跳到主要內容

閱讀歐盟區塊鏈技術運用於身份識別的報告與台灣的數位身分識別證

Photo by Adli Wahid on Unsplash

中午時間,我在查詢相關資料,回覆信件後,回頭問自己:「為什麼自己在查詢資料時,總是先從歐盟的資料著手?很多人會反應為什麼要查歐盟或 OECD 的資料而不先使用國內的資料?其他國家的研究資料不能用嗎?」

這幾年的心得是,在歐盟和 OECD 的報告裡會提供研究方法,公開告訴每個人,他們的數據來源、取得方法、怎麼推估、根據什麼政策框架,有什麼研究限制,這些公開的研究條件,都經得起外界審視和質疑,所以在檢查其合理性後,可以使用這些報告。

以區塊鏈技術運用在身分識別用途來說好了,在 GDPR 公布後,裡面的條件都規範了資料使用和流通的限制,對於喜歡不經告知就擅自挪用、交易的企業來說,使用資料的成本與門檻都提高許多,許多科技業者也質疑,在需要資料發展創新科技,如 AI 和區塊鏈,或是自主駕駛車輛,也需要大量的地理交通資訊,在 GDPR 這麼嚴謹的限制條件下,要如何發展新科技?

曾經我也是這麼質疑著。沒有資料,區塊鏈技術也只是一種工具,就像 3D 列印機缺乏設計圖、設計資料,也只是一部工具而已。

歐盟在區塊鏈應用的相關法規、發展與研究


ESSIF 在區塊鏈應用的情境圖,來源:European Self Sovereign identity framework

歐盟在 2018 年 2 月,歐盟委員會和歐洲議會成立了  European Blockchain Observatory and Forum,不僅針對區塊鏈技術與 GDPR 的研究,同時也有針對區塊鏈的可擴展性、資料可攜性、在政府與公共服務應用的建議、在歐洲國家的發展,還有大家最常討論的身份識別應用,總共五本報告,在網站上公開下載;為了鼓勵公私合作,在 2018 年 4 月成立了 International Association for Trusted Blockchain Applications (INATBA),一個以多方利害關係人為基礎的單位,有政府、研究單位、區塊鏈應用的研究機構,包括來自台灣的 BiiLabs

在 European Blockchain Observatory and Forum網站中的其中一本報告:「Blockchain and Digital Identity」利用了短短的 27 頁解釋了相關的應用、注意事項、法律規範,也提出了建議:
  1. Support the role of government as an issuer of verifiable credentials.
    支持政府作為發放該證明的角色。
  2. Clarify the relation of blockchains to eIDAS.
    澄清區塊鏈的數位身份識別與 eIDAS 之間的關係。
  3. Clarify open issues around decentralised identity and the GDPR.
    澄清圍繞在去中心化的身分識別和 GDPR 之間的關係。
  4. Clarify other potential regulatory issues.
    澄清其他潛在的法規議題。
  5. Continue the work of exploring a European Self-Sovereign Identity framework as part of the European Blockchain Services Infrastructure (EBSI).
    持續探索歐洲自我主權身份框架,並納入歐洲區塊鏈服務基礎設施的一部分。
  6. Support the broad use of digital identity in cities.
    支持在城市之間廣泛的數位識別身份應用。
針對  (2) 該份報告裡也說明了 eIDAS是在 1999 年藉由電子簽章支持歐盟的Digital Single Market 政策,它是一個組合,包括了:eID、eTimestamp、eSignature、eSeal、Qualified Web Authentication Certificate、Electronic Registered Delivery Service、Legal recognition of electronic
documents。

在 (5) 提到的歐洲自我主權身份框架 (European Self-Sovereign Identity framework,簡稱ESSIF) ,裡面就有提到了潛在的運用,也納入歐洲區塊鏈服務基礎設施 (European Blockchain Services Infrastructure,簡稱 EBSI) ,這是一個由歐盟成員國成立的合作框架,在 2018 年 10 月已有 26 個國家加入,EBSI 的目的是要進行跨境數據的傳輸,把 ESSIF 納入 EBSI 也顯示歐盟成員國的居民身份資料是可跨境流通的,至於用途,各有優缺點,目前 ESSIF 在區塊鏈應用的部份也完成第一階段 (Phase 1),也只是案例和第一次實施的對象,來定義 ESSIF 中有哪些是可以納入 EBSI 之中的元件,2020 至 2021年則研究、設計、建立初次的 ESSIF 實施框架,目的是要能夠支援多方連結,2021 至 2022 年則大規模實施。

