Allen Lab 研究會議 · 2026.04.17 01 / 16

從數位公共建設到數位公民基礎設施

從國家憑證
到公民證明

數位公民基礎設施中的數位身分——雙層信任模型、四種證明類型，以及當系統開始把關行動時會發生什麼。

作者 mashbean 台北 · 哈佛大學甘迺迪學院 Allen Lab 政策研究員

01數位身分為何對 DCI 重要
02雙層信任模型
03四種公民證明類型
04全球比較
05台灣深度分析：MOICA 與 TW DIW
06年齡驗證作為壓力測試
07完整身分 vs. 最小證明
08公民與次國家實驗
09公共區塊鏈作為信任層
10政策議程與開放問題

CC BY-NC 4.0 · mashbean 2026 · English version · 英文版

mashbean.net

§ 01 · 數位身分為何對 DCI 重要 02 / 16

數位身分最重要的時刻，是系統開始把關行動的時候。

DCI 把公民參與拆成 Connect → Learn → Act 三層。數位身分最強烈介入的，是 Act 這一層——公共決策從這裡開始。

步驟 01

連結 · Connect

社群、持續性、角色分工。透過長期貢獻建立信任。身分只是象徵性錨點——弱身分通常已足夠。

步驟 02

理解 · Learn

資訊取得、討論。匿名閱讀與低門檻參與皆可行。多半不需要身分。

步驟 03

行動 · Act

連署、投票、加入、協作、吹哨。政治壓力落在這裡。

資格把關

系統是否要求你具備資格？

是 → 身分進入核心治理。唯一性、屬性、問責、程序全部變成制度問題。

命題 1

主流數位身分在服務交付、簽章、合規與詐欺防治上已相當成功。

命題 2

一旦它進入年齡驗證與平台治理，就開始決定誰可以進入哪些公共空間。

命題 3

Wallet、選擇性揭露、ZK 與 browser API 讓民主身分成為可行——但制度治理明顯落後。

框架：Ash Center · Digital Civic Infrastructure · Connect–Learn–Act

02 / 16

§ 02 · 雙層信任模型 03 / 16

把發證正當性與交換架構拆開。

PKI、VC、wallet、browser、trust list 各自在不同層運作。拆開以後，大部分爭論會變得清楚。

上層

發證正當性

國家 / 法律授權

受信任機構 / 社群規則

法律效力 · 主權 · 問責 · 撤銷權

下層

交換架構

Credential / Wallet

Browser / OS / App

信任清單 / 註冊處 / 驗證者

憑證如何被持有、出示、驗證、撤銷、重用。

輸出

公民證明 · Civic Proof

投票 · 連署 · 資格驗證 · 成員治理 · 吹哨

四項規範條件

匿名

真實身分不必被揭露。

II.

不可連結

跨情境的使用無法被串聯。

III.

可驗證

主張可以被獨立確認。

IV.

可問責

事後稽核與救濟仍然可行。

可問責並不需要以實名為前提。

W3C VC 2.0 Recommendation (2025) · Chrome Digital Credentials API · NIST SP 800-63 Rev. 4 subscriber-controlled wallets

03 / 16

§ 03 · 四種公民證明類型 04 / 16

四種不同的證明需求——不是一個身分問題。

若不把這四種先拆開，所有關於「數位身分是否需要強身分」的討論都會變得模糊。

需求類型	典型情境	上層所需正當性	下層所需交換架構	最低隱私要求
法律身分 · Legal Identity 法定	報稅 · 具法效簽章 · 法定給付	國家或法律授權的根身分	高保證 · 可撤銷 · 可追訴	可驗證、可救濟
屬性證明 · Attribute Proof 選擇性	年齡 · 居住資格 · 學生 · 會員	可驗證的屬性來源	選擇性與最小揭露	不可連結 · no-phone-home
唯一性證明 · Uniqueness Proof 抗 Sybil	一人一帳 · 一人一票 · 論壇藍勾勾	可信的唯一性來源	去重 · 低揭露	假名 · 不可連結
假名參與 · Pseudonymous Participation 敏感	吹哨 · 敏感諮詢 · 政治討論	程序正當性與事後問責	保留匿名 · 保留稽核	匿名 · 可問責

