跳至主要內容

閱讀歐盟區塊鏈技術運用於身份識別的報告與台灣的數位身分識別證

Photo by Adli Wahid on Unsplash

中午時間,我在查詢相關資料,回覆信件後,回頭問自己:「為什麼自己在查詢資料時,總是先從歐盟的資料著手?很多人會反應為什麼要查歐盟或 OECD 的資料而不先使用國內的資料?其他國家的研究資料不能用嗎?」

這幾年的心得是,在歐盟和 OECD 的報告裡會提供研究方法,公開告訴每個人,他們的數據來源、取得方法、怎麼推估、根據什麼政策框架,有什麼研究限制,這些公開的研究條件,都經得起外界審視和質疑,所以在檢查其合理性後,可以使用這些報告。

以區塊鏈技術運用在身分識別用途來說好了,在 GDPR 公布後,裡面的條件都規範了資料使用和流通的限制,對於喜歡不經告知就擅自挪用、交易的企業來說,使用資料的成本與門檻都提高許多,許多科技業者也質疑,在需要資料發展創新科技,如 AI 和區塊鏈,或是自主駕駛車輛,也需要大量的地理交通資訊,在 GDPR 這麼嚴謹的限制條件下,要如何發展新科技?

曾經我也是這麼質疑著。沒有資料,區塊鏈技術也只是一種工具,就像 3D 列印機缺乏設計圖、設計資料,也只是一部工具而已。

歐盟在區塊鏈應用的相關法規、發展與研究


ESSIF 在區塊鏈應用的情境圖,來源:European Self Sovereign identity framework

歐盟在 2018 年 2 月,歐盟委員會和歐洲議會成立了  European Blockchain Observatory and Forum,不僅針對區塊鏈技術與 GDPR 的研究,同時也有針對區塊鏈的可擴展性、資料可攜性、在政府與公共服務應用的建議、在歐洲國家的發展,還有大家最常討論的身份識別應用,總共五本報告,在網站上公開下載;為了鼓勵公私合作,在 2018 年 4 月成立了 International Association for Trusted Blockchain Applications (INATBA),一個以多方利害關係人為基礎的單位,有政府、研究單位、區塊鏈應用的研究機構,包括來自台灣的 BiiLabs

在 European Blockchain Observatory and Forum網站中的其中一本報告:「Blockchain and Digital Identity」利用了短短的 27 頁解釋了相關的應用、注意事項、法律規範,也提出了建議:
  1. Support the role of government as an issuer of verifiable credentials.
    支持政府作為發放該證明的角色。
  2. Clarify the relation of blockchains to eIDAS.
    澄清區塊鏈的數位身份識別與 eIDAS 之間的關係。
  3. Clarify open issues around decentralised identity and the GDPR.
    澄清圍繞在去中心化的身分識別和 GDPR 之間的關係。
  4. Clarify other potential regulatory issues.
    澄清其他潛在的法規議題。
  5. Continue the work of exploring a European Self-Sovereign Identity framework as part of the European Blockchain Services Infrastructure (EBSI).
    持續探索歐洲自我主權身份框架,並納入歐洲區塊鏈服務基礎設施的一部分。
  6. Support the broad use of digital identity in cities.
    支持在城市之間廣泛的數位識別身份應用。
針對  (2) 該份報告裡也說明了 eIDAS是在 1999 年藉由電子簽章支持歐盟的Digital Single Market 政策,它是一個組合,包括了:eID、eTimestamp、eSignature、eSeal、Qualified Web Authentication Certificate、Electronic Registered Delivery Service、Legal recognition of electronic
documents。

在 (5) 提到的歐洲自我主權身份框架 (European Self-Sovereign Identity framework,簡稱ESSIF) ,裡面就有提到了潛在的運用,也納入歐洲區塊鏈服務基礎設施 (European Blockchain Services Infrastructure,簡稱 EBSI) ,這是一個由歐盟成員國成立的合作框架,在 2018 年 10 月已有 26 個國家加入,EBSI 的目的是要進行跨境數據的傳輸,把 ESSIF 納入 EBSI 也顯示歐盟成員國的居民身份資料是可跨境流通的,至於用途,各有優缺點,目前 ESSIF 在區塊鏈應用的部份也完成第一階段 (Phase 1),也只是案例和第一次實施的對象,來定義 ESSIF 中有哪些是可以納入 EBSI 之中的元件,2020 至 2021年則研究、設計、建立初次的 ESSIF 實施框架,目的是要能夠支援多方連結,2021 至 2022 年則大規模實施。

