迈向数字友好世界：中国以自主标准引领全球可信数字治理新纪元

　　GB／T 46142－2025快速响应矩阵码新国家标准于2025年8月29日正式实施。该标准采标自我国主导研制的ISO国际标准，通过统一的技术规范，系统性提升了QR码在数据安全、身份认证、权限管理及隐私保护方面的能力，为其在各类场景中的安全应用构建了可信、可控、可追溯的数字基础设施。新标准不仅显著强化了QR码的安全防护能力，更深入践行了“数字友好”理念，致力于推动技术普惠、优化用户体验并共建社会信任，为全球数字经济发展注入新动能，展现了我国在数字治理领域的创新能力和国际引领力。

　　一、背景知识：QR码与当前挑战

　　1．什么是QR码？它与二维码什么关系？

　　QR码的中文名称“快速响应矩阵码”，是二维码中应用最广泛的主流技术形式，核心功能是存储信息（如文本、链接、数字等）。它具有支持数据类型多、通用性强、扫描快、成本低等特点，我们日常场景中手机扫码接触的几乎都是QR码，因此“QR码”常常被等同于“二维码”。

　　2．QR码目前在哪些领域广泛使用？有哪些具体形式和使用方法？

　　QR码已广泛渗透至人类生产生活的各个方面，涵盖智慧交通（电子车票、证照管理）、零售（扫码支付、商品溯源）、物流（跨境追踪、仓储管理）、医疗（药品追溯、电子病历）、跨境贸易与通关便利化（数字贸易、快速清关）、金融与跨境支付（数字货币、实时结算）、生命健康（远程诊疗、健康监测、细胞科技）、数字社区（智能安防、居家养老、便民服务平台）、数字校园（数字教务、校园一卡通、学生身心健康与安全）、元宇宙（虚拟会议、数字孪生、沉浸式互动体验），以及文化旅游、政务服务和工业制造设备管理等各行各业。在双碳领域，QR码也正广泛应用于产品碳足迹追溯、绿色供应链管理、碳排放数据采集与监测等场景，助力企业和机构实现精准碳核算和绿色发展。QR码分为静态码和动态码，印刷在各类包装、票证、设备等实物上的为静态码，码的载体可以是纸张，亦可以是金属、玻璃、塑料等材质；通过手机、电脑、专用电子设备等智能终端上呈现的是动态码（可实时更新）。

　　3．传统QR码在技术及应用中存在哪些重要问题或制约瓶颈？

　　传统QR码除了物理脆弱性、数据容量有限的相对短板外，最重要核心的是安全性问题。具体体现在：

　　一是，安全防护薄弱，易被篡改与批量复制伪造，以及被恶意替换或钓鱼攻击。如支付码被篡改或替换，资金会直接流入攻击者账户；登录码被伪造，会导致账号被盗、身份冒用；访问动态令牌QR码若泄露，等于将系统密钥交给了攻击者；如QR码被植入钓鱼链接，则会被诱导进入伪冒或钓鱼网站；同时，扫码获取的信息数据（如个人手机号、消费记录等）传输过程中可能被拦截盗取等，导致各种损失甚至系统性风险。

　　二是，基于目前传统密码学增强QR码安全性的成本高且效果有限。如采用动态QR码（内容实时生成，如支付码）提高了安全性，但具有复杂性且实现成本高，需要复杂的后端系统、稳定的网络连接和更多的服务器，许多中小场景不愿或无力采用；而且随着算力及人工智能快速发展，现有加密算法也能被轻易破解。同时，动态QR码交易需依赖实时后台服务验证，一旦出现服务器故障或断网，即无法完成支付。

　　三是，安全标准不统一与碎片化问题。原有QR码国家标准只定义了如何编码数据，并未规定任何加密、签名或身份验证等要求，缺乏内置安全机制，数据的真实性和完整性完全依赖于外部方案。而不同行业、不同机构或企业对QR码的安全实现方式各不相同，很多甚至什么都不用，导致缺乏一个统一、广泛认可及共同遵守的安全验证框架。据调研显示，食品追溯系统中80％以上的QR码未采用防伪技术，仅作为网址入口，无法实现真正溯源。同时验证环节缺失，扫描器APP或应用系统通常只负责解析数据，不负责验证来源，缺乏低成本且便捷易操作的QR码识别、认证方式和手段，无法即时辨别QR码的真伪与安全性。

