未来的国际驾驶许可证(IDP)不应是另一份需要随身携带的文件。它应是一种受监管、可通过密码学验证的方式,用于在跨境场景中——无论线上还是线下——呈现本国驾驶特权,同时实现最小化数据披露,而不将每一次验证变成监控行为。
人人都说国际驾驶许可证的未来是数字化的。这并没有错——但还不够具体。
手机上的PDF小册子不是未来。更好看的二维码不是未来。营销材料中带有”驾驶”字样的区块链代币也不是未来。
真正的问题远不止于格式层面。它归结为一个核心问题:一项由某一机构颁发的合法驾驶特权,如何在另一个地方、面对另一个验证方,在压力之下、有时没有网络连接的情况下,变得可理解、可信任且可使用,同时不暴露超出必要范围的个人数据?
这是纸质国际驾驶许可证从未完全解决的问题。也是下一代系统必须回答的问题。
为何纸质国际驾驶许可证解决了可读性,却未解决信任问题
纸质国际驾驶许可证在纸张是主要媒介的时代是合理的。它充当了一个兼容层——在一套驾照体系与另一套之间建立人类可读的连接。这是有用的,在某种程度上,至今仍然如此。
但现代跨境出行的难点已不再仅仅是可读性。而是信任。
如今的验证方面临着一系列更难的问题:
- 他们能判断证件是否真实吗?
- 他们能确认证件仍然有效吗?
- 他们能只查看实际需要的特定字段吗?
- 他们能在不每次联系签发机构的情况下完成这些操作吗?
- 他们能在线上、当面以及路边完成验证吗?
- 他们能做到这一切而不将出行变成一个全球追踪系统吗?
这就是为什么未来的国际驾驶许可证不应被理解为一个数字小册子项目,而应被理解为一个呈现架构问题。
已指向数字化国际驾驶许可证的标准
这已不再是理论层面的讨论。标准化社区已朝这一方向迈进:
- ISO/IEC 18013-1:2018 建立了一种模型,使单一安全驾照既可用于国内目的,也可用于国际认可目的,预见到了机器可读技术以及生物识别、密码学和压缩技术的融合。
- ISO/IEC 18013-3 涵盖访问控制、身份认证和完整性验证。
- ISO/IEC 18013-5 定义了移动驾照、读取设备与签发机构基础设施之间的接口,包括其他国家验证方的使用方式。
- ISO/IEC 18013-7 新增了通过互联网呈现移动驾照的功能。
- 联合国欧洲经济委员会关于电子驾驶许可证的工作将技术和安全要求与 ISO/IEC 18013-5 的合规性相关联。
数字化国际驾驶许可证的错误路径
错误的路径是:将现有国际驾驶许可证转换为数字格式,然后放入一个应用程序。这听起来高效,但它保留了错误的重心——它让整个系统仍然以文件作为物理对象为核心。
更好的路径是将国际驾驶视为对国家颁发的驾驶权利的受控呈现。
这一转变至关重要,因为一旦你从呈现的角度思考,设计问题就会变得更加精准:
- 驾驶基础权利由谁签发?
- 持有人如何接收和存储证件?
- 验证方如何仅请求其合理所需的数据?
- 签发机构的密钥如何分发和获取信任?
- 如何在签发机构不进行实时追踪的情况下完成吊销检查?
- 哪些场景可以离线使用,哪些仍需纸质备份?
- 哪类验证方被允许查看哪类数据,理由是什么?