如果上述的(2)、(3)、(4) 都能回答和澄清的話,(5)、(6) 才能實現,也才會讓人民有信心去支持 (1)。

歐盟並未反對區塊鏈或 AI 研究,而是透過自己歐盟境內的發展政策、法規,打造一個資料可以自由跨境流通的區域,因為他們很清楚的了解當資料可以自由流通,才能為歐洲國家帶來經濟效益,而我們區部看到的法令限制,除了對非歐盟成員國的門檻外,其實也可感受這些法律能讓人民做決策、擁有自己資料的控制權,而不是任由政府取用、調查、監控,或是讓企業把使用者資料當作商品交易、惡意曝露使用者隱私或不善盡其保使用者資料的責任。

最後,要提到歐盟在第一階段 (2011-2015) 電子化政府行動綱領裡就有規範,在「個人資料透明度」上,以五個等級來判斷一個電子化政府服務的「透明」與「成熟」程度:
  1. 成熟度0:民眾完全無法掌握個人資料被誰查詢、或是查詢目的。
  2. 成熟度1:民眾只能掌握自己的資料是否被查詢過。
  3. 成熟度2:民眾可以掌握自己的資料是否被查詢過、在什麼時候被查詢過。
  4. 成熟度3:民眾可以掌握自己的資料是否被查詢過,以及在什麼時間、被誰查詢過。
  5. 成熟度4:民眾可以掌握自己的資料是否被查詢過,以及在什麼時間、被誰、以什麼目的被查詢過。
在其第二階段 (2016-2020) 電子化政府行動綱領中,則是強調資料跨境流通、以及電子文件的有效性;所以他們也很努力進行相關規劃,包括eID、電子簽證等事項。

整體看下來,其實歐盟是循序漸進的從研究、設計應用場域、法規框架、日程,都是很完整的有所依循,也很難因為「改朝換代」而中止或廢止整個計畫。

台灣政府的規劃

台灣政府很容易因為「改朝換代」而做出中止、廢除、刪減前朝預算的行為。

儘管實際執行的團隊不變,卻會因為預算被刪除而無法繼續,甚至無法做到最初的標準,草草結案,最後又是一個蚊子館或無人看守的計畫蚊子網站。

台灣政府單位提到要建立一個政府骨幹網路,藉由區塊鏈應用來加強隱私與保密,並期待達成去中心化的目的,而人民透過數位識別證明來使用這些政府服務。於是我找了一些相關的政府公開資料,想要了解是在什麼樣的框架、理念、技術下進行:
  1. T-Road入口網規劃說明 PDF (2018.03)
  2. 20181227(簡報)國家發展委員會:「智慧政府規劃」報告
資料來源:T-Road入口網規劃說明 PDF
資料來源:20181227(簡報)國家發展委員會:「智慧政府規劃」報告
這些說明都展示了台灣政府規劃的方式與作法,以一般人可以理解的方式,讓大家了解未來透過這張數位身分識別證可以取用哪些資料庫、要整合哪些資料庫、有什麼用途。但如果比對了第二張在「智慧政府規劃」報告裡所提到的 T-Road 規劃,其實和歐盟現行的規劃圖類似,資料的提供者與資料消費者透過國家層級的介面,一次性交換資料。

來源:European Self Sovereign identity framework
台灣「電子簽章法」在 2011 年 11 月 14 日公布,2012年 4 月開始執行,主管單位是經濟部;自然人憑證則是遵循著電子簽章法,並有「內政部憑證管理中心憑證實務作業基準」;現行的國民身分證,則是有「國民身分證及戶口名簿製發相片影像檔建置管理辦法」,這部管理辦法依循著現行的「戶籍法」,戶籍法第二條註明了:「本法所稱主管機關:在中央為內政部;在直轄市為直轄市政府;在縣(市)為縣(市)政府。」,所以「國民身分證及戶口名簿製發相片影像檔建置管理辦法」的主管機關同戶籍法。

如果說自然人憑證是依循電子簽章法,而國發會的簡報第 8 頁中得知,未來的數位身分識別證是新版的自然人憑證,主管機關是內政部,但是該依循「電子簽章法」還是「國民身分證及戶口名簿製發相片影像檔建置管理辦法」?因為我們也自媒體報導知道,它其實也具有電子簽章的功能。