　　四是，现有社会安全意识普遍缺失，绝大多数机构、企业及用户都认为“QR码／二维码都是安全的”，不了解他们可以被伪造、篡改，缺乏对潜在风险的基本认知，难以主动采取有效的解决方案与预防措施。

　　QR码的核心优势是便利，而增加安全性的技术手段及其它相关强健性补救措施带来的复杂性、高成本及不佳体验，导致其便利性与安全性不可兼得、变成对立。因此，当前QR码的核心矛盾在于技术上的“傻白甜”（简单、无安全能力）与应用上的“高风险”（各种损失）之间有巨大落差，成为QR码在数字金融、公共服务、数字新零售、跨境贸易、数字资产等与人身和财产权益更紧密场景中加大应用推广的先天缺陷与明显制约。

　　4．该标准之前国家发布过哪些QR码国家标准，其规范目的与重点是什么？

　　GB／T 18284《快速响应矩阵码》是2016年国家发布的QR码基础技术标准，定义了符号结构、编码规则和纠错机制等基础规范。2024年发布了GB／T 33993《商品二维码》国家标准（2017年首次发布，2024年进行了修订），规范了商品二维码／QR码的数据结构、信息服务、符号表示（即二维码图形本身）和印制质量要求，简单来说就是规定了商品二维码／QR码应该包含哪些信息、怎么组织这些信息、生成的二维码长什么样以及打印出来需要达到什么清晰度等；该标准旨在统一商品二维码／QR码技术规范、打通信息壁垒、并促进国内外市场衔接互通等。这些国家标准为QR码技术在我国生活、生产及服务中的广泛应用以促进商品跨境流通发挥了重要作用，建立了一致性应用基础与框架体系，但尚未规范到QR码安全性这一对数字化、资产化、智慧化具有核心影响的关键内容。

　　二、新国家标准的核心突破：安全与数字友好的统一

　　1．制定及发布该国家标准有什么重要的背景？

　　通过前面的背景知识我们已经知道，QR码作为二维码中最广泛、最常用的技术形式，具有易识读、应用广、成本低的特点，但安全性缺陷成为其在更加广泛、更具价值的中高端场景及数字资产等领域应用推广的掣肘。因此，基于自主可控、全球领先的CCKS元信任技术，我国发起并主导研制了以建立和强化QR码安全性及可信数据识别与认证机制为核心的QR码应用国际标准ISO37180，通过技术升维及安全标准统一，突破QR码的现有局限，建立数字安全保障及边缘可信认证机制，将QR码从“信息入口”演进为“智能交互节点”，并重构人、物、数据的连接方式，实现以真实、安全、可信为基石的数据流动与互通；后续结合算力、AI及物联网技术等，使QR码在城市交通、跨境贸易与通关便利化、工业物联网、数字资产、数字金融、食品安全等诸多领域发挥更大作用，成为数字经济的重大应用基础设施之一。为更好地服务于数字中国建设整体布局规划与数字经济加快转型发展，结合我国QR码应用国情，国家标准委员会批准通过采标程序，历时21月，实现了将我国主导研制的安全QR码国际标准ISO37180转标为国家标准的目标，现正式发布并推广实施发挥其应有作用，同时与国际标准ISO37180自然衔接，形成统一的全球性技术框架与应用基础设施。

　　2．QR码的安全识别和认证授权为什么至关重要，需要从国家标准层面进行统一规范？

　　一方面，QR码的本质是一个“超链接”或“指令触发器”，本身不包含任何主动安全机制，且用户扫码设备会自动执行操作而无法预先判断QR码的内容和进行二次确认，使得恶意QR码极具欺骗性。餐厅桌子上的码、海报上的码、产品包装上的码，攻击者只需简单地粘贴一个恶意的QR码／二维码，就能轻易地进行“嫁接”攻击；也就是说，它在一个用户几乎无法验证其真实性的场景下，自动化地触发可能涉及财产、隐私和系统安全的高风险操作，并给消费者或商家造成损失。因此，它在应用中存在着重大安全风险与危害。

　　另一方面，QR码已经从一个简单的“跳转工具”演变成了连接物理世界和数字世界的关键信任桥梁。QR码已渗透到金融支付、电子证照、防伪鉴真、系统访问等生活与生产的方方面面，且登录、身份验证、获取信息、连接Wi－Fi、访问设备等，成为无处不在的入口点，一旦被攻破，后果不堪设想，恶意QR码可能引导用户下载木马APP、植入钓鱼网址、泄露个人信息（位置、联系人等）。因此，该国家标准的发布恰合时宜、意义重大。

　　3．该国家标准对QR码整体安全性及识别认证等核心问题提出了哪些技术规范要求？

　　首先，推荐采用国产自主、高安全、低成本、易维护的底层密钥技术，并遵循国家标准GB／T 36625．3－2021（9．2）中“组合诚信密钥系统（CCKS）”的安全规定。CCKS （Combined Credit Key System）是我国原创研发、自主可控、全球领先的无中心化标识认证与密钥体系，同时是数字化重要领域多项ISO国际标准成功研制并获其专家认可推荐的关键支撑技术；具有构建去中心化共识可信数字身份体系、去中心化点对点双向可信认证机制、私钥分级授权体系及全时域数据安全自主保护及强大跨平台融合能力的多维优势与特性，是从互联网传统中心化技术模式迈向数字时代以安全、信任、有序为基石的无中心化新一代信链网基础设施的关键核心技术。

　　基于上述所遵循的CCKS无中心化标识认证与密钥体系，该标准从整体安全、生成识别认证、授权机制及隐私保护等方面对QR码应用提出了系统性的规范要求，以构建QR码应用的安全防线，确保其作为信任桥梁的可控、可靠与可追溯。

　　整体安全性方面：要求采用端到端安全可信的数据通信方式，能够实现交易过程的可追溯性；须支持离线生成与双离线识别认证；应实现安全管理，包括数据真实性校验、防病毒、防钓鱼及域名验证等；保障智能终端与服务器间快速建立安全数据交互通道，实现快速数据交互。实现可信数据交换与共享：对QR码应用中所涉及的数据交换与共享过程进行全链路可信安全管理，确保数据安全、合规及可追溯。

　　QR码生成、识别和认证的安全性方面：每个QR码应绑定主体与对象的唯一可信数字身份标识，实现身份可追溯；要求“一码一密钥”，杜绝批量伪造；实施精细权限管理，按业务类型设定数据权限，支持分领域分级管理；兼容各类移动终端与物联网设备，支持大规模并发及双向可信认证；生成、识别与认证时间需符合国家与行业标准（注：在国际标准中该项指标明确定义应小于200ms），避免业务延时；具备双离线应用能力，在断网等极端环境下仍可完成生成、认证、签名与验签操作。

　　QR码授权安全性方面：要求客户信息应以唯一可信身份标识管理并加密存储于数据库；QR码关联的数字身份、权益凭证、数字钱包等应加密存储于安全容器（软件或硬件加密模块）；授权过程中，客户设备生成带数字签名的加密QR码，接收方验签通过后方完成授权，否则需作出负面响应。

　　隐私信息安全性方面：推行基于可信数字身份的分级分类授权机制，纵向授权为同一业务内按级别进行访问控制；横向授权即跨业务部门基于可信身份实现数据共享与协同管理。

　　运维管理方面：从QR码应用的规范完整性出发，该国家标准对包括服务管理、数据分析、基于CCKS可信标识认证技术统一管理QR码应用中用户身份信息的注册管理、以CCKS密钥体系保障数字安全的终端应用等模块在内的配套可信支持设施也提出了相应要求，为QR码的广泛可靠应用提供全面支撑。

　　4．符合该国家标准的QR码／二维码具有哪些突出特性与先进性？

　　整体安全性：从采集生成元数据到传输、交换、存储全流程，保护数据真实不被伪冒篡改，即使数据被盗也无法使用，解决了传统QR码／二维码易被批量复制伪冒的痛点，使QR码从原来的“信息载体、信息入口”升维成“资产载体、价值端点”。

　　身份唯一性：每个QR码／二维码具有唯一可信数字标识，不被重复与伪冒篡改，实现“一物一码一密”，使赋码产品、商品、设备等各类实物及资产都能拥有唯一可信数字身份，并能被识别、认证、授权、管理及流通、估值、交易。

　　全域适用性：双离线可信认证，数据即时交换，使赋码产品、商品、设备等各类实物及资产，无论在有网、无网的环境中，是否有中心服务器支持，都能随时随地使用手机、PDA等智能终端进行扫码鉴真、确权、交易、明责。