後面所有關於「強身分」的討論，其實都取決於你心裡想的是這四種中的哪一種。

分類：mashbean 的彙整

04 / 16

§ 04 · 全球比較——主要案例 05 / 16

根身分仍然來自國家。 Exchange 才是路徑分歧之處。

過去十年，競爭焦點已從「誰發身分」擴展到「誰掌握信任清單與出示介面」。

	上層 · 發證正當性	下層 · 交換架構	目前優勢	DCI gap
Taiwan	MOICA 具法效 · TW DIW 多元發證生態	PKI + wallet / VC 雙軌	法效明確，實驗彈性上升	生態整合摩擦與公民負擔並存
歐盟	eIDAS 信任服務 · 國家信任清單	EUDI Wallet · attestation · 選擇性揭露	完整法律框架 · 形式化跨境互通	規則複雜；wallet/browser 成為新的守門者
Sweden	商業 BankID 為事實標準 · 政府補強	日常採用度高 · 平台化成熟	使用頻率高 · 社會滲透深	單一業者依賴 · 排除風險
美國	州層級 mDL · 州法 · 州層級 wallet	標準成熟 · 部署分散	OS 與市場影響力強	全國碎裂 · 州際差異大

身分進入 DCI 的關鍵不在根是否存在——而在 什麼樣的交換架構 承接這個根。

eIDAS = electronic IDentification, Authentication and trust Services · EUDI = 歐盟 Digital Identity · TW DIW = Taiwan Digital Identity Wallet

05 / 16

§ 04 · 全球比較——補充案例 06 / 16

補充案例：規模、模組化、主權。

	上層 · 發證正當性	下層 · 交換架構	目前優勢	DCI gap
MOSIP 平台	各國自建的模組化身分基礎設施	開源 · 模組化 · 可在地部署	多國的成本與主權吸引力	是否支持公民權利，取決於各國治理
Aadhaar · 印度	國家規模的根身分	認證 / eKYC 導向	規模與覆蓋極高	高規模不等於高自由保障
不丹 NDI	主權支持的國家數位身分	受信任 wallet · VC 導向	國家層級的創新方向	國際互通與治理成熟度仍在形成中

觀察 1

MOSIP 把軟體堆疊和政治所有權分開——國家可以採用它，同時自行設計治理。

觀察 2

Aadhaar 是一個提醒：覆蓋率不等於公民權利證明。缺少救濟機制的規模，是警訊而非典範。

觀察 3

不丹 NDI 是高訊號：一個小國已經把 wallet + VC + 公共區塊鏈推進到生產環境。

mDL = Mobile Driver's License · MOSIP = Modular Open Source Identity Platform · NDI = National Digital Identity · mosip.io

06 / 16

§ 05 ·

台灣深度分析 07 / 16

MOICA 把摩擦集中在 before entry。TW DIW 把摩擦分散到 inside operation.

一個警示案例與一個試驗場，並列。

MOICA · 自然人憑證

以發證者為中心 · 強法律效力

設計中心

以發證者為中心 · 法律效力 · 身分識別 · 數位簽章

典型任務

身分識別 · 數位簽章 · 加解密

整合方式

需正式申請、審查、核准

揭露邏輯

傾向高保證，甚至完整身分驗證

主要摩擦

臨櫃辦理 · 資格 · API 審查 · 整合成本

TW DIW · 數位皮夾

以持有人為中心 · 情境化重用

設計中心

以持有人為中心 · 憑證跨情境重用

典型任務

屬性出示 · 跨情境憑證 · 選擇性揭露

整合方式

更開放的沙盒 · 發證者 / 驗證者進入門檻較寬

揭露邏輯

情境化授權 · 最小揭露

主要摩擦

用戶理解 · 驗證者整合 · 信任清單治理

TW DIW 重新分配公民負擔——從單一中央閘口，分散到發證者、驗證者與公民構成的景觀中。

MOICA = Ministry of the Interior Certification Authority · moica.nat.gov.tw · TW DIW GitHub

07 / 16

§ 05 ·

台灣公民案例 08 / 16

兩個進行中的實驗——國家憑證 → 公民證明，以及 wallet → 公民生態系。

CASE A

國家憑證 → 公民證明

PTT × MOICA × ZK 藍勾勾

PTT，台灣最大的 BBS，使用自然人憑證產生 ZK 證明——使用者獲得「藍勾勾」 而無須揭露真實身分，降低選舉期間的協同資訊攻擊。

重點在於

國家根憑證可以作為信任根——而不必把完整身分交給平台。

CASE B

Wallet → 公民生態系

g0v Summit 2026 × TW DIW

台灣最大公民科技社群的兩年一度大會，使用 TW DIW 發行入場憑證，由 非政府第三方 擔任發證者與驗證者。

重點在於

以持有人為中心的生態系，不只能由政府運作，公民社群同樣可以。

g0v Summit 2026 · ZK = Zero-Knowledge Proof

mashbean · Bond for the Future ↗

§ 06 · 年齡驗證作為壓力測試 09 / 16

年齡驗證是這整場討論裡最清楚的 stress test 。

身分基礎設施——原本在後端——被推到公共空間的大門口。使用者需要 before they can enter.