这才是设计纸质国际驾驶许可证替代方案更严肃的方式。
未来国际驾驶许可证的更优定义
以下是一个拟议的定义:
未来的国际驾驶许可证是一种基于标准的派生跨境证件,它以符合情境的方式向验证方呈现由国家签发的驾驶特权,并具备以下特征:由持有人掌控、支持密码学验证、基于角色的信息披露、线上与线下呈现流程,以及隐私保护的状态查询。
这一定义是经过刻意限定的。它不会:
- 将未来国际驾驶许可证设定为独立的驾驶权利
- 将其变成通用身份数据存储库
- 要求每次交易都与签发机构保持实时连接
- 假设租车台、警察和保险公司应当看到相同的字段
- 将区块链作为系统的核心
这是对信任问题的严谨回答。
可行的未来国际驾驶许可证的七大组成部分
去除营销语言后,一个可行的未来国际驾驶许可证需要七个组成部分:
- 权威的国家事实来源。驾驶的法律权利来自国内驾照管理机构。国际层面永远不应创设驾驶权利——只应呈现它们。
- 签发机构。由受信任的公共机构,或代表其行事的受严格监管的授权签发方,签发反映当前驾驶特权的数字证件。
- 持有人钱包。驾驶人需要一个安全的钱包,用于存储证件、保护私钥、认证持有人身份,并向验证方呈现证件。
- 验证方或读取设备。可以是警察设备、租车台读取器、在线系统或其他授权验证方。
- 信任注册表。验证方需要一种可靠的方式,来获取合法签发机构的公钥和信任元数据。
- 状态层。必须有一种隐私保护的方式来表达暂停、吊销、到期或状态变更。
- 纸质备份。电池耗尽、网络不佳、设备损坏、保守的司法管辖区以及过渡期政策环境,都是正常现实——而非边缘情况。
基于角色的披露:同一证件,面向不同受众
身份系统中最大的设计失误之一,就是假设一份证件对应一种披露方式。这恰恰与良好设计背道而驰。
路边拦车的警察与租车台的合理需求不同。租车台与雇主的需求不同。雇主与在线预审系统的需求也不同。
未来的国际驾驶许可证应支持针对不同验证方类别的差异化披露集:
- 路边检查:身份信息、照片、驾驶类别与权利、限制条件、有效状态。默认情况下不超出以上范围。
- 租车台:身份信息、照片、驾驶类别、签发与到期日期,可能包含年龄信息——但不是证件中的所有字段。
- 在线预审:身份证明、相关驾驶权利证明、当前有效性证明,可能还包括与预订关联的确认信息。
- 雇主或车队合规:一套独立的、经明确同意的工作流程,而非与出行验证相同的披露规则。
现行标准已支持这一模型。美国国家标准与技术研究院(NIST)当前的移动驾照草案描述了允许验证方指定所请求属性的查询机制。美国机动车管理协会(AAMVA)的实施指南要求应用程序清晰显示所请求的数据,并赋予持有人对共享数据元素的完全控制权。
未来的国际驾驶许可证不应是一张数字卡片,而应是一种受控的信息披露工具。
即时验证不应变成即时监控
这正是许多数字身份项目走偏的地方。它们将”实时验证”描述为天然的进步,但事实并非如此。
验证方需要的是及时的信任,而签发机构并不需要知道持有人每次呈现证件的地点和时间。这一区别至关重要。
欧盟架构与参考框架对此明确指出:依赖方不应在每次呈现证件时都请求相关状态列表。正确做法是:
- 更新后的列表应在与特定用户呈现行为无关的时间和地点单独下载。
- 状态列表中的位置应随机化,并包含足够多的条目以提供集体隐私保护。
- 列表请求不得成为追踪特定持有人的信号。
美国国家标准与技术研究院(NIST)当前的移动驾照草案描述了基于签发机构签名和公钥的验证方验证方式,无需直接联系签发机构。美国机动车管理协会(AAMVA)的指南在其实施指引中禁止服务器检索,转而以设备检索加上基于信任服务的公钥分发为核心。
未来的国际驾驶许可证应支持即时验证——而不留下驾驶人在何处、何时证明了自身身份的全球记录。
信任分发:机器可读形式的治理
许多人讨论钱包和密码学,却很少讨论真正使信任得以运转的基础设施——但基础设施才是关键所在。
验证方只有在能够可靠地发现并信任签发机构的公钥及相关元数据时,才能信任一份证件。未来的国际驾驶许可证生态系统需要一套机器可读、可治理的方式来回答以下问题:
- 哪些签发机构是合法的?
- 哪些公钥是当前有效的?