　　全球流通性：符合该国家标准的QR码／二维码，也同时符合ISO37180国际标准技术规范要求，并都基于CCKS元信任技术的底层密钥技术及所构建的安全可信数据交换共享基础设施，因此，一旦在业务合作层面达成共识，机构和企业的赋码产品、设备等的相关信息及数据即能便捷、低成本地互认互通、共享协作。

　　三、标准推广意义：从万物互联到万物互信

　　GB／T 46142－2025的推广实施，标志着我们从“万物互联”向“万物有身份”迈出关键一步。本标准旨在为物理与虚拟世界中的各类实体构建全域可验证的唯一数字身份，通过建立广泛的数字友好共识与认证机制，为社会治理与经济发展构建全新的可信基石。

　　1．社会价值：构建可信社会的基石

　　奠定信任根基：通过为万物分发可信数字身份并建立认证体系，从根本上保障数据来源的真实性与流通的可追溯性，筑牢数字时代的信任基础。

　　重塑治理模式：使城市设施、商品、文档等实体获得可识别、可管理的数字身份，为实现高度自动化、精细化的数字治理提供全新范式。

　　促进包容性发展：通过低门槛、高兼容的身份识别技术，赋能老年人、残障人士等群体及其辅助设备无缝接入数字世界，推动社会的真正数字化包容。

　　提升系统韧性：在公共安全、应急管理、跨境贸易、生命健康、食品安全预警等诸多重要场景中，实现对人员、物资、设备的高精度身份认证与动态追溯，显著增强社会协同效率和抗冲击能力。

　　2．经济价值：驱动价值互联的新引擎

　　畅通国内国际双循环：通过建立全国统一、国际兼容的可信数字身份体系，打破地域壁垒和信任隔阂，促进商品、服务、数据等要素在统一大市场内高效流通，同时为国际经贸往来提供可信认证基础，为构建新发展格局提供关键数字基座。

　　优化经济运行成本：基于可信身份认证，大幅降低验证、对账、防伪、合规等环节的社会性成本。

　　催生价值互联生态：打破“数据孤岛”，使任何被认证的实体都能成为可信的数据源和价值交换节点，推动“一物一证、万证互联”新商业模式发展。

　　赋能数据资产化：为解决数据的确权、估值与可信流通难题提供底层支撑。通过赋予数据来源唯一的“身份标识”，确保数据全生命周期可追溯与可信度，为数据要素市场化交易与资本化运作奠定基础。

　　引领产业范式变革：驱动产业从“产品制造”向“身份载体”制造升级，带动从芯片、模组到系统服务的全产业链价值重估。

　　输出中国信任方案：将我国在万物身份认证领域的先进实践转化为国际标准与共识，在全球数字信任基础设施建设中掌握核心话语权。

　　3．环境价值：引领全球绿色数字化治理新范式

　　建立可信碳足迹溯源体系：通过为产品、物料及物流单元赋予不可篡改的数字身份，建立贯穿全生命周期的碳足迹精准监测、报告与核查（MRV）机制，为应对欧盟CBAM等国际碳关税机制、开展国内碳核算与交易提供国际互认的可信数据基础设施。

　　赋能可持续供应链与绿色贸易：基于国际兼容的数字认证协议，提升供应链环境信息的透明度与可审计性，助力企业符合ESG（环境、社会与治理）披露要求，畅通绿色产品国际贸易通道，服务全球绿色低碳转型。

　　驱动资源循环与循环经济：通过数字身份对原材料、零部件及消费品进行全生命周期追踪与管理，支持延伸生产者责任（EPR）制度落地，为实现资源消耗减量化、产品生命周期延长化提供核心技术赋能，驱动产业生态化转型。

　　GB／T 46142－2025远不止是一项技术标准，更是构建数字友好社会的底层信任基座。通过赋予万物以可信数字身份，推动安全与便捷的深度融合，本标准将“数字友好”理念——技术普惠、人文包容与可持续发展——从愿景转化为现实。它使二维码技术从简单的连接工具，演进为畅通国民经济循环、激活数据资产价值、推动绿色数字化变革和对接国际高标准经贸规则的关键纽带，最终助力实现人人受益、万物协同、全球互信的数字友好新世界。

　　（中国世界贸易研究会数字经济和数字贸易专业委员会主任：杨勇）