跳到主要內容

閱讀歐盟區塊鏈技術運用於身份識別的報告與台灣的數位身分識別證

Photo by Adli Wahid on Unsplash

中午時間,我在查詢相關資料,回覆信件後,回頭問自己:「為什麼自己在查詢資料時,總是先從歐盟的資料著手?很多人會反應為什麼要查歐盟或 OECD 的資料而不先使用國內的資料?其他國家的研究資料不能用嗎?」

這幾年的心得是,在歐盟和 OECD 的報告裡會提供研究方法,公開告訴每個人,他們的數據來源、取得方法、怎麼推估、根據什麼政策框架,有什麼研究限制,這些公開的研究條件,都經得起外界審視和質疑,所以在檢查其合理性後,可以使用這些報告。

以區塊鏈技術運用在身分識別用途來說好了,在 GDPR 公布後,裡面的條件都規範了資料使用和流通的限制,對於喜歡不經告知就擅自挪用、交易的企業來說,使用資料的成本與門檻都提高許多,許多科技業者也質疑,在需要資料發展創新科技,如 AI 和區塊鏈,或是自主駕駛車輛,也需要大量的地理交通資訊,在 GDPR 這麼嚴謹的限制條件下,要如何發展新科技?

曾經我也是這麼質疑著。沒有資料,區塊鏈技術也只是一種工具,就像 3D 列印機缺乏設計圖、設計資料,也只是一部工具而已。

歐盟在區塊鏈應用的相關法規、發展與研究


ESSIF 在區塊鏈應用的情境圖,來源:European Self Sovereign identity framework

歐盟在 2018 年 2 月,歐盟委員會和歐洲議會成立了  European Blockchain Observatory and Forum,不僅針對區塊鏈技術與 GDPR 的研究,同時也有針對區塊鏈的可擴展性、資料可攜性、在政府與公共服務應用的建議、在歐洲國家的發展,還有大家最常討論的身份識別應用,總共五本報告,在網站上公開下載;為了鼓勵公私合作,在 2018 年 4 月成立了 International Association for Trusted Blockchain Applications (INATBA),一個以多方利害關係人為基礎的單位,有政府、研究單位、區塊鏈應用的研究機構,包括來自台灣的 BiiLabs

在 European Blockchain Observatory and Forum網站中的其中一本報告:「Blockchain and Digital Identity」利用了短短的 27 頁解釋了相關的應用、注意事項、法律規範,也提出了建議:
  1. Support the role of government as an issuer of verifiable credentials.
    支持政府作為發放該證明的角色。
  2. Clarify the relation of blockchains to eIDAS.
    澄清區塊鏈的數位身份識別與 eIDAS 之間的關係。
  3. Clarify open issues around decentralised identity and the GDPR.
    澄清圍繞在去中心化的身分識別和 GDPR 之間的關係。
  4. Clarify other potential regulatory issues.
    澄清其他潛在的法規議題。
  5. Continue the work of exploring a European Self-Sovereign Identity framework as part of the European Blockchain Services Infrastructure (EBSI).
    持續探索歐洲自我主權身份框架,並納入歐洲區塊鏈服務基礎設施的一部分。
  6. Support the broad use of digital identity in cities.
    支持在城市之間廣泛的數位識別身份應用。
針對  (2) 該份報告裡也說明了 eIDAS是在 1999 年藉由電子簽章支持歐盟的Digital Single Market 政策,它是一個組合,包括了:eID、eTimestamp、eSignature、eSeal、Qualified Web Authentication Certificate、Electronic Registered Delivery Service、Legal recognition of electronic
documents。

在 (5) 提到的歐洲自我主權身份框架 (European Self-Sovereign Identity framework,簡稱ESSIF) ,裡面就有提到了潛在的運用,也納入歐洲區塊鏈服務基礎設施 (European Blockchain Services Infrastructure,簡稱 EBSI) ,這是一個由歐盟成員國成立的合作框架,在 2018 年 10 月已有 26 個國家加入,EBSI 的目的是要進行跨境數據的傳輸,把 ESSIF 納入 EBSI 也顯示歐盟成員國的居民身份資料是可跨境流通的,至於用途,各有優缺點,目前 ESSIF 在區塊鏈應用的部份也完成第一階段 (Phase 1),也只是案例和第一次實施的對象,來定義 ESSIF 中有哪些是可以納入 EBSI 之中的元件,2020 至 2021年則研究、設計、建立初次的 ESSIF 實施框架,目的是要能夠支援多方連結,2021 至 2022 年則大規模實施。

如果上述的(2)、(3)、(4) 都能回答和澄清的話,(5)、(6) 才能實現,也才會讓人民有信心去支持 (1)。

歐盟並未反對區塊鏈或 AI 研究,而是透過自己歐盟境內的發展政策、法規,打造一個資料可以自由跨境流通的區域,因為他們很清楚的了解當資料可以自由流通,才能為歐洲國家帶來經濟效益,而我們區部看到的法令限制,除了對非歐盟成員國的門檻外,其實也可感受這些法律能讓人民做決策、擁有自己資料的控制權,而不是任由政府取用、調查、監控,或是讓企業把使用者資料當作商品交易、惡意曝露使用者隱私或不善盡其保使用者資料的責任。

最後,要提到歐盟在第一階段 (2011-2015) 電子化政府行動綱領裡就有規範,在「個人資料透明度」上,以五個等級來判斷一個電子化政府服務的「透明」與「成熟」程度:
  1. 成熟度0:民眾完全無法掌握個人資料被誰查詢、或是查詢目的。
  2. 成熟度1:民眾只能掌握自己的資料是否被查詢過。
  3. 成熟度2:民眾可以掌握自己的資料是否被查詢過、在什麼時候被查詢過。
  4. 成熟度3:民眾可以掌握自己的資料是否被查詢過,以及在什麼時間、被誰查詢過。
  5. 成熟度4:民眾可以掌握自己的資料是否被查詢過,以及在什麼時間、被誰、以什麼目的被查詢過。
在其第二階段 (2016-2020) 電子化政府行動綱領中,則是強調資料跨境流通、以及電子文件的有效性;所以他們也很努力進行相關規劃,包括eID、電子簽證等事項。

整體看下來,其實歐盟是循序漸進的從研究、設計應用場域、法規框架、日程,都是很完整的有所依循,也很難因為「改朝換代」而中止或廢止整個計畫。

台灣政府的規劃

台灣政府很容易因為「改朝換代」而做出中止、廢除、刪減前朝預算的行為。

儘管實際執行的團隊不變,卻會因為預算被刪除而無法繼續,甚至無法做到最初的標準,草草結案,最後又是一個蚊子館或無人看守的計畫蚊子網站。

台灣政府單位提到要建立一個政府骨幹網路,藉由區塊鏈應用來加強隱私與保密,並期待達成去中心化的目的,而人民透過數位識別證明來使用這些政府服務。於是我找了一些相關的政府公開資料,想要了解是在什麼樣的框架、理念、技術下進行:
  1. T-Road入口網規劃說明 PDF (2018.03)
  2. 20181227(簡報)國家發展委員會:「智慧政府規劃」報告
資料來源:T-Road入口網規劃說明 PDF
資料來源:20181227(簡報)國家發展委員會:「智慧政府規劃」報告
這些說明都展示了台灣政府規劃的方式與作法,以一般人可以理解的方式,讓大家了解未來透過這張數位身分識別證可以取用哪些資料庫、要整合哪些資料庫、有什麼用途。但如果比對了第二張在「智慧政府規劃」報告裡所提到的 T-Road 規劃,其實和歐盟現行的規劃圖類似,資料的提供者與資料消費者透過國家層級的介面,一次性交換資料。

來源:European Self Sovereign identity framework
台灣「電子簽章法」在 2011 年 11 月 14 日公布,2012年 4 月開始執行,主管單位是經濟部;自然人憑證則是遵循著電子簽章法,並有「內政部憑證管理中心憑證實務作業基準」;現行的國民身分證,則是有「國民身分證及戶口名簿製發相片影像檔建置管理辦法」,這部管理辦法依循著現行的「戶籍法」,戶籍法第二條註明了:「本法所稱主管機關:在中央為內政部;在直轄市為直轄市政府;在縣(市)為縣(市)政府。」,所以「國民身分證及戶口名簿製發相片影像檔建置管理辦法」的主管機關同戶籍法。

