如,在購買酒精飲料時,數字身份證只會顯示購買者已年滿 21 歲。
最後,與實體身份證相比,數字身份證的可用性更高。如果設計得當,數字身份證將使個人能夠完成他們目前使用實體身份證完成的任何交易:進入有年齡限制的空間、購買有年齡限制的產品、與執法人員互動、通過機場安檢站、投票等等。它們還將簡化需要身份驗證的在線交易,包括訪問有年齡限制的內容、購買有年齡限制的產品、安全地以數字方式簽署法律文件以及簽訂合同。
由於可用性的提高,如果數字身份證得到廣泛部署和採用,它可以在在線服務的年齡驗證中發揮關鍵作用,限制特定年齡以下個人的訪問。年齡驗證是一種有爭議的方法,它通過讓兒童遠離成人網絡空間來確保兒童的網絡安全。在線服務可以通過多種方式驗證用戶的年齡,其中身份證檢查是最準確但也最具侵略性的選擇。數字身份證可以通過只分享個人的必要信息(例如,他們是否年滿 18 歲)來降低這一過程的侵略性。
數字身份證還可以讓人們更輕鬆地獲得金融服務(這些服務通常需要身份驗證),並幫助企業遵守“瞭解你的客戶”和反洗錢法。據麥肯錫數字公司稱,在全球範圍內,數字身份證可以爲目前被排除在金融服務之外的 17 億個人提供金融服務。
美國數字身份證的現狀——配備電子芯片的護照,其中載有個人身份信息,以及由州政府頒發的少量 mDL——纔剛剛開始兌現數字身份證的部分承諾。目前,大多數美國人沒有數字身份證,而擁有數字身份證的人也只能在有限的用例中使用。但技術能力已經存在,可以提供完全實現的數字身份證,可以執行前面列出的所有功能,只要聯邦政府和州政府進行正確的投資和合作,美國人就可以充分發揮數字身份證的潛力。
數字身份趨勢
自 21 世紀以來,世界各國開始引入和實施可在物理和數字環境中運行的身份識別形式。早期的身份識別形式是電子身份證,即配備射頻識別 (RFID) 芯片的實體卡,用於在線身份驗證。較新的技術使用智能手機應用程序來實現類似的目的,以視覺形式顯示個人身份信息,並帶有二維碼或條形碼以供掃描。
各國出於各種原因引入了這些形式的數字身份證,包括前面列出的許多好處(例如,增加用戶訪問政府和其他服務的便利性以及簡化在線身份驗證),以及其他動機(例如,增加服務不足人羣的身份證明的可用性)。各國對數字身份證也採取了不同的方法,一些國家率先由政府牽頭開發和分發數字形式的身份證,而另一些國家則依靠公私夥伴關係來實現同一目標。
爲了確保本國居民能夠使用數字身份證出行,一些國家已與其他國家制定標準,以便相互接受彼此的數字身份證。例如,澳大利亞、加拿大、芬蘭、以色列、荷蘭、新西蘭、新加坡和英國等國家於 2020 年成立了數字政府交換數字身份工作組,就數字身份證的原則和定義達成一致,併爲國際協議奠定基礎。此外,歐盟和非洲聯盟都提出了旨在爲其成員國創建可互操作的數字身份證系統的倡議。
其他國家的數字身份證示例
愛沙尼亞
愛沙尼亞的電子身份證 (e-ID) 系統已經存在 20 多年,該系統爲每個愛沙尼亞人頒發數字身份。該系統包括強制性的國民身份證,其中有芯片,使用戶能夠在電子環境中驗證身份,以進行數字簽名、在線投票、查看醫療記錄、提交稅務申報、登錄銀行賬戶、在歐盟境內旅行等。99% 的愛沙尼亞人擁有這樣的身份證,迄今爲止,這些卡已啓用了 8 億個數字簽名。
