跳至主要內容

閱讀歐盟區塊鏈技術運用於身份識別的報告與台灣的數位身分識別證

Photo by Adli Wahid on Unsplash

中午時間,我在查詢相關資料,回覆信件後,回頭問自己:「為什麼自己在查詢資料時,總是先從歐盟的資料著手?很多人會反應為什麼要查歐盟或 OECD 的資料而不先使用國內的資料?其他國家的研究資料不能用嗎?」

這幾年的心得是,在歐盟和 OECD 的報告裡會提供研究方法,公開告訴每個人,他們的數據來源、取得方法、怎麼推估、根據什麼政策框架,有什麼研究限制,這些公開的研究條件,都經得起外界審視和質疑,所以在檢查其合理性後,可以使用這些報告。

以區塊鏈技術運用在身分識別用途來說好了,在 GDPR 公布後,裡面的條件都規範了資料使用和流通的限制,對於喜歡不經告知就擅自挪用、交易的企業來說,使用資料的成本與門檻都提高許多,許多科技業者也質疑,在需要資料發展創新科技,如 AI 和區塊鏈,或是自主駕駛車輛,也需要大量的地理交通資訊,在 GDPR 這麼嚴謹的限制條件下,要如何發展新科技?

曾經我也是這麼質疑著。沒有資料,區塊鏈技術也只是一種工具,就像 3D 列印機缺乏設計圖、設計資料,也只是一部工具而已。

歐盟在區塊鏈應用的相關法規、發展與研究


ESSIF 在區塊鏈應用的情境圖,來源:European Self Sovereign identity framework

歐盟在 2018 年 2 月,歐盟委員會和歐洲議會成立了  European Blockchain Observatory and Forum,不僅針對區塊鏈技術與 GDPR 的研究,同時也有針對區塊鏈的可擴展性、資料可攜性、在政府與公共服務應用的建議、在歐洲國家的發展,還有大家最常討論的身份識別應用,總共五本報告,在網站上公開下載;為了鼓勵公私合作,在 2018 年 4 月成立了 International Association for Trusted Blockchain Applications (INATBA),一個以多方利害關係人為基礎的單位,有政府、研究單位、區塊鏈應用的研究機構,包括來自台灣的 BiiLabs

在 European Blockchain Observatory and Forum網站中的其中一本報告:「Blockchain and Digital Identity」利用了短短的 27 頁解釋了相關的應用、注意事項、法律規範,也提出了建議:
  1. Support the role of government as an issuer of verifiable credentials.
    支持政府作為發放該證明的角色。
  2. Clarify the relation of blockchains to eIDAS.
    澄清區塊鏈的數位身份識別與 eIDAS 之間的關係。
  3. Clarify open issues around decentralised identity and the GDPR.
    澄清圍繞在去中心化的身分識別和 GDPR 之間的關係。
  4. Clarify other potential regulatory issues.
    澄清其他潛在的法規議題。
  5. Continue the work of exploring a European Self-Sovereign Identity framework as part of the European Blockchain Services Infrastructure (EBSI).
    持續探索歐洲自我主權身份框架,並納入歐洲區塊鏈服務基礎設施的一部分。
  6. Support the broad use of digital identity in cities.
    支持在城市之間廣泛的數位識別身份應用。
針對  (2) 該份報告裡也說明了 eIDAS是在 1999 年藉由電子簽章支持歐盟的Digital Single Market 政策,它是一個組合,包括了:eID、eTimestamp、eSignature、eSeal、Qualified Web Authentication Certificate、Electronic Registered Delivery Service、Legal recognition of electronic
documents。

在 (5) 提到的歐洲自我主權身份框架 (European Self-Sovereign Identity framework,簡稱ESSIF) ,裡面就有提到了潛在的運用,也納入歐洲區塊鏈服務基礎設施 (European Blockchain Services Infrastructure,簡稱 EBSI) ,這是一個由歐盟成員國成立的合作框架,在 2018 年 10 月已有 26 個國家加入,EBSI 的目的是要進行跨境數據的傳輸,把 ESSIF 納入 EBSI 也顯示歐盟成員國的居民身份資料是可跨境流通的,至於用途,各有優缺點,目前 ESSIF 在區塊鏈應用的部份也完成第一階段 (Phase 1),也只是案例和第一次實施的對象,來定義 ESSIF 中有哪些是可以納入 EBSI 之中的元件,2020 至 2021年則研究、設計、建立初次的 ESSIF 實施框架,目的是要能夠支援多方連結,2021 至 2022 年則大規模實施。

