跳到主要內容

閱讀歐盟區塊鏈技術運用於身份識別的報告與台灣的數位身分識別證

Photo by Adli Wahid on Unsplash

中午時間,我在查詢相關資料,回覆信件後,回頭問自己:「為什麼自己在查詢資料時,總是先從歐盟的資料著手?很多人會反應為什麼要查歐盟或 OECD 的資料而不先使用國內的資料?其他國家的研究資料不能用嗎?」

這幾年的心得是,在歐盟和 OECD 的報告裡會提供研究方法,公開告訴每個人,他們的數據來源、取得方法、怎麼推估、根據什麼政策框架,有什麼研究限制,這些公開的研究條件,都經得起外界審視和質疑,所以在檢查其合理性後,可以使用這些報告。

以區塊鏈技術運用在身分識別用途來說好了,在 GDPR 公布後,裡面的條件都規範了資料使用和流通的限制,對於喜歡不經告知就擅自挪用、交易的企業來說,使用資料的成本與門檻都提高許多,許多科技業者也質疑,在需要資料發展創新科技,如 AI 和區塊鏈,或是自主駕駛車輛,也需要大量的地理交通資訊,在 GDPR 這麼嚴謹的限制條件下,要如何發展新科技?

曾經我也是這麼質疑著。沒有資料,區塊鏈技術也只是一種工具,就像 3D 列印機缺乏設計圖、設計資料,也只是一部工具而已。

歐盟在區塊鏈應用的相關法規、發展與研究


ESSIF 在區塊鏈應用的情境圖,來源:European Self Sovereign identity framework

歐盟在 2018 年 2 月,歐盟委員會和歐洲議會成立了  European Blockchain Observatory and Forum,不僅針對區塊鏈技術與 GDPR 的研究,同時也有針對區塊鏈的可擴展性、資料可攜性、在政府與公共服務應用的建議、在歐洲國家的發展,還有大家最常討論的身份識別應用,總共五本報告,在網站上公開下載;為了鼓勵公私合作,在 2018 年 4 月成立了 International Association for Trusted Blockchain Applications (INATBA),一個以多方利害關係人為基礎的單位,有政府、研究單位、區塊鏈應用的研究機構,包括來自台灣的 BiiLabs

在 European Blockchain Observatory and Forum網站中的其中一本報告:「Blockchain and Digital Identity」利用了短短的 27 頁解釋了相關的應用、注意事項、法律規範,也提出了建議:
  1. Support the role of government as an issuer of verifiable credentials.
    支持政府作為發放該證明的角色。
  2. Clarify the relation of blockchains to eIDAS.
    澄清區塊鏈的數位身份識別與 eIDAS 之間的關係。
  3. Clarify open issues around decentralised identity and the GDPR.
    澄清圍繞在去中心化的身分識別和 GDPR 之間的關係。
  4. Clarify other potential regulatory issues.
    澄清其他潛在的法規議題。
  5. Continue the work of exploring a European Self-Sovereign Identity framework as part of the European Blockchain Services Infrastructure (EBSI).
    持續探索歐洲自我主權身份框架,並納入歐洲區塊鏈服務基礎設施的一部分。
  6. Support the broad use of digital identity in cities.
    支持在城市之間廣泛的數位識別身份應用。
針對  (2) 該份報告裡也說明了 eIDAS是在 1999 年藉由電子簽章支持歐盟的Digital Single Market 政策,它是一個組合,包括了:eID、eTimestamp、eSignature、eSeal、Qualified Web Authentication Certificate、Electronic Registered Delivery Service、Legal recognition of electronic
documents。

在 (5) 提到的歐洲自我主權身份框架 (European Self-Sovereign Identity framework,簡稱ESSIF) ,裡面就有提到了潛在的運用,也納入歐洲區塊鏈服務基礎設施 (European Blockchain Services Infrastructure,簡稱 EBSI) ,這是一個由歐盟成員國成立的合作框架,在 2018 年 10 月已有 26 個國家加入,EBSI 的目的是要進行跨境數據的傳輸,把 ESSIF 納入 EBSI 也顯示歐盟成員國的居民身份資料是可跨境流通的,至於用途,各有優缺點,目前 ESSIF 在區塊鏈應用的部份也完成第一階段 (Phase 1),也只是案例和第一次實施的對象,來定義 ESSIF 中有哪些是可以納入 EBSI 之中的元件,2020 至 2021年則研究、設計、建立初次的 ESSIF 實施框架,目的是要能夠支援多方連結,2021 至 2022 年則大規模實施。