如果說自然人憑證是依循電子簽章法,而國發會的簡報第 8 頁中得知,未來的數位身分識別證是新版的自然人憑證,主管機關是內政部,但是該依循「電子簽章法」還是「國民身分證及戶口名簿製發相片影像檔建置管理辦法」?因為我們也自媒體報導知道,它其實也具有電子簽章的功能。

附帶一提的是,在「國民身分證及戶口名簿製發相片影像檔建置管理辦法」第 21 條註明了,身分證上記載了 25 項資訊、內政部的簡報表示紙本卡上有 11 條資訊,對於推廣數位身分識別證的人來說,他們會以未來的身分證卡面會減少曝露的資訊為理由作為正向的推廣原因。但是,為什麼不修改這部管理辦法,發行新的、不要結合手機、不要結合個人財務金融資訊的身分證,也不要把這麼多資訊揭露在卡面上呢?有次我去便利超商兌換中獎的 200 元發票,我才知道,原來超商可以用他們的掃描機來掃瞄現行身份證背面左下角的一維條碼,即個人的身分證字號,記錄在兌換記錄裡,也許是連結到財政部的相關資料庫,但也因為必須出示我的身分證,於是又讓第三人知道我的出生日期和居住地。

政府數位化的規劃應該是結合人民的需求、業務執行者的工作角度、管理者的需求,從各面向著手整合政府內部流程,再視需要的憑證需求來規劃新型態的憑證,而不是把刀子丟給人民,讓人民直接和第一線業務執行人員發生衝撞,增加第一線人員的挫折感和工作負擔。這件事情在 Open (Gov) Data 時代已經發生過很多次了,現在依然上演著同樣的戲碼。

目前這些問題也還未釐清,但目前看似都由內政部、行政院、國發會承擔下來了,在未澄清相關問題前,也無法支持相關的政策。

結論

回到文章最初,歐盟在制訂相關的應用、策略都是有跡可循,也能讓我們從歐盟的網站上取得豐富的發展過程、發展規劃、研究計畫,甚至公開向全球徵求計畫。我也許不夠了解區塊鏈,但在歐盟的應用發展歷程裡,我所注意到的是政策實行的合理性與合法性。

每個政府都有讓人垢病的地方,每個執政者都有自己的包袱,每個執行者都有其困難點,研究者也一定有研究方法和研究限制。

但我實在不知道因為「改朝換代」而做出中止、廢除、刪減前朝預算行為的政府,要如何與人民建立「信任」,我希望專卡專用、不要揭露那麼多資訊在這張卡片上,除了主管機關和相關的法源外,我也看到內政部簡報裡提到的第三方獨立及驗證,這不是各位理想中的去中心化吧?委託第三方或是第 N 方,而非點對點的認證,已經違反了去中心化的原則。這些問題,還是先請台灣政府把基礎的政府數位化權責相關問題釐清吧!

前篇閱讀:對台灣即將更換的數位身分識別證的幾個疑問,也可以閱讀刊登於吐納商業評論的版本

留言

  1. 您好,在研究ESSIF时无意中搜索到您的blog,意外的发现有许多共同关注的事物,比如区块链、CBDC等等,感谢分享!

