數位身分的發展

吳幸芳/東海大學資訊管理學系

何謂數位身分

數位身分與大多數駕駛執照和護照等紙質身分證不同[1],數位身分可以讓人們快速跨越國際邊界、使用多張信用卡、更改銀行帳戶,並作為在任何線上服務的登入的工具。

數位身分通過數位渠道進行遠程身分驗證,藉由一組經過驗證的資料特徵和憑證,使個人、組織或電子設備得以在網路中進行使用者的身分驗證,實現類似於現實世界中的個人身分,通常由國家或地方政府、私人或非營利組織的財團或個人實體頒發。在該數位身分中涵蓋多項資訊,由國家法律定義的唯一身分號碼(例如:在台灣是身分證字號)、疫苗接種代碼、姓名、出生日期、公民身分、生物特徵等屬性[2]

具有識別性之數位身分應包含以下四項特性[3]:

  1. 經過驗證和高標準保證[4](Verified and authenticated to a high degree of assurance):政府或身分驗證等機構對於註冊數位身分的流程,需具有一定的高標準,意即一個好的數位身分須確保每次驗證時都保持使用相同的高標準。例如:要求其每個用戶註冊他們的生物特徵、創建密碼以及有嵌入個人身分資訊的設備。
  2. 唯一性(Unique):數位身分需具有唯一性,在一個系統內只有一個數位身分,且每個數位身分只對應到一個人。
  3. 在個人同意的情況下建立(Established with individual consent):需經過用戶同意才可建立,因只要用戶同意,代表用戶知道哪些個人數據將會被得知以及如何被使用。
  4. 保護用戶隱私並確保對個人資料的控制(Protects user privacy and ensures control over personal data):一個好的數位身分必須設置保護措施,以確保隱私和安全。同時,讓使用者可以設定個人資料的使用權限,以及決定哪些人可以使用與誰使用了這些資料。

數位身分相關之法規

截至今日許多國家皆推行與數位身分相關之法規與政策,本篇文章將簡單介紹英國、德國、加拿大、DIWG與台灣對於數位身分之相關法規。

英國政府在2022年宣布新計劃[5],人民能夠使用數位化方式快速證明自己的身分,不必依賴傳統的實體證件,並設立相關的ODIA辦公室(Office for Digital Identities and Attributes, ODIA)專門處理。ODIA將有權向經過認證的數位身分組織頒發易於識別的信任標誌,以證明該組織所核定之數位身分,符合以安全和一致的方式處理用戶的個資安全和隱私標準。

德國政府在2021年時宣布[6],從該年秋季開始,人民可以使用手機存儲政府頒發的身分證PIN 碼,能夠直接在線上證明自己的身分。

加拿大由非營利組織加拿大數位身分認證委員會(Digital ID Authentication Council of Canada, DIACC)推行泛加拿大信任框架(Pan-Canadian Trust Framework,PCTF)數位身分計畫[7],該計劃旨在通過驗證服務和網路的信任,來滿足目前和未來的加拿大數位身分生態系統創新需求。

2020年澳洲、加拿大、芬蘭、以色列、紐西蘭、新加坡、荷蘭及英國八個國家共同成立數位身分工作小組(Digital Identity Working Group, DIWG)[8],討論如何利用數位身分讓人們可以跨境使用。根據該組織的觀察要實現數位身分還需三項條件才可達成,包含通用語言與定義須達成一致、可互相操作的技術模型與基礎設施以及各國須評估以調整各自法律和政策。

台灣曾嘗試推動數位身分識別證(New eID)[9],將卡片個資最小化,只保留姓名、身分證字號、出生日期、相片及配偶欄,其餘個人資料如戶籍地址、父母親名字則保存在晶片內,得輸入密碼才能讀取。而若使用New eID,護照簽證、公投聯署、國民年金、勞保、育兒津貼等多達16項服務都能直接線上辦理。New eID原先預定於109年啟動全面換發作業,但因各界輿論對此議題有資安及法制面完備性之疑慮,因此暫緩實施數位身分識別證。