	法規發展	關鍵時程	核心張力
英國	Ofcom 要求高度有效的年齡驗證；允許多種技術路徑	2025-07 起，成人內容網站須實施強年齡驗證	法規強度高；隱私標準未必一致
澳洲	社群媒體最低年齡限制；要求平台採取合理措施	2025-12 生效 · 2026-03 合規更新	平台責任、有效性、誤阻
European Union	年齡驗證 app / 藍圖對齊 EUDI 路線	2025 藍圖 · 2026-04 可部署	最小揭露能否被制度化
美國	從州層級內容閘口，轉向裝置 / OS / app store 年齡訊號	2025-06 Paxton 案 · 2025-10 CA AB1043	從「成人內容閘口」滑向「基礎設施層的年齡訊號」

立法進度超前技術標準與人權評估。首批法律生效時，ISO/IEC 27566-1 尚不存在。

Ofcom · CA AB1043 = California Assembly Bill 1043 (Digital Age Assurance Act)

mashbean · Prove You're Old Enough ↗

§ 06 · 年齡驗證——四項受威脅的權利 10 / 16

年齡驗證會不會從 content control 擴展為通用型身分閘口？

受威脅的權利

Privacy

身分證件、年齡、生物特徵被集中處理。

匿名性

與合法瀏覽、匿名權相衝突。

言論自由

成人被迫自我審查——寒蟬效應。

數位落差

無身分證或銀行帳戶者被排除。

事件 · 2025-10

Discord × 第三方廠商 5CA——約 70,000 名使用者的政府身分證件照片可能外洩。

證明流程的可能走向

兒少保護壓力

立法快速推進

PATH A

逐站驗證

PATH B

OS / App Store 年齡訊號

PATH C

隱私保護型證明

追蹤 · 外洩 · 寒蟬 · 排除

風險降低，但並未消除

→ 擴展為通用型身分閘口？

問題不只是誰有權保護兒少——更是我們用什麼樣的證明流程來做這件事。

mashbean · 研究報告 ↗

§ 07 · 完整身分 vs. 最小證明 11 / 16

From full identity to minimal proof.

選擇性揭露 · 不可連結 · no-phone-home · browser 政治——技術已不是瓶頸。

問題	完整身分做法	最小證明做法
你是否滿 18 歲？	出示出生日期 · 完整身分證件	僅證明「滿 18 歲」
你是否住在這裡？	出示完整地址或戶籍	僅證明居住資格
你是否為同一人？	交出真實姓名 · 身分證字號	唯一性證明或假名憑證
你是否具備資格？	交出完整憑證	僅出示特定屬性

Wallet 是必要的嗎？

取決於情境。 單一服務登入，federation 或 passkeys 即可。多發證者、跨情境、最小揭露、跨境互通——這些場景下 wallet 的制度性價值才急遽上升。

新的守門者

Wallet、作業系統、瀏覽器成為預設出示層。競爭從 who issues identity to 誰掌握同意介面。

W3C VC 2.0 · Chrome Digital Credentials API（證明滿 18 歲而不揭露出生日期） · Google Wallet 2025 開源 ZKP 函式庫 · Ethereum Foundation PSE——用戶端證明生成 · EUDI ARF 對瀏覽器 / OS 的限制

11 / 16

§ 08 · 公民與次國家實驗 12 / 16

這些案例證明了 demand ——但並非完整替代方案的證據。

案例	信任根	所揭示的需求	仍然薄弱之處
Vocdoni 加泰隆尼亞	地方政府 · 組織成員 · 護照	可驗證、可稽核、隱私優先的數位投票	法律效力 · 採用度 · 跨司法管轄可擴展性
Rarimo Freedom Tool RO · RU · IR	以護照為根 · ZK 證明	流亡與威權情境下的匿名憑證證明	高度依賴護照與特定技術堆疊
QuarkID 布宜諾斯艾利斯	市級政府 · 公部門信任框架	市級公共數位信任框架	從市到國家的推論須謹慎