如果上述的(2)、(3)、(4) 都能回答和澄清的話,(5)、(6) 才能實現,也才會讓人民有信心去支持 (1)。

歐盟並未反對區塊鏈或 AI 研究,而是透過自己歐盟境內的發展政策、法規,打造一個資料可以自由跨境流通的區域,因為他們很清楚的了解當資料可以自由流通,才能為歐洲國家帶來經濟效益,而我們區部看到的法令限制,除了對非歐盟成員國的門檻外,其實也可感受這些法律能讓人民做決策、擁有自己資料的控制權,而不是任由政府取用、調查、監控,或是讓企業把使用者資料當作商品交易、惡意曝露使用者隱私或不善盡其保使用者資料的責任。

最後,要提到歐盟在第一階段 (2011-2015) 電子化政府行動綱領裡就有規範,在「個人資料透明度」上,以五個等級來判斷一個電子化政府服務的「透明」與「成熟」程度:
  1. 成熟度0:民眾完全無法掌握個人資料被誰查詢、或是查詢目的。
  2. 成熟度1:民眾只能掌握自己的資料是否被查詢過。
  3. 成熟度2:民眾可以掌握自己的資料是否被查詢過、在什麼時候被查詢過。
  4. 成熟度3:民眾可以掌握自己的資料是否被查詢過,以及在什麼時間、被誰查詢過。
  5. 成熟度4:民眾可以掌握自己的資料是否被查詢過,以及在什麼時間、被誰、以什麼目的被查詢過。
在其第二階段 (2016-2020) 電子化政府行動綱領中,則是強調資料跨境流通、以及電子文件的有效性;所以他們也很努力進行相關規劃,包括eID、電子簽證等事項。

整體看下來,其實歐盟是循序漸進的從研究、設計應用場域、法規框架、日程,都是很完整的有所依循,也很難因為「改朝換代」而中止或廢止整個計畫。

台灣政府的規劃

台灣政府很容易因為「改朝換代」而做出中止、廢除、刪減前朝預算的行為。

儘管實際執行的團隊不變,卻會因為預算被刪除而無法繼續,甚至無法做到最初的標準,草草結案,最後又是一個蚊子館或無人看守的計畫蚊子網站。

台灣政府單位提到要建立一個政府骨幹網路,藉由區塊鏈應用來加強隱私與保密,並期待達成去中心化的目的,而人民透過數位識別證明來使用這些政府服務。於是我找了一些相關的政府公開資料,想要了解是在什麼樣的框架、理念、技術下進行:
  1. T-Road入口網規劃說明 PDF (2018.03)
  2. 20181227(簡報)國家發展委員會:「智慧政府規劃」報告
資料來源:T-Road入口網規劃說明 PDF
資料來源:20181227(簡報)國家發展委員會:「智慧政府規劃」報告
這些說明都展示了台灣政府規劃的方式與作法,以一般人可以理解的方式,讓大家了解未來透過這張數位身分識別證可以取用哪些資料庫、要整合哪些資料庫、有什麼用途。但如果比對了第二張在「智慧政府規劃」報告裡所提到的 T-Road 規劃,其實和歐盟現行的規劃圖類似,資料的提供者與資料消費者透過國家層級的介面,一次性交換資料。

來源:European Self Sovereign identity framework
台灣「電子簽章法」在 2011 年 11 月 14 日公布,2012年 4 月開始執行,主管單位是經濟部;自然人憑證則是遵循著電子簽章法,並有「內政部憑證管理中心憑證實務作業基準」;現行的國民身分證,則是有「國民身分證及戶口名簿製發相片影像檔建置管理辦法」,這部管理辦法依循著現行的「戶籍法」,戶籍法第二條註明了:「本法所稱主管機關:在中央為內政部;在直轄市為直轄市政府;在縣(市)為縣(市)政府。」,所以「國民身分證及戶口名簿製發相片影像檔建置管理辦法」的主管機關同戶籍法。

如果說自然人憑證是依循電子簽章法,而國發會的簡報第 8 頁中得知,未來的數位身分識別證是新版的自然人憑證,主管機關是內政部,但是該依循「電子簽章法」還是「國民身分證及戶口名簿製發相片影像檔建置管理辦法」?因為我們也自媒體報導知道,它其實也具有電子簽章的功能。

附帶一提的是,在「國民身分證及戶口名簿製發相片影像檔建置管理辦法」第 21 條註明了,身分證上記載了 25 項資訊、內政部的簡報表示紙本卡上有 11 條資訊,對於推廣數位身分識別證的人來說,他們會以未來的身分證卡面會減少曝露的資訊為理由作為正向的推廣原因。但是,為什麼不修改這部管理辦法,發行新的、不要結合手機、不要結合個人財務金融資訊的身分證,也不要把這麼多資訊揭露在卡面上呢?有次我去便利超商兌換中獎的 200 元發票,我才知道,原來超商可以用他們的掃描機來掃瞄現行身份證背面左下角的一維條碼,即個人的身分證字號,記錄在兌換記錄裡,也許是連結到財政部的相關資料庫,但也因為必須出示我的身分證,於是又讓第三人知道我的出生日期和居住地。