愛沙尼亞人還可以將手機用作數字身份證的一種形式。用戶向其移動電話運營商申請一張特殊的 SIM 卡,即可訪問這種形式的數字身份證,其操作方式與身份證相同,但不需要讀卡器。19% 的愛沙尼亞人使用這種形式的數字身份證。同時,沒有所需 SIM 卡的用戶可以下載 Smart-ID 應用程序,該應用程序可實現具有法律約束力的數字簽名和在線身份驗證。Smart-ID 應用程序擁有超過 730,000 名愛沙尼亞用戶,佔該國人口的 51%,並且可在多個國家/地區使用。
圖 1:愛沙尼亞國民身份證樣本12
愛沙尼亞推出電子身份證系統是該國“虎躍計劃”的成果,該計劃於 1996 年啓動,旨在發展該國的信息技術基礎設施,以趕上西方國家,而愛沙尼亞在脫離蘇聯獨立僅僅五年後就實現了這一目標。該計劃不僅催生了電子身份證,還催生了網上銀行解決方案、網上報稅、移動停車、網上投票、電子健康記錄和處方、網上結婚申請等。
印度
2009 年,印度開始走向數字身份認證之路,成立了印度唯一身份認證機構 (UIDAI),以解決多重問題。2010 年,印度 40% 的人口未登記,60% 的人口沒有銀行賬戶。只有 6000 萬人(不到該國人口的一半)擁有護照。UIDAI 創建了 Aadhaar,這是一個向每個人發放唯一的、生物識別安全的 12 位 ID 號的系統。換句話說,擁有 Aadhaar 的個人可以通過指紋或虹膜掃描(如果沒有生物識別掃描儀,則使用二維碼)驗證自己的身份,以訪問政府、金融和其他服務。個人還可以申請一個“虛擬 Aadhaar ID”,即向個人想要與之做生意的每家公司提供單獨的號碼,以驗證個人身份,同時防止多家公司將個人的行爲聯繫起來。14
電子 Aadhaar 是個人 Aadhaar 的受密碼保護的電子副本,在任何情況下都與紙質副本具有同等效力。用戶可以通過 UIDAI 在線門戶或移動應用下載電子 Aadhaar。15
印度的 Aadhaar 計劃在 10 年內成功登記了 12 億人。2019 年的一項調查發現,95% 的印度成年人每月至少使用一次 Aadhaar 身份證,90% 的人對該計劃感到滿意。該計劃實施成本爲 15 億美元,但截至 2018 年,通過減少欺詐行爲,該計劃節省了 120 億美元。16
瑞典
瑞典的電子身份證系統 BankID 起源於 2001 年,當時瑞典主要銀行組成的財團成立,旨在開發數字身份證的基礎設施,政府和企業都可以接受這種身份驗證形式。這種數字身份證形式稱爲 BankID,於 2003 年首次發佈,目前擁有 800 萬用戶,平均每天可進行 1800 萬次身份識別和數字簽名。從一開始,瑞典人不僅可以使用他們的 BankID 向金融機構證明自己的身份,還可以向政府機構證明自己的身份,例如最早採用該系統的瑞典稅務局和瑞典社會保險局。
圖 2:瑞典 BankID 驗證
如今,幾乎每個瑞典成年人都擁有 BankID,要獲得 BankID,個人必須擁有有效護照或個人身份證號碼(一個用於識別每個瑞典居民的唯一 10 位數字),並且是參與銀行的客戶。收到 BankID 後,個人可以通過 BankID 應用程序訪問其數字身份證,並顯示銀行卡的視覺表示以供當面驗證或顯示二維碼以供掃描。不幸的是,雖然個人可以使用他們的 BankID 進行身份驗證和數字簽名,但它不是有效的旅行證件,也不能代替駕照。
政府行爲者並不是向公衆提供數字身份證的唯一參與者。以瑞典的 BankID 爲例,金融機構可以向其客戶提供數字身份證,作爲傳統身份驗證方式(如 PIN 和密碼)的替代方案。但是,即使不頒發數字身份證,政府仍有責任確定個人的合法身份。政府還可以與 Apple 和 Google 等設備製造商合作,確保個人可以通過移動設備上的 Wallet 應用訪問其數字身份證,或者與其他公司合作開發託管用戶數字身份證的獨立應用。