更可能的未來是一種 combination ——國家根憑證與公民層參與工具的混合，而非全面取代。

更深的政治問題

如何讓公民相信，政府發行的憑證不會變成政府追蹤的工具？——這就是為什麼 no-phone-home 和不可連結性如此重要。

vocdoni.io · Rarimo Freedom Tool · 去中心化隱私保護線上投票 · QuarkID · 布宜諾斯艾利斯數位信任框架

mashbean.net · 延伸閱讀 ↗

§ 09 · 公共區塊鏈作為信任層 13 / 16

不是把個資上鏈—— status anchoring on-chain.

目前只有不丹與台灣在國家層級數位身分中實際部署公共區塊鏈。它的制度價值在於信任層錨定，而非正當性本身。

每個元件該放在哪裡

元件	建議位置	理由
個人資料	鏈下 · 本地 wallet	保護隱私；避免不可逆串聯
發證者 DID / 公鑰	公共註冊處或鏈上錨點	跨組織獨立驗證
信任清單錨點	可公開驗證的基礎設施	可稽核 · 抗單點失效
個別驗證事件	避免每次交易都回呼發證者	降低 phone-home 風險

聯邦信任清單架構

Issuer

信任清單 / 註冊處

C · 信任層

公共區塊鏈錨定

DID · 公鑰 · 信任清單錨點 · status-list commitment

Holder

驗證者

⌫ 驗證者避免每次交易都回呼發證者

A 聯邦信任清單聯盟 ——而非單一全球信任根——才是最可行的未來。

DID = Decentralized Identifier · EBSI = European Blockchain Services Infrastructure

13 / 16

§ 10 · 政策議程 14 / 16

From rights to deployment ——五項可操作的行動。

一個系統可以非常擅長數位政府，卻仍不足以支持數位公民行動。差別在於權利底線、開放生態系、採購治理是否 affirmatively addressed.

層級	具體政策行動	對應案例	為何重要
01 權利底線	最小揭露 · 不可連結 · no-phone-home · 自願 · 替代路徑 · 救濟	ACLU · EFF · CDT No Phone Home · 歐盟瀏覽器限制	沒有底線時，新場景預設會走向最大可見性。
02 平台與標準	開放 wallet · 標準化配發 · 避免單一平台鎖定	Chrome DC API · TW DIW OID4VC / OID4VP · CA OpenCred	出示層將成為新的守門者。
03 採購與上線	採購沙盒 · 第三方測試 · 退場條款 · 事件應變	驗證者上線 · 模組替換測試	權利若未被翻譯成採購語言，會在上線時消失。
04 公益試點	以特定公民場景進行小規模試驗	論壇藍勾勾 · 活動憑證 · 地方諮詢	先證明公民證明有用—— then 再討論全面上線。
05 AI 代理授權	範圍限制 · 可撤銷 · 可稽核 · 人工推翻	OpenID agent identity · NIST AI agent 概念	從 who logs in to 誰可以代表誰行動。

ACLU = American Civil Liberties Union · EFF = Electronic Frontier Foundation · CDT = Center for Democracy & Technology · OID4VC / OID4VP = OpenID for Verifiable Credentials / Presentations

mashbean · Agentic ID 治理 ↗

§ 11 · 結論 15 / 16

一句話作結

一個民主的數位身分系統，應該決定我何時可以行動，而不必揭露超過必要的資訊。

主流國家系統在政府服務、簽章、合規與平台上線方面非常優秀；但在假名參與、不可連結、救濟、低門檻公民重用方面仍然薄弱。核心問題不是如何讓人更容易被識別——而是如何把合法資格轉化為低摩擦、低揭露、可救濟的公民證明。

開放問題

Q.01 哪些公民行動需要法律身分？哪些只需要屬性或唯一性證明？
Q.02 瀏覽器、作業系統、wallet 是否已經成為新的公共基礎設施？
Q.03 如果國家根憑證仍是主流，什麼樣的交換架構能支持隱私、可攜性、救濟與包容？
Q.04 這項研究應該如何收斂，以避免過度分散？
Q.05 實務工作者、政策倡議者、研究者——各自的下一步是什麼？

mashbean · mashbean.net · Allen Lab 政策研究員

15 / 16

從國家憑證 到公民證明