如果上述的(2)、(3)、(4) 都能回答和澄清的話,(5)、(6) 才能實現,也才會讓人民有信心去支持 (1)。

歐盟並未反對區塊鏈或 AI 研究,而是透過自己歐盟境內的發展政策、法規,打造一個資料可以自由跨境流通的區域,因為他們很清楚的了解當資料可以自由流通,才能為歐洲國家帶來經濟效益,而我們區部看到的法令限制,除了對非歐盟成員國的門檻外,其實也可感受這些法律能讓人民做決策、擁有自己資料的控制權,而不是任由政府取用、調查、監控,或是讓企業把使用者資料當作商品交易、惡意曝露使用者隱私或不善盡其保使用者資料的責任。

最後,要提到歐盟在第一階段 (2011-2015) 電子化政府行動綱領裡就有規範,在「個人資料透明度」上,以五個等級來判斷一個電子化政府服務的「透明」與「成熟」程度:
  1. 成熟度0:民眾完全無法掌握個人資料被誰查詢、或是查詢目的。
  2. 成熟度1:民眾只能掌握自己的資料是否被查詢過。
  3. 成熟度2:民眾可以掌握自己的資料是否被查詢過、在什麼時候被查詢過。
  4. 成熟度3:民眾可以掌握自己的資料是否被查詢過,以及在什麼時間、被誰查詢過。
  5. 成熟度4:民眾可以掌握自己的資料是否被查詢過,以及在什麼時間、被誰、以什麼目的被查詢過。
在其第二階段 (2016-2020) 電子化政府行動綱領中,則是強調資料跨境流通、以及電子文件的有效性;所以他們也很努力進行相關規劃,包括eID、電子簽證等事項。

整體看下來,其實歐盟是循序漸進的從研究、設計應用場域、法規框架、日程,都是很完整的有所依循,也很難因為「改朝換代」而中止或廢止整個計畫。

台灣政府的規劃

台灣政府很容易因為「改朝換代」而做出中止、廢除、刪減前朝預算的行為。

儘管實際執行的團隊不變,卻會因為預算被刪除而無法繼續,甚至無法做到最初的標準,草草結案,最後又是一個蚊子館或無人看守的計畫蚊子網站。

台灣政府單位提到要建立一個政府骨幹網路,藉由區塊鏈應用來加強隱私與保密,並期待達成去中心化的目的,而人民透過數位識別證明來使用這些政府服務。於是我找了一些相關的政府公開資料,想要了解是在什麼樣的框架、理念、技術下進行:
  1. T-Road入口網規劃說明 PDF (2018.03)
  2. 20181227(簡報)國家發展委員會:「智慧政府規劃」報告
資料來源:T-Road入口網規劃說明 PDF
資料來源:20181227(簡報)國家發展委員會:「智慧政府規劃」報告
這些說明都展示了台灣政府規劃的方式與作法,以一般人可以理解的方式,讓大家了解未來透過這張數位身分識別證可以取用哪些資料庫、要整合哪些資料庫、有什麼用途。但如果比對了第二張在「智慧政府規劃」報告裡所提到的 T-Road 規劃,其實和歐盟現行的規劃圖類似,資料的提供者與資料消費者透過國家層級的介面,一次性交換資料。

來源:European Self Sovereign identity framework
台灣「電子簽章法」在 2011 年 11 月 14 日公布,2012年 4 月開始執行,主管單位是經濟部;自然人憑證則是遵循著電子簽章法,並有「內政部憑證管理中心憑證實務作業基準」;現行的國民身分證,則是有「國民身分證及戶口名簿製發相片影像檔建置管理辦法」,這部管理辦法依循著現行的「戶籍法」,戶籍法第二條註明了:「本法所稱主管機關:在中央為內政部;在直轄市為直轄市政府;在縣(市)為縣(市)政府。」,所以「國民身分證及戶口名簿製發相片影像檔建置管理辦法」的主管機關同戶籍法。

如果說自然人憑證是依循電子簽章法,而國發會的簡報第 8 頁中得知,未來的數位身分識別證是新版的自然人憑證,主管機關是內政部,但是該依循「電子簽章法」還是「國民身分證及戶口名簿製發相片影像檔建置管理辦法」?因為我們也自媒體報導知道,它其實也具有電子簽章的功能。

