跳到主要內容

閱讀歐盟區塊鏈技術運用於身份識別的報告與台灣的數位身分識別證

Photo by Adli Wahid on Unsplash

中午時間,我在查詢相關資料,回覆信件後,回頭問自己:「為什麼自己在查詢資料時,總是先從歐盟的資料著手?很多人會反應為什麼要查歐盟或 OECD 的資料而不先使用國內的資料?其他國家的研究資料不能用嗎?」

這幾年的心得是,在歐盟和 OECD 的報告裡會提供研究方法,公開告訴每個人,他們的數據來源、取得方法、怎麼推估、根據什麼政策框架,有什麼研究限制,這些公開的研究條件,都經得起外界審視和質疑,所以在檢查其合理性後,可以使用這些報告。

以區塊鏈技術運用在身分識別用途來說好了,在 GDPR 公布後,裡面的條件都規範了資料使用和流通的限制,對於喜歡不經告知就擅自挪用、交易的企業來說,使用資料的成本與門檻都提高許多,許多科技業者也質疑,在需要資料發展創新科技,如 AI 和區塊鏈,或是自主駕駛車輛,也需要大量的地理交通資訊,在 GDPR 這麼嚴謹的限制條件下,要如何發展新科技?

曾經我也是這麼質疑著。沒有資料,區塊鏈技術也只是一種工具,就像 3D 列印機缺乏設計圖、設計資料,也只是一部工具而已。

歐盟在區塊鏈應用的相關法規、發展與研究


ESSIF 在區塊鏈應用的情境圖,來源:European Self Sovereign identity framework

歐盟在 2018 年 2 月,歐盟委員會和歐洲議會成立了  European Blockchain Observatory and Forum,不僅針對區塊鏈技術與 GDPR 的研究,同時也有針對區塊鏈的可擴展性、資料可攜性、在政府與公共服務應用的建議、在歐洲國家的發展,還有大家最常討論的身份識別應用,總共五本報告,在網站上公開下載;為了鼓勵公私合作,在 2018 年 4 月成立了 International Association for Trusted Blockchain Applications (INATBA),一個以多方利害關係人為基礎的單位,有政府、研究單位、區塊鏈應用的研究機構,包括來自台灣的 BiiLabs

在 European Blockchain Observatory and Forum網站中的其中一本報告:「Blockchain and Digital Identity」利用了短短的 27 頁解釋了相關的應用、注意事項、法律規範,也提出了建議:
  1. Support the role of government as an issuer of verifiable credentials.
    支持政府作為發放該證明的角色。
  2. Clarify the relation of blockchains to eIDAS.
    澄清區塊鏈的數位身份識別與 eIDAS 之間的關係。
  3. Clarify open issues around decentralised identity and the GDPR.
    澄清圍繞在去中心化的身分識別和 GDPR 之間的關係。
  4. Clarify other potential regulatory issues.
    澄清其他潛在的法規議題。
  5. Continue the work of exploring a European Self-Sovereign Identity framework as part of the European Blockchain Services Infrastructure (EBSI).
    持續探索歐洲自我主權身份框架,並納入歐洲區塊鏈服務基礎設施的一部分。
  6. Support the broad use of digital identity in cities.
    支持在城市之間廣泛的數位識別身份應用。
針對  (2) 該份報告裡也說明了 eIDAS是在 1999 年藉由電子簽章支持歐盟的Digital Single Market 政策,它是一個組合,包括了:eID、eTimestamp、eSignature、eSeal、Qualified Web Authentication Certificate、Electronic Registered Delivery Service、Legal recognition of electronic
documents。

在 (5) 提到的歐洲自我主權身份框架 (European Self-Sovereign Identity framework,簡稱ESSIF) ,裡面就有提到了潛在的運用,也納入歐洲區塊鏈服務基礎設施 (European Blockchain Services Infrastructure,簡稱 EBSI) ,這是一個由歐盟成員國成立的合作框架,在 2018 年 10 月已有 26 個國家加入,EBSI 的目的是要進行跨境數據的傳輸,把 ESSIF 納入 EBSI 也顯示歐盟成員國的居民身份資料是可跨境流通的,至於用途,各有優缺點,目前 ESSIF 在區塊鏈應用的部份也完成第一階段 (Phase 1),也只是案例和第一次實施的對象,來定義 ESSIF 中有哪些是可以納入 EBSI 之中的元件,2020 至 2021年則研究、設計、建立初次的 ESSIF 實施框架,目的是要能夠支援多方連結,2021 至 2022 年則大規模實施。

如果上述的(2)、(3)、(4) 都能回答和澄清的話,(5)、(6) 才能實現,也才會讓人民有信心去支持 (1)。

歐盟並未反對區塊鏈或 AI 研究,而是透過自己歐盟境內的發展政策、法規,打造一個資料可以自由跨境流通的區域,因為他們很清楚的了解當資料可以自由流通,才能為歐洲國家帶來經濟效益,而我們區部看到的法令限制,除了對非歐盟成員國的門檻外,其實也可感受這些法律能讓人民做決策、擁有自己資料的控制權,而不是任由政府取用、調查、監控,或是讓企業把使用者資料當作商品交易、惡意曝露使用者隱私或不善盡其保使用者資料的責任。

最後,要提到歐盟在第一階段 (2011-2015) 電子化政府行動綱領裡就有規範,在「個人資料透明度」上,以五個等級來判斷一個電子化政府服務的「透明」與「成熟」程度:
  1. 成熟度0:民眾完全無法掌握個人資料被誰查詢、或是查詢目的。
  2. 成熟度1:民眾只能掌握自己的資料是否被查詢過。
  3. 成熟度2:民眾可以掌握自己的資料是否被查詢過、在什麼時候被查詢過。
  4. 成熟度3:民眾可以掌握自己的資料是否被查詢過,以及在什麼時間、被誰查詢過。
  5. 成熟度4:民眾可以掌握自己的資料是否被查詢過,以及在什麼時間、被誰、以什麼目的被查詢過。
在其第二階段 (2016-2020) 電子化政府行動綱領中,則是強調資料跨境流通、以及電子文件的有效性;所以他們也很努力進行相關規劃,包括eID、電子簽證等事項。

整體看下來,其實歐盟是循序漸進的從研究、設計應用場域、法規框架、日程,都是很完整的有所依循,也很難因為「改朝換代」而中止或廢止整個計畫。

台灣政府的規劃

台灣政府很容易因為「改朝換代」而做出中止、廢除、刪減前朝預算的行為。

儘管實際執行的團隊不變,卻會因為預算被刪除而無法繼續,甚至無法做到最初的標準,草草結案,最後又是一個蚊子館或無人看守的計畫蚊子網站。

台灣政府單位提到要建立一個政府骨幹網路,藉由區塊鏈應用來加強隱私與保密,並期待達成去中心化的目的,而人民透過數位識別證明來使用這些政府服務。於是我找了一些相關的政府公開資料,想要了解是在什麼樣的框架、理念、技術下進行:
  1. T-Road入口網規劃說明 PDF (2018.03)
  2. 20181227(簡報)國家發展委員會:「智慧政府規劃」報告
資料來源:T-Road入口網規劃說明 PDF
資料來源:20181227(簡報)國家發展委員會:「智慧政府規劃」報告
這些說明都展示了台灣政府規劃的方式與作法,以一般人可以理解的方式,讓大家了解未來透過這張數位身分識別證可以取用哪些資料庫、要整合哪些資料庫、有什麼用途。但如果比對了第二張在「智慧政府規劃」報告裡所提到的 T-Road 規劃,其實和歐盟現行的規劃圖類似,資料的提供者與資料消費者透過國家層級的介面,一次性交換資料。

來源:European Self Sovereign identity framework
台灣「電子簽章法」在 2011 年 11 月 14 日公布,2012年 4 月開始執行,主管單位是經濟部;自然人憑證則是遵循著電子簽章法,並有「內政部憑證管理中心憑證實務作業基準」;現行的國民身分證,則是有「國民身分證及戶口名簿製發相片影像檔建置管理辦法」,這部管理辦法依循著現行的「戶籍法」,戶籍法第二條註明了:「本法所稱主管機關:在中央為內政部;在直轄市為直轄市政府;在縣(市)為縣(市)政府。」,所以「國民身分證及戶口名簿製發相片影像檔建置管理辦法」的主管機關同戶籍法。

如果說自然人憑證是依循電子簽章法,而國發會的簡報第 8 頁中得知,未來的數位身分識別證是新版的自然人憑證,主管機關是內政部,但是該依循「電子簽章法」還是「國民身分證及戶口名簿製發相片影像檔建置管理辦法」?因為我們也自媒體報導知道,它其實也具有電子簽章的功能。

附帶一提的是,在「國民身分證及戶口名簿製發相片影像檔建置管理辦法」第 21 條註明了,身分證上記載了 25 項資訊、內政部的簡報表示紙本卡上有 11 條資訊,對於推廣數位身分識別證的人來說,他們會以未來的身分證卡面會減少曝露的資訊為理由作為正向的推廣原因。但是,為什麼不修改這部管理辦法,發行新的、不要結合手機、不要結合個人財務金融資訊的身分證,也不要把這麼多資訊揭露在卡面上呢?有次我去便利超商兌換中獎的 200 元發票,我才知道,原來超商可以用他們的掃描機來掃瞄現行身份證背面左下角的一維條碼,即個人的身分證字號,記錄在兌換記錄裡,也許是連結到財政部的相關資料庫,但也因為必須出示我的身分證,於是又讓第三人知道我的出生日期和居住地。

政府數位化的規劃應該是結合人民的需求、業務執行者的工作角度、管理者的需求,從各面向著手整合政府內部流程,再視需要的憑證需求來規劃新型態的憑證,而不是把刀子丟給人民,讓人民直接和第一線業務執行人員發生衝撞,增加第一線人員的挫折感和工作負擔。這件事情在 Open (Gov) Data 時代已經發生過很多次了,現在依然上演著同樣的戲碼。

目前這些問題也還未釐清,但目前看似都由內政部、行政院、國發會承擔下來了,在未澄清相關問題前,也無法支持相關的政策。

結論

回到文章最初,歐盟在制訂相關的應用、策略都是有跡可循,也能讓我們從歐盟的網站上取得豐富的發展過程、發展規劃、研究計畫,甚至公開向全球徵求計畫。我也許不夠了解區塊鏈,但在歐盟的應用發展歷程裡,我所注意到的是政策實行的合理性與合法性。

每個政府都有讓人垢病的地方,每個執政者都有自己的包袱,每個執行者都有其困難點,研究者也一定有研究方法和研究限制。

但我實在不知道因為「改朝換代」而做出中止、廢除、刪減前朝預算行為的政府,要如何與人民建立「信任」,我希望專卡專用、不要揭露那麼多資訊在這張卡片上,除了主管機關和相關的法源外,我也看到內政部簡報裡提到的第三方獨立及驗證,這不是各位理想中的去中心化吧?委託第三方或是第 N 方,而非點對點的認證,已經違反了去中心化的原則。這些問題,還是先請台灣政府把基礎的政府數位化權責相關問題釐清吧!

