發布日期

TW DIW與法源依據

作者

[前言即小結]

台灣數位發展部(簡稱數位部)要推行DIW,很讚!但法源依據呢?依我的觀察與看法:台灣電子簽章新法,應可為台版DIW鋪路,而有了法源依據,要進一步做DIW、防詐,甚至搞DAO(法),也是指日可待!我自己更期待它在web3應用(不論是加密貨幣、區塊鏈領域或多元宇宙Plurality),能強化數位民主,在遵循最小揭露原則下,降低透露不必要身份資訊的風險,或應用ZKP等加密演算法,藉由皮夾使用者另綁定區塊鏈錢包後,例如以太坊錢包的ENS,或其他DID地址驗證服務,例如Gitcoin Passport、World ID,可以辨識與證明該錢包帳號至少是真人,最後達到任何國家、政府或行政機關均無法否認及刪除DID的存在,實踐去中心化或分散式身份認證的最終理想目標;而這樣的DID可用作憑證與交易的基礎,在一個或多個司法管轄區下被視為合法有效身份。人們在區塊鏈上的整體活動最終將產生法律認定的人格,這將會是治理與規範虛實世界的重要基礎,也是在多元宇宙或多中心化的場景下,透過多元方法、科技與工具,將網路治理的利害關係人們,達成鏈上共識,串起鏈上、鏈下的人事物。

[先講一下ENS]

幾乎所有Web3項目使用以太坊區塊鏈及其智能合約應用,而衍生出「分散式域名」,最有名的是「以太坊域名服務」(Ethereum Name Service,簡稱「ENS」),將人類可讀的域名解析為鏈上及鏈下的地址資訊。ENS使得任何用戶可為自己的以太坊地址註冊一個(或多個)以「.eth」結尾的以太坊域名。簡單來說,ENS可把一個冗長且難以記憶的「0x開頭的以太坊地址」映射到自定義的短地址,譬如「vitalik.eth」等等。如此一來,在支持ENS的加密錢包中,用戶不必再複製貼上冗長的地址,可直接使用ENS域名來綁定各種加密貨幣地址,並接收加密貨幣的付款。目前ENS用戶不僅使用在Web3,在Web2的平台服務例如X(前推特/Twitter)也能適用,包括可支援在個人資料中設置NFT頭像(PFP),成為鏈上身份的關鍵載體—創建、標示與彰顯一個人的鏈上人格。

[又講一下DID]

所謂「分散式身份識別」,全文是Decentralized Identity(DID),其核心理念是在去中心化身分階段,用戶可以完全掌控自己的資訊數據。它改變已有的身分證明系統,將數位身分所有權、控制權及管理權歸還用戶。DID就是打造鏈上的唯一身分證明;而隨著去中心化社會的實驗興起,DID成為建構去中心化社會的「靈魂」。

區塊鏈在Web3的理想重點在於,對自己的身分識別資訊有自主權(自我主權身分,Self-Sovereign Identity,SSI),不必仰賴政府或公司來肯定一個人的身分。它指向的世界是由人來定義「自己是誰」、「想要對外分享哪些有關自己的資訊」,而不是由Web2的集中式機構來定義與決定。透過區塊鏈的技術,設法讓我們從科技巨頭或社群平台的牢籠與囚禁中解放出來。

加密錢包是進入區塊鏈世界的入口,也是人們在區塊鏈上的身分:「You are what you are」,能在鏈上擁有與證明自己的身分,主要是為了證明持有鏈上資產,享有所有權及使用權,數位身分與資產密不可分。所以如何建構一個機制能實現「SSI」就是最重要的一件事,換言之,一個人可不需要靠任何權威機關、政府或組織,就能自己證明自己是自己。

讓身分自主的個人將資料登錄到可公開驗證的紀錄中,不需要任何人的許可,這件事本身具有相當重要的賦權意義。此時,將能永久確保該資訊,而「資訊的永久性」是民主不可或缺的基本重要因素。

[硬講一下ZKP]

若在Web3的身分驗證與網路審查方面,想落實「實名制」的高強度機制,就與去中心化與網路開源的精神背道而馳,且也可能過度侵犯個人在網路上隱私的問題。因此,我們可以想想密碼學上所謂的「零知識證明」(Zero-Knowledge Proof, ZKP)技術,是否可運用在Web3的網路生態。

