【臉書】理想的數位身分專法？

背景

理想的數位身分專法？

文．黃豆泥

美國猶他州於今年三月通過「個人數位身分修正案」（S.B. 260 Individual Digital Identity Amendments），並於這個月生效，國際人士喝采不斷。

這是因為該修正案對於「數位身分」的定義極為前瞻，首次「明確」定義政府不創造身分，只能背書身分。這是首次有政府法律將「個人自主權」與「政府角色」明確拆分開來，為其他州、乃至於其他國家起到示範效果。

個人認為台灣任何對「數位身分」在意的朋友，無論是產官學人士，都值得好好參考該法案，因此放上翻譯全文。該法案並不長，而且很好閱讀。此外，閱讀時，可以將過去台灣數位身分證（New eID）政策脈絡與該法案進行比較。

＊＊＊＊＊＊＊＊

以下先整理精華：

❶ 政府不創造身分，只背書身分

先有身分，才有政府，然後才有政府背書。 S.B. 260 開宗明義就述明每個人都是獨特的，政府沒法創造其獨特的事實，但可以在尊重隱私的前提下承認且背書，而且只有立法機關授權，才可以啟動背書。

意思是，先有人，才有政府。政府基於這個事實，提出高位階的原則，確保充足的監督與授權，才能推行數位身分證。

觀察

這與絕大多數其他國家的數位身分政策不同，而且不只是表面功夫而已，猶他州政府承認人本身存在，國家角色僅為協助，確立了「以人為本的數位身分」政策。

❷ 數位身分是公民控制的，而非政府控制

數位身分是疊加在個人身上的各種紀錄，這些記錄在政府背書以後，就不關政府的事了。

公民個人可以自己決定要揭露給誰、儲存在哪裡，或者不使用數位身分。此外法律也明確規定，政府不能要求公民個人交出手機進行身分驗證。

❸ 不強制加入／隨時可退出

不能因為數位身分政策而給予優惠或歧視，且不得因拒絕使用而不提供公共服務。這個規定打臉了「台灣政府為了衝KPI而發起抽iPhone活動」或「印度政府透過補助政策誘使民眾使用數位身分證」等作為。

當然，沒有強制換發，也可以隨時終止服務，這同時體現了「不歧視數位權利」與「尊重紙本權」（Right to the paper）。

❸ 禁止目的外使用

政府自我設限，明確規範只有滿足特定條件，才能「背書」數位身分，這封住了想要透過個人資料盈利卻沒有被授權的不良廠商，或想要監控公民隱私卻沒有經公民同意的作惡政府。

譬如酒吧不能給警察客人的個資，即使他已經驗證了客人已經成年。

❹ 反監控

此外，該法案明確禁止政府以及他機關「回傳」（phone home）資料，杜絕監控與集中化數位身分資料庫的可能性，這大大降低了「不良官員盜賣資料」、「個人資料外洩」或「追蹤特定個人足跡」的風險。

想法

數位身分的驗證是公民個人與必要驗證者之間的事，與政府無關。

❺ 選擇性揭露與零知識證明入法

該法案沒有明確規範使用標準，但有規範性原則，譬如「允許選擇性揭露特定個人資料」、「驗證成年卻不揭露出生日期」，這兩項規範很明顯導向了國際上已漸成熟的「選擇性揭露」（Selective Disclosure）與「零知識證明」（Zero Knowledge proof, ZKP）。

這表示一張證件不再是身分的最小單位，可以繼續往下拆分爲更細緻的資料授權。

❻ 將多方關係人參與寫入法案

明確規範政府部門需進行數位身分政策研究、擬定技術標準、評估資源運用，並且在履行這些任務時，需要資源「個資保護單位」、「民間單位」以及鄉鎮市組織成員。

這確保了個資保護單位、政府資訊單位以及外部監督力量可以充分討論，而非顢頇獨行。

＊＊＊＊＊＊＊＊

◉ 小結論：

這部法律將明確將這幾年國際上熱烈討論的諸多概念化為法條，如人為本的數位身分（Human centric Digital Identity）與個人身分自主權（Self-sovereign Identity）。

猶他州素有科技法律創新州的美名，這次政府從一開始便揚棄「齊民編戶」的概念，且保護公民個人「避秦」的權利，著實令人敬佩其膽勢與遠見。

結果精華寫得比法條本身還長，大家不妨還是看一下法條本身吧。

（翻譯見連結）