- 哪些签发机构被授权用于哪些司法管辖区?
- 哪些验证方类别已完成注册或获得认证?
- 当签发机构轮换密钥或更改政策时,应如何处理?
美国机动车管理协会(AAMVA)的数字信任服务是一个具体示例:它为依赖方提供一种单一、安全、稳健的方式,通过经验证的签发机构证书颁发机构列表获取签发机构的公钥。欧盟的移动驾照手册描述了成员国向欧盟委员会申报授权移动驾照签发机构、委员会发布该列表以供验证,以及在钱包信任框架内进行依赖方注册的机制。
这就是未来国际驾驶许可证所需要的方向——不是一个让所有人扫描二维码后不经验证就信任结果的系统,而是一个信任可分发、可版本化、可机器核查的系统。
线上场景与路边场景必须共享同一套统一系统
一个严肃的未来国际驾驶许可证,不能将自身拆分为多个独立系统:一个用于路边检查,一个用于汽车租赁,一个用于远程入职,一个用于身份验证,另一个用于驾驶资格验证。这种碎片化正是用户目前所受的困扰。
现有技术标准已足以避免这一问题:
- ISO/IEC 18013-5 定义了当面呈现移动驾照的接口。
- ISO/IEC 18013-7 将其扩展到通过互联网呈现的场景。
- 欧盟移动驾照手册将汽车租赁和路边检查均列为验证场景,并描述了远程共享以及使用二维码触发流程、蓝牙、Wi-Fi Aware 和近场通信(NFC)进行近距离验证的方式。
未来的系统必须同时支持线上和当面场景,因为出行本身包含两者。移动出行包含两者。信任也需要两者兼顾。
面向网络的协议层已趋于成熟
多年来,身份领域的讨论之所以常常缺乏精确性,部分原因在于协议层尚未完善。如今情况大为改观:
- OpenID 可验证证件签发 1.0(OpenID4VCI) 定义了一套受 OAuth 保护的证件签发 API,明确支持多种证件格式,包括 ISO mdoc、SD-JWT VC 和 W3C VCDM 证件。
- OpenID 可验证呈现 1.0(OpenID4VP) 定义了验证方请求和接收证件呈现的机制。
- W3C 可验证证件数据模型 2.0 将签发机构、持有人和验证方构成的三方生态系统正式规范化。
这改变了整个讨论格局。未来的国际驾驶许可证不再需要被构想为一个带有定制流程的单一政府应用程序。它可以被设计为建立在更广泛可互操作生态系统之上的受监管证件规范。
这并不消除公共治理的必要性,而是消除了”没有现代协议栈可以依托”这一借口。
为何区块链是可选的——但认可是不可或缺的
未来的国际驾驶许可证不需要以区块链为基础。这并不意味着分布式账本技术毫无用处——它在特定的透明度或注册表角色中可能具有价值——但不应将其视为驾驶证件系统的核心。
W3C 可验证证件数据模型 2.0 明确指出,可验证数据注册表可以采取多种形式:可信数据库、去中心化数据库、政府身份数据库或分布式账本。去中心化标识符(DID)核心规范同样明确指出,许多(但并非所有)DID 方法使用分布式账本。这些标准并不强制要求区块链优先的架构。
这是正确的立场,因为未来国际驾驶许可证最难的部分不是技术,而是:
- 法律认可
- 签发机构治理
- 读取设备部署
- 验证方认证
- 信任列表运营
- 吊销逻辑
- 跨境政策协调
美国机动车管理协会(AAMVA)构建了信任服务;欧盟手册涵盖签发机构发布和依赖方注册;联合国欧洲经济委员会草案将电子许可证与 ISO/IEC 18013-5 相关联。真正的挑战不在于缺少密码学——而在于受治理的互操作性。
未来国际驾驶许可证在实践中的现实流程
未来的国际驾驶许可证在实践中应当简洁易用。以下是三种常见场景下的工作方式:
1. 签发或刷新
国家机构验证底层驾照记录,并将证件签发到持有人的钱包中。钱包安全存储证件、保护密钥,并可在受监管的签发流程中刷新状态或接收更新的证明。OpenID4VCI 提供了可行的面向网络的签发层,而美国机动车管理协会(AAMVA)的指南要求对存储数据进行加密、安全存储密钥,并在数据被访问或释放时对持有人进行身份认证。
2. 远程租车预审
租车平台发送一个经过认证的请求,要求提供最小化的驾驶权利集。钱包将请求展示给持有人,持有人批准后,验证方通过支持互联网的流程接收呈现内容,验证签发机构签名和密钥材料,查询本地可用的信任和状态信息,并完成预审批。欧盟移动驾照手册已描述远程租车共享场景;美国国家标准与技术研究院(NIST)草案描述了查询驱动的属性请求;OpenID4VP 和 ISO/IEC 18013-7 为基于互联网的呈现流程提供了整体方向。
3. 路边检查
警察请求路边披露集。持有人通过近距离流程进行呈现。读取设备在本地验证证件,查验驾驶权利和有效性,且仅查看所需内容。默认情况下不联系签发机构。欧盟手册描述了基于二维码触发、蓝牙、Wi-Fi Aware 和近场通信(NFC)的路边验证方式,而 ISO/IEC 18013-5 和美国机动车管理协会(AAMVA)指南以设备检索和近距离验证为核心,而非实时联系签发机构。
这才是正确的用户体验:快速、可验证、最小侵扰、简洁易用。
未来国际驾驶许可证不是什么
明确而言,未来的国际驾驶许可证不是:
- 独立的驾驶执照
- 卡片的图像
- 通用的身份数据集合
- 由验证方控制的监控渠道
- 数字格式的纸张
- 依赖区块链的信任系统
它是建立在国家签发的驾驶特权之上、受严格治理的呈现层。这听起来不那么戏剧化——但实现的可能性要大得多。
迁移路径与架构本身同等重要
再好的架构,如果迁移路径不切实际,也毫无意义。各国政府不会一夜之间替换所有纸质流程——也不应该这样做。
一条切实可行的路径如下:
- 第一阶段:保留纸质文件,增加安全的数字伴生文件。
- 第二阶段:标准化签发机构信任列表和验证方类别。
- 第三阶段:同时支持近距离呈现和远程呈现。
- 第四阶段:将常规检查和租车场景转向数字优先流程。
- 第五阶段:将纸质小册子从主要地位降级为备份地位。
这条路径与标准及官方生态系统工作的既有方向相符:ISO 的单一文件逻辑、美国机动车管理协会(AAMVA)的信任服务基础设施、欧盟数字身份(EUDI)基于钱包的移动驾照用例,以及联合国欧洲经济委员会(UNECE)向符合 ISO/IEC 18013-5 的电子许可证模型的推进。
核心论点,一句话概括
论点提炼如下:未来的国际驾驶许可证不是数字小册子,而是对跨境信任问题的受治理解答。
不是旧文件的更好看版本——而是更好的系统。一个这样的系统:
- 法律权利仍来自国家机构
- 持有人掌控呈现方式
- 验证方只获取所需内容
- 可在无默认监控的情况下核查信任
- 远程使用与当面使用共享同一架构
- 纸质文件仅在仍具实际价值之处保留
这是应当追求的标准。
一旦你以这种方式看待这个问题,真正有趣的问题就不再是国际驾驶许可证是否应该数字化,而是:谁愿意足够认真地设计跨境驾驶人身份层,从而在替代纸质文件的同时,不重蹈其弱点——也不引入新的弱点?
这一切都不是推测。美国国家标准与技术研究院(NIST)当前的移动驾照工作描述了一个由用户控制的钱包、一个无需直接联系签发机构即可验证真实性的验证方,以及一个围绕签发机构、钱包和验证方构建的证件生态系统。美国机动车管理协会(AAMVA)的数字信任服务已投入使用,用于分发签发机构的公钥。欧盟的移动驾照手册在更广泛的信任框架内描述了授权签发机构列表和依赖方注册机制。
出版 四月 17, 2026 • 5m
