【作者】李曉楠 （鄭州大學經濟法治研究中心研究員，法學博士，北大法律信息網簽約作者）

【來源】 北大法寶法學期刊庫 《法律科學》2025年第3期 （文末附本期期刊目錄） 。因篇幅較長，已略去原文注釋。

內容提要：數字身份是現實世界中自然人身份在數字空間的映射，其可信性構成了數字空間安全的重要保障、數字經濟的信任基礎、數字治理的有效工具。當前法律規制未能有效滿足數字身份的可信性需求，包括安全、互操作和個人控制等，制度碎片化有余而體系化不足、縱向規范有余而橫向標準支撐不足、風險防控有余而個人控制不足。隨著數字身份法律內涵的不斷擴張，通過法律規制實現可信數字身份構建應當注重規范與標準的融合、個人控制與數字身份處理的協調、安全性與效率性的平衡。在具體制度層面上，應在基于全流程的數字身份安全監管制度、基于認證效力互認的數字身份互操作制度、基于權益保障的數字身份個人控制制度等方面進行適應性的制度體系革新。

關鍵詞：數字空間；可信數字身份；場景化改造；數字法治

目次 一、問題的提出 二、數字空間下數字身份的法律內涵及其可信性要求 三、數字空間下可信數字身份法律規制的局限 四、數字空間下可信數字身份法律規制的邏輯進路 五、數字空間下可信數字身份法律規制的制度化 六、結語

一

問題的提出

隨著Web3.0時代的到來，經濟社會活動的數字化進程正在全面展開，在實體世界之外形成了新的數字空間。數字空間是由數字技術構建的虛擬環境與實體世界相互映射、融合的綜合空間，具體表現為信息的數字化承載空間、人類活動的數字化延伸場域、社會運行的數字化平臺、價值創造的數字化環境。數字身份是實體社會中自然人身份在數字空間的映射，即個人的數字表示，以證明“我是誰，我能做什么，我擁有什么”，形塑著以“身份”為重要約束條件的數字空間秩序，構成數字空間的重要基礎設施。例如，網絡支付平臺通過數字身份可以與現實世界的自然人用戶建立唯一關聯，確定用戶的真實性，用戶可以通過數字身份獲取特定的支付服務。然而，數字空間本身是一種不安全的空間。數字身份并非總是安全可信，存在偽造、冒用、濫用等現實風險，威脅著數字空間的安全，侵蝕著數字經濟發展的信任基礎，挑戰著監管部門的治理能力。例如，數字空間中的交易欺詐、洗錢犯罪等就與數字身份的偽造、冒用情形等密不可分。究其本質，在數字空間中，經濟社會行為的非面對面特征造就了數字身份被不法應用的土壤，而追求便利和多中心化運行的傾向則進一步加劇了數字身份可信性的保障困境。

在可信性保障上，現有數字身份的法律規制至少存在三方面的不足。一是規制的體系性不足。數字身份的法律規制至少涉及三類法律規范：專門身份管理規范、數據保護規范以及其他部門法規范，如《電子商務法》《反洗錢法》等。但目前我國并未對數字身份進行準確的法律界定，對數字身份的可信性要求也沒有系統作出規定，導致法律規制的碎片化和體系性缺失。二是規制工具的準備不足。數字身份是經濟社會生活數字化轉型的產物，現有法律規范在數字身份安全、真實性核驗以及合理利用方面的規定還較為原則，缺少具體技術標準的支撐。三是數字身份具有典型的個人屬性，而現有規制工具更多關注身份安全的治理，較少關注個人控制的實現。

既有研究已經關注到數字身份的法律規制問題。例如，有學者從秩序維護的角度出發認為數字空間身份管理規則的構建是數字信任建立的基點，并需要依靠國家認證平臺建設和顯名規則的構建等來實現；有學者分析了個人信息保護法在數字身份法律規制中的作用；有學者還從數字身份共享的視角認為數字身份的法律規制應當考慮互操作性的需要；有學者將數字身份與基本權利聯系起來，認為數字身份的法律規制應當關注數字弱勢群體，提高數字身份的普惠性以及數字身份主體的控制權能。但由于缺乏“可信性”這一數字身份法律規制目的的統領，現有研究并未系統回答需要什么樣的數字身份、如何通過法律保障實現可信數字身份構建的問題，且研究具有分散化、局部性特征，未能有效回應我國當前可信數字身份法律規制的實踐困境和不足問題。本文嘗試對可信數字身份法律規制進行研究，以彌合理論研究與實踐需求之間的鴻溝。

二

數字空間下數字身份的法律內涵及其可信性要求

（一）數字空間的演變及數字身份法律內涵的擴展

1.數字身份的初始階段：單一化的工具屬性。20世紀70年代，信息技術的快速崛起（如計算機、網絡通信），為數字空間概念的萌發奠定了基礎。“網絡空間”概念的提出標志著數字空間的雛形產生，它重在描述一個由計算機和網絡技術創造的虛擬空間。此時的數字空間被理解為計算機和網絡技術搭建的虛擬環境，是由二進制代碼創建的虛擬領域，與物理世界相對獨立。此時的數字身份具有如下特征：關聯少量靜態信息如用戶ID號碼，數字身份法律功能較窄，主要以本地用戶識別為主，用于維護信息系統安全，尚未與身份持有者的“法律人格”直接連接，更未涉及跨系統的數字身份認證或法律保護問題；工具屬性突出，主要用于在計算機或網絡系統中驗證用戶的訪問權限，保障數據訪問權限和基礎網絡安全。

2.網絡社會中的數字身份：從工具到社會屬性。隨著互聯網的普及，Web1.0到Web2.0逐步轉型，數字空間不僅指計算機與網絡技術創造的虛擬環境，而且擴展為個體之間互動的空間，表現為人類活動向數字環境的遷移。此時，數字空間被賦予社會屬性，數字空間與現實空間的邊界逐步模糊，數字空間內的權力既由平臺企業主導，也受到用戶行為和政策法規的制約。而數字身份也從單一的安全工具擴展到社會互動的標識性元素，數字身份逐漸與現實身份掛鉤；數字身份承載的法律屬性由身份真實性逐步向法律行為能力擴展，數字身份被賦予法律行為主體的地位；數字身份涉及的個人屬性范圍也從姓名、身份證號擴展至生物特征信息、行為屬性信息等，由此引發隱私權保護的立法需求。

3.智能化時代的數字身份：虛實融合的法律擴張。隨著人工智能、大數據、區塊鏈和5G技術的迅猛發展，數字空間進入智能化、虛擬化和擴展化的時代。數字空間不再限于獨立的網絡環境和社會生活的簡單網絡遷移，而是被視為由數據流動與智能分析驅動的“虛擬—現實”共生系統，涵蓋個體行為、社會交互、經濟活動和文化傳播的整體性虛擬場域。為此，數字身份的內涵和外延拓展至更多維度，包括了法定身份、社會身份、業務身份。在法律層面上，數字身份不但超越個體標簽的屬性，成為數字經濟的權利負擔主體，而且與數字人格保護如網絡接入權、數字知情權等緊密關聯；不但體現了私主體權利，而且在公共治理領域的功能得到擴張，在多個場景如稅務、醫療、投票中得到廣泛應用。

總結來看，隨著數字空間從獨立的虛擬場所、與社會活動結合到虛實融合的演變，數字身份的法律內涵和外延也在不斷擴張，從安全工具擴展到承載人格和經濟權益，從網絡安全工具擴展到數字空間治理工具。