最後,政府可以嘗試使用區塊鏈技術實現數字身份認證,以增強安全性、彈性、透明度和互操作性。區塊鏈是一種數字賬本,記錄分佈在計算機網絡中的信息,由一系列使用加密技術安全鏈接在一起的數字“區塊”組成。這些區塊記錄信息——在本例中是個人的數字身份認證。網絡中的每臺計算機都存儲一份區塊鏈副本,形成一個分佈式對等網絡,其中更新信息可以共享和同步。
區塊鏈消除了對銀行或政府機構等中央權威機構確保記錄完整性的需求。相反,區塊鏈使用“共識協議”來維護所有參與者之間的協議——一組規則,允許網絡中的每臺計算機確定何時將新信息添加到區塊鏈。然而,即使使用區塊鏈,政府機構在頒發數字身份證之前,在覈實和認證一個人的身份方面仍然發揮着重要作用。
當前的拼湊
由於缺乏數字身份的國家標準,少數具有前瞻性的州已開始以 mDL 的形式提供數字身份,但這種技術仍處於實施初期,採用者相對較少,使用案例有限。事實上,許多提供 mDL 的州都鼓勵用戶隨身攜帶實體駕照副本,以便與執法部門和企業互動。由於全國 mDL 產品的臨時性,各州面臨着互操作性、可訪問性、可用性和信任等挑戰,這些挑戰進一步限制了 mDL 對消費者的吸引力。
移動駕駛執照
“移動駕照”是指各州頒發的個人駕照的數字版本。截至 2024 年 9 月,只有 13 個州擁有移動駕照:亞利桑那州、加利福尼亞州、科羅拉多州、特拉華州、喬治亞州、夏威夷州、愛荷華州、路易斯安那州、馬里蘭州、密西西比州、紐約州、俄亥俄州和猶他州。另外三個州——佛羅里達州、密蘇里州和俄克拉荷馬州——過去提供移動駕照,但現在不再提供。(見圖 3。)俄克拉荷馬州因可訪問性問題關閉了其移動駕照計劃,佛羅里達州公路安全和機動車輛部發表聲明稱,正在改用其他供應商來頒發移動駕照,密蘇里州似乎已悄悄停止了該計劃,沒有任何解釋。
圖 3:目前有 13 個州提供移動駕駛執照;其中 3 個州過去曾提供移動駕駛執照
根據相關州法律,提供 mDL 的州的居民可以使用 mDL 進入有年齡限制的場所,例如酒吧和俱樂部,併購買有年齡限制的產品,例如酒精和菸草。一些州(例如路易斯安那州)允許居民使用 mDL 進行投票,某些州的執法部門可能會接受 mDL 作爲驗證,例如在交通檢查時。最後,隨着 TSA 繼續將機場的憑證認證技術更新到最新版本,可以驗證數字身份證,22 個州的 28 多個機場在運輸安全管理局 (TSA) 檢查站接受數字形式的身份證明。
移動駕駛執照示例
特拉華州
特拉華州通過身份服務公司 Idemia 開發的移動 ID 應用程序提供 mDL。特拉華州的 mDL 通過六位 PIN 碼和 FaceID 或 TouchID 等生物識別技術進行保護,可進行非接觸式身份驗證。用戶可以出示其身份證的數碼照片或顯示條形碼或二維碼以供掃描。爲了增加隱私,用戶可以選擇顯示其身份證的條形碼或二維碼而不顯示身份證本身,只顯示掃描所需的相關信息,例如購買酒精飲料時個人是否年滿 21 歲。
圖 4:特拉華州 mDL 示例
不幸的是,擁有 mDL 的特拉華州居民可能仍需攜帶實體駕駛執照,因爲法律要求個人在執法部門要求時出示實體駕駛執照。
路易斯安那州
路易斯安那州通過該州專有的應用程序 LA Wallet 提供 mDL,該應用程序由路易斯安那州軟件公司 Envoc 開發。該應用程序通過路易斯安那州機動車管理局的實時更新使用戶的駕照信息保持最新,並允許用戶在應用程序中更新駕照。根據法律規定,路易斯安那州執法部門、州政府服務部門和全州零售點必須接受存儲在 LA Wallet 上的 mDL 來代替實體駕照。