附帶一提的是,在「國民身分證及戶口名簿製發相片影像檔建置管理辦法」第 21 條註明了,身分證上記載了 25 項資訊、內政部的簡報表示紙本卡上有 11 條資訊,對於推廣數位身分識別證的人來說,他們會以未來的身分證卡面會減少曝露的資訊為理由作為正向的推廣原因。但是,為什麼不修改這部管理辦法,發行新的、不要結合手機、不要結合個人財務金融資訊的身分證,也不要把這麼多資訊揭露在卡面上呢?有次我去便利超商兌換中獎的 200 元發票,我才知道,原來超商可以用他們的掃描機來掃瞄現行身份證背面左下角的一維條碼,即個人的身分證字號,記錄在兌換記錄裡,也許是連結到財政部的相關資料庫,但也因為必須出示我的身分證,於是又讓第三人知道我的出生日期和居住地。

政府數位化的規劃應該是結合人民的需求、業務執行者的工作角度、管理者的需求,從各面向著手整合政府內部流程,再視需要的憑證需求來規劃新型態的憑證,而不是把刀子丟給人民,讓人民直接和第一線業務執行人員發生衝撞,增加第一線人員的挫折感和工作負擔。這件事情在 Open (Gov) Data 時代已經發生過很多次了,現在依然上演著同樣的戲碼。

目前這些問題也還未釐清,但目前看似都由內政部、行政院、國發會承擔下來了,在未澄清相關問題前,也無法支持相關的政策。

結論

回到文章最初,歐盟在制訂相關的應用、策略都是有跡可循,也能讓我們從歐盟的網站上取得豐富的發展過程、發展規劃、研究計畫,甚至公開向全球徵求計畫。我也許不夠了解區塊鏈,但在歐盟的應用發展歷程裡,我所注意到的是政策實行的合理性與合法性。

每個政府都有讓人垢病的地方,每個執政者都有自己的包袱,每個執行者都有其困難點,研究者也一定有研究方法和研究限制。

但我實在不知道因為「改朝換代」而做出中止、廢除、刪減前朝預算行為的政府,要如何與人民建立「信任」,我希望專卡專用、不要揭露那麼多資訊在這張卡片上,除了主管機關和相關的法源外,我也看到內政部簡報裡提到的第三方獨立及驗證,這不是各位理想中的去中心化吧?委託第三方或是第 N 方,而非點對點的認證,已經違反了去中心化的原則。這些問題,還是先請台灣政府把基礎的政府數位化權責相關問題釐清吧!

前篇閱讀:對台灣即將更換的數位身分識別證的幾個疑問,也可以閱讀刊登於吐納商業評論的版本

留言

  1. 您好,在研究ESSIF时无意中搜索到您的blog,意外的发现有许多共同关注的事物,比如区块链、CBDC等等,感谢分享!

    回覆刪除

發佈留言

請勿匿名留言,待審核後才會出現。

此網誌的熱門文章

在2024年如何與AI合作—ChatGPT 和 Claude 的建議

想像AI與人類一起工作的畫面 (註1) 在之前文章裡談到我的工作時間都在與 AI 對話程式互動 (註2) ,一整年下來有些心得,不過我打算分次寫完。 大致而言,今年因為有AI 對話程式,讓我可以減少閱讀文件的時間,不是說我不讀文件,而是藉由它的協助讓我更準確的閱讀與理解文件的內容和重點,為避免AI 對話程式編故事,透過反覆的驗證,我反而讀到更多內容,甚至更深入。 在完成早上的工作內容後,我突然想到在2024年,不同的AI對話程式會對於使用者有什麼更好的建議,於是我分別問了 ChatGPT 和 Claude:「人們在2024年要如何更適當的和你合作?」 ChaGPT4 的對話畫面 ChatGPT 4回答 (註2) : 在2024年,人們要更適當地與我合作,可以考慮以下幾個建議: 明確的問題或請求: 提供具體且明確的問題或請求,這樣我能提供更精確和相關的回答。 理解能力範圍: 了解我的能力和限制,例如,我能查詢資訊、解釋複雜概念、創造性寫作等,但無法提供個人意見或處理非常個人化的問題。 持續互動: 如果第一次的回答沒有完全滿足你的需求,可以進一步提問或要求澄清,這有助於獲得更好的結果。 隱私保護: 雖然我不會儲存對話內容,但建議在與我互動時避免分享敏感個人信息。 持續學習和適應: 我會不斷更新和學習,使用者的回饋對我來說非常重要,可以幫助我提供更好的服務。 透過上述建議,使用者可以更有效地與我互動,從而獲得更滿意的答案和解決方案。 簡單的說,就是要問對問題,而且持續與它互動,藉由互動調整它的語言模型。 Claude 的回答 (註2) : Claude 的對話畫面 是的,關於在2024年更適當地與AI助手合作,我有一些建議: 明確交流你的需求 - 直接告訴我你需要什麼樣的幫助或資訊,這可以讓我提供更精準和有用的回覆。 問明確的問題 - 使用具體和明確的詞彙問問題,不要用模糊或抽象的措辭。這可以幫助我更好地理解你的問題。 理解我的能力局限 - 記住我只是一個AI系統,有一定的技術侷限性。不要期望我能做超出我能力範圍的事情。 耐心等待回答 - 有時我需要一些時間來搜尋資訊和形成回答。請耐心等待,不要連續發送多個問題。 提供回饋  - 如果我的回答沒有滿足你的需求,請平心靜氣地告知我,以及如何能改善。這將幫助我進一步優化服務品質。 保持友善 - 請用禮貌和友好的語氣與我

