Mashbean Blog

先進的數位身分法令是什麼模樣?

發布: · 約 11 分鐘閱讀

已簽名
已簽名資訊

豆泥的以太坊地址: mashbean.eth

狀態: 已驗證

文章的身分證字號

0xf16606f968ca97568eb1f64b420d06955049ea89a90acc10fe54b6361cb21832

這是什麼?

已簽名表示這篇文章已建立獨特的身分證字號(內容雜湊,contentHash)並且由豆泥簽署認證,簽署是採用以太坊區塊鏈的豆泥專用地址(signer.mashbean.eth)。只要內容一經修改,就會需要重新驗證換發新的身分證字號。但豆泥不是每天都在公所上班,所以偶爾會慢一點認證。

閱讀偏好
先進的數位身分法令是什麼模樣? - 豆泥 - Matters cover illustration (身分, 與第, 條定義相同, 政府機構)

來源:https://matters.town/a/xm9bka9b7a6u

先進的數位身分法令是什麼模樣?

美國猶他州於今年三月通過「個人數位身分修正案」(S.B. 260 Individual Digital Identity Amendments),並於這個月生效,國際人士喝采不斷。

這是因為該修正案對於「數位身分」的定義極為前瞻,首次「明確」定義政府不創造身分,只能背書身分。這是首次有政府法律將「個人自主權」與「政府角色」明確拆分開來,為其他州、乃至於其他國家起到示範效果。

個人認為台灣任何對「數位身分」在意的朋友,可以好好參考該法案,因此放上翻譯全文。該法案並不長,而且很好閱讀。此外,閱讀時,可以將過去數位身分證(New eID)政策脈絡與該法案進行比較。

以下先整理精華:

❶ 政府不創造身分,只背書身分

先有身分,才有政府,然後才有政府背書。 S.B. 260 開宗明義就述明每個人都是獨特的,政府沒法創造其獨特的事實,但可以在尊重隱私的前提下承認且背書,而且只有立法機關授權,才可以啟動背書。

意思是,先有人,才有政府。政府基於這個事實,提出高位階的原則,確保充足的監督與授權,才能推行數位身分證。

這與絕大多數其他國家的數位身分政策不同,而且不只是表面功夫而已,猶他州政府承認人本身存在,國家角色僅為協助,確立了「以人為本的數位身分」政策。

❷ 數位身分是公民控制的,而非政府控制

數位身分是疊加在個人身上的各種紀錄,這些記錄在政府背書以後,就不關政府的事了。

公民個人可以自己決定要揭露給誰、儲存在哪裡,或者不使用數位身分。此外法律也明確規定,政府不能要求公民個人交出手機進行身分驗證。

❸ 不強制加入/隨時可退出

不能因為數位身分政策而給予優惠或歧視,且不得因拒絕使用而不提供公共服務。這個規定打臉了「台灣政府為了衝KPI而發起抽iPhone活動」或「印度政府透過補助政策誘使民眾使用數位身分證」等作為。

當然,沒有強制換發,也可以隨時終止服務,這同時體現了「不歧視數位權利」與「尊重紙本權」(Right to the paper)。

❸ 禁止目的外使用

政府自我設限,明確規範只有滿足特定條件,才能「背書」數位身分,這封住了想要透過個人資料盈利卻沒有被授權的不良廠商,或想要監控公民隱私卻沒有經公民同意的作惡政府。

譬如酒吧不能給警察客人的個資,即使他已經驗證了客人已經成年。

❹ 反監控

此外,該法案明確禁止政府以及他機關「回傳」(phone home)資料,杜絕監控與集中化數位身分資料庫的可能性,這大大降低了「不良官員盜賣資料」、「個人資料外洩」或「追蹤特定個人足跡」的風險。

數位身分的驗證是公民個人與必要驗證者之間的事,與政府無關。

❺ 選擇性揭露與零知識證明入法

該法案沒有明確規範使用標準,但有規範性原則,譬如「允許選擇性揭露特定個人資料」、「驗證成年卻不揭露出生日期」,這兩項規範很明顯導向了國際上已漸成熟的「選擇性揭露」(Selective Disclosure)與「零知識證明」(Zero Knowledge proof, ZKP)。

❻ 將多方關係人參與寫入法案

明確規範政府部門需進行數位身分政策研究、擬定技術標準、評估資源運用,並且在履行這些任務時,需要資源「個資保護單位」、「民間單位」以及鄉鎮市組織成員。

這確保了個資保護單位、政府資訊單位以及外部監督力量可以充分討論,而非顢頇獨行。

◉ 小結論:

這部法律將明確將這幾年國際上熱烈討論的諸多概念化為法條,如人為本的數位身分(Human centric Digital Identity)與個人身分自主權(Self-sovereign Identity)。

猶他州素有科技法律創新州的美名,這次政府從一開始便揚棄「齊民編戶」的概念,且保護公民個人「避秦」的權利,著實令人敬佩其膽勢與遠見。

結果精華寫得比法條本身還長,大家不妨還是看一下法條本身吧。(法條原文連結)

猶他州第65屆立法會期(2025年常會)

個人數位身分修正案

主提案人:Kirk A. Cullimore 參議員 共同提案人:Paul A. Cutler 眾議員

一、法案摘要

法案簡介

本法案旨在制定與「州政府背書的數位身分」(state-endorsed digital identity)相關之法規。

重點內容

本法案將:

定義相關術語;

定義相關術語;

建立實施州政府背書數位身分的指導原則;

建立實施州政府背書數位身分的指導原則;

制定州政府在此項政策上的原則立場;

制定州政府在此項政策上的原則立場;

設定數位身分計畫的基本要求;

設定數位身分計畫的基本要求;

要求政府營運部(Department of Government Operations)研究並提出相關建議。

要求政府營運部(Department of Government Operations)研究並提出相關建議。

二、法條內容

第63A-16-1201條【定義】

在本條中,下列用語定義如下:

生物特徵資料(Biometric data):與第13-61-101條定義相同。

生物特徵資料(Biometric data):與第13-61-101條定義相同。

首席隱私官(Chief privacy officer):依第63A-19-302條所任命之隱私保護主管。

首席隱私官(Chief privacy officer):依第63A-19-302條所任命之隱私保護主管。

數位身分(Digital identity):個人可用以主張自身身分之電子紀錄。

數位身分(Digital identity):個人可用以主張自身身分之電子紀錄。

政府機構(Governmental entity):與第63G-2-103條定義相同。

政府機構(Governmental entity):與第63G-2-103條定義相同。

監護人(Guardian):

指依法獲授權可代為行事之個人或實體;

包括:

經個人指派之代表;

未成年子女之父母或法定監護人;

法定無行為能力者之法定監護人。

監護人(Guardian):

指依法獲授權可代為行事之個人或實體;

指依法獲授權可代為行事之個人或實體;

包括:

經個人指派之代表;

未成年子女之父母或法定監護人;

法定無行為能力者之法定監護人。

包括:

經個人指派之代表;

經個人指派之代表;

未成年子女之父母或法定監護人;

未成年子女之父母或法定監護人;

法定無行為能力者之法定監護人。

法定無行為能力者之法定監護人。

身分(Identity):

可辨識特定個人之任何屬性;

包括個人的:

個資;

生物特徵資料;

身體及非身體特徵;

肖像;

簽名;

其他任何獨特的身分識別碼。

身分(Identity):

可辨識特定個人之任何屬性;

可辨識特定個人之任何屬性;

包括個人的:

個資;

生物特徵資料;

身體及非身體特徵;

肖像;

簽名;

其他任何獨特的身分識別碼。

包括個人的:

個資;

個資;

生物特徵資料;

生物特徵資料;

身體及非身體特徵;

身體及非身體特徵;

肖像;

肖像;

簽名;

簽名;

其他任何獨特的身分識別碼。

其他任何獨特的身分識別碼。

個人(Individual):與第63G-2-103條定義相同。

個人(Individual):與第63G-2-103條定義相同。

行動通訊裝置(Mobile communication device):

具備網路功能並可顯示數位身分之無線裝置;

包括手機與無線平板。

行動通訊裝置(Mobile communication device):

具備網路功能並可顯示數位身分之無線裝置;

具備網路功能並可顯示數位身分之無線裝置;

包括手機與無線平板。

包括手機與無線平板。

資料隱私辦公室(Office):依第63A-19-301條設立之機構。

資料隱私辦公室(Office):依第63A-19-301條設立之機構。

自然人或法人(Person):與第63G-2-103條定義相同。

自然人或法人(Person):與第63G-2-103條定義相同。

個人資料(Personal data):與第63A-19-101條定義相同。

個人資料(Personal data):與第63A-19-101條定義相同。

實體身分(Physical identity):由下列機關核發之實體證明文件:

政府機構;

其他州之對等政府機構;

聯邦政府;

外國政府。

實體身分(Physical identity):由下列機關核發之實體證明文件:

政府機構;

政府機構;

其他州之對等政府機構;

其他州之對等政府機構;

聯邦政府;

聯邦政府;

外國政府。

外國政府。

州政府背書的數位身分:

由個人控制;

並已獲得猶他州政府正式承認之數位身分。

州政府背書的數位身分:

由個人控制;

由個人控制;

並已獲得猶他州政府正式承認之數位身分。

並已獲得猶他州政府正式承認之數位身分。

州政府背書數位身分計畫:制定技術、政策與流程,以建立個人數位身分之州級計畫。

州政府背書數位身分計畫:制定技術、政策與流程,以建立個人數位身分之州級計畫。

系統(System):用於建立、儲存、管理及驗證數位身分之技術基礎設施與程序。

系統(System):用於建立、儲存、管理及驗證數位身分之技術基礎設施與程序。

第63A-16-1202條【州政府數位身分政策】

猶他州政府政策如下:

每位個人皆有其獨特身分;

州政府不創造個人身分,但可在特定情況下予以承認;

州政府應尊重個人與其身分相關之隱私;

僅州政府可背書數位身分;

須經立法機關授權,方可啟動數位身分計畫;

受背書者有以下權利:

自主決定其數位身分的揭露方式、對象、揭露元素、儲存位置;

選擇是否使用數位身分或實體證件;

授權他人使用其數位身分做非原始目的之用途;

允許監護人代其使用數位身分;

接受該數位身分之實體應:

安全處理該資訊;

技術上遵守本法規;

禁止政府機關:

因使用數位身分給予優待;

或因未使用而拒絕提供服務;

不得要求交出個人行動裝置作為身分驗證依據。

猶他州政府政策如下:

每位個人皆有其獨特身分;

每位個人皆有其獨特身分;

州政府不創造個人身分,但可在特定情況下予以承認;

州政府不創造個人身分,但可在特定情況下予以承認;

州政府應尊重個人與其身分相關之隱私;

州政府應尊重個人與其身分相關之隱私;

僅州政府可背書數位身分;

僅州政府可背書數位身分;

須經立法機關授權,方可啟動數位身分計畫;

須經立法機關授權,方可啟動數位身分計畫;

受背書者有以下權利:

自主決定其數位身分的揭露方式、對象、揭露元素、儲存位置;

選擇是否使用數位身分或實體證件;

授權他人使用其數位身分做非原始目的之用途;

允許監護人代其使用數位身分;

受背書者有以下權利:

自主決定其數位身分的揭露方式、對象、揭露元素、儲存位置;

自主決定其數位身分的揭露方式、對象、揭露元素、儲存位置;

選擇是否使用數位身分或實體證件;

選擇是否使用數位身分或實體證件;

授權他人使用其數位身分做非原始目的之用途;

授權他人使用其數位身分做非原始目的之用途;

允許監護人代其使用數位身分;

允許監護人代其使用數位身分;

接受該數位身分之實體應:

安全處理該資訊;

技術上遵守本法規;

接受該數位身分之實體應:

安全處理該資訊;

安全處理該資訊;

技術上遵守本法規;

技術上遵守本法規;

禁止政府機關:

因使用數位身分給予優待;

或因未使用而拒絕提供服務;

禁止政府機關:

因使用數位身分給予優待;

因使用數位身分給予優待;

或因未使用而拒絕提供服務;

或因未使用而拒絕提供服務;

不得要求交出個人行動裝置作為身分驗證依據。

不得要求交出個人行動裝置作為身分驗證依據。

州政府不得背書數位身分,除非符合下列條件:

已驗證個人身分;

數位身分包含最先進之身分保護與驗證技術;

易於採用、兼容多種技術系統,且不損隱私與安全;

提供使用者完整資訊說明其控制與使用方式;

僅允許資訊用於揭露當下之特定目的;

避免其他機關對其使用情形進行監控;

允許選擇性揭露特定身分屬性;

可驗證年齡是否符合要求,而不揭露實際出生日期。

州政府不得背書數位身分,除非符合下列條件:

已驗證個人身分;

已驗證個人身分;

數位身分包含最先進之身分保護與驗證技術;

數位身分包含最先進之身分保護與驗證技術;

易於採用、兼容多種技術系統,且不損隱私與安全;

易於採用、兼容多種技術系統,且不損隱私與安全;

提供使用者完整資訊說明其控制與使用方式;

提供使用者完整資訊說明其控制與使用方式;

僅允許資訊用於揭露當下之特定目的;

僅允許資訊用於揭露當下之特定目的;

避免其他機關對其使用情形進行監控;

避免其他機關對其使用情形進行監控;

允許選擇性揭露特定身分屬性;

允許選擇性揭露特定身分屬性;

可驗證年齡是否符合要求,而不揭露實際出生日期。

可驗證年齡是否符合要求,而不揭露實際出生日期。

州政府僅可在以下情況下撤回背書:

數位身分已遭入侵;

發行時有錯誤或偽造資訊;

當事人自行請求撤銷。

州政府僅可在以下情況下撤回背書:

數位身分已遭入侵;

數位身分已遭入侵;

發行時有錯誤或偽造資訊;

發行時有錯誤或偽造資訊;

當事人自行請求撤銷。

當事人自行請求撤銷。

第63A-16-1203條【部門職責】

政府營運部應執行以下事項:

研究數位身分計畫之實施方式;

彙整數位身分使用之最佳實務;

擬定應採納之政策、標準與技術;

評估如何有效利用現有資源;

建議相關法律與政策修正方向。

政府營運部應執行以下事項:

研究數位身分計畫之實施方式;

研究數位身分計畫之實施方式;

彙整數位身分使用之最佳實務;

彙整數位身分使用之最佳實務;

擬定應採納之政策、標準與技術;

擬定應採納之政策、標準與技術;

評估如何有效利用現有資源;

評估如何有效利用現有資源;

建議相關法律與政策修正方向。

建議相關法律與政策修正方向。

在履行上述任務時,部門應諮詢:

首席資訊官(Chief Information Officer);

首席隱私官;

猶他州城市與鄉鎮聯盟;

猶他州縣協會;

政府機構、其他州與民間部門之相關專家。

在履行上述任務時,部門應諮詢:

首席資訊官(Chief Information Officer);

首席資訊官(Chief Information Officer);

首席隱私官;

首席隱私官;

猶他州城市與鄉鎮聯盟;

猶他州城市與鄉鎮聯盟;

猶他州縣協會;

猶他州縣協會;

政府機構、其他州與民間部門之相關專家。

政府機構、其他州與民間部門之相關專家。

本部門應於每年10月31日前,向「公用事業、能源與科技臨時委員會」提交報告與建議。

本部門應於每年10月31日前,向「公用事業、能源與科技臨時委員會」提交報告與建議。

第四條【生效日期】

本法案自2025年5月7日生效。

相關文章

← 回文章列表