圖 5:路易斯安那州 mDL 示例
LA Wallet 爲用戶提供了條形碼供掃描,以及駕照照片供用戶親自查看。用戶還可以存儲他們的數字健康記錄副本,例如他們的 COVID-19 疫苗接種記錄,以及他們的車輛登記證、狩獵和捕魚許可證、醫療補助卡和隱藏手槍許可證的數字副本。該應用程序還允許用戶匿名遠程驗證他們的年齡,鑑於路易斯安那州的法律要求訪問社交媒體和成人網站時必須進行年齡驗證,這一點尤其有用。
挑戰 互操作性
各州在努力讓居民使用移動數字身份證的過程中面臨多重挑戰。其中第一個挑戰是互操作性。領先的移動數字身份證提供商(蘋果、谷歌和 Idemia 以及路易斯安那州的 LA Wallet)遵循一些標準,這些標準實現了一定程度的互操作性。這些標準由國際標準化組織 (ISO) 和國際電工委員會 (IEC) 制定,稱爲 ISO/IEC 18013-5,建立了接口規範,使簽發機構(在本例中爲州政府)以外的各方能夠讀取和驗證移動數字身份證。這些標準允許添加地區性標準,例如美國的 Real ID 標準。
雖然目前在美國提供 mDL 的所有提供商都遵守 ISO/IEC 18013-5,但並不要求未來的提供商也這樣做。相反,是否遵循這些標準取決於每個提供商。如果沒有互操作性的保證,那麼通過一個提供商提供 mDL 的州的居民可能會在通過另一個提供商提供 mDL 的州遇到問題,這對於生活在一個州但在另一個州工作或工作或生活方式需要經常旅行的美國人尤其令人沮喪。此外,提供 mDL 的州的居民在前往不提供 mDL 的州時不太可能發現很多用例,而目前不提供 mDL 的州佔該國的絕大多數。
ISO/IEC 18013-5 等開放標準(或類似的萬維網聯盟可驗證憑證,一種數字憑證標準)對於確保 mDL 和不同類型數字身份證之間的互操作性至關重要。理想情況下,在一個所有身份證件和憑證都有數字版本的世界裡——從駕照和護照到圖書證和學生證——個人可以將所有這些不同的文件存儲在同一個數字錢包裡。
無障礙設施
導致某州停止提供 mDL 的另一個挑戰是無障礙性。根據美國人口普查局 2022 年的數據,超過 4000 萬美國人患有殘疾。其中包括超過 1200 萬患有聽力障礙的美國人、超過 800 萬患有視力障礙的美國人和超過 1700 萬患有認知障礙的美國人,如果這些服務在設計時沒有考慮到無障礙性,所有這些障礙都可能在與包括 mDL 在內的在線服務互動時帶來挑戰。
俄克拉荷馬州停止了其 mDL 應用 OK Mobile ID 的使用,此前美國司法部 (DOJ) 發現該應用違反了《美國殘疾人法案》,因爲視力障礙人士無法使用該應用。該應用要求用戶上傳其身份證件照片,並按照屏幕上的一系列說明進行自拍,包括根據屏幕上的視覺信息進行一系列頭部和眼部運動,而視力障礙用戶很難甚至不可能自行完成這一過程。
儘管司法部的結論是“沒有證據表明,開放 OK 移動 ID 應用程序的可訪問性會給服務俄克拉荷馬州帶來根本性的改變或過度負擔”,但爲該州提供駕駛員和機動車服務的機構服務俄克拉荷馬州在達成和解協議 17 天后宣佈,將徹底關閉該應用程序,並表示,“由於需要進行大量更正,我們還在探索完全停用該應用程序的選項,因爲當前產品缺乏使用案例。”通過將可訪問性作爲優先事項並從一開始就將其融入服務中,而不是事後才考慮,各州可以避免重蹈俄克拉荷馬州的覆轍。
可用性