（二）數字身份可信性要求的內涵

1.數字身份可信性何以重要？在數字空間中，人與人、人與組織或機器的互動通常是虛擬的，一個人的數字身份是否真實可靠，他人往往難以判斷，實踐中也存在大量的虛假身份、偽造賬戶、匿名行為等破壞交易信任的行為。可信的數字身份可以使用戶確信與自己互動對象的合法性，對于維持數字空間的秩序、保障信息安全、促進經濟運行和提升用戶體驗具有重大意義，構成數字空間的信任基礎。首先，防止身份盜用和網絡欺詐。在數字空間中，可信數字身份使身份依賴方信賴身份生成方的身份是經過認證的，只有能夠通過身份驗證的用戶才能進行金融交易等關鍵操作，從而降低欺詐性交易的發生概率。其次，促進數字經濟的安全高效運行。通過可信數字身份體系，身份持有者可以享受“一次認證，多點使用”的便利，無需在不同系統中反復驗證自己身份，從而簡化交易和交往流程。最后，數據安全與用戶自主性。由于可信數字身份系統采用了安全的隱私保護技術如零知識證明等，用戶無需暴露其敏感信息即可實現自己的身份認證。此外，可信數字身份意味著身份持有者可以控制自己的身份信息，自主決定將哪些身份數據授權給第三方。

2.數字身份可信性的客觀要求。可信性并不是一個法律概念，而是一種綜合了真實性、可靠性、權威性和可驗證性等特性，而被他人接受并信任的程度，貫穿于信息傳播、技術應用、個人行為與社會關系等多個場景中。在不同的語境或領域中，可信性的判斷標準會根據實際需求有所側重，比如信息交流領域往往關注身份來源的真實性，而技術應用中更強調系統的安全性與可靠性。數字身份可信性的客觀要求是指在數字空間中特定身份信息能夠可靠地代表自然人的一個身份標識。數字身份的可信性構建以法律法規和技術標準為基礎，由權威機構認證，通過技術手段和治理機制，解決各類應用場景中個人的身份核驗與鑒別、身份數據保護與管理、身份權利與責任界定等關鍵問題，具有主體可驗證、操作可追溯、管理可控制、監管可觸達等特征，最終保證數字身份真實、安全、唯一、可驗證和互操作。

3.數字身份可信性的主觀要求。數字身份持有者的權益應得到充分保障以維護個人信任。從個人視角看，數字身份權益既是公權利又是私權利。數字身份權益的公權利表現為個人一方面有獲得數字身份的權利，即每個人都有權公平獲取數字身份，這也是“數字人權”的一種表現，有助于避免數字弱勢群體不能融入數字生活；另一方面，個人有權向公權力部門主張保護數字身份或制止公權力的侵害行為。數字身份權益的私權利表現為個人身份的自主控制，即擁有和控制數字身份的身份持有者對是否以及如何利用數字身份訂立合同、參與組織活動、授權他人使用等具有控制能力。但是，由于受到數字基礎設施發展的制約，數字身份鴻溝客觀存在；數字身份的生成、核驗和鑒別也嚴重依賴數字身份服務提供者，數字身份的個人控制天然受到數字技術發展及法律規制程度的限制。為此，數字身份個人信任的實現需要法律制度構建，以充分回應個人的數字身份需求及身份持有者的自主權。

三

數字空間下可信數字身份法律規制的局限

（一）數字身份安全規制的碎片化

從基礎層、邏輯層、數據層、應用層這樣的網絡空間結構劃分出發，可信數字身份安全可以被概括為“身份真實性”和“身份數據安全”兩大方面。數字身份表征個人權利（利益）并作為社會交往的信任基礎，數字身份安全首先就體現為對身份真實性的保障，在應用層是安全的。此外，數字身份在物理意義上表現為個人屬性或特征的數據集合，通常存儲于身份系統當中，故數字身份的安全也是身份數據的安全，體現為基礎設施層、業務邏輯層和數據層的安全。但“身份真實性”和“身份數據安全”并不是完全割裂的，數字身份真實性需要身份數據的安全保障，身份數據安全最終體現為數字身份真實性。當前的法律制度缺少針對數字身份安全的橫向規制，表現為法律體系層面的碎片化、監管主體的碎片化、安全標準的碎片化。

就法律體系層面的碎片化而言，當前缺乏統一的橫向數字身份安全專門立法。既有的數字身份安全的相關法律規定大致可以分為三類。第一類是概括的網絡實名制要求。如《電子商務法》和《網絡安全法》僅概括提出網絡運營商、數字平臺等落實用戶實名制要求。第二類是專門的數字身份及其服務規范。如《電子簽名法》《電子認證服務管理辦法》等確立了數字簽名的法律效力及其使用規范，明確了數字簽名服務機構的準入和安全義務。第三類是涉及數字身份安全的特定行業規范，如《反洗錢法》《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》確立了金融用戶身份認證的要求和標準。當然這三類規定之間也存在關聯，網絡實名制規范塑造了數字身份認證標準，特定行業規范體現了數字身份認證的具體場景需求。但從規范內容和類型上看，數字身份安全的規定或者局限于特定的數字身份鑒別因素及其憑證如電子簽名及認證證書的管理，或者聚焦于特定行業部門的身份管理，垂直色彩明顯，橫向輻射不足。

監管主體的碎片化。監管主體的碎片化表現為數字身份安全的監管職權分散在多個部門，缺乏統一的監管協調機構。例如，公安部門負責居民身份信息管理，網信辦負責互聯網用戶身份管理，中國人民銀行負責金融領域身份認證監管等，各部門之間缺乏有效的身份監管銜接和協調。這種分散的監管模式使得監管標準和執行力度的不一致，導致在處理跨部門的數字身份安全問題時，難以形成統一的應對策略，削弱了數字身份安全規制的有效性。

安全標準的碎片化。盡管已經存在數字身份安全的國家或行業標準，如《信息安全技術網絡身份服務安全技術要求》《互聯網金融個人身份識別技術要求》《面向云計算的零信任體系第6部分：數字身份安全能力要求》等，但這些標準或者是推薦性標準，缺乏強制效力，或者過于概括，缺乏場景關照和細節支持，或者只適用于特定的領域或場景，無法覆蓋整個數字空間。例如中國人民銀行規定，銀行用戶開戶認證需要人臉識別、身份證和手機號信息；網絡服務平臺用戶注冊認證則僅需要手機號信息；政務平臺注冊認證需要身份證和人臉識別。此外，部分新興領域仍存在規制空白，如元宇宙身份認證標準還未出臺、智能合約身份管理標準欠缺、物聯網設備身份認證標準不統一等。當然，不同場景下安全風險的程度差異決定了數字身份認證標準的差異，但數字空間是由數據流動和智能分析驅動的虛擬—現實共生系統，數字身份的認證和驗證幾乎無時無刻不在進行；缺乏橫向的統一標準使得用戶在不同平臺和場景中須符合身份認證的多重要求，不僅增加了用戶的操作復雜性，也降低了數字身份系統的整體安全性。例如，用戶在使用不同數字服務時，可能需要記住多個密碼、使用多種認證方式，甚至在某些情況下，用戶可能因為不熟悉或不適應特定的認證流程而放棄使用某些數字服務。這種碎片化的規制可能導致對用戶身份數據的重復收集和存儲，增加了數據泄露和濫用的風險。此外，缺乏統一的安全認證標準，可能誘發利用不同身份認證服務安全管理差異的身份欺詐或網絡攻擊，進一步威脅用戶的數字身份安全。