前篇閱讀:對台灣即將更換的數位身分識別證的幾個疑問,也可以閱讀刊登於吐納商業評論的版本

留言

這個網誌中的熱門文章

[Movie] Longford--是使命而非成就

電影名稱:迷情(Longford)文中台詞出處及電影資訊:IMDb--LongfordWikipedia--Myra Hindly:Myra Hindley米拉·韓德麗朗福德伯爵的真實身份:Frank Pakenham圖片來源:Amazon:Longford這部電影在星期六下午播了一次,星期日的颱風夜又播了一次。中文片名被翻為《迷情》,大概是譯者或片商覺得片中的朗福德伯爵(Lord Longford)對獄中的Myra Hindley有份特殊的感情,所以把中文片名取得這麼煽情吧!然而這部電影叫Longford,所以重點不是放在到底Myra Hindley是不是謀殺孩童的主要兇手,也不是伯爵對Myra是否有特殊的情感,而是,在經過這些考驗後,伯爵對於自己信仰及寬恕的信念是否依然堅定。從影片中可以知道伯爵曾經是個德高望重的上議院成員,平時會去探望監獄中的囚犯,輔導他們並幫助他們重回人生的正途,甚至不惜幫他們大肆舉行慶祝會。這樣的行為看在其他人的眼中自然不是滋味,好事的記者甚至在報紙上刊出標題抨擊他為犯人的付出。Myra Hindley和她的男友Ian Brady因為犯下令人髮指的謀殺孩童案件被判終身監禁,伯爵在見過Myra後,決定幫她爭取申請假釋的機會,中間也因為年事已高及自己特立獨行的行事作風在政治鬥爭中喪失了升為議長的機會,甚至被強迫退休,在他曾經見過Ian Brady,懷疑Myra在獄中的良好表現是否只是作戲,甚至為了Myra,毀了女兒的新書發表會,與妻女不諒解的連續挫折下,他還是支持著Myra,堅守著人性本善的信念,直到Myra說出其他兩個孩童的命案,這對努力為她奔走的伯爵和後來轉為支持為Myra申請假釋的妻子Elizabeth而言是最大的背叛,也是對信念最大的考驗。伯爵本身是個由新教改宗的天主教徒,從劇情裡也知道他曾經精神崩潰過,靠著妻子與信仰的支持,他重新了自己的人生,但當他知道自己所有的努力都只是被Myra所利用,再回顧自己為了這件案子所損失的一切,最大的不值則是當他發現自己對Myra的信任只是被利用時,他再度面臨了對人性與信仰的考驗。他的名聲被毀了,讓人以為他對於Myra有著遐想,他幫助虐殺兒童的兇手是個令人無法接受的事實。他無助的在告解室裡告解,也許他也想起了Myra曾對他說,她已重返天主教的懷抱,也向神父告解,她讀了《懺悔錄》,感受到她心中的兩個聲…

參與網路治理線上課程的經驗與感想

「網路治理」四個字在台灣,對多數網路使用者來說,是很陌生的詞。從2016年中旬開始參與相關的會議活動,到現在2020年,四年的時間在這個領域裡,但處於台灣的我,一直覺得缺少了某些重要的資訊,每年開完台灣網路治理論壇,我最常問自己的問題是:「這就是網路治理嗎?」我相信每年的議題都具有當年度的代表意義,也極具有當年的代表性,只是對我自己來說,就像是拼圖裡少了幾片什麼,在台灣似乎不會在這個場合裡談到、政府或其他利害關係人也不希望再增加議題的更多或直接的利害關係人,就像是看到公開在網路上的法律案件,有一大段被抹除,身處於其中,只能霧裡看花,愈走愈偏頗。也曾經向一些朋友請教自己該補足的知識,但我的目標也不是成為工程師,許多很棒的建議,也無法解決我的問題。台灣有很多很棒的線上教育平台,也有很多傑出的講師,相信與參與的學生們也都有很好的互動。但目前台灣的網路治理裡,有很多經驗豐富的前輩、專業人員、學者,可以從不同面向切入各個議題,但還沒有完整的線上課程內容,如果只聽一位或兩、三位講者來講,加上缺少國際與會的機會,可能會和我面臨同樣的疑惑。全球網路治理其實有著共同面臨的問題:「語言」,就算是聯合國有六種官方語言,但在舉辦各種會議時、網路治理論壇時,還是以英文為主要的溝通語言。以2017年線上參與的實際經驗,聯合國的官方中文口譯是會打馬虎的,當他翻譯來不及時,就會以「這個、那個」來呼攏線上的中文聽眾。亞洲國家有不少國家、經濟體系是以英文為官方語言,但有些專業人員還是習慣以自己的母語、常使用的語言來表達意思,於是也會面臨英文說得流利的參與者不見得可以說出正確的技術知識;而具有專業知識的技術人員,不見得可以準確的用英文表達出自己的意見。因為平時交流還是以普通話為主,所以我也在2018年的 APrIGF 會議上吃過一次語言的虧,所以我也想藉著參與國外的課程來增加英文的能力。當然,每個專業組織都致力於將知識用當地的語言表達出來,希望能讓更多人參與,所以一直努力的鼓勵參與者用自己的語言寫作,這我會在稍後提到今年所參與的Internet Society課程裡再細談。ICANN、APNIC、Internet Society 都有提供免費且十分專業的線上課程,今年還有 Virtual School of Internet Governance 也加入了網路治理的線上課程教學,如果要參與國際網路組織…

[電影筆記]愛情之必要-編織戀愛夢

導演:Jocelyn Moorhouse配樂:Thomas Newman演員:Winona Ryder、Anne Bancrot、Ellen Burstyn、Kate Nelligan、Alfre Woodard原著:How to make an American Quilt作者:Whitney Otto曾經在HBO看過這部電影兩三次,印象裡沒有全部看完,但對幾幕有非常深刻的印象。基本上它並不符合目前市場上的胃口,對現在的年輕人而言可謂老套,但配樂很不錯,裡面有一些感情橋段卻是在現實世界裡常常看到。在 這部電影裡談到幾段不同的愛:母女、姐妹、夫妻、友情、愛情,除了兩性關係外,還有親子關係。記得小的時候,身邊就有幾個單親家庭的同學,由於來自單親家庭,他們無法肯定自己,也許在待人接物上給人感覺特別的孤傲,但其實他們的心裡缺乏自信,他們的心裡常會像電影中的Finn,在小時候會懷疑父母的分離是 不是因為自己的關係,直到他們成長後,可能因為單方面父親或母親的言行而無法對婚姻或是感情擁有信心,甚至會像Finn一樣的採取逃避的態度。Finn 在夏天時藉著寫論文為由,來到姨婆家並考慮是否要與未婚夫Sam共同經營兩人世界,但她就和所有的女人一樣,對於婚姻生活無法肯定,也由於因為父母離異, 較常與母親接觸的她很難想像一段感情能長遠的維持下去,甚至有著現代女性的獨立自主觀念,就算結婚了,也想要在婚後保有自己的私人空間。從電影裡看起來,會進行拼布這項手工藝的年代應該是很久很久以前的年代,從我閱讀的小說裡有提到街坊鄰居們一起做拼布棉被的年代,女人還沒有投票權。現在應該很少會有人進行集體做拼布棉被了吧?當我看到一群女人在進行這項工藝時想起蒙哥瑪利寫的「清秀佳人」系列的小說。這其實是三個世代女人的故事,Quilt的成員是屬於兩個世代的女人,對於愛情,她們勇敢的去追求,即使她們的丈夫(情人)只是玩弄感情、老是拈花惹草、不 在身邊或是與自己的姐妹不小心發生了關係,她們始終都待在丈夫的身邊,這是舊世代的女人的愛情觀,如中國那句古言:「嫁雞隨雞,嫁狗隨狗」。中間的世代, 如Marianna和Finn的母親。Finn的母親是嬉皮族(從服裝、結婚照和Finn自己說名字很嬉皮猜測),她在相當年輕時與Finn的父親結婚, 但又離婚,離婚後不斷的換著男朋友,因為她想找到屬於自己的愛情,同時也與前夫保持著朋友的關…