我国网络空间虚拟身份管理研究

摘要：每个进入网络空间的用户都将拥有虚拟身份，其中包含着了个人或组织在网络空间中生存、活动所需的一切身份信息。但由于虚拟身份自身海量、多元等特性以及国内法律体系不完善、行业标准不統一等原因让虚拟身份管理问题成为了我国必须直面的网络空间治理难题之一。本文从多层面出发，研究了虚拟身份管理的发展现状与面临挑战，并有针对性的为我国提出了管理策略。

关键词：虚拟身份管理;网络空间治理;网络安全

1、引言

在互联网技术的惊人发展下，人类正在经历着从物理空间进入虚拟空间的不可逆迁徙，人类开拓出了一个全新的生存空间——网络空间。据中国互联网络信息中心（CNNIC）于2019年2月发布的《第43次中国互联网络发展状况统计报告》显示，截止2018年12月我国网民数量已达到8.29亿，而全球网民已高达51亿[1]。每个进入网络空间的网民都拥有一个或数个虚拟身份，而虚拟身份包含着了个人或组织在网络空间中生存、活动所需的一切身份信息。

如此巨大的网民基数，加上网络文化日益繁荣、网络社区不断增多，使涌入网络空间的虚拟身份与日俱增，各种基于网络空间的虚拟身份信息也越来越多，其间关系也越来越复杂，因此带来了虚拟身份信息采集难、虚拟身份同一性判断难以及真实身份与虚拟身份对应难等诸多问题，为网络空间中虚拟身份的认证、管理、相关体系构建等工作带来了困难。同时，由于网络空间中道德规范、法律框架等还未完善，虚拟身份的使用给人类社会赋予极大便利的同时也暗藏着更加巨大的风险，对维护国家安全和社会稳定带来了全新的挑战。故而，如何正确应对虚拟身份问题、加强虚拟身份管理在这个信息化时代具有重要意义。

2、虚拟身份管理现状

国际方面，欧盟各国从上世纪起便已开始了虚拟身份管理的相关工作。欧盟将加强虚拟身份管理作为保障网络空间安全、提高欧盟人员跨境管理效率的长期举措，其在“2020 年欧盟战略旗舰计划”中指出急需构建一个涵盖欧洲多国的虚拟身份认证系统，并着手建立通用eID（ElectronicIdentity）管理过程。至2017 年，二十八个欧盟成员国皆已制订了有关虚拟身份认证的战略规划，并已有17 个国家在本国内搭建了eID 框架[2]。美国于2011 年发布“网络空间可信身份管理战略”，拟建立囊括全美的虚拟身份生态系统，各类实体将遵循统一的标准和流程进行鉴别和认证，实现互信，进而提高美国对网络空间的主导与控制力度[3]。此外，从二十一世纪开始，很多亚洲与拉丁美洲国家已经开始了对于网络身份管理体系及基础设施建设的筹备工作，如早在2003 年阿联酋政府已经开始为公民发放基于电子签名的、可用于支付、投票、公证等的电子身份卡以完善其“国家公钥计划”;而秘鲁则实施了“全国公民身份登记与鉴别（RENIEC）”项目，将现实个体的身份认证与网络联系在了一起。至2017 年，欧美、日韩、俄罗斯、澳大利亚等各国都已经从战略计划、标准框架、法律法规等多方面进行了网络空间虚拟身份的大规模战略部署[4]。

我国在虚拟身份管理方面也取得了极大的进展。2007 年，中国通信标准化协会（CCSA）设立了“下一代网络中身份管理（IDM）技术研究”;2012 年，全国人大审议通过了《关于加强网络信息保护的决定》，国务院发布《互联网信息服务管理办法》，为采用安全有效的技术措施识别和验证互联网上公民真实身份提供了基本法律依据[5];近年由公安部打造的eID 系统“公安部公民网络身份识别系统”逐渐走向正轨，每个公民只拥有唯一与其真实身份对应的eID，该系统加强了我国网络社会治理。未来，如何建立融合网络空间中各类虚拟实体的虚拟身份管理基础架构，将是形成我国虚拟身份管理体系的关键。

3、虚拟身份管理挑战

网络空间的急速性和高度开放性以及虚拟身份关联关系松散、自身数据海量多元等特性，给虚拟身份带来了可信识别效率低和有效管理难开展的问题。首先，网络空间这张巨网将全球囊括在其中，各地用户通过互联网可以足不出户地、快速地在网络空间中交流;其次，网络空间中各种类别网络社区繁荣发展，基于此的虚拟身份数量庞大，大多数无需实名且几乎毫无关联;最后，是虚拟身份数据包含了其基本属性、社交关系、行为模式/规律以及虚拟信息等多层次、多类别的数据，数据的多元化使其难以提采集、识别与管理。

互联网企业监管不力以及国家与互联网企业的高程度互动增加了虚拟身份管理的难度。一方面，政府对于互联网企业数据监管不当给虚拟身份管理带来不小隐患，公民隐私泄露已成为国内外大型网络厂商的常见新闻;另一方面，信息时代的到来使得开拓网络空间成为各国缓解经济危机、增强自身国力的重要手段。造成了政府不得不借助网络厂商的能量以提高重要领域的把控能力的境遇，“棱镜门”以及美国大选“邮件门”就是典型例证。对互联网经济的依赖以及在情报搜集中与互联网企业的复杂关系，使得各国政府在开展虚拟身份管理时困难重重[6]。

有关虚拟身份管理的法律框架还不完善。究其根本主要是当前无法在网络空间匿名制与实名制之间找到平衡点。网络空间发展伊始，网络虚拟身份几乎全是以匿名形式存在，网络空间成为了滋生网络犯罪、网络暴力、用户隐私泄露等不法行为的土壤。而网络匿名使追查、取证带来极大困难，且由于相关法律缺失即便确认了嫌疑人也时常存在无法可依的现象;而实名制方式虽然是维护网络空间秩序的有效手段，但也因为法律不完善面临着诸多挑战。最为直接的挑战是会在一定程度上侵犯网络用户隐私权。实名以后用户在网络空间的行为都可以通过实名系统进行追踪与溯源，会给不法分子提供机会，也会加剧“人肉搜索”等网络暴力行为。

4、我国虚拟身份管理的策略

如前文所述我国是拥有8亿多网民的互联网大国，网络空间中虚拟身份管理工作的重要性不容小觑，针对已有的问题，本章将从技术与宏观层面提出适当的虚拟身份管理策略。

（一）技术层面

一是构建用于识别的通用虚拟身份模型。已有的虚拟身份模型研究大多只针对于某一个或某一种系统、平台，研究总体来说缺乏通用性。我国需要将此方面的研究提上议程，在虚拟身份活动的生态坏境下，通过多维度、多属性构建，全面表征虚拟身份基础信息、网络行为、社交信息及影响力，最终形成统一的虚拟身份识别模型。

二是提出全网关联的虚拟身份可信分析方法。虚拟身份可识别度低给虚拟身份管理带来了极大困难，如何对虚拟身份进行准确的认知并对充斥在网络空间的虚假身份、马甲身份等进行区分对管理工作具有重大意义。

三是提出跨域虚拟身份识别方法。上文提到，当前互联网企业监管是存在问题的，不同的企业、单位维护着各自的虚拟身份管理平台，形成了一个多域的虚拟身份结构。本文提出了一种跨域识别思想，即可以通过对某个个体在网络空间中的活跃度、影响力等指标进行分析，识别出不同系统中与之相关的虚拟身份，从而延伸出一套完整的跨域虚拟身份识别方法。图1 为跨域虚拟身份识别方法的基本思路。

四是国家推动技术创新、进行技术把控。我国在芯片、加密应用、互操作性等技术方面与欧美还存在差距。一方面我国需推动相关技术创新，如将生物识别、区块链等新兴技术与隐私保护、身份认证等虚拟身份管理内容相结合;另一方面，我国需进行技术把控，如将国产芯片和与密技术应用在我国eID计划中，并建立法规强制实施，既能促进我国芯片产业发展，又能增强网络空间安全。

（二）宏观层面

一是注重虚拟身份管理的顶层设计。欧盟、美国早已推出如《路线图》、“可信身份管理战略”等方案，给出了切实、具体的阶段性计划，极具指导意义。我国也应尽早将虚拟身份管理工作提上工作日程，协调各层面各部门，进行好网络身份管理的顶层设计，推动虚拟身份管理进程。

二是完善虚拟身份管理的法制体系。一方面，虚拟身份管理涉及多个层面，政府、企业以及用户皆有参与，我国应明确虚拟身份管理体系中各参与主体的权利、义务和责任;另一方面，我国在虚拟身份管理法律方面还存在缺失、不完善等情況。我国对已有的法律法规应尽快细化条文，并制定相关配套的司法解释和实施细则，同时加快出台网络身份管理和个人信息保护相关的法律法规。

三是加快国内标准化建设，参与国际规则制定。前文提到，已有的虚拟身份往往基于不同的平台与网络空间区域，导致标准多样，难以管理。我国应发挥政府协调作用，加快虚拟身份建立、储存、使用、管理等多方面的标准化建设工作;此外，由于网络空间的全球性，虚拟身份的使用没有国境的限制，我国也应注意全球虚拟身份管理标准化进度，积极参与国际交流与合作，将国内标准化成果向国际输出，把握国际规则制定的主导权。

四是重视用户隐私保护。我国在进行虚拟身份管理的同时一定要重视隐私保护。其一，要求服务方采用严格的隐私保护政策， 在收集、使用、披露用户信息的各个环节做严格规定，从技术层面上做好隐私保护设计工作;其二，基于相关法律法规，明确要求服务方提供可靠隐私保护，并做好责任认定、授权管理等工作;其三，加强对于国内公民隐私保护教育工作，提高国民隐私保护意识;其四，建立虚拟身份分类管理机制，如可分为实名注册与使用、实名注册/匿名使用、匿名注册与使用三类。

参考文献

[1]中国互联网络信息中心.第43次中国互联网络发展状况统计报告[EB/OL].http：//www.cac.gov.cn/2019-02/28/c_1124175686.htm

[2]尚守卫，陈佳，杨军，范叶平.基于电网业务的可信身份认证关键技术研究[J].中国科技纵横，2018（20）.

[3]邓璐.海量虚拟身份数据的存储管理关键技术研究与实现[D].国防科学技术大学，2013.

[4]胡传平，陈兵，方滨兴，邹翔.全球主要国家和地区网络电子身份管理发展与应用[J].中国工程科学，2016（06）.

[5]胡传平.网络空间信任与身份管理[J].信息安全与通信保密，2014（12）.

[6]翟秀凤.从国家治理视角看网络身份认证的现状和困境[J].今传媒（学术版），2017（02）.

作者简介：周启超（1995.08-），男，北京海淀人，硕士研究生，研究方向：网络安全。