（二）數字身份互操作的局限

互操作之所以成為數字身份可信性的核心要求，是因為它直接關系到身份信息的準確性、一致性和可驗證性，是建立信任機制的基礎。通過互操作，可以實現跨系統的身份驗證和信任傳遞，提升整個數字身份體系的可信度。同時，互操作還能夠降低信任成本，提高效率，促進數字身份在更廣范圍內應用和發展。

但區別于現實世界中身份表征以及認證模式較為單一和直觀的情形，數字空間中數字身份認證模式具有多元性特征。數字身份認證模式的多元性或者造成不同平臺之間的身份認證重復、低效甚至失敗，或者造成認證模式或技術路徑上的千差萬別，引發對認證準確性和權威性的質疑。具體來說，一是數字身份載體多元。作為數字身份的載體既可以是有形的，例如居民的第二代身份證、護照、銀行卡等有形記錄公民身份的憑證；也可以是無形的，例如社交平臺的賬號、健康碼、游戲賬號等。二是數字身份用途多元。數字身份既可以用于線上公共服務的申請，又可以用于網絡支付、線上娛樂、線上預約等商業服務，極大提高了服務的可及性和便利性。從本質上看，數字身份的多元性是數字空間場景復雜化的產物，也是不同場景下的身份認證要求差異化的體現。例如身份證可以證明居民身份、學生證可以證明學生身份、游戲賬號可以證明玩家身份、微博賬號可以證明網絡用戶身份等，數字身份在不同的場景下發揮著身份識別功能。三是數字身份認證模式多元，包括：集中式的身份認證模式，即不同服務提供者采用獨立的身份注冊和認證體系；聯邦式的身份認證模式，即不同服務者盡管采用獨立的身份注冊體系，但允許身份數據的共享和交叉認證；自主身份認證模式則允許用戶通過一定的技術如區塊鏈技術實現身份的自我創建與控制。

當前我國主要通過《反不正當競爭法》《反壟斷法》等競爭法規范推動數字身份的互操作，但是《反壟斷法》和《反不正當競爭法》主要針對市場行為，難以解決互操作中的法律和技術標準統一問題，無法為大型平臺配合推動數字身份互操作提供制度保障；同時，競爭規則的執行具有復雜性——包括市場支配地位界定模糊、不正當競爭行為邊界模糊、執法周期較長等，這些因素決定了依靠競爭法推動數字身份互操作存在局限性。考慮到數字身份具有基礎設施地位，有必要通過管制手段推動數字身份的互操作，但當前仍存在兩個法律問題。一是未能回應身份真實性的差異化需求。例如，在核驗要求上，當前除《居民身份證法》明確將身份證號、姓名、指紋信息等作為法定的身份屬性外，對于反映個人身份的其他屬性（如社會屬性、經濟屬性、生物特征屬性、環境屬性、行為屬性等），現行法律既未明確其在身份核驗時的效力功能，更未對不同屬性的效力位階和關聯性作出規定。在鑒別要求上，不同身份鑒別方式如單因素鑒別、多因素鑒別、動態鑒別以及不同鑒別因素的效力區分和聯系并不清晰。二是身份認證效力互認機制的法律保障不足。當前的數字身份服務包括身份核驗服務、身份鑒別服務等大多由第三方主體提供，服務的權威性和可靠性受到挑戰。盡管部分技術標準如《網絡身份服務安全技術要求》對服務安全做了明確規定，但由于缺乏服務準入監管、互認過程中的責任邊界模糊、互認標準和程序規范缺失等，在跨安全域的情況下，即便不考慮風險控制要求的不同，身份依賴方也很難信賴使用其他安全域的身份服務提供方的數字身份認證結論。

（三）數字身份個人控制的不足

數字身份與個人屬性緊密關聯，涵蓋了法定身份、社會身份、業務身份，其內容早已超脫了傳統的身份信息如身份證號、姓名、年齡等。隨著數字技術的發展，個人交易信息、社交信息等身份替代數據也逐漸融入數字身份當中，在大數據、機器學習等技術加持下，數字身份更加全面地描述或刻畫個人屬性。但數字身份的數據物理本質及對身份系統的依賴性意味著數字身份的識別和認證離不開技術支持，這決定了數字身份通常需要依賴身份服務提供方如數字身份核驗方、鑒別方進行管理。這種依賴第三方技術支持的特征具有削弱個人控制的基因，如果沒有法律及時介入，他人就容易借助特定人的個人數據身份侵害個人權益。一是數字服務參與者有“門檻”要求，部分難以獲取、不擅長使用數字技術的人群難以享受數字身份帶來的便利服務，數字鴻溝、數字排斥現象凸顯。數字身份生成后，通常就由數字身份服務提供者控制，個人失去了對自己數字身份的控制權，難以自主開展數字身份的訪問、利用、糾正等處理行為，也難以禁止數字身份的濫用，導致數字身份權益存在被侵害風險。二是數字身份認證系統的預先設定特點，導致數字身份依賴方往往忽視真實身份而依賴“注冊”身份，認證系統一旦發生功能性的漏洞或錯誤，就會導致欺詐行為的發生，或者導致相關主體被排除出服務范圍。

從應然角度來看，數字身份是個人主體性的集中體現，個人控制數字身份亦是維護自我、發展自我并體現自主性的題中應有之義。個人控制強調在數字身份權利保障中的個人參與，通過賦予個人干預數字身份聲稱方、依賴方、服務提供方的不當利用行為，實現數字身份權利保護的目的，有利于緩解數字身份利用上個人的弱勢地位。盡管有研究從技術路線出發提出建立基于區塊鏈技術的去中心化的數字身份系統，從技術層面上賦予用戶管理和控制數字身份的主動權，但這種技術層面的介入仍需法律予以保障，因為即便在去中心化的數字身份系統下，個人仍難以做到完全的自治，仍需要依賴數字身份錢包等基礎設施實施數字身份管理。

現有法律規制已經開始關注數字身份個人控制的實現，但主要局限在個人信息保護領域，與數字身份應用場景關聯但又并不完全適配。即便《個人信息保護法》可以適用于數字身份的利用，進而部分緩解個人控制不足的問題，但數字身份利用畢竟有別于個人信息的利用。一是數字身份的應用場景聚焦于生成、核驗、鑒別等認證環節，法律規制也主要服務于認證目的的實現。個人在身份認證中的參與不同于對個人信息的控制。二是個人信息以內容為核心構建利用規則，數字身份以身份狀態為核心構建利用規則，個人信息的內容改變可能影響身份，但身份的改變卻并不一定是因為個人信息的改變。因此，《個人信息保護法》難以完全應對數字身份的個人控制不足的難題。數字身份個人控制規則的缺失部分導致了個人權益保護問題，并直接導致了個人難以制衡數字身份濫用或因身份系統故障導致的錯誤認證等。在數字身份的利用關涉數字身份主體權益同時又嚴重依賴技術基礎和第三方管理的情況下，如何構建和完善數字身份的個人控制機制是塑造數字信任必須考慮的問題。