正如俄克拉荷馬州服務局在其停止提供 mDL 的公告中提到的那樣,一些州的 mDL 也存在可用性或用例不足的問題,無法說服居民放棄使用實體駕照。除非個人可以在所有需要出示實體駕照的情況下使用 mDL(包括進入有年齡限制的場所、使用有年齡限制的在線服務、在線或離線購買有年齡限制的產品、投票、與執法人員互動或通過所有機場的 TSA 檢查站),否則個人仍然需要隨身攜帶實體駕照和 mDL,在這種情況下,許多人可能會認爲只攜帶實體駕照而不申請 mDL 更爲方便。
可用性挑戰與互操作性挑戰密切相關。即使個人可以在其所在州使用 mDL 實現所有這些用例,他們也可能無法在不提供 mDL 或提供 mDL 的州這樣做,因爲這些 mDL 使用的是與個人所在州的提供商不互操作的其他提供商。因此,當他們離開家鄉時,他們仍然需要隨身攜帶實體駕照。
相信
最後,幾乎每一項新技術發展在其生命週期的某個階段都面臨着一個挑戰,那就是贏得並維持公衆的信任。在某種程度上,這種信任是通過在使用移動數字圖書館時保護個人敏感個人數據的隱私和安全的做法而贏得的。例如,上述 ISO/IEC 18013-5 標準概述了移動數字圖書館隱私和數據安全協議。33
不幸的是,儘管良好的隱私和安全做法可能會增加公衆信任,但公衆可能會因爲非理性的原因而失去對技術的信任,這是“隱私恐慌週期”的一部分,這是在引入新技術後出現的隱私恐懼的反覆模式。起初,一項新技術尚未廣泛部署,只有核心羣體知曉,在此期間隱私問題很少。隨着這項技術開始在這個相對較小的圈子之外變得更加知名,隱私原教旨主義者和那些不信任政府的人開始對這項技術發出警報,引起負面關注,並導致其他人(例如媒體)開始煽動恐懼之火。三
最終,隨着這項技術越來越普遍並融入社會,公衆不再關注與這項技術相關的隱私問題。最後,絕大多數消費者不再相信隱私原教旨主義者的主張,因爲他們瞭解這項技術,欣賞它的好處,也不再擔心它被濫用。
諸如 mDL 之類的數字身份識別形式仍處於技術生命週期的初期,尤其是在美國,其部署並不頻繁。隨着 mDL 和其他形式的數字身份識別越來越主流,這些值得信賴的開端可能會讓位於日益加劇的恐慌。各州和聯邦政府可以採取的最佳措施來應對這種隱私恐慌,就是明確傳達數字身份識別的好處,確保數字身份識別在保持實用性的同時儘可能安全和隱私保護,並且不要讓過度的恐懼影響圍繞數字身份識別的監管。
影響公衆對數字身份證信任度的第二個因素(尤其是在美國)是政治上反對國家身份證的概念。然而,在美國實施數字身份證系統並不需要建立一個新的國家身份證系統。相反,該系統可以數字化現有的身份證明形式,包括各州和聯邦政府已經頒發的身份證件 ,例如駕駛執照和護照,用比特而不是原子來證明個人身份。
任何聯邦強制要求的改變仍可能遭到一些人的反對,就像 2005 年通過的《真實身份法案》一樣,該法案要求各州將駕駛執照標準化,並將其輸入國家數據庫,反對者認爲這是實施國家身份證制度的一種偷偷摸摸的方式,儘管它只是提高了州政府的標準。儘管遭到反對,但該法律仍然有效,自 2025 年 5 月 7 日起,包括 TSA 在內的聯邦政府將不再接受不符合真實身份要求的駕駛執照。
努力達到國家標準
隨着越來越多的州探索並提供 mDL,制定數字身份國家標準的進程基本停滯。然而,在政府機構制定的數字身份驗證標準、奧巴馬時代的數字身份倡議以及國會的法案之間,聯邦政府已經具備了基礎,可以重新拾起現有的臨時拼湊的 mDL,將其轉變爲適用於所有美國人的統一數字身份選項。
NIST 數字身份指南
美國國家標準與技術研究所 (NIST) 的《數字身份指南》最初於 2004 年發佈,概述了聯邦機構實施數字身份服務的技術要求。此後,NIST 已三次更新這些指南,最近一次於 2023 年 12 月發佈了第四次修訂草案。
該指南涵蓋了證明和驗證與政府系統互動的用戶(例如政府僱員和承包商以及私人)身份。最新草案旨在應對自 NIST 2017 年最新更新以來數字環境的變化,例如生物識別技術的可靠性提高,並應對與平等、消費者選擇和欺詐預防相關的挑戰。
由於 NIST 的指導方針建立了在線身份驗證協議(換句話說,確定個人的真實身份),因此它們可以作爲開發數字形式身份識別的基礎,特別是確保這些形式的身份證件可用、公平和安全。
網絡空間可信身份國家戰略
2011 年,即 NIST 發佈《數字身份指南》第一版修訂版的同一年,奧巴馬政府通過《網絡空間可信身份國家戰略》(NSTIC)向建立國家數字身份邁出了下一步。該戰略爲公私部門合作制定了路線圖,旨在建立可靠的方法,以在線可靠地識別和驗證個人、組織、網絡、服務和設備。
NSTIC 提出了一項雄心勃勃的戰略,旨在創建自願、隱私增強、安全、有彈性、可互操作、經濟高效且易於使用的身份解決方案,消除個人爲其互動的每個網站維護不同用戶名和密碼的需要。它包括各級政府、私營部門和國際合作夥伴的角色。
根據該戰略文件,在三到五年內(2014 年至 2016 年),NSTIC 將形成一個身份生態系統,個人可以選擇可信的數字身份用於個人和商業用途,並可在多個行業使用,越來越多的個人和身份提供商將加入該生態系統。在 10 年內(到 2021 年),身份生態系統應該會完全實現,並可供任何選擇採用它的人使用。
NSTIC 最終未能實現其大部分目標。相反,該戰略促成了 Login.gov 的創建,該網站於 2017 年推出,作爲政府機構的共享身份驗證服務。換句話說,公衆可以使用一個帳戶和密碼安全地登錄參與的政府網站,而不必爲每個網站創建單獨的帳戶。Login.gov 包括一個身份驗證過程,需要個人的駕照或其他州頒發的身份證、社會安全號碼以及電話號碼或地址。
2023 年 9 月,美國總務管理局 (GSA) 宣佈所有內閣機構都在使用 Login.gov,在參與該服務的 40 多個聯邦和州機構中,有 15 個是內閣機構。其他參與機構包括小企業管理局、美國郵政局和人事管理辦公室,後者允許個人使用 Login.gov 訪問聯邦政府的官方求職網站 USAJOBS。值得注意的是,美國國稅局 (IRS) 不使用 Login.gov 進行身份驗證,認爲它不夠安全,缺乏足夠的反欺詐控制。相反,美國國稅局和社會保障管理局使用美國在線身份公司 ID.me 進行身份驗證。
改善數字身份法案
儘管有一條前進的道路,但國會在建立數字身份國家標準方面進展甚微。《改善數字身份法案》於 2021 年首次由衆議員比爾·福斯特 (D-IL)、約翰·卡特科 (R-NY)、詹姆斯·蘭格文 (D-RI) 和巴里·勞德米爾克 (R-GA) 提出,最近於 2023 年由參議員克里斯滕·西內瑪 (I-AZ) 和辛西婭·盧米斯 (R-WY) 重新提出,該法案將建立一個工作組來協調全政府的努力,以促進公共和私營部門使用數字身份。
該法案的現行文本自重新提出以來幾乎沒有取得任何進展,該法案將在總統行政辦公室內設立改進數字身份工作組,由總統任命的一名主任、至少 11 名聯邦政府代表、6 名州、地方、部落或領土政府官員和 5 名非政府專家組成。工作組的工作重點是隱私、安全、可靠性、互操作性、信任、平等訪問以及減少身份盜竊和欺詐等。
該法案明確禁止工作組推薦由聯邦政府提供的單一全國性身份證明。相反,工作組將推動現有實物身份證明(如駕駛執照、護照、社會保障憑證和出生證明)的數字版本開發,包括確定支持簽發這些身份證件的機構所需的資金和其他資源。
該工作組將發佈一份初步報告,其中包含實施數字身份戰略的建議,隨後管理和預算辦公室 (OMB) 主任將向聯邦機構發佈實施工作組建議的指導。OMB 還將發佈年度進展報告。一年後,政府問責局將提交一份關於轉換爲數字身份識別形式可能節省的成本的報告。該工作組將在該法案頒佈三年後結束,在其任期中期發佈一份中期報告,並在三年任期即將結束時發佈一份最終報告。
數字身份的未來
完善的數字身份證系統應爲美國人提供數字身份證的所有好處:提高便利性、安全性、隱私性和可用性。它還可以解決各州目前在 mDL 實施過程中面臨的互操作性、可訪問性、可用性和信任度方面的挑戰。來自全國各地的美國人都可以通過手機登機、與執法人員互動、購買酒精飲料、進入俱樂部、報稅等等。
換句話說,一個完善的數字身份證系統可以——也應該——完全取代實體身份證,這需要一個法律框架,在所有使用情況下都接受數字身份證作爲有效的身份證明形式。個人可以使用他們的數字身份證跨越州界甚至國際旅行,這需要國家協調各州的努力和國際合作,讓其他國家承認美國人的數字身份證。殘障用戶不應該面臨訪問數字身份證的障礙,這需要從一開始就建立可訪問性並在整個開發過程中將其放在首位。最後,爲了確保信任,一個完善的數字身份證系統應該是安全的、保護隱私的,並遵守最佳實踐來保護用戶的數據。
目前,各州在提供數字身份證方面的努力雖然創新,但進展不盡如人意。各州應繼續提供移動身份證,並通過法律確保移動身份證至少與實體身份證一樣好用。此外,爲了確保所有美國人都能獲得完善的數字身份證,聯邦政府應協調全國範圍的努力,推動數字身份證的開發、實施和使用。
聯邦和州政府應採取的具體措施包括:
▪擁有 mDL 的州應通過法律,要求執法部門接受數字身份證作爲有效的身份證明形式,例如在交通檢查時,這樣擁有數字身份證的個人就不必同時攜帶實體身份證。
▪國會應設立一項撥款計劃,鼓勵各州創建符合 ISO/IEC 18013-5 的 mDL,以激勵各州創建可互操作的 mDL。
▪國會應通過《改進數字身份法案》,成立一個工作組來協調全政府的努力,推動公共和私營部門使用數字身份證。
▪ GSA 應該提高 Login.gov 的安全性和防欺詐能力,然後要求所有政府在線服務使用該網站,並開始接受任何需要身份驗證的交易的數字身份證。
▪ NIST 應該創建聯邦、州政府和私人實體可以遵循的數字身份可訪問性和互操作性標準。
▪所有聯邦機構都應開始接受政府頒發的數字身份證(包括現有的州頒發的 mDL),作爲聯邦目的的有效身份證明形式,例如用於所有美國機場和聯邦大樓的安全。
▪國務院應努力與其他國家達成國際協議,相互接受彼此的數字身份證作爲有效的身份證明形式,前提是這些國家遵守 ISO/IEC 18013-5 或其他商定的標準。
免責聲明:
本文所發佈的內容和圖片旨在傳播行業信息,版權歸原作者所有,非商業用途。如有侵權,請與我們聯繫。所有信息僅供參考和分享,不構成任何投資建議。加密貨幣市場具有高度風險,投資者應基於自身判斷和謹慎評估做出決策。投資有風險,入市需謹慎。
關注我,一起探索元宇宙!
關注七元Web3,獲取更多Web3、加密領域的相關知識
2024-09-09
2024-09-23
2024-09-23