ZKP理論與技術是2012年由密碼學家所提出,就是讓人可用數學證據證明某些說法為真,但不會透露證據底下的細節;也就是A可用機率和其他數學工具,向B證明A知道某個開放存取的秘密,卻不用透露那個秘密是什麼,或是說:「我可以在不讓他人看台科大畢業證書或其他證據的前提下,讓他人相信我確實是台科大的畢業生」。也就是說,它可以讓人們在沒看到證據的前提下,就能驗證對方說的話是真是假,並保有隱私。

[講回來TW DIW與法源]

參考數位部日前公布的數位皮夾白皮書,所謂TW DIW(Taiwan Digital Identity Wallet),就是台版的數位身份皮夾(錢包),用於認證與授權的分散式身分公共服務,民眾只需要使用這個服務,即可從各機關網站、各跨境平台、跨國事務與電子商務等管道介接不同數位身分,以簡單、安全、方便的方式, 完成身分認證與授權功能。而它的法源依據,就必須是電子簽章法,才能依法行政,師出有名;它的法律效果與等級,等同於數位簽章,在有憑證機關的背書下,具有與實體簽章同等效力與地位,即推定為本人親自簽章。

雖然在國際上的立法例,有日本電子簽章及認證業務法、韓國電子簽章法、聯合國貿易法委員會電子商務模範法、美國聯邦全球與國家商務電子簽章法,但講到數位身份錢包,還是歐盟在2014年的內部市場電子身分識別與可信賴電子交易服務規則(eIDAS Regulation,簡稱歐盟elDAS規則,2021年後已演變到elDAS 2.0)最有名,最常被拿來討論與參考。eIDAS規則更是作為歐盟境內電子身分識別(identities)、認證(authentication)和網站憑證(website certification)跨境使用的重要法律基礎架構,2021年6月3日宣布推出歐盟數位身分錢包(EU Digital Identity Wallet,EU DIW)計畫,2023年後達成政治協議。

EU DIW是先由政府認可的公務機關或私人企業提供這個錢包,而錢包能夠將國家數位身分識別(national digital identities)與其他個人身分證明(例如駕照、證照、銀行帳戶)進行連結,使歐盟公民和企業能夠經由使用數位錢包來進行身分識別,以方便進入線上使用服務,例如請求公共服務、開設銀行帳戶、填寫納稅申報表、入住酒店,租車或年齡證明等。該數位身分將在整個歐盟範圍內得到認可,使用者亦可依意願自行決定是否使用此身分識別服務。

就此,台灣大學法律學系副教授楊岳平曾在2021年一場研討會認為:「數位身分皮夾的概念,其實就是把大量的個資儲存在一個皮夾裡,皮夾背後會連到一個中央資料庫,民眾可透過這個資料庫將需要的個資擷取下來使用。」並指出,數位身分皮夾不只把資料還給民眾,還創造了新的資料集中者(皮夾業者);相對的,也帶來資料集中的風險,對於皮夾業者肯定要有相關的資訊安全要求,甚至要像金融業、電信業等需要經特許的業者,因此未來會需要一套監管架構,監管重點不同於金融業的金流、財務風險,而在於資料的使用、資料安 全等面向,這也是台灣往數位身分皮夾產業發展時不得不思考的課題。而數位發展部在2024年數位身分白皮書上似乎就這點有一些因應措施,有興趣的讀者可去翻閱。

台灣數位發展部在2023年進行一項「web3 分散式數位驗證與自治組織技術研發資訊服務委託案」計畫,其中驗證範圍有「以 W3C 國際標準對接行動自然人憑證以及組織及團體憑證(XCA)」,進行Web3技術的落地驗證。

驗證項目包括行動自然人憑證對接、組織及團體(miXed organization Certification Authority, XCA)憑證對接,以上可自動生產綁定在公共區塊鏈上的錢包地址或不可轉讓權杖,其標準規格不限於單一區塊鏈,且可相容於各個區塊鏈。甚至以利跨國數位身分簽章、電子公民身份交換及法人電子合約簽署等。在非法人組織得以透過DID標準自動化驗證DAO,據以申請XCA憑證,並提出DAO應用XCA憑證之使用場景規劃。(至於DAO這類的組織及其相關立法例,就請看另一篇拙作)

甚至衍生出「Taiwan DID」的實作驗證項目。什麼是Taiwan DID?它是以(數位)自然人憑證作為基底,結合區塊鏈密碼學基礎建設,例如將數位自然人憑證sync 全球最多人使用的加密錢包MetaMask(小狐狸),以作為分散式身份為來的全球先趨。在人工智慧造假、帳號氾濫與全球對資料隱私需求升高的現在,DID可為傳統身份憑證帶來解方;身份由使用者自行掌控,並在不揭露個人資訊的情況下驗明身份,有效保護個人隱私,更重要的是DID具有加強互通的特性,讓身份解方橫跨多方情境。實益是:有了Taiwan DID便可參與「數位社會民意代表選舉」,上述步驟準備就緒後,進入「數位社會民意代表選舉」網站,並認證Taiwan DID。