四

數字空間下可信數字身份法律規制的邏輯進路

（一）法律規范與技術標準的融合

數字身份的安全性、互操作性和個人控制的缺失都可部分歸因于數字身份技術標準與法律規范的脫節，即在數字身份設計、實現和管理中，技術標準和法律規范之間存在不匹配或不協調的現象，導致技術標準難以滿足法律需求，或者法律規范無法有效指導和約束技術實踐。一是法律規范對數據安全、隱私保護、認證流程等提出了要求，但技術設計者在設計時缺乏對法律細節的充分理解，導致技術標準的設定不完善。比如，法律要求用戶享有對身份數據處理的充分知情權和控制權，但技術標準未提供用戶可輕松管理和撤回個人身份數據的功能。二是某些數字身份技術比法律的發展步伐更快，現行法律未能及時對新技術進行適配與確認，導致法律框架未能系統規制技術應用。例如，通過區塊鏈技術構建分布式數字身份系統可以有效降低集中身份管理可能存在的盜竊和篡改風險，數字身份主體通過密鑰可以安全地與第三方共享身份數據，數字簽名與驗證過程出現了去中心化特點。但傳統監管通常強調中心化管理如由企業或政府承擔治理責任，兩者之間缺乏對接，無法滿足監管需要。三是跨領域溝通存在障礙。技術標準更多關注效率、系統性能和行業通用性，通常難以顧及復雜的法律價值如隱私權、網絡接入權、可問責性等；法律規范往往不了解技術實現的資源要求或可行范圍，導致對技術的約束過于理想化或不具可操作性。

在由技術推動且應用場景復雜多變的數字空間中，可信數字身份的法律規制需要以法律框架和技術標準為雙重支撐。法律規范可賦予可信數字身份合法性，明確數字主體的權責范圍，約束數字身份的生成、認證及使用行為，通過立法設定整體框架，保障社會秩序和個體權利。技術標準確定數字身份系統的技術實現過程中需要遵循的各種規范，包括數據結構、驗證流程、加密算法、互操作性等技術層面的規則等，確保技術方案的規范性和可操作性。技術是法律可執行和落地的工具，技術標準的準確性直接影響法律規范的可執行性。法律為技術設定倫理和安全邊界，有助于避免技術風險擴大。法律規范與技術標準只有深度融合，才能實現可信數字身份在社會信任體系和技術實踐中的價值最大化。具體來說，籠統的行為規范和責任追究難以充分發揮作用。比如，數字身份安全面臨黑客攻擊、管理疏漏等威脅，僅籠統要求數字身份服務提供者履行安全保障義務，但缺乏具有可操作性的數字身份認證流程安全標準難以實現安全保障的目的。又如，游戲防沉迷中的實名認證要求，金融機構的客戶身份識別義務等已經明確提出識別未成年人和金融客戶身份的監管要求，但如果沒有動態鑒別、生物識別等身份認證標準的建立與應用，這些身份真實性的要求就容易被規避，難以真正實現數字身份認證目的。再如，即便通過規范要求不同安全域的身份依賴者履行數字身份認證的互相認可以及交叉認證義務，但如果缺乏認證的標準化建設如不同身份系統的接口標準、身份數據交換等，數字身份互認也難以得到具體落實。

按照不同的技術層面和功能目標，數字身份技術標準大致可分為身份認證技術標準、身份數據管理標準、標準化協議與互聯互通標準、權限管理與操作流程標準等。在法律規范和技術標準融合方式上，應當區分技術標準的不同類型和功能，或者采用沒有法律強制力的倡導性標準，或者采用具有法律約束力的技術法規。具有法律強制力的技術標準主要適用于直接影響公共安全、國家利益、個人數據權益的核心領域。故對國家的重要系統如醫療認證系統、金融系統的身份認證技術標準，政府系統下的身份數據管理標準，電子身份證、電子護照等法定身份的互聯互通和操作流程標準等應當采用技術法規的形式。而對非關鍵領域如通用商業應用或那些隨著技術快速變化而需要保留靈活性的領域中的身份認證標準、企業內部權限管理與分級授權、互操作性協議可采用倡導性標準的立法。總之，為公共安全和關鍵信息基礎設施設定強制性安全標準，在創新性較高或市場驅動的領域可采用推薦性標準。在不同場景下調整標準執行的嚴格程度，通過標準法律化與市場靈活性的結合，可以同時實現成熟系統的安全性和新興技術的高效部署。

在協同立法與標準制定融合的保障機制上，應注重立法協同、監管跟進和試驗驗證。一是強化跨部門協作，由監管機構、立法機構、技術專家共同參與數字身份立法和標準制定，確保法律與技術同步推進。二是可以建立跨學科的技術與法律專家委員會，常態化監督技術與法律規范的協調性。三是建立法律與技術實踐的“沙盒”模式，在數字身份技術實際落地前，通過模擬真實應用場景進行測試，以確保技術標準符合法律規范。這種模式可以為新技術提供一個相對安全的試驗環境，允許企業在有限的范圍內進行創新和嘗試，同時確保其操作不會違反現行法律法規。通過這種方式，可以在技術實際應用之前發現潛在的法律問題，并進行相應的調整和優化。此外，根據試點情況，相關部門可以及時調整法規，以適應技術發展的需要，確保法律與技術的同步發展，從而為數字身份技術的廣泛應用提供堅實的法律基礎。

（二）個人控制與公共利益的協調

數字身份具有塑造數字經濟信任、規范網絡行為、維護網絡空間秩序的重要公共職能。在社會安全方面，可信數字身份能夠為網絡犯罪防范、公共空間治理等提供有效工具。在公共監督和治理方面，為維護公共秩序、推動經濟活動合規，政府和機構需要對數字身份有一定管理權限。而數字身份的個人控制要求個人享有身份認證自主權、身份信息處理決定權。這就造成了個人控制和公共利益之間的矛盾與協同需求。具體來說，公共治理容易導致身份數據收集范圍和使用目的的擴張，而用戶對自己數字身份的自主控制可能削弱政府對身份的有效管理。數字空間立法，一方面要回應數字身份承載的個人權益，強化個人對數字身份的控制，另一方面又要兼顧數字身份的公共價值。這是數字身份法律規制的一大挑戰。

從法律邏輯上看，個人控制與公共利益協調的核心在于平衡數字空間中個人對數字身份的控制權與國家、社會的公共利益。在平衡路徑上，一是建立“公共有限優先，個人授權”的基本原則。立法應賦予公共利益優先權，但需遵循合法、透明和受限原則，并確保不侵害個人基本權利。建立“社會共享責任”制度，在個人對自己身份享有部分控制權的基礎上，進一步與政府、企業分享部分權利以實現公共利益。二是落實最小化與透明性原則。公共部門在調用個人數字身份屬性信息時，應遵循“必要性”原則，以滿足公共需求的最小數據量為限度，并及時告知身份持有人身份利用的方式、目的、可能的影響等信息。三是明確因公共利益而使用數字身份數據的邊界。法律對公共治理所需的權力范圍進行明確限定，在涉及應急管理、公共安全等方面時可適當放寬對個人的控制，同時對濫用個人數字身份數據的行為設定問責機制，定期進行追蹤評估。四是建立公共利益的技術引導程序，例如通過區塊鏈等分布式身份技術賦予個人對數字身份的完全控制，在不泄露完整身份信息的情況下，用戶可以通過部分授權分享相關身份數據，同時通過去中心化技術滿足機構驗證和公共需求，實現“最少暴露、按需共享”的身份數據授權。

當然，個人對數字身份數據的控制不等于數字身份安全保護力度的減弱，原因在于個人控制從本質上是個人介入數字身份管理。但由于數字身份本身的技術特點以及系統依賴性，通過個人控制的數字身份數據安全保護難以充分發揮作用，為此應主要通過公法監管來實現對數字身份安全的保護，而個人控制更多是對個人自主權的回應。總之，在數字空間中，可信數字身份的規制需要在個人控制與公共利益之間找到平衡點，并通過法律保障和技術落地實現協同治理。這一進路不僅需要靈活的法律框架設定，而且需要技術支持使不同主體的利益目標能夠兼容。

（三）安全性與效率性的融合

在可信數字身份的構建過程中，安全與效率之間的基本矛盾難以回避。安全性的要求貫穿于數字身份認證和應用的整個生命周期。具體而言，數字身份的創建需要采用加密技術來確保身份信息的唯一性和不可偽造性；在驗證環節，必須實施嚴格的身份鑒別機制，以確保只有合法注冊用戶才能訪問其身份信息或請求數字身份服務；在應用階段，則應要求數字身份的每一次調用都必須經過嚴格授權，并采取多層次安全措施，防止身份數據被非法訪問或篡改。但高安全性的加密和驗證技術往往伴隨著較大的算力消耗和復雜的管理流程，降低數字身份管理系統的運行效率。效率性的要求則體現在注冊、鑒別、管理等環節的快速高效執行，以避免操作上的繁雜和用戶良好體驗感的下降。例如，在身份注冊環節，需要簡化身份登記流程，提高身份核驗效率；鑒別過程則要求快速響應身份持有者或身份依賴者的身份鑒別請求；在身份管理過程中，需要實時監控數字身份的使用狀態，及時發現并應對潛在的安全威脅。但追求快速處理和無縫連接可能會削弱對數字身份的安全保護，增加數據泄露或身份被冒用的風險。同時監管所倡導的“安全優先”原則可能對技術創新和操作便捷性構成不當限制。

可信數字身份的法律規制需要在確保安全性的前提下，提升治理效率，以適應快速發展的數字環境。首先，實施“安全效率分區管理”策略。鑒于數字空間的多元性，應根據具體應用場景設定不同的安全與效率優先級。對于那些對安全性要求極高的場景，如電子政務、跨境支付等，應著重強調采用加密標準和雙因素認證等措施以增強安全性。例如，電子政務系統中敏感數據的傳輸必須通過高級別的加密技術來確保數據不被未授權訪問，同時，雙因素認證機制能夠有效防止身份盜用和欺詐行為。而對于低風險應用場景如在線購物賬號登錄，則應減少不必要的驗證步驟，以提升操作的便捷性，增強用戶的良好體驗感。例如，通過簡化登錄流程，用戶可以更快速地完成購物，同時，通過智能風險評估系統來動態調整安全措施，既可以保證交易安全，又可以提高效率。其次，推動數字身份標準化進程。通過立法手段促進技術研發遵循國際標準，從而在實現標準化的過程中提升安全性和效率性。例如，采用網絡加密協議標準，如傳輸層安全性協議不僅能夠保護數據在互聯網中傳輸的機密性和完整性，而且能通過優化算法減少數據傳輸的延遲，從而提高整體的網絡通信效率；采用零知識證明等密碼技術，在不泄露任何個人信息的情況下，向驗證方證明其擁有某些特定信息或屬性，這在保護身份數據安全的同時，簡化了認證流程。最后，建立法律動態調節機制。當數字身份技術進步能夠提供更高效的安全認證手段時，法律體系須隨之進行適應性調整，接納新型認證模式，在確保法律適用性的同時，提升社會管理的整體效率。然而，當遭遇高風險行為或由新技術引發的安全威脅時，法律應將保障安全性置于首位。在此前提下，法律應擇機推動認證效率的進一步優化，以實現安全與效率的有機統一。

五

數字空間下可信數字身份法律規制的制度化

（一）基于全流程的數字身份安全監管

1.劃定數字身份保證級別。從國際實踐看，歐盟《電子身份識別和信托服務條例》（eIDAS）將身份保證級別區分為基礎級、顯著級、高級，并提出差異化的技術要求、運營要求。基礎級身份保證主要適用于一般信息服務、低風險業務、基礎會員服務、非敏感信息訪問等；顯著級身份保證主要適用于金融交易、政府服務、醫療健康等；高級別身份保證主要適用于大額金融交易、關鍵政務服務、要害部門訪問等。美國《數字身份指南》（NIST）則區分低風險、中級風險、高風險等不同數字身份風險等級，分別對應有限、嚴重和災難性的機密損失、完整性損失、可用性損失、隱私泄漏風險、財務損失，將身份保證級別進一步劃分為一、二、三級，分別對應低風險、中級風險和高風險場景。基于安全與效率的協調需要，我國可以借鑒上述分級要求，建立保證級別認定和評估機制，依據不同場景對身份真實性的需求差異，劃分出初、中、高的身份保證級別，并以原則要求和具體列舉相結合的方式將應用場景與保證級別逐一對應。

2.完善數字身份服務安全準入監管。根據《網絡身份服務安全技術要求》，數字身份服務可以進一步區分為身份核驗服務、身份鑒別服務等兩類。核驗服務包括身份注冊、身份憑證管理等；鑒別服務即通過鑒別器對聲稱方進行身份鑒別。身份核驗服務指收集身份申請方身份信息，驗證申請方身份信息真實性，并向申請方頒發身份憑證；身份鑒別服務指對聲稱方進行身份鑒別后，將鑒別結果提供給依賴方。鑒于數字身份在數字空間中的基礎設施功能及其作用的發揮依賴第三方服務提供者，故應當建立數字身份服務準入監管。但在準入管理上同樣應采用分類分級原則，按照身份依賴方所處領域的風險實施差異化準入，在安全與效率之間實現平衡。在準入要求設置上，構建包括主體資格、資本要求、技術能力、安全保障、服務標準等在內的基本指標體系。在準入機制上，可以采用強制許可與備案管理相結合的方式。針對高保證級別的身份服務，實施嚴格的準入審查和全面的技術評估；針對中等和低保證級別的身份服務，實施基本要求審查和合規性評估，或者實施備案管理。在準入實施上，可采用政府認證、行業認證、市場自律認證的多元準入認證體系。

3.數字身份核驗、認證和管理安全。一是細化身份核驗標準。個人身份屬性類別包括法定屬性、通信屬性、經濟屬性、生物特征屬性、行為屬性等。身份核驗階段應遵循最小化原則收集滿足業務功能需要的用戶屬性信息。但在實名要求、用戶屬性的類型要求、身份核驗方法上，可根據不同的身份保證程度做出差異化要求。在實名要求上，對初級別身份保證場景如資訊類社交平臺可不要求實名，允許匿名進行內容互動；對中級或高級別身份保證場景如金融服務的用戶就有必要實名而不能匿名，應進行實名核驗。在個人屬性的類型要求上，只要能夠滿足用戶標志的唯一性要求，初級別保證可不需要收集個人的法定屬性信息。中級別保證除了應收集法定屬性信息，還應根據業務需要收集經濟屬性、社會屬性信息。高級別保證則還應收集生物特征屬性、行為屬性信息。在核驗方法上，對初級別保證可不做要求，對中級和高級別保證除了需要核驗法定身份證明文件或其他權威第三方提供的證明文件外，還應采取申請者現場身份核驗的方式進行。

二是明確身份鑒別標準。數字身份鑒別標準即何種情形下可以確認數字身份聲稱人與數字身份憑證反映的人相符。傳統制度下，管理方主要通過物理身份憑證持有及與現實個人對比的方式實現身份認證。在數字空間，身份憑證主要表現為電子身份證、數字證書、身份驗證器、可驗證憑證等。數字身份聲稱人需要通過私鑰、數字簽名、短信驗證碼、生物識別信息等鑒別要素證明自己是身份合法持有者，以接入特定數字服務。總結來說，典型的身份鑒別要素主要包括知道的信息如口令等；擁有的東西如動態口令令牌、數字證書等身份憑證；固有的特征如指紋、虹膜、人臉等生物信息。但與數字身份核驗類似，數字身份鑒別的標準并不是單一的，而應依據不同場景對身份真實性的需求程度分層次地確定鑒別標準。例如在線支付服務通常需要用戶提供動態短信驗證碼、支付密碼、生物特征信息乃至數字證書的私鑰，而在線信息服務通常只需要用戶提供賬號密碼。為此，應根據身份保證級別的要求，靈活采取單因素、多因素鑒別方式。對于高保證級別的場景，可采取多因素的動態身份鑒別方式，并從簡單的用戶名/口令向令牌、人臉識別等遷移。

三是強化數字身份安全管理。首先，完善數字身份全周期管理機制，包括身份的創建、使用、更新和注銷等各個環節，確保每個階段的操作都符合法律法規的要求。身份創建階段，應嚴格遵循身份核驗規則，確保身份信息的真實性和準確性；在使用階段，需定期進行身份鑒別，防止身份盜用和冒用；在更新階段，應及時更新身份屬性，以反映用戶的最新狀態；在注銷階段，需確保身份信息的徹底刪除，防止數據殘留帶來的安全風險。其次，應加強身份信息的保護措施，包括采用加密技術對身份數據進行加密存儲和傳輸，防止數據在傳輸過程中被截獲或篡改；建立多層次的安全防護體系，包括防火墻、入侵檢測系統等，防止外部攻擊對身份信息的竊取。最后，還需建立身份異常行為的監測和響應機制。通過大數據分析和人工智能技術，實時監測身份使用過程中的異常行為如頻繁登錄失敗、異常地理位置登錄等，并及時采取相應的安全措施如臨時凍結賬戶、發送安全提示等。

4.構建數字身份安全監督機制。一是強化部門協調。首先，不同監管機構之間要建立信息共享機制。可通過建立跨部門、跨地區的數字身份安全信息共享平臺，實現信息的實時更新和共享。平臺可以建立一個集中的數據庫，在其中存儲所有與數字身份相關的安全事件、違規行為記錄以及安全漏洞信息。平臺還應提供交互界面，讓各監管部門能夠上傳、查詢和分析數據，從而快速響應各種安全威脅。其次，明確監管分工。基于數字身份的基礎設施地位，應該形成以網信部門橫向監管為基礎的條塊相結合的監管職能劃分格局。網信部門統籌協調數字空間中的數字身份監管，其他監管部門應根據其專業領域和職能范圍明確自己的監管職責和權限。例如，公安部門負責數字身份證的注冊、發放和管理，網信部門統籌數字身份認證標準的制定，金融監管機構則側重于金融交易領域數字身份安全標準的實施等。二是推動社會共治。通過行業協會、數字身份服務提供者以及社會公眾的參與，形成多元化的治理格局。行業協會可以制定行業標準，引導數字身份服務提供者加強自身數字身份安全建設；數字身份服務提供者可以通過技術創新，提升自身產品和服務的安全性能；社會公眾可以通過增強安全意識，參與到數字身份安全的監督中來。三是定期開展安全評估。監管部門應要求提供數字身份服務的機構定期進行自我評估，并向監管部門提交評估報告；監管部門則對數字身份系統進行獨立的安全審計，以確保評估的客觀性和準確性。

（二）基于認證效力互認的數字身份互操作

1.構建統一的技術和管理標準。世界各國或地區都在試圖建立相對統一的數字身份識別和認證機制。例如歐盟《電子身份識別、認證和信任服務》（eIDAS）就致力于通過統一的數字身份識別和認證框架實現成員國之間個人數字身份的互認，以服務于歐盟數字一體化市場的建立。歐洲電信標準化協會和歐盟標準化協會制定了規范數字身份識別和認證的若干標準，以配合《電子身份識別、認證和信任服務》的具體實施。美國則通過《數字身份指南》《改進數字身份法案》以支持公私領域內可靠、可互操作的數字身份認證機制的建立，而標準化又成為統一數字身份識別和認證機制的重點和方向。美國的國家標準與技術研究院（NIST）制定了一系列數字身份認證標準作為《數字身份指南》《改進數字身份法案》的配套規范。

我國應當借鑒國際經驗推動建立符合國情的統一數字身份技術和管理標準。其一，應明確數字身份的核心技術要求，包括加密算法、身份驗證協議、數據交換格式等，確保不同數字身份服務提供者之間的技術兼容性。其二，制定統一的管理規范，涵蓋身份注冊、認證流程、數據保護等，確保服務的安全性和可靠性。此外，應鼓勵行業協會和龍頭企業參與標準的制定和推廣，形成行業共識，促進數字身份服務的標準化，提高互操作性。通過這樣的標準化建設，不僅可以提升數字身份服務的整體水平，而且能為跨部門、跨地區的數字身份互認奠定基礎，推動數字經濟健康發展。當然，建立統一的數字身份標準并不意味著無差別監管，而應整合多層次的法律規制框架。但由于不同場景對數字身份真實性需要程度存在差異，故而管理機關需要在橫向監管之外建立適應行業應用場景風險特點的縱向行業標準，實現監管的靈活性。

2.不同保證級別的認證結果互認。首先，擴展法定數字身份的范圍。改變當前以數字身份發行者的身份來確定數字身份法律地位的現狀，以“唯一性”的客觀標準確立數字身份標識的法律地位。也即只要某類身份標識可以與特定個人唯一關聯，滿足身份核驗要求，無論是否由政府部門創建，都應該賦予其法定數字身份的效力，為數字身份的互操作提供基礎。其次，需要明確各級別保證的認證標準和技術要求。初級別保證的認證可以依賴簡單的身份驗證手段，如用戶名和密碼；中級別保證的認證需引入多因素，如動態令牌或生物識別技術；高級別保證的認證應采用更為嚴格的復合認證方式，結合多種鑒別要素，確保身份的真實性和安全性。例如，初級別認證可能僅要求用戶輸入一個預設的密碼；中級別認證可能要求用戶在輸入密碼的同時，輸入通過手機接收的一次性驗證碼進行驗證；高級別認證可能需要用戶在完成密碼和驗證碼驗證的基礎上，通過指紋或面部識別技術進行二次驗證。最后，建立認證結果互認機制。在法律層面上明確互操作要求，確保不同機構間的認證結果能夠在法律層面得到相互認可。原則上來講，同一身份保證級別的數字身份及其認證結果應當通用，高級別保證的數字身份及其認證結果可以在初級別保證場景下使用。例如，金融場景下的數字身份認證結果可以在醫療、教育等領域應用，但網絡信息服務場景下的認證結果則不能在金融、醫療等領域應用。認證結果的互認離不開統一的認證系統平臺建設。當前我國已經建立起國家電子認證根證書頒發機構（Certificate Authority），國家電子認證根證書頒發機構簽發的數字證書被認為是可信的。驗證者在驗證某一數字證書的真實性時，可以通過證書鏈的驗證追溯到國家電子認證根證書頒發機構簽發的根證書，建立整個數字信任鏈的起點。國家電子認證根證書頒發機構為不同區域和部門之間的數字證書認證提供了統一的標準和平臺，使得不同數字身份證書頒發機構簽發的證書可以實現相互認證。根證書頒發機構的統一管理和認證，簡化了跨區域、跨部門認證的流程，提高了認證的效率和便捷性。但由于國家法律并未確立國家電子認證根證書頒發機構的法定地位及第三方身份服務提供者的強制接入要求，因此在實際操作中仍存在一定障礙。為推動認證結果互認的落地實施，建議在法律中明確規定國家電子認證根證書頒發機構的法定地位，賦予其數字身份認證的權威性和公信力。同時，有序推動提供數字身份服務的機構接入國家電子認證根證書頒發機構系統，實現認證結果的互認和共享。

（三）基于權益保障的數字身份個人控制

1.明確數字身份權利的內容及其邊界。數字身份權利既具有公共權利屬性又是私權利。作為具有公共屬性的權利，數字身份不僅是私益的載體，而且是自然人參與社會治理的重要方式，是個體與政府之間形成權利義務關系的基礎，個人有權公平獲得基本的數字身份。一是國家賦予和管理。法定的數字身份由政府或授權的機構頒發并管理。例如，電子身份證、社會保障號碼、電子護照等，這些都是個人數字身份權利的一部分。二是公共服務的依賴性。數字身份與公眾獲取國家和機構提供公共服務的權利密切相關。例如，公民通過數字身份登錄政務系統辦理行政許可、享受醫保服務或領取福利。三是社會參與工具與公共治理工具。數字身份是公民參與政治生活和公共事務管理的重要工具。例如，在電子政務中，數字身份可用于驗證選民是否真實，保障選舉的公平和公正。政府有責任確保公民的數字身份安全，避免數字身份被用于非法監控或數據泄露。數字身份作為一種具有公共屬性的權利，公民必須依法妥善使用，不得冒用他人身份從事違法活動。

作為私權利，數字身份是個體在數字空間中開展自身活動和實現自身利益的重要基礎。一是個人數字身份的自主性。個體對其數字身份擁有某種程度的自由處分權，如用戶對其在社交媒體上的賬號、用戶名或個人資料擁有支配權，包括但不限于用戶對自身數字身份的知情權、選擇權、更正權、刪除權以及數據可攜帶權等。知情權意味著用戶有權知曉其數字身份被收集、使用、存儲和傳輸的具體情況；選擇權則賦予用戶決定其數字身份是否以及如何被使用的權利；更正權允許用戶對其不準確的身份信息進行修正；刪除權確保用戶能夠在不需要時請求有關機構刪除其數字身份及其相關數據；可攜帶權則允許用戶在不同服務提供者之間轉移其數字身份及相關數據，促進市場競爭，保護用戶選擇自由。二是契約與經濟權益。數字身份允許個人通過數字化平臺參與經濟交易并形成私法上的契約關系，如電子商務中的賬戶使用權。數字身份的發展還帶來了虛擬財產權益保護的規范問題，如賬號、虛擬貨幣的法律保護。當然數字身份還包含大量個人隱私信息，如姓名、地址、電話號碼等，一旦泄露或被濫用，將會嚴重侵犯個人隱私權甚至財產權。

數字身份橫跨公法和私法這兩大領域，同時具有“私益性”和“公益性”，既作為個體活動的工具，也服務于公共服務的提供和公共秩序的管理。個人法定數字身份需由政府或平臺“生成”，個人創建某些數字身份信息需要依托于公法層面的身份制度，例如身份證號、電子簽名的合法性等；公權力部門在一定條件下可以接管或使用個人的數字身份，如進行反恐怖調查、保障公共利益等。如同個人信息的個人控制應當受到合理利用的限制，數字身份雖然原則上應由個人控制，但也應受到公共利益、效率或其他更高價值的約束，數字身份的使用應受到有限控制已經成為共識。原則上，個人有權決定是否應用數字身份進行身份的識別和認證，決定特定的數字服務提供商、數字身份識別或認證機構如何接入以及處理數字身份數據。但是如果數字身份的應用如識別、認證等存在更高的價值，則應當合理限制個人控制數字身份的權利。但因不同數字服務場景下數字身份應用的價值存在位階和程度差異，數字身份被冒用、篡改、認證錯漏等對個人的影響也存在差異，因此個人對數字身份控制的實現必然是場景化的。根據場景一致性理論，具體場景由數字身份類型、參與主體、利用原則界定。例如在電子銀行轉賬的場景下，數字身份的類型為合法持有的有行為能力的主體；參與主體為數字身份主體和銀行；利用原則是身份主體的授權同意。又如在反洗錢監管的場景下，數字身份的類型為存在洗錢嫌疑的主體；參與主體為監管機構、銀行及數字身份主體；利用原則是法律授權。這里的數字身份利用原則實際上就是根據數字身份類型與參與主體，兼顧平衡不同利益的產物。具體場景下利益的考量涉及三個層面，一是具體場景本身的價值及目的；二是數字身份利用的收益、成本以及可能的風險；三是數字身份利用是否違反公平公正等倫理要求。

場景理論只是提供了確定數字身份個人控制與應用原則的基本思路，如對自由價值、安全價值、公共福利價值的比較衡量。不同場景下目標追求不同，因而不同價值的優先順位就會存在區別，或者個人控制優先或者自由應用優先。但在數字身份實踐還未全面展開的前提下，不宜過分強調抽象的公共利益需要或以經濟社會福利理由削弱個人的數字身份控制權。或可在場景理論的指導下通過“市場機制”自下而上的回應方式而非自上而下的“權利推導”方式制定數字身份的個人控制規則，通過實踐總結、反饋甚至是計量分析，在數字身份持有者與依賴者之間妥當分配權利義務，既直擊數字身份下的個人權益保護痛點，又可以擺脫繁雜而脫離實踐的冗余規則。

2.數字身份授權管理。首先，數字身份授權內容界定。個人在申請數字身份以及身份持有者在發起鑒別服務時，應該清楚地知道哪些身份屬性信息被數字身份服務提供者收集和向身份依賴方提供，以及這些信息將如何被處理和存儲。例如，身份持有者可能只愿意授權身份依賴方使用其姓名和賬戶信息等基礎信息，而不希望共享其位置數據或購物偏好等業務屬性信息。因此，數字身份服務提供者必須提供清晰的授權選項，讓數字身份持有者能夠根據自身需求和隱私偏好作出選擇，包括授權范圍、授權級別或授權條件。其次，身份授權過程應透明。在授權過程中，身份持有者應接受全面的告知，了解授權的具體內容、目的以及可能帶來的風險。授權告知應以易于理解的語言呈現，避免使用復雜的法律術語。授權確認環節需要身份持有者明確表示同意，身份持有者可以通過點擊同意按鈕、簽署電子協議或進行其他形式的明確表示來完成。此外，數字身份服務提供者還應定期向身份持有者提供授權使用情況的報告，包括哪些身份依賴方使用了個人的數字身份、被使用的時間和頻率等詳細信息。最后，建立身份授權變更和撤銷機制。在數字身份的生命周期中，身份持有者的需求和外部環境都可能發生變化。為此，數字身份服務提供者應提供便捷的在線工具，允許身份持有者隨時查看、修改或撤銷其授權，為個人提供靈活控制自己數字身份的手段。

3.完善個人數字身份權利的救濟途徑。一是在各級網絡安全和信息化委員會辦公室成立專門的數字身份權利保護機構，負責處理與個人數字身份權利相關的投訴、舉報，解決相關糾紛，為身份持有者提供一個便捷、高效的維權渠道。二是完善相關法律法規，明確數字身份權利侵害的法律責任和賠償標準。細化數字身份侵權的具體情形如身份盜用、數據濫用、虛假冒用等，避免因法律模糊導致執法司法困難；強化針對侵權行為的責任追究，明確身份服務提供者和身份依賴方在維護用戶數字身份安全中的義務，包括侵權快速追溯和證據保全機制；制定賠償標準，明確經濟賠償的計算依據，將個人因數字身份侵權產生的經濟損失、非物質損害如名譽受損等量化為不同級別的賠償標準。

六

結語

數字空間形態和功能的持續演變凸顯了可信數字身份的基礎設施地位。可信數字身份使個人能夠便捷和輕松地證明自己的身份狀態，并徹底改變社會交互方式。比如人們可以使用單一的數字身份在多種需要驗證身份的服務場景中自由切換，而無需重復證明自己的身份。可信數字身份的應用使服務提供者可以精確地匹配服務需求，并成為公共治理的重要工具。但是可信數字身份的實現仍面臨諸多挑戰，包括數字身份安全風險、互操作問題以及個人控制挑戰，需要進一步完善基于全流程的數字身份安全監管制度、基于認證效力互認的數字身份互操作制度、基于權益保障的數字身份個人控制制度。當然，可信數字身份的法律規制還需要不斷適應數字空間的發展變化，保持靈活性和前瞻性。隨著技術的不斷進步和應用場景的不斷拓展，保障可信數字身份的法律制度也需要不斷更新和完善。例如，隨著區塊鏈、人工智能等新技術的發展，可能會出現新的數字身份認證方式和應用場景，這就需要法律規制能夠及時跟進，確保新技術在合法、安全、可控的范圍內應用。同時，數字空間的跨國界特性也要求法律規制具有國際視野和合作精神，加強國際法律協調與合作，共同應對數字身份安全、隱私保護等全球性挑戰。總之，可信數字身份的法律規制是一個復雜而重要的課題，需要政府、企業、社會組織以及個人等多方面共同努力和持續探索，以構建一個安全、便捷、互信的數字空間環境。

-向上滑動，查看完整目錄-

《法律科學》2025年第3期目錄

【法律文化與法律價值】

1.憲法基本權利的發展主義型式

齊延平（3）

2.十九世紀歐洲戰爭權的法理基礎及其嬗變：從自由貿易到自由帝國主義

王博（18）

【中國人工智能立法專論】

3.人工智能立法的動態演化框架與制度設計

李學堯（32）

4.新技術新應用風險規制的結構性反思與法律理念的重塑

汪慶華（45）

【科技新時代法學】

5.深度偽造技術濫用行為的刑法回應

鄭高鍵（56）

6.可信數字身份的法律保障

李曉楠（69）

7.個人信息保護合規審計的基本框架與制度銜接

趙精武（83）

【法律制度與部門法理】

8.備案審查中的若干疑難問題

王鍇（98）

9.我國犯罪化規模理論的理性選擇

姜濤（114）

10.論刑事證據規范表達形式的合理性

縱博（132）

11.CPTPP國有企業章節的規制路徑與我國的制度對接

時業偉（149）

【法律思維與法律方法】

12.論可得利益損失的計算方法

陳龍業（161）

【青年論壇】

13.信息信義關系的法律保護

劉亞菲（176）

14.法律干預的回旋鏢效應

——以建設工程價款優先受償權制度為例

方瑋倫（187）

《法律科學》是由西北政法大學主辦的、面向國內外公開發行的學術性刊物。《法律科學》主要發表法學學術理論文章，辟有法律文化與法律價值、法律思維與法律方法、部門法理、法律制度探微、科技新時代法學等欄目，注重學術性、專業性、知識性。本刊列入中文核心期刊、法律類核心期刊、中文社科常用期刊、法學類最重要的核心期刊、中文社會科學引文索引來源期刊（CSSCI）。

智能寫作4.0

1. 私有智庫：單篇對話與向量檢索的智能融合

自建知識庫是智能寫作4.0的一大創新亮點，它賦予了用戶構建個性化知識體系的能力。這一功能不僅支持單篇對話的存儲，使得用戶可以輕松回顧和整理過往的交流內容，而且通過向量檢索技術，用戶能夠實現對知識庫內容的高效檢索。這意味著，無論您的知識庫多么龐大，您都可以通過關鍵詞或短語快速定位到所需信息，極大地提升了信息檢索的準確性和便捷性。

2. 一劃即達：法寶全庫數據的劃詞能力

劃詞檢索法寶全庫數據功能是智能寫作4.0的另一項革命性創新。用戶在閱讀或編輯文檔時，只需輕輕一劃，選中的文本即可觸發智能檢索，系統會立即從法寶全庫中檢索出相關數據和信息。這一功能不僅極大地簡化了信息查找的過程，而且通過實時更新的數據庫，確保了檢索結果的時效性和準確性，使得用戶能夠快速獲取到最相關的資料和數據。

3. 語言無界：19種語言的智能翻譯大師

智能寫作4.0的智能翻譯功能，支持多達19種語言的互譯，覆蓋了全球大部分主要語言。這一功能不僅能夠實現文本的即時翻譯，而且通過先進的算法優化，確保了翻譯的流暢性和準確性。無論您是需要將中文文檔翻譯成英文，還是需要將西班牙文翻譯成法文，智能寫作4.0都能為您提供準確、自然的翻譯結果，讓您的跨語言溝通和創作更加輕松。

4. 模板王國：6000+文書模板與個性化定制的創意工具

智能寫作4.0提供了6000+的文書模板，覆蓋了法律、商務、教育等多個領域，滿足不同用戶的需求。這些模板由專業人士設計，確保了其專業性和實用性。此外，智能寫作4.0還支持自建文書模板，用戶可以根據自己的需求和喜好，創建個性化的模板，這不僅提高了文書創作的效率，而且使得文書更具個性化和專業性。

5. 實用工具：賦能司法案例的深度檢索報告

智能寫作4.0賦能司法案例檢索報告功能，是法律專業人士的得力助手。它不僅能夠檢索到最新的司法案例，而且通過智能分析，為用戶提供案例的詳細報告，包括案件的基本情況、判決結果、爭議焦點、法律依據等關鍵信息。這一功能不僅極大地提高了法律研究的效率，而且通過深入的案例分析，幫助用戶更好地理解法律條文和司法實踐，為法律實務工作提供了強有力的支持。

責任編輯 | 郭晴晴

審核人員 | 張文碩 韓爽

本文聲明 | 本文章僅限學習交流使用，如遇侵權，我們會及時刪除。本文章不代表北大法律信息網（北大法寶）和北京北大英華科技有限公司的法律意見或對相關法規/案件/事件等的解讀。