政府數位化的規劃應該是結合人民的需求、業務執行者的工作角度、管理者的需求,從各面向著手整合政府內部流程,再視需要的憑證需求來規劃新型態的憑證,而不是把刀子丟給人民,讓人民直接和第一線業務執行人員發生衝撞,增加第一線人員的挫折感和工作負擔。這件事情在 Open (Gov) Data 時代已經發生過很多次了,現在依然上演著同樣的戲碼。

目前這些問題也還未釐清,但目前看似都由內政部、行政院、國發會承擔下來了,在未澄清相關問題前,也無法支持相關的政策。

結論

回到文章最初,歐盟在制訂相關的應用、策略都是有跡可循,也能讓我們從歐盟的網站上取得豐富的發展過程、發展規劃、研究計畫,甚至公開向全球徵求計畫。我也許不夠了解區塊鏈,但在歐盟的應用發展歷程裡,我所注意到的是政策實行的合理性與合法性。

每個政府都有讓人垢病的地方,每個執政者都有自己的包袱,每個執行者都有其困難點,研究者也一定有研究方法和研究限制。

但我實在不知道因為「改朝換代」而做出中止、廢除、刪減前朝預算行為的政府,要如何與人民建立「信任」,我希望專卡專用、不要揭露那麼多資訊在這張卡片上,除了主管機關和相關的法源外,我也看到內政部簡報裡提到的第三方獨立及驗證,這不是各位理想中的去中心化吧?委託第三方或是第 N 方,而非點對點的認證,已經違反了去中心化的原則。這些問題,還是先請台灣政府把基礎的政府數位化權責相關問題釐清吧!

前篇閱讀:對台灣即將更換的數位身分識別證的幾個疑問,也可以閱讀刊登於吐納商業評論的版本

留言

這個網誌中的熱門文章

[小小書房]一個階段的結束

看到這篇文章:震撼!寫在最後一夜之前:小小店1,走入歷史的第一段話,實在很難不被驚嚇到:本來這篇文章要寫得很感傷、很悲情,但是寫一寫覺得最近傷心的新聞好多喔,幹嘛加重大家的心裡負擔,因此,就全都刪了,重新開始。總而言之,簡單來說,就是傳說中的美麗的小小書房,即將在10下旬結束營業……詳細的情況還是請大家自己去看吧!總之,看完就能鬆一口氣。真正的踏入小小書房應該是一場報了名卻又沒去的《百年孤寂》讀書會,這本書在昨天凌晨又讀了一遍。後來,原本的金額就轉到了第一屆塔羅班,認識了很多人,有很難忘的回憶。參加塔羅班像是一個轉折點,因為之後又在國內修習了第一次在台灣辦的巴哈花精的Level 2班級,同時又參加了小小的藝術治療課,也因為藝術治療課,我讀到Yalom和Frankl的書,然後,決定今年努力的想跨進心理諮商的大門。總之去年在小小的經驗就是很奇妙,是這些經驗的開始。今年因為工作的關係,塔羅進階班也沒得上,也很少有機會踏入小小,不過這個地方一直都掛在心裡的某個角落。我會想念以前塔羅班的同伴們,想念以往曾和幾個朋友約在那裡聊天的經驗。以下的照片,就是參加這次照片活動串連的照片:
這個門口旁的座位應該是最多人喜歡的座位,海蒂也在這裡幫大家用塔羅占卜。
在塔羅成果發表會前拍的照片。
第一屆塔羅班成果發表會。
塔羅聚會後,大家把小寶幫畫的每個人代表牌放在一起拍照。
在小小也很常看到貓哦!小小書房回顧
2007年10月21日塔羅發表會隨選歷史閱讀: Powered by Stuff-a-Blog Tags: , ,

[Movie] Longford--是使命而非成就

電影名稱:迷情(Longford)文中台詞出處及電影資訊:IMDb--LongfordWikipedia--Myra Hindly:Myra Hindley米拉·韓德麗朗福德伯爵的真實身份:Frank Pakenham圖片來源:Amazon:Longford這部電影在星期六下午播了一次,星期日的颱風夜又播了一次。中文片名被翻為《迷情》,大概是譯者或片商覺得片中的朗福德伯爵(Lord Longford)對獄中的Myra Hindley有份特殊的感情,所以把中文片名取得這麼煽情吧!然而這部電影叫Longford,所以重點不是放在到底Myra Hindley是不是謀殺孩童的主要兇手,也不是伯爵對Myra是否有特殊的情感,而是,在經過這些考驗後,伯爵對於自己信仰及寬恕的信念是否依然堅定。從影片中可以知道伯爵曾經是個德高望重的上議院成員,平時會去探望監獄中的囚犯,輔導他們並幫助他們重回人生的正途,甚至不惜幫他們大肆舉行慶祝會。這樣的行為看在其他人的眼中自然不是滋味,好事的記者甚至在報紙上刊出標題抨擊他為犯人的付出。Myra Hindley和她的男友Ian Brady因為犯下令人髮指的謀殺孩童案件被判終身監禁,伯爵在見過Myra後,決定幫她爭取申請假釋的機會,中間也因為年事已高及自己特立獨行的行事作風在政治鬥爭中喪失了升為議長的機會,甚至被強迫退休,在他曾經見過Ian Brady,懷疑Myra在獄中的良好表現是否只是作戲,甚至為了Myra,毀了女兒的新書發表會,與妻女不諒解的連續挫折下,他還是支持著Myra,堅守著人性本善的信念,直到Myra說出其他兩個孩童的命案,這對努力為她奔走的伯爵和後來轉為支持為Myra申請假釋的妻子Elizabeth而言是最大的背叛,也是對信念最大的考驗。伯爵本身是個由新教改宗的天主教徒,從劇情裡也知道他曾經精神崩潰過,靠著妻子與信仰的支持,他重新了自己的人生,但當他知道自己所有的努力都只是被Myra所利用,再回顧自己為了這件案子所損失的一切,最大的不值則是當他發現自己對Myra的信任只是被利用時,他再度面臨了對人性與信仰的考驗。他的名聲被毀了,讓人以為他對於Myra有著遐想,他幫助虐殺兒童的兇手是個令人無法接受的事實。他無助的在告解室裡告解,也許他也想起了Myra曾對他說,她已重返天主教的懷抱,也向神父告解,她讀了《懺悔錄》,感受到她心中的兩個聲…

[電影筆記]無止盡的等待-沒人寫信給上校

片名:沒人寫信給上校(No One Writes to the Colonel)導演:Arturo Ripstein演員:Marisa Paredes、Fernando Lujan、Salma Hayck等待是一件痛苦的事,對老年人猶是如此。我們常常在等待一件事,等著長大、等著畢業、等著有個完美的家庭、等著死亡…。有時等待的結果是甘美的,但往往等待的結果常出人意料之外。這部片子是絕色影展8的電影,改編自馬奎斯的同名小說「沒人寫信給上校」。在看這部影片時,只要影片中出現雨景或是談到鬥雞就會有種錯覺,會想起「百年孤寂」裡那場下了三年的大雨,把馬康多都下毀了,會想起易家蘭和老邦迪亞就是因為鬥雞,而必須離開原本的住處,移居至馬康多,開創一個空虛的繁華。「鬥雞」彷彿是罪惡的淵源,在這部電影裡,「鬥雞」讓上校失去了兒子;在書裡,「鬥雞」讓新婚的老邦迪亞殺了亞奎拉,不得不和易家蘭離開原本的村莊。再仔細想想,其實都是因為「女人」。上校的兒子是為了馬戲團裡的女子而參與鬥雞,卻被人殺死,讓上校和上校的妻子孤苦無依,每天只能等待那筆被承諾的退休金;老邦迪亞因為鬥雞比賽勝了亞奎拉,卻被嘲笑性能力,無法讓易家蘭懷孕(其實是易家蘭害怕生下帶有豬尾巴的小孩而不願意和老邦迪亞行房),而殺了亞奎拉。女人和鬥雞彷彿是所有悲傷的來源一樣。上校每逢星期五就會穿戴整齊到河邊去等待那封通知信,和他同年的老人應該是快樂的含貽弄孫吧?但是兒子意外過世後,他無法和同齡的老人一樣,等著孩子結婚生子,年紀如此蒼老的他只能等待死亡,也許那封遲遲不來的通知書是維持他活著的一個理由,那隻害他兒子死亡的鬥雞,可能是他懷念兒子的慰藉。在電影裡,我看著一個老人二十年來每天起來都要面對老婆的嘮叨,我不知道片中的她對那隻鬥雞到底是充滿了恨或是含有其他的情感,但能確定的,她和所有兒子的媽媽一樣,怨恨著兒子有了女友(這個女友還讓她的兒子沒了命),擔心已故兒子的女友要來搭訕她的丈夫,怨恨著他的丈夫讓她在如此貧困的生活,她曾經可是個眾所皆知的大美女,卻過著下一餐不知在哪的生活。寫到這,我想到百年孤寂裡的卡碧娥。卡碧娥是在一個謊言裡長大的女孩,受著貴族般的教育,生活裡儘是貴族的禮節,但在她成長的家庭裡,每天靠著編葬禮花圈、喝稀薄的巧克力水維生。當她參加選美比賽獲得冠軍時,又被席甘多帶到馬康多,過著一般家庭主婦的生活,還用病態的心理封閉了這個家…