先進的數位身分法令是什麼模樣? - 豆泥 - Matters
來源:https://matters.town/a/xm9bka9b7a6u
先進的數位身分法令是什麼模樣?
美國猶他州於今年三月通過「個人數位身分修正案」(S.B. 260 Individual Digital Identity Amendments),並於這個月生效,國際人士喝采不斷。
這是因為該修正案對於「數位身分」的定義極為前瞻,首次「明確」定義政府不創造身分,只能背書身分。這是首次有政府法律將「個人自主權」與「政府角色」明確拆分開來,為其他州、乃至於其他國家起到示範效果。
個人認為台灣任何對「數位身分」在意的朋友,可以好好參考該法案,因此放上翻譯全文。該法案並不長,而且很好閱讀。此外,閱讀時,可以將過去數位身分證(New eID)政策脈絡與該法案進行比較。
以下先整理精華:
❶ 政府不創造身分,只背書身分
先有身分,才有政府,然後才有政府背書。 S.B. 260 開宗明義就述明每個人都是獨特的,政府沒法創造其獨特的事實,但可以在尊重隱私的前提下承認且背書,而且只有立法機關授權,才可以啟動背書。
意思是,先有人,才有政府。政府基於這個事實,提出高位階的原則,確保充足的監督與授權,才能推行數位身分證。
這與絕大多數其他國家的數位身分政策不同,而且不只是表面功夫而已,猶他州政府承認人本身存在,國家角色僅為協助,確立了「以人為本的數位身分」政策。
❷ 數位身分是公民控制的,而非政府控制
數位身分是疊加在個人身上的各種紀錄,這些記錄在政府背書以後,就不關政府的事了。
公民個人可以自己決定要揭露給誰、儲存在哪裡,或者不使用數位身分。此外法律也明確規定,政府不能要求公民個人交出手機進行身分驗證。
❸ 不強制加入/隨時可退出
不能因為數位身分政策而給予優惠或歧視,且不得因拒絕使用而不提供公共服務。這個規定打臉了「台灣政府為了衝KPI而發起抽iPhone活動」或「印度政府透過補助政策誘使民眾使用數位身分證」等作為。
當然,沒有強制換發,也可以隨時終止服務,這同時體現了「不歧視數位權利」與「尊重紙本權」(Right to the paper)。
❸ 禁止目的外使用
政府自我設限,明確規範只有滿足特定條件,才能「背書」數位身分,這封住了想要透過個人資料盈利卻沒有被授權的不良廠商,或想要監控公民隱私卻沒有經公民同意的作惡政府。
譬如酒吧不能給警察客人的個資,即使他已經驗證了客人已經成年。
❹ 反監控
此外,該法案明確禁止政府以及他機關「回傳」(phone home)資料,杜絕監控與集中化數位身分資料庫的可能性,這大大降低了「不良官員盜賣資料」、「個人資料外洩」或「追蹤特定個人足跡」的風險。
數位身分的驗證是公民個人與必要驗證者之間的事,與政府無關。
❺ 選擇性揭露與零知識證明入法
該法案沒有明確規範使用標準,但有規範性原則,譬如「允許選擇性揭露特定個人資料」、「驗證成年卻不揭露出生日期」,這兩項規範很明顯導向了國際上已漸成熟的「選擇性揭露」(Selective Disclosure)與「零知識證明」(Zero Knowledge proof, ZKP)。
❻ 將多方關係人參與寫入法案
明確規範政府部門需進行數位身分政策研究、擬定技術標準、評估資源運用,並且在履行這些任務時,需要資源「個資保護單位」、「民間單位」以及鄉鎮市組織成員。
這確保了個資保護單位、政府資訊單位以及外部監督力量可以充分討論,而非顢頇獨行。
◉ 小結論:
這部法律將明確將這幾年國際上熱烈討論的諸多概念化為法條,如人為本的數位身分(Human centric Digital Identity)與個人身分自主權(Self-sovereign Identity)。
猶他州素有科技法律創新州的美名,這次政府從一開始便揚棄「齊民編戶」的概念,且保護公民個人「避秦」的權利,著實令人敬佩其膽勢與遠見。
結果精華寫得比法條本身還長,大家不妨還是看一下法條本身吧。(法條原文連結)
猶他州第65屆立法會期(2025年常會)
個人數位身分修正案
主提案人:Kirk A. Cullimore 參議員 共同提案人:Paul A. Cutler 眾議員
一、法案摘要
法案簡介
本法案旨在制定與「州政府背書的數位身分」(state-endorsed digital identity)相關之法規。
重點內容
本法案將:
定義相關術語;
定義相關術語;
建立實施州政府背書數位身分的指導原則;
建立實施州政府背書數位身分的指導原則;
制定州政府在此項政策上的原則立場;
制定州政府在此項政策上的原則立場;
設定數位身分計畫的基本要求;
設定數位身分計畫的基本要求;
要求政府營運部(Department of Government Operations)研究並提出相關建議。
要求政府營運部(Department of Government Operations)研究並提出相關建議。
二、法條內容
第63A-16-1201條【定義】
在本條中,下列用語定義如下:
生物特徵資料(Biometric data):與第13-61-101條定義相同。
生物特徵資料(Biometric data):與第13-61-101條定義相同。
首席隱私官(Chief privacy officer):依第63A-19-302條所任命之隱私保護主管。
首席隱私官(Chief privacy officer):依第63A-19-302條所任命之隱私保護主管。
數位身分(Digital identity):個人可用以主張自身身分之電子紀錄。
數位身分(Digital identity):個人可用以主張自身身分之電子紀錄。
政府機構(Governmental entity):與第63G-2-103條定義相同。
政府機構(Governmental entity):與第63G-2-103條定義相同。
監護人(Guardian):
指依法獲授權可代為行事之個人或實體;
包括:
經個人指派之代表;
未成年子女之父母或法定監護人;
法定無行為能力者之法定監護人。
監護人(Guardian):
指依法獲授權可代為行事之個人或實體;
指依法獲授權可代為行事之個人或實體;
包括:
經個人指派之代表;
未成年子女之父母或法定監護人;
法定無行為能力者之法定監護人。
包括:
經個人指派之代表;
經個人指派之代表;
未成年子女之父母或法定監護人;
未成年子女之父母或法定監護人;
法定無行為能力者之法定監護人。
法定無行為能力者之法定監護人。
身分(Identity):
可辨識特定個人之任何屬性;
包括個人的:
個資;
生物特徵資料;
身體及非身體特徵;
肖像;
簽名;
其他任何獨特的身分識別碼。
身分(Identity):
可辨識特定個人之任何屬性;
可辨識特定個人之任何屬性;
包括個人的:
個資;
生物特徵資料;
身體及非身體特徵;
肖像;
簽名;
其他任何獨特的身分識別碼。
包括個人的:
個資;
個資;
生物特徵資料;
生物特徵資料;
身體及非身體特徵;
身體及非身體特徵;
肖像;
肖像;
簽名;
簽名;
其他任何獨特的身分識別碼。
其他任何獨特的身分識別碼。
個人(Individual):與第63G-2-103條定義相同。
個人(Individual):與第63G-2-103條定義相同。
行動通訊裝置(Mobile communication device):
具備網路功能並可顯示數位身分之無線裝置;
包括手機與無線平板。
行動通訊裝置(Mobile communication device):
具備網路功能並可顯示數位身分之無線裝置;
具備網路功能並可顯示數位身分之無線裝置;
包括手機與無線平板。
包括手機與無線平板。
資料隱私辦公室(Office):依第63A-19-301條設立之機構。
資料隱私辦公室(Office):依第63A-19-301條設立之機構。
自然人或法人(Person):與第63G-2-103條定義相同。
自然人或法人(Person):與第63G-2-103條定義相同。
個人資料(Personal data):與第63A-19-101條定義相同。
個人資料(Personal data):與第63A-19-101條定義相同。
實體身分(Physical identity):由下列機關核發之實體證明文件:
政府機構;
其他州之對等政府機構;
聯邦政府;
外國政府。
實體身分(Physical identity):由下列機關核發之實體證明文件:
政府機構;
政府機構;
其他州之對等政府機構;
其他州之對等政府機構;
聯邦政府;
聯邦政府;
外國政府。
外國政府。
州政府背書的數位身分:
由個人控制;
並已獲得猶他州政府正式承認之數位身分。
州政府背書的數位身分:
由個人控制;
由個人控制;
並已獲得猶他州政府正式承認之數位身分。
並已獲得猶他州政府正式承認之數位身分。
州政府背書數位身分計畫:制定技術、政策與流程,以建立個人數位身分之州級計畫。
州政府背書數位身分計畫:制定技術、政策與流程,以建立個人數位身分之州級計畫。
系統(System):用於建立、儲存、管理及驗證數位身分之技術基礎設施與程序。
系統(System):用於建立、儲存、管理及驗證數位身分之技術基礎設施與程序。
第63A-16-1202條【州政府數位身分政策】
猶他州政府政策如下:
每位個人皆有其獨特身分;
州政府不創造個人身分,但可在特定情況下予以承認;
州政府應尊重個人與其身分相關之隱私;
僅州政府可背書數位身分;
須經立法機關授權,方可啟動數位身分計畫;
受背書者有以下權利:
自主決定其數位身分的揭露方式、對象、揭露元素、儲存位置;
選擇是否使用數位身分或實體證件;
授權他人使用其數位身分做非原始目的之用途;
允許監護人代其使用數位身分;
接受該數位身分之實體應:
安全處理該資訊;
技術上遵守本法規;
禁止政府機關:
因使用數位身分給予優待;
或因未使用而拒絕提供服務;
不得要求交出個人行動裝置作為身分驗證依據。
猶他州政府政策如下:
每位個人皆有其獨特身分;
每位個人皆有其獨特身分;
州政府不創造個人身分,但可在特定情況下予以承認;
州政府不創造個人身分,但可在特定情況下予以承認;
州政府應尊重個人與其身分相關之隱私;
州政府應尊重個人與其身分相關之隱私;
僅州政府可背書數位身分;
僅州政府可背書數位身分;
須經立法機關授權,方可啟動數位身分計畫;
須經立法機關授權,方可啟動數位身分計畫;
受背書者有以下權利:
自主決定其數位身分的揭露方式、對象、揭露元素、儲存位置;
選擇是否使用數位身分或實體證件;
授權他人使用其數位身分做非原始目的之用途;
允許監護人代其使用數位身分;
受背書者有以下權利:
自主決定其數位身分的揭露方式、對象、揭露元素、儲存位置;
自主決定其數位身分的揭露方式、對象、揭露元素、儲存位置;
選擇是否使用數位身分或實體證件;
選擇是否使用數位身分或實體證件;
授權他人使用其數位身分做非原始目的之用途;
授權他人使用其數位身分做非原始目的之用途;
允許監護人代其使用數位身分;
允許監護人代其使用數位身分;
接受該數位身分之實體應:
安全處理該資訊;
技術上遵守本法規;
接受該數位身分之實體應:
安全處理該資訊;
安全處理該資訊;
技術上遵守本法規;
技術上遵守本法規;
禁止政府機關:
因使用數位身分給予優待;
或因未使用而拒絕提供服務;
禁止政府機關:
因使用數位身分給予優待;
因使用數位身分給予優待;
或因未使用而拒絕提供服務;
或因未使用而拒絕提供服務;
不得要求交出個人行動裝置作為身分驗證依據。
不得要求交出個人行動裝置作為身分驗證依據。
州政府不得背書數位身分,除非符合下列條件:
已驗證個人身分;
數位身分包含最先進之身分保護與驗證技術;
易於採用、兼容多種技術系統,且不損隱私與安全;
提供使用者完整資訊說明其控制與使用方式;
僅允許資訊用於揭露當下之特定目的;
避免其他機關對其使用情形進行監控;
允許選擇性揭露特定身分屬性;
可驗證年齡是否符合要求,而不揭露實際出生日期。
州政府不得背書數位身分,除非符合下列條件:
已驗證個人身分;
已驗證個人身分;
數位身分包含最先進之身分保護與驗證技術;
數位身分包含最先進之身分保護與驗證技術;
易於採用、兼容多種技術系統,且不損隱私與安全;
易於採用、兼容多種技術系統,且不損隱私與安全;
提供使用者完整資訊說明其控制與使用方式;
提供使用者完整資訊說明其控制與使用方式;
僅允許資訊用於揭露當下之特定目的;
僅允許資訊用於揭露當下之特定目的;
避免其他機關對其使用情形進行監控;
避免其他機關對其使用情形進行監控;
允許選擇性揭露特定身分屬性;
允許選擇性揭露特定身分屬性;
可驗證年齡是否符合要求,而不揭露實際出生日期。
可驗證年齡是否符合要求,而不揭露實際出生日期。
州政府僅可在以下情況下撤回背書:
數位身分已遭入侵;
發行時有錯誤或偽造資訊;
當事人自行請求撤銷。
州政府僅可在以下情況下撤回背書:
數位身分已遭入侵;
數位身分已遭入侵;
發行時有錯誤或偽造資訊;
發行時有錯誤或偽造資訊;
當事人自行請求撤銷。
當事人自行請求撤銷。
第63A-16-1203條【部門職責】
政府營運部應執行以下事項:
研究數位身分計畫之實施方式;
彙整數位身分使用之最佳實務;
擬定應採納之政策、標準與技術;
評估如何有效利用現有資源;
建議相關法律與政策修正方向。
政府營運部應執行以下事項:
研究數位身分計畫之實施方式;
研究數位身分計畫之實施方式;
彙整數位身分使用之最佳實務;
彙整數位身分使用之最佳實務;
擬定應採納之政策、標準與技術;
擬定應採納之政策、標準與技術;
評估如何有效利用現有資源;
評估如何有效利用現有資源;
建議相關法律與政策修正方向。
建議相關法律與政策修正方向。
在履行上述任務時,部門應諮詢:
首席資訊官(Chief Information Officer);
首席隱私官;
猶他州城市與鄉鎮聯盟;
猶他州縣協會;
政府機構、其他州與民間部門之相關專家。
在履行上述任務時,部門應諮詢:
首席資訊官(Chief Information Officer);
首席資訊官(Chief Information Officer);
首席隱私官;
首席隱私官;
猶他州城市與鄉鎮聯盟;
猶他州城市與鄉鎮聯盟;
猶他州縣協會;
猶他州縣協會;
政府機構、其他州與民間部門之相關專家。
政府機構、其他州與民間部門之相關專家。
本部門應於每年10月31日前,向「公用事業、能源與科技臨時委員會」提交報告與建議。
本部門應於每年10月31日前,向「公用事業、能源與科技臨時委員會」提交報告與建議。
第四條【生效日期】
本法案自2025年5月7日生效。