附帶一提的是,在「國民身分證及戶口名簿製發相片影像檔建置管理辦法」第 21 條註明了,身分證上記載了 25 項資訊、內政部的簡報表示紙本卡上有 11 條資訊,對於推廣數位身分識別證的人來說,他們會以未來的身分證卡面會減少曝露的資訊為理由作為正向的推廣原因。但是,為什麼不修改這部管理辦法,發行新的、不要結合手機、不要結合個人財務金融資訊的身分證,也不要把這麼多資訊揭露在卡面上呢?有次我去便利超商兌換中獎的 200 元發票,我才知道,原來超商可以用他們的掃描機來掃瞄現行身份證背面左下角的一維條碼,即個人的身分證字號,記錄在兌換記錄裡,也許是連結到財政部的相關資料庫,但也因為必須出示我的身分證,於是又讓第三人知道我的出生日期和居住地。

政府數位化的規劃應該是結合人民的需求、業務執行者的工作角度、管理者的需求,從各面向著手整合政府內部流程,再視需要的憑證需求來規劃新型態的憑證,而不是把刀子丟給人民,讓人民直接和第一線業務執行人員發生衝撞,增加第一線人員的挫折感和工作負擔。這件事情在 Open (Gov) Data 時代已經發生過很多次了,現在依然上演著同樣的戲碼。

目前這些問題也還未釐清,但目前看似都由內政部、行政院、國發會承擔下來了,在未澄清相關問題前,也無法支持相關的政策。

結論

回到文章最初,歐盟在制訂相關的應用、策略都是有跡可循,也能讓我們從歐盟的網站上取得豐富的發展過程、發展規劃、研究計畫,甚至公開向全球徵求計畫。我也許不夠了解區塊鏈,但在歐盟的應用發展歷程裡,我所注意到的是政策實行的合理性與合法性。

每個政府都有讓人垢病的地方,每個執政者都有自己的包袱,每個執行者都有其困難點,研究者也一定有研究方法和研究限制。

但我實在不知道因為「改朝換代」而做出中止、廢除、刪減前朝預算行為的政府,要如何與人民建立「信任」,我希望專卡專用、不要揭露那麼多資訊在這張卡片上,除了主管機關和相關的法源外,我也看到內政部簡報裡提到的第三方獨立及驗證,這不是各位理想中的去中心化吧?委託第三方或是第 N 方,而非點對點的認證,已經違反了去中心化的原則。這些問題,還是先請台灣政府把基礎的政府數位化權責相關問題釐清吧!

前篇閱讀:對台灣即將更換的數位身分識別證的幾個疑問,也可以閱讀刊登於吐納商業評論的版本

留言

這個網誌中的熱門文章

語言是進入網際網路的第一把鑰匙

全球化與網際網路發展的影響下,英文成了國際間通用的語言。使用網際網路必須要先透過26個英文字母,或至少得先記住幾個入口網站或搜尋引擎網站的英文位址,再自透過搜尋或入口網站的連結找到自己的目的地。

自圖 1 可以得知在網際網路裡最常被使用的前十大語言:英文的使用人口數為第一,其次是中文 (無特別區分正體中文或簡體中文),第三為西班牙文,除了英文的普及性造成使用人口較多外,中文的使用人口數也不遑多讓。雖然這三種語言為全球使用人數居多的語言,然而在網際網路的內容上,則有不同的呈現。