數位身分的風險與問題

使用數位身分帶來許多好處[10],對於企業來說可以提高營運效率、最大限度的降低成本、提高安全性並增強隱私、更好的客戶體驗等等,對於使用者來說可以使生活更加便利,減少登入時間。儘管如此,身分盜用和濫用是數位身分的最大風險[11],數位身分的註冊通常涉及使用者所擁有的真實身分與詳細個資,如果這些重要資訊落入有心人士手中,將造成巨大損失。

在註冊時需要判斷證件是否為正版合法證件,但根據統計資料顯示,全球流通的唯一有效身分證件類型超過6,000種[12],且每種證件都有自己專屬的防偽措施,即使限制用戶可以使用來驗證自己身分的證件類型,也需要複雜的分析來識別該身分證明是哪種證件類型,以及確保這是此人驗證其身分的合法方法。

身分證明文件一經核實,下一步是確認申請人的有效性,利用各種生物識別驗證是否為本人。此步驟通常是比對申請者的面貌以及身分證件上的照片,或頻繁要求用戶進行人臉辨識。然而人臉辨識可能因光線等問題,產生視覺的差異,使得本人在進行配對時無法成功,再者現今3D列印技術日益成熟,複製人臉外型不再是難題,如何避免這類型的偽造也是一項難題。

結語

在這資訊化的社會,使用數位身分可以使生活更加便利。截至今日,許多國家皆推行與數位身分相關之法規與政策。然而,因現今技術的不成熟,使得身分盜用和濫用是數位身分的最大風險,在台灣所推行的New eID 也因資安疑慮而延後換發,因此各國若要推行數位身分,須建立完善的法制及資安相關的防護,提升使用者的信任,同時避免重要個資落入有心人士手中,造成損失。

 

[1] McKinsey &company (2019). Digital identification: A key to inclusive growth. 檢自:https://www.techopedia.com/definition/23915/digital-identity (Apr. 13, 2022)

[2] Thales (2021). Digital identity trends – 5 forces that are shaping 2022. 檢自:https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/identity/digital-identity-services/trends (Apr. 13, 2022)

[3] McKinsey &company (2019). Infographic: What is good digital ID? 檢自:https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/infographic-what-is-good-digital-id (Apr. 13, 2022)

[4] privy(2019). 4 Elements of Good Digital ID, Explained. 檢自:https://blog.privy.id/4-elements-of-good-digital-id-explained/ (Apr. 13, 2022)

[5] Gov.uk (2022) New legislation set to make digital identities more trustworthy and secure. 檢自:https://www.gov.uk/government/news/new-legislation-set-to-make-digital-identities-more-trustworthy-and-secure (Apr. 15, 2022)

[6] Digital ID & Authentication Council of Canada (2021). Germany to let citizens store ID cards on smartphone. 檢自:https://diacc.ca/trust-framework/  (Apr. 15, 2022)

[7] AP news (2021). Germany to let citizens store ID cards on smartphone. 檢自:https://apnews.com/article/smartphones-germany-5daa87f5b6f2b9d76506085fcbade964  (Apr. 15, 2022)

[8] TWNIC (2022). DIWG提出數位身分相互識別原則。檢自:https://blog.twnic.tw/2022/03/24/22386/  (Apr. 10, 2022)

[9] 立法院 (2021). 制定數位身分識別證專法之研析。檢自:https://www.ly.gov.tw/Pages/Detail.aspx?nodeid=6590&pid=211305 (Apr. 13, 2022)

[10] TechFunnel (2020). What is Digital Identity and How Does it Work. 檢自:https://www.techfunnel.com/information-technology/what-is-digital-identity/ (Apr. 13, 2022)

[11] India mobile congress (2020) Digital Identity: The Pros, The Cons & Everything In-Between. 檢自:https://www.indiamobilecongress.com/2018/10/01/digital-identity-the-pros-the-cons-everything-in-between/ (Apr. 13, 2022)

[12] Deloitte UK Tech Blog (2020) The 5 Biggest Challenges of Digital Identity Verification. 檢自:https://medium.com/deloitte-uk-tech-blog/the-5-biggest-challenges-of-digital-identity-verification-88d2972be871 (Apr. 13, 2022)

回到頂端