隨著人工智慧、物聯網等基礎建設愈來愈普及,各國努力發展智慧政府藍圖,使得數位身分證的換發成為趨勢。歐盟規劃於2022年9月前推出儲存各種數位證件、銀行帳戶的「數位身分皮夾」服務,提供歐盟境內民眾使用。
但是許多法律、資安專家與民眾,對於這項服務可能引發政府數位監控、人民資料外洩的問題,存有顧忌。這對於推出數位身分證政策但又喊卡的台灣,能從歐盟得到哪些借鑑?因此,新世代金融基金會與臺灣大學社會科學院舉辦「元宇宙大軍壓境,歐盟數位身分皮夾帶來的啓示」研討會,邀請資訊企業代表、法律學者、歐盟官員、金融證券代表,介紹各國使用的現況、解析潛在問題、分享落實資安的配套策略。
新冠肺炎疫情爆發後,歐盟暴露對美國和中國大陸數位技術的依賴。所以,歐盟為了扭轉局勢、實現數位轉型,在2021年3月9日提出「2030數位羅盤」(2030 Digital Compass)計畫,並於其中的公共數位化服務項目中,規劃「數位身分皮夾」(European Digital Identity Wallet)架構的推動方案。
新世代金融基金會董事長陳冲在致詞時,以個人實際遭遇的經驗為例,談及進入數位時代,國內銀行仍然使用臨櫃或電話約定對保的石器時代方法,而感到五味雜陳。他表示,歐盟計畫預計2022年9月正式公布數位身分皮夾,並將於2024~2025年統一歐盟國家個別使用的數位身分系統,因此歐盟數位身分皮夾帶來的相關制度、法規、應用、資安等議題,值得台灣關注與瞭解。
在論壇第一場「各國數位身分現況探討」的與談中,擔任主持人的台大社科院院長同時也是台灣歐洲聯盟中心主任蘇宏達,首先分享他日前與台灣西門子總裁艾偉(Erdal Elver),交流德國、歐洲數位化發展的看法。
蘇宏達說,艾偉認為德國、歐洲數位化雖不及亞洲國家、美國來得快速,但工程技術並未落後,只是對於消費層面的數位化,態度相對謹慎,發展步調較慢,「如果法規尚未健全,就推動數位化,很容易變成政府監控人民的工具。因此,德國與歐盟的概念是先建立數位化的法規後,才接著做消費、數位身分的線上認證。」
建議公部門設置CIO 加速IT投資
講者之一的台灣微軟研發中心總經理張仁炯,從自己軟體工程專業背景的角度,分享他對數位身分皮夾的看法。他說,數位身分的認證是早晚要做、應該要做,但對於台灣來講,並非現在要做,原因在於國內軟體開發、工程能力均不足,而且過去20年來在AI人工智慧、大數據領域,相較於國際其他國家,推進步伐來得緩慢,也無法與其他國家簽訂數位主權的協定。
張仁炯提醒,台灣政府各級機關對數位軟體的投資非常少,尚未設置資訊長(CIO)一職,無法針對數位化政策提出決定,如果按照現行審計法規,把數位身分認證的政策執行,發包給外部廠商執行,然後大家忙碌了5年後,才發現系統無法整合、資料無法交換,等於創造更大的問題。
因此,張仁炯建議政府,應該讓所有公部門組織理解資料交換的原則與重要性,同時也需要開始建立資料交換的能力,以及短、中、長期的計畫,「最重要的是如何加速政府的IT投資,讓自稱『資訊大國』的台灣,不要像『資訊乞丐』,IT使用一直落後於其他國家。
張仁炯強調,由於數位身分認證有其嚴肅性,凡事「過分準備」會比較安全,也就是需要訂定政策,規定如何分享資料,並建立讓政府與民間有效交換資料的機制,「這些事情牽涉複雜的數據工程問題,政府各級單位一定要設置CIO、編組足夠的資訊人員與經費後,再來規劃數位身分認證的事情。」
建立安全、便利與信賴 安國民的心
第二位講者的東海大學法律學院教授范姜真媺,分享她對各個實施數位身分憑證的觀察與見解。她指出,世界上開發運用數位身分證明的國家,除了歐盟所欲推展的數位身分皮夾外,還有愛沙尼亞、瑞典、新加坡和英國。
從上述這些國家的導入經驗來看,范姜真媺認為,國民會要求政府確保數位身分證的安全性、便利性的信賴度,因此政府建構信賴度高的數位身分證的構成機制,應考量技術面、社會面、運用面,以及運用規範的制定。
在技術面部分,包括強化安全維護,避免個資洩露、連結個資及認證系統發生故障;在社會面部分,必須保護隱私權,以及政府必須讓民眾理解數位身分證導入的必要性、成本、風險及監督方法;在運用面部分,政府應給予人民利用的動機,並在多領域通用數位身分證,節省時間成本;在運用規範制定上,對於何人配賦共通編號、運用的要件及領域、數位身分證技術的安全性標準及認定方法、擔保作法、相關法律責任,都必須有明確的規範。
完成立法後 2024年歐盟全境上線
歐盟執委會 DG Connect e化政府與信任組專案經理Alma Joy Ridderhof,以預錄影片方式,介紹歐盟數位身分框架。她表示,新冠肺炎疫情促使社會日常活動線上化、數位化經濟,都已經成真,因此在線上進行真實確切的身分認證,愈來愈重要,在此趨勢下,使用者在線上分享的個人資料,數量激增,風險也伴隨而來,每年約發生數十億筆個資外洩,皆肇因於不安全的身分認證方式,像是輸入電子郵件信箱或密碼的登錄方式。
Alma Joy Ridderhof說,數位身分需要經過使用者同意選擇使用,具有保密性、保障使用者隱私、防制詐欺,能提供歐盟全境內有效安全的跨業線上服務,方便使用者以數位方式進行日常交易,而歐盟數位身分皮夾未來可以用於銀行開戶、申報稅捐、購買菸酒時驗證年齡、租車、入住飯店的登記等,廣泛運用於公、私部門的領域。
歐盟數位身分框架目前處於立法階段,2021年6月歐盟執委會才剛提出框架的修正草案,目前歐盟兩大立法機關的歐盟理事會、歐洲議會,正在共同討論修正草案,同時執委會也與歐盟各國成員密集協調,研擬架構設計藍圖、框架共同標準、技術規格、指導方針、最佳實務作法等相關配套工具,預計在2022年9月公布,並於該年年底完成立法程序,接著在2024年歐盟全境上線。