關於UBER與稅務議題的討論

其實我一直不敢一個人坐UBER。剛才與朋友關對於UBER要不要繳稅、對國內計程車衝擊的相關討論: 這對計程車司機來說就是市場機制而不全是政府管制的問題。消費者有權力選擇他們要坐的車,風險是消費者自己承擔。 現行計程車業者可以想想要如何增加消費者對自己的需求,例如下大雨時一定叫得到車、酒醉時可以安心的替代架駛服務。 政府的管制是保障駕駛和乘客的安全,這才是UBER不願面對的問題。 市場競爭不應該單靠政府干涉的。

[movie]記憶中失落的迷人氣味 Perfume

書本: Perfume: The Story of Muder 香水 作者:Patrick Suskind 徐四金 譯者:洪翠娥 出版社:皇冠 電影:Perfume: The Story of Muder 香水 導演:Tom Tykwer 演員:Ben Whishaw, Dustin Hoffman, Alan Rickman, Rachel Hurd-Wood 原聲帶: Perfume: The Story of a Murder - O.S.T. 在博客來網路書局買香水電影原聲帶 配樂:Berliner Philharmoniker 柏林愛樂交響樂團演奏 相信有不少人都看過德國作家徐四金所寫的著名小說《香水》,對這部電影的上映也是又期待又害怕。今天和排休的偉展兩個人到中和國賓影城看了這部電影後,都覺得這電影票錢花得值得,而且也意猶味盡的準備買下DVD和原聲帶。 雖然說這部電影在上映時,作者並未出席首映會,但對於讀者來說,雖然電影的部份有做部份的修改,刪掉書中的部份情節,忽略了小說開頭最重要的部份,但仍是相當好看的,在配樂上、男主角的確有詮釋出 葛奴乙 對於香氣保存的渴望與對氣味的貪婪,由其是他臉上的肌肉會因為對氣味貪婪而顫動著,難怪導演選角選了很久。 在目前所能看到的商業活動文宣裡都提到葛奴乙生來是沒有氣味的,這點其實有些問題。他並非天生就沒有氣味的,在書裡,他出生在一個非常炎熱與臭味衝天的環境裡,小說裡是這麼寫的: 「這種臭她感覺起來不像別的臭,而只更像一種令人受不了的醉人的東西,像百合田,或像放太多黃水仙的密封房間」 因為這醉人的香氣,她暈了過去並滾到路面上,雖然醒來繼續做生意,但沒多久就上斷頭台了(電影裡是受絞刑)。所以葛奴乙並非是生來無氣味的,在我的解讀裡,他一生中的氣味就在出生的那一剎那散發了出來,也許是回饋給那位沒愛過他且嗅覺已遲鈍的年輕母親。然而一個剛出生的嬰兒會有這樣的味道其實也不尋常,嬰兒的味道其實是一種甜甜的蜂蜜牛奶香,暖呼呼的,當然還帶著點尿布的味道,書裡也有描寫,但如果沒有確實的聞到嬰兒身上的香氣,其實很難想像出來。 這也是這部小說和電影成功的地方。在小說的剛開頭章節裡,幾乎都是對於氣味的描寫,讀者要一邊閱讀著文字,大腦裡還要一邊將文字處理成氣味的記憶,但平凡如我,也無法聞過所有的香氣,有