[movie]虛偽、傲慢與人性--Dogville

片名:厄夜變奏曲DOGVILLE導演:拉斯馮提爾Lars von Trier演員:Nicole Kidman…IMDB花絮:厄夜的告白(Dogville Confession)續集:命運變奏曲(Manderlay)目前桌上放著的,是《在黑暗中漫舞》和《命運變奏曲》,克制著自己不要接著看下去,雖然我覺得看完再寫會比較完整,特別是看完《命運變奏曲》。昨晚已先看了《厄夜變奏曲》的花絮,在拍完這部電影後 Nicole Kidman還是沒能再接下去演《命運變奏曲》。如果沒看過這部電影的人,不建議再繼續看下去,免得壞了看電影的興緻。這部電影共分為九幕和一個序,沒有任何的「場景」,像是舞台劇般的在每一幕開始時有旁白,所謂的場景則象徵性的在攝影棚的地上劃出房子的地基、動物;在實體場景上,只有商店有門和展示櫃,看不見的McKay家有片落地窗,醫生有藥櫃,作家有書桌,七個孩子的果農家有張床和黑板…每個實際存在的物品都代表了住在那一「格」的居民的職業和對他們最重要的事物。也許因為沒有了場景,演員的表現反而被突顯了出來,劇情更容易讓人印象深刻。在「序」這一段裡介紹了Dogville和裡面的人物。在第一幕到第五幕裡,從Grace來到這個貧瘠的村莊,而村長Tom的行為與用意也讓人難以忍受,到此為止,大部份村民看起來是善良的,如同在序中介紹的善良正直。雖說在看電影前已經有人提醒我要小心電影情節的黑暗面,在第六幕開始時也有字幕提醒,但在看到第六幕時就想關掉了。因為從這一幕開始,才開始看到什麼是人性,而從第六幕開始,才是真正的人生。「傲慢(arrogance)」是最常出現在電影中的字詞,當Grace與Tom相遇時,她對Tom表示她必須自己教育自己,所以必須處罰自己不能進食;在第二幕裡,Grace認為Tom很「傲慢」而傲慢是不對的,一直到最後,第九幕,她到了車上依然與父親爭論「傲慢(arrogant)」。從車上兩個人的爭論裡,名字代表優美、優雅Grace終於顯露了她的本性:The Big Man:…but I, I call them dogs…
Grace: The dogs only obey their nature. Why shouldn't we forgive them?直到最後,她的決定讓整個村子燒光只剩下一隻狗,而她原諒了那隻連肉骨頭也不願施捨給她,甚至是讓她經歷整個黑暗…

[電影筆記]無止盡的等待-沒人寫信給上校

片名:沒人寫信給上校(No One Writes to the Colonel)導演:Arturo Ripstein演員:Marisa Paredes、Fernando Lujan、Salma Hayck等待是一件痛苦的事,對老年人猶是如此。我們常常在等待一件事,等著長大、等著畢業、等著有個完美的家庭、等著死亡…。有時等待的結果是甘美的,但往往等待的結果常出人意料之外。這部片子是絕色影展8的電影,改編自馬奎斯的同名小說「沒人寫信給上校」。在看這部影片時,只要影片中出現雨景或是談到鬥雞就會有種錯覺,會想起「百年孤寂」裡那場下了三年的大雨,把馬康多都下毀了,會想起易家蘭和老邦迪亞就是因為鬥雞,而必須離開原本的住處,移居至馬康多,開創一個空虛的繁華。「鬥雞」彷彿是罪惡的淵源,在這部電影裡,「鬥雞」讓上校失去了兒子;在書裡,「鬥雞」讓新婚的老邦迪亞殺了亞奎拉,不得不和易家蘭離開原本的村莊。再仔細想想,其實都是因為「女人」。上校的兒子是為了馬戲團裡的女子而參與鬥雞,卻被人殺死,讓上校和上校的妻子孤苦無依,每天只能等待那筆被承諾的退休金;老邦迪亞因為鬥雞比賽勝了亞奎拉,卻被嘲笑性能力,無法讓易家蘭懷孕(其實是易家蘭害怕生下帶有豬尾巴的小孩而不願意和老邦迪亞行房),而殺了亞奎拉。女人和鬥雞彷彿是所有悲傷的來源一樣。上校每逢星期五就會穿戴整齊到河邊去等待那封通知信,和他同年的老人應該是快樂的含貽弄孫吧?但是兒子意外過世後,他無法和同齡的老人一樣,等著孩子結婚生子,年紀如此蒼老的他只能等待死亡,也許那封遲遲不來的通知書是維持他活著的一個理由,那隻害他兒子死亡的鬥雞,可能是他懷念兒子的慰藉。在電影裡,我看著一個老人二十年來每天起來都要面對老婆的嘮叨,我不知道片中的她對那隻鬥雞到底是充滿了恨或是含有其他的情感,但能確定的,她和所有兒子的媽媽一樣,怨恨著兒子有了女友(這個女友還讓她的兒子沒了命),擔心已故兒子的女友要來搭訕她的丈夫,怨恨著他的丈夫讓她在如此貧困的生活,她曾經可是個眾所皆知的大美女,卻過著下一餐不知在哪的生活。寫到這,我想到百年孤寂裡的卡碧娥。卡碧娥是在一個謊言裡長大的女孩,受著貴族般的教育,生活裡儘是貴族的禮節,但在她成長的家庭裡,每天靠著編葬禮花圈、喝稀薄的巧克力水維生。當她參加選美比賽獲得冠軍時,又被席甘多帶到馬康多,過著一般家庭主婦的生活,還用病態的心理封閉了這個家…