如果上述的(2)、(3)、(4) 都能回答和澄清的話,(5)、(6) 才能實現,也才會讓人民有信心去支持 (1)。

歐盟並未反對區塊鏈或 AI 研究,而是透過自己歐盟境內的發展政策、法規,打造一個資料可以自由跨境流通的區域,因為他們很清楚的了解當資料可以自由流通,才能為歐洲國家帶來經濟效益,而我們區部看到的法令限制,除了對非歐盟成員國的門檻外,其實也可感受這些法律能讓人民做決策、擁有自己資料的控制權,而不是任由政府取用、調查、監控,或是讓企業把使用者資料當作商品交易、惡意曝露使用者隱私或不善盡其保使用者資料的責任。

最後,要提到歐盟在第一階段 (2011-2015) 電子化政府行動綱領裡就有規範,在「個人資料透明度」上,以五個等級來判斷一個電子化政府服務的「透明」與「成熟」程度:
  1. 成熟度0:民眾完全無法掌握個人資料被誰查詢、或是查詢目的。
  2. 成熟度1:民眾只能掌握自己的資料是否被查詢過。
  3. 成熟度2:民眾可以掌握自己的資料是否被查詢過、在什麼時候被查詢過。
  4. 成熟度3:民眾可以掌握自己的資料是否被查詢過,以及在什麼時間、被誰查詢過。
  5. 成熟度4:民眾可以掌握自己的資料是否被查詢過,以及在什麼時間、被誰、以什麼目的被查詢過。
在其第二階段 (2016-2020) 電子化政府行動綱領中,則是強調資料跨境流通、以及電子文件的有效性;所以他們也很努力進行相關規劃,包括eID、電子簽證等事項。

整體看下來,其實歐盟是循序漸進的從研究、設計應用場域、法規框架、日程,都是很完整的有所依循,也很難因為「改朝換代」而中止或廢止整個計畫。

台灣政府的規劃

台灣政府很容易因為「改朝換代」而做出中止、廢除、刪減前朝預算的行為。

儘管實際執行的團隊不變,卻會因為預算被刪除而無法繼續,甚至無法做到最初的標準,草草結案,最後又是一個蚊子館或無人看守的計畫蚊子網站。

台灣政府單位提到要建立一個政府骨幹網路,藉由區塊鏈應用來加強隱私與保密,並期待達成去中心化的目的,而人民透過數位識別證明來使用這些政府服務。於是我找了一些相關的政府公開資料,想要了解是在什麼樣的框架、理念、技術下進行:
  1. T-Road入口網規劃說明 PDF (2018.03)
  2. 20181227(簡報)國家發展委員會:「智慧政府規劃」報告
資料來源:T-Road入口網規劃說明 PDF
資料來源:20181227(簡報)國家發展委員會:「智慧政府規劃」報告
這些說明都展示了台灣政府規劃的方式與作法,以一般人可以理解的方式,讓大家了解未來透過這張數位身分識別證可以取用哪些資料庫、要整合哪些資料庫、有什麼用途。但如果比對了第二張在「智慧政府規劃」報告裡所提到的 T-Road 規劃,其實和歐盟現行的規劃圖類似,資料的提供者與資料消費者透過國家層級的介面,一次性交換資料。

來源:European Self Sovereign identity framework
台灣「電子簽章法」在 2011 年 11 月 14 日公布,2012年 4 月開始執行,主管單位是經濟部;自然人憑證則是遵循著電子簽章法,並有「內政部憑證管理中心憑證實務作業基準」;現行的國民身分證,則是有「國民身分證及戶口名簿製發相片影像檔建置管理辦法」,這部管理辦法依循著現行的「戶籍法」,戶籍法第二條註明了:「本法所稱主管機關:在中央為內政部;在直轄市為直轄市政府;在縣(市)為縣(市)政府。」,所以「國民身分證及戶口名簿製發相片影像檔建置管理辦法」的主管機關同戶籍法。

如果說自然人憑證是依循電子簽章法,而國發會的簡報第 8 頁中得知,未來的數位身分識別證是新版的自然人憑證,主管機關是內政部,但是該依循「電子簽章法」還是「國民身分證及戶口名簿製發相片影像檔建置管理辦法」?因為我們也自媒體報導知道,它其實也具有電子簽章的功能。