[插講一下數位簽章與DIW的關聯]

依照歐盟的內部市場電子身分識別與可信賴電子交易服務規則eIDAS規則,將電子簽章的效力由高而低,分別為QES(Qualified Electronic Signature)、AES(Advanced Electronic Signature)、SES(Simple Electronic Signature)三種區別等級,本次修法已參考歐盟eIDAS規則和其他國家的立法例,將電子簽章與數位簽章區分成不同的法律效力。

SES沒有技術門檻,雙方當事人同意就可採用,相當於我國民法的電子簽名,範圍最廣;再來是AES等同於修法草案中電子簽章的技術定義(這應該是大量且常見的應用場景);而最後是QES等同於數位簽章的技術定義,範圍最小、最窄(因為需要機構簽發憑證)。就此,可以彈性適用在各領域應用的場景需求,它們分別所可能涉及或面臨的身分識別方式。而我的理解上,TW DIW的憑證就是電子簽章法的數位簽章/QES,具有與實體簽章同等效力與地位,即推定為本人親自簽章,及身份認證、授權等作用。

[保障資料完整性]

資料完整性對於匯集來自分散來源的資料、自主身分解決方案(self-sovereign identity solutions),也就是保障個人的「身份自主權」,能將所有權歸屬於數位資產與記錄業務流程等具備重要性,此有助實現更加去中心化(decentralized)的治理模式,並使多方合作成為可能。 歐盟數位服務法案(Digital Services Act;在台灣就是數位中介服務法草案)中所定義的超大型線上平台(very large online platforms,例如Amazon、Booking.com或Facebook等服務),將被要求透過數位身分錢包驗證其線上服務使用者身分。對於防詐也有很大的實質幫助!

[電子簽章法與防詐]

數位部說要用數位簽章做到網路平台廣告驗證來防詐,並達到跨平臺聯防目標。這個問題其實很大、很深、很廣,甚至觸及類似數位中介服務法草案在處理平台上商業廣告等言論自由議題、甚至人工智慧基本法規在處理假訊息詐騙的爭議。數位部把網路廣告驗證數位簽章當作全村(行政院)的(防詐)希望,雖然這個想法是值得鼓勵的第一步,但在寄予厚望的時候,可能不只要思索跨部會與機關(至少包括金管會、經濟部、法務部等)的合作,有時候相關的法規配套也必須訂立。

[數位民主在大AI時代的重要性—代結論]

感謝黃豆泥翻譯《史丹佛區塊鏈法律與政策期刊》的一篇論文:《人工智慧與民主的數位身分危機》並放在Matters平台上免費供參。這篇論文作為一份政策倡議,討論集中式身分與去中心身分光譜,並建議抵抗深偽技術的身分證明解決方案,不應該是集中式平台,而應該考慮去中心驗證相關技術。我認為這篇可呼應TW DIW及其法源—電子簽章新法,並在此引用部份文章內容作為結論。

身分驗證領域中一個重要的區別是「真人證明」和「成員證明」協議之間的差異。前者確保系統中的每個參與者都是獨特的人類,防止自動化系統或惡意行為者假性參與,以量取勝,操縱結果(女巫攻擊)。而後者則驗證參與者在特定社群或團體中的成員身分的真實性。

這個區別在特定的民主背景下變得至關重要。例如:若臺灣僅僅確保「真人證明」,將無法防禦外來者對其民主體系的威脅。如果有 2000 萬名可能受中共影響的中國人,僅驗證他們的人類身分,他們可能會湧入臺灣的數位公共領域,進而扭曲公共論述。在這種情況下「成員證明」至關重要,進而確保參與者是真正的臺灣公民,避免外部影響,保護民主進程。

健全的數位身分認證系統將幫助我們區分人類與 AI,並且努力改善並將這些系統整合到我們與數位領域的互動中,有助於保護我們的民主制度免受 AI 生成的傷害。然而,如果政府採用集中式的數位身分系統,這些系統本身可能對它們旨在保護的民主制度產生長期的破壞性影響。在開發和部署數位身分認證系統之前,政府應該資助和支持倡議,以識別不同形式的身分認證系統並研究其利弊。

(本文僅代表作者觀點,不代表本站立場) 全文發表自NoMoreLaw_Leo在Matters平台

參考資料: