某一年的金融科技論壇,聽了一場由愛沙尼亞前總統Toomas的演講介紹,在愛沙尼亞的小國中推行數位公民計畫,每個人只需線上註冊後,即可享政府提供的多項數位服務,其中數位投票、數位身分證(eID)的換發更超過全國95%,除高度數位化程度外,更成立數據大使館,備份eID、稅金、年金..等資料儲存與應用。
台灣喊出於2020年10月全面換發,沒有專法、沒有監管機構,除此的倉促躁進,是向愛沙尼雅國看齊,抑或將資安問題推向駭客的口中?
本文將就以下架構討論,
1.數位身分證的規劃疑慮
2.各產業的快速應對
3.必要性與實用性
(一)數位身分證的規劃疑慮
不論政府、企業,趕鴨子上架總是最下下策,卻也不得以如此的希望達成某些目的性。近期eID的換發已確立延至2021年7月全面換發,在2021年的上半年將先行以澎湖縣、新竹市及新北市三個地區進行小規模換發測試。
將自然人憑證與身分證的結合,打通身份的登入與各式數位足跡的紀錄,在如此看似大突破的應用中,卻尚未看見任何關於修法的啟動,又更遑論流標多次的系統規劃承包案,對eID的規劃疑慮總結四項,
1.數位接受程度是漸進性,非強迫性
各項線上業務的推廣,不論是O2O轉移行為的線上購物或行動支付的普及,均是以使用者的需求為出發,且根據個人習慣、受數位影響程度的不同,而有不同配套措施,漸進引導式的提升數位趨勢。在強迫於全面換發的政策下,將導致使用者的反彈、適應不良、更多的不便利性,漸進且提供保留紙本身分證選項才是更為良善的數位計畫推動。
2.各產業對應配套措施的評估
在初期尚未有詳細的規劃書,也未考慮國民於各產業應用場景上的限制與困難,提出使用的便利情境簡單,考量實際配套措施,業務現況、系統、法令、業務衝突…等更為重要。
3.資安管理與監理機構設立
在新種業務特推行過程,除了基本個資、資安的適法性確立外,在監理機構的設置運行更需謹慎審視,但在初期資安與隱私風險均尚未確立下,貿然推動,待實際運行狀況再由監管機構出聲規範,這樣後知後覺的規劃存在資安疑慮與不確定性。
4.法令的衝突限制
法令必須與時俱進,但進展總是慢了好幾大步,在所有個資置於雲端,第三能存取的規則上,暫無看見明確說明。過去幾年推行的mobile ID,TWID識別中心於2018年底與五大電信簽署合約,極力爭取並擴大mobile ID的推廣運用,事隔兩年多,有關mobile ID的法令依舊模糊,亦讓業務無法明確使用,總需走進監理沙盒,說穿了其實是時間沙盒,透過時間檢視問題點,降低本在創新當中該有一定容忍度的出錯風險。
(二)各產業的快速應對
筆者僅就所知的領域來分享,不同業務上的應用,以及各產業為因應eID的政策性推廣,所需做的應對。
eID最大目的是為了做到線上數位身份驗證,即便在電商、零售、消費、電信、金融…等多產業中真正與eID相關為數卻不多。我們在這邊先簡單做一個區隔,可以從驗證強度此維度來區隔是否與eID具備關聯性。
舉個例子,在辦理手機門號,需確認本人即需雙證件來做申辦,在電信門號的個人認證上有一定的強度在,在申辦電商會員或線下零售會員等,僅留存電話號碼,無須相關確立本人的證件提供,即與eID較無直接關聯性。
由驗證強度此維度,與eID關聯性的相關產業有,政府個人業務申辦、金融產業(含銀行、證券、保險)、電信、醫療。
政府個人業務申辦,民眾可運用自然人憑證快速申辦每年報稅項目,也能申請戶籍謄本、查詢勞保勞退、查詢就醫資料或申請健保卡等,未來eID的整合,能一次快速提供申辦,確認、修改基本資料,經線上身份驗證確認本人。在政府線上申請流程中,將針對eID額外開放申辦認證的來源,藉eID加入的NFC感應技術,欲提升使用便利性。
在2021年年初將以三區試行,卻也讓產業各界人仰馬翻,為服務未來真的有民眾以eID來申辦金融、電信服務,線上可以暫不提供,但線下的建置配套,卻須盡快上線配合,這是為政策而非為經濟規模,說快速應對,並非像今年COVID-19疫情,加快了各產業在線上流程服務的轉變,擴大線上獲客、申辦的經濟效應,而因eID的快速應對,非為擴大業務範疇,短暫看起來是呼應政策所做的基礎建設。
(三)必要性與實用性
除了報稅外,在生活中似乎均無須真正要用到自然人憑證的需求,eID結合兩大紙本身份證,全民換發eID身分證的必要性真的存在嗎?
1.多卡合一的必要性
過去,一個人身上會有多張的卡別,像是悠遊卡、一卡通,適用不同消費通路各家銀行的信用卡,後續信用卡與兩大票證做結合,提升實用性與便利性,但這是在一項大前提下,即時兩張卡別的功能均為生活所必須,而才有多卡必要,當然暫不談論策略聯盟合作的考量。
回到eID的多卡合一,自然人憑證的功能並均是日常所需,在結合上的必要性本身就不強,而結合更讓部分業務的簽章顯示出更多個資的曝光,多卡合一的必要性真的確切存在嗎?
2.實用性的痛點
將身份辨識方式數位化,認同此政策方向的推行,但數位化並非1或0,應視實際業務規劃狀況決定數位化程度的依據,某部分來說,自然人憑證已是網路身分證的數位成就,且為現階段多數民眾信賴的工具,在此基礎下,若能從使用體驗解決,如插卡體驗、感應、二次驗證的開放,此政策方向的效益或許會大於全面換發eID來的更有效率,且放大可量化的成效,而非追求仿造他國的質化數字。