附帶一提的是,在「國民身分證及戶口名簿製發相片影像檔建置管理辦法」第 21 條註明了,身分證上記載了 25 項資訊、內政部的簡報表示紙本卡上有 11 條資訊,對於推廣數位身分識別證的人來說,他們會以未來的身分證卡面會減少曝露的資訊為理由作為正向的推廣原因。但是,為什麼不修改這部管理辦法,發行新的、不要結合手機、不要結合個人財務金融資訊的身分證,也不要把這麼多資訊揭露在卡面上呢?有次我去便利超商兌換中獎的 200 元發票,我才知道,原來超商可以用他們的掃描機來掃瞄現行身份證背面左下角的一維條碼,即個人的身分證字號,記錄在兌換記錄裡,也許是連結到財政部的相關資料庫,但也因為必須出示我的身分證,於是又讓第三人知道我的出生日期和居住地。

政府數位化的規劃應該是結合人民的需求、業務執行者的工作角度、管理者的需求,從各面向著手整合政府內部流程,再視需要的憑證需求來規劃新型態的憑證,而不是把刀子丟給人民,讓人民直接和第一線業務執行人員發生衝撞,增加第一線人員的挫折感和工作負擔。這件事情在 Open (Gov) Data 時代已經發生過很多次了,現在依然上演著同樣的戲碼。

目前這些問題也還未釐清,但目前看似都由內政部、行政院、國發會承擔下來了,在未澄清相關問題前,也無法支持相關的政策。

結論

回到文章最初,歐盟在制訂相關的應用、策略都是有跡可循,也能讓我們從歐盟的網站上取得豐富的發展過程、發展規劃、研究計畫,甚至公開向全球徵求計畫。我也許不夠了解區塊鏈,但在歐盟的應用發展歷程裡,我所注意到的是政策實行的合理性與合法性。

每個政府都有讓人垢病的地方,每個執政者都有自己的包袱,每個執行者都有其困難點,研究者也一定有研究方法和研究限制。

但我實在不知道因為「改朝換代」而做出中止、廢除、刪減前朝預算行為的政府,要如何與人民建立「信任」,我希望專卡專用、不要揭露那麼多資訊在這張卡片上,除了主管機關和相關的法源外,我也看到內政部簡報裡提到的第三方獨立及驗證,這不是各位理想中的去中心化吧?委託第三方或是第 N 方,而非點對點的認證,已經違反了去中心化的原則。這些問題,還是先請台灣政府把基礎的政府數位化權責相關問題釐清吧!

前篇閱讀:對台灣即將更換的數位身分識別證的幾個疑問,也可以閱讀刊登於吐納商業評論的版本

留言

  1. 您好,在研究ESSIF时无意中搜索到您的blog,意外的发现有许多共同关注的事物,比如区块链、CBDC等等,感谢分享!

    回覆刪除

發佈留言

請勿匿名留言,待審核後才會出現。

此網誌的熱門文章

聽死神說故事--偷書賊

書名:偷書賊(THE Book Thief) 作者:Markus Zusak ISBN:9789866973420 作者網站: Markus Zusak 譯者:呂玉嬋 出版:木馬文化 封面取自博客來網路書局。 購買於小小書房。 這個夏天讀《偷書賊》和《失物之書》,會在兩本不同的故事裡看到同一個時空背景所發生的故事,同樣是發生在孩子身上的事,同樣在說文字的力量,但《偷書賊》的節奏比《失物之書》緩慢一些。我盡量不要比較這兩本書,因為這是很無聊的事,但在閱讀的過程裡總驚訝這兩個故事有那麼多巧合之處,不是情節上的相似,而是在人物角色和背景總是有相似或是對立的情況出現。 《偷書賊》的女主角是被德國夫妻領養的莉賽爾,原本也要一同被領養的莉賽爾的弟弟卻死於火車上,莉賽爾在遭受與父母分離及弟弟的死亡後,在精神上受了極大的創傷,幸運的是領養她的父母是故事書中最仁慈的角色,給了莉賽爾完整的愛,不同於此時期裡其他的孩子可能瀕臨餓死或是送入集中營或是在街頭流浪被流彈波及,莉賽爾因為養父母的照顧和周遭的朋友、躲在地下室的猶太人…還有偏愛她的死神。 這個故事的特別處之一,敘述者不是主角或是任何一個書中的角色,而是沒有時空限制,總是旁觀的第三者,特別是在二戰的年代,無所不在的死神,戰場、集中營、巷弄裡,特別的是,這個死神總是想要表現祂冷酷無情和輕蔑人類的一面,但實際上我們從書中讀到的,是祂憐憫人類、輕視、無奈、驚訝人類的個性,也像人類一樣會抱怨工作、具有詩意、幽默感,也就是具有人性的一面: 人類只有在一天的開始與結束時,才會觀察顏色的變化。 但是對我而言,一天當中,每個短暫片刻都呈現出不同的色度與調性。 光是一個小時的時間,就包含了幾千種不同的顏色:蜜蠟黃、柔絲藍、陰鬱黑。 我是做這行的,當然特別注意顏色的變化。 …她貫徹始終,只要經過三十三號的門口,從沒有忘記吐痰,還會外加一句「死豬」。我發現德國人有個特點:他們真的很愛豬。 這個具有人性的死神成了說書者,祂說著在戰時會發生在任何一個角落的故事,然而我們透過祂的眼睛,看到一個帶著色彩、煙硝味濃厚、心驚膽跳與眼淚的故事,祂不儘是旁觀者,同時也是貫穿整個故事的主要角色之一。 整個故事讀起來有對納粹主義的不滿也有對當時情況的無奈。裡面對於創傷後壓力症候群( PTSD )的描寫也很貼切,莉賽爾和猶太人麥克斯分別經歷了不同程度的打擊,也產生了同樣的症狀,

[movie]記憶中失落的迷人氣味 Perfume

書本: Perfume: The Story of Muder 香水 作者:Patrick Suskind 徐四金 譯者:洪翠娥 出版社:皇冠 電影:Perfume: The Story of Muder 香水 導演:Tom Tykwer 演員:Ben Whishaw, Dustin Hoffman, Alan Rickman, Rachel Hurd-Wood 原聲帶: Perfume: The Story of a Murder - O.S.T. 在博客來網路書局買香水電影原聲帶 配樂:Berliner Philharmoniker 柏林愛樂交響樂團演奏 相信有不少人都看過德國作家徐四金所寫的著名小說《香水》,對這部電影的上映也是又期待又害怕。今天和排休的偉展兩個人到中和國賓影城看了這部電影後,都覺得這電影票錢花得值得,而且也意猶味盡的準備買下DVD和原聲帶。 雖然說這部電影在上映時,作者並未出席首映會,但對於讀者來說,雖然電影的部份有做部份的修改,刪掉書中的部份情節,忽略了小說開頭最重要的部份,但仍是相當好看的,在配樂上、男主角的確有詮釋出 葛奴乙 對於香氣保存的渴望與對氣味的貪婪,由其是他臉上的肌肉會因為對氣味貪婪而顫動著,難怪導演選角選了很久。 在目前所能看到的商業活動文宣裡都提到葛奴乙生來是沒有氣味的,這點其實有些問題。他並非天生就沒有氣味的,在書裡,他出生在一個非常炎熱與臭味衝天的環境裡,小說裡是這麼寫的: 「這種臭她感覺起來不像別的臭,而只更像一種令人受不了的醉人的東西,像百合田,或像放太多黃水仙的密封房間」 因為這醉人的香氣,她暈了過去並滾到路面上,雖然醒來繼續做生意,但沒多久就上斷頭台了(電影裡是受絞刑)。所以葛奴乙並非是生來無氣味的,在我的解讀裡,他一生中的氣味就在出生的那一剎那散發了出來,也許是回饋給那位沒愛過他且嗅覺已遲鈍的年輕母親。然而一個剛出生的嬰兒會有這樣的味道其實也不尋常,嬰兒的味道其實是一種甜甜的蜂蜜牛奶香,暖呼呼的,當然還帶著點尿布的味道,書裡也有描寫,但如果沒有確實的聞到嬰兒身上的香氣,其實很難想像出來。 這也是這部小說和電影成功的地方。在小說的剛開頭章節裡,幾乎都是對於氣味的描寫,讀者要一邊閱讀著文字,大腦裡還要一邊將文字處理成氣味的記憶,但平凡如我,也無法聞過所有的香氣,有

Recommerce 二手商品交易市場再起,順便小聊一下數位稅

最近會抽一點時間讀 Circle ID 上的文章,有些涉及 DNS 系統、網路基礎架構層面的技術性職文章對我來說較有進入障礙,有些則是進入門檻較低的商業公司市場報告,雖然和一般我們在台灣媒體看到所引用的報告來源不同,但十分建議大家多閱讀上面的資訊。