    回覆刪除

張貼留言

請勿匿名留言,待審核後才會出現。

這個網誌中的熱門文章

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法可管,例如《兒童與

自今天起就不再是 TWIGF MSG 成員

 Photo credit: Image by  Ekkapop Sittiwantana  from  Pixabay TWIGF 在成立之初,就在頁面上寫著: 當MSG成員以TWIGF名義對外接受訪問或撰文時,僅為個人意見,不代表TWIGF立場。 在我發現 TWIGF 秘書處沒先知會我,就因為寫了對《數位中介法》的心得及引發討論,把我的名字寫在Facebook社群裡,同時為今年活動宣傳。看到他的文章,當下只有不被尊重的感覺,於是去信要求秘書處把我的名字移除,收到秘書處的回信,其中一段就如下圖: 秘書處順便告訴 TWIGF 理事長,不需要這個成員了。雖然很早就想慢慢的、默默離開這個社團,所以在年初時也刪掉自己Facebook帳號,只是昨天看到秘書處都幫我想好理由趕人了,就順勢離開。 我也必須說,這應該不是秘書處第一次趕人離開,每次執行者都不一樣,而理事長在 Facebook 裡貼了聯合國IGF的MAG成員的任期和義務,但他可能忘記聯合國 IGF 的主席也是有任期,而且還是指派的。 多數成員都很尊重理事長,因為他在國際間參與網路治理組織、參與網路治理論壇會議,也有很多貢獻,但TWIGF 後來成了只有幾個人可以發表意見的社群,而 IGF 很需要秘書處,所以還是自己離開比較好,不需要浪費太多時間。 參與國際網路治理論壇會議不是特權,只要你有意願,你都可以參與,只是在台灣,因為長期被某個單位壟斷,所以得付出更多成本去參與。 壟斷不好嗎? 這個問題一直在我腦海裡伴隨著 TWIGF 理事長的聲音出現,他很常挑戰別人這個問題。 看到台灣的網路治理的討論發展成這樣,我會說, 不好,這就是某個單位長期壟斷、缺乏競爭的結果 。因為國內其他人在某些條件上無法和這個單位競爭,所以網路治理論壇的會議、教育訓練及討論,很大一部份就是這個單位在執行,如果不是被這個單位的人認可,不僅在會議中喪失話語權,還花更多時間、金錢,自己想辦法參與這樣的會議,學習這些知識,也因為資訊長期被壟斷,所以資源愈來愈少,有許多國際資源與資訊是無法在國內流傳,會議與教學品質也只是為了辦而辦。這就是長期壟斷的後果。 討論只在 Facebook 社團討論、秘書處執行人員用私人的 Email 來回覆信件,不斷的強調自己剛上任,而且只是兼職。 MSG 成員在成立之初貢獻熱情、積極參與。當成立社團法人前,我們有討論過,畢竟秘書

【短記】關於域名爭議的處理和區塊鏈技術應用

主要是這幾天看到 TWNIC 的部落格有一篇關於 ICANN 對於通用頂級域名保護的簡介,然後我想到了在區塊鏈技術應用的世界裡,有不少人都會去註冊 Handshake 的 HNS 或是 ENS 位址,也有不少人認為,自此以後可以避開網路網路想要買域名,或想經營 gTLD 的人,不得不定時繳費給域名註冊商或是註冊了 New gTLD 卻不知該如何好好運用時,已經花費巨額資金出去。 我會在這篇文章快速的寫,就像筆記一樣,畢竟不是很多人有興趣在探討如何應用區塊鏈技術在域名的領域。 ICANN  的域名爭議處理機制目前還是以歷史悠久的「統一域名爭議處理政策」(Uniform Dispute Resolution Policy,簡稱 UDRP) 來處理。處理的時間比較長,但比較周全,它會考量商標、專利、智財這些註冊的法律,也因此許多企業會直接走法院訴訟,直接取回自己的商標域名。TWNIC: 通用頂級域名(gTLD)權利保護機制簡介 。 ENS 在我的認知比較像是「轉址」服務。它的註冊域名是 .eth ,持有者可以把錢包位址、網站位址都轉向這個 .eth 的網址,但因為 .eth 並不是註冊的TLD,所以你的域名如果是.eth 必須變成 .eth.link 才可以用一般瀏覽器瀏覽。當然如果你的瀏覽器上有掛著擴充套件,例如 MetaMask 就可以付款或交易。ENS 也是要付費的,而且是用 eth 付費,而 eth 的交易 gas fee 是嚇死人的高,所以並沒有說使用 ENS 購買域名就比較划算,你的域名可能只有0.003 eth 但要付上 0.018 eth 的 gas fee,真的很可怕。相關的頁面: EthDNS and EthLink 。ENS 有一個蠻完整的 ecosystem,也有和 ICANN、IETF合作,但我倒沒特別注意到如果有域名爭議時,有什麼機制可以處理,也許也是參考 ICANN 吧? HNS 在之前就已經掀起一股「 用一美元買自己域名 」的旋風了,但需要使用特定的瀏覽器和設定,才能用 HNS 格式的網址來瀏覽,在缺乏相關的保護機制下,你等於是讓瀏覽者曝露在風險裡。為什麼 ICANN 會努力推廣 DNSSEC 就是為了保護瀏覽者在輸入域名時就是到達域名所指向的位址,也有一些文章認為像這樣的域名格式,其實就像 Tor 網路、暗網一樣,破壞了網路的「互相