國家身分制度的迷思:從世界銀行ID4D計畫談起

本文原刊載於台網中心2019年11月電子報

「身分制度」在近幾年、甚至近十幾年來持續成為全球的討論焦點,有越來越多的國家正在思考、著手打造、甚至已完成了國家級身分系統的建置。這些身分系統在過去一段時間,也被許多倡議者認為可以解決很多問題,例如國家安全、存取基本服務、促進行政服務等。

整體而言,這樣的目標被濃縮在聯合國永續發展目標(Sustainable Development Goal)的第16.9點中:「在西元 2030 年以前,為所有的人提供合法的身分,包括出生登記。」

根據世界銀行的資料顯示,世界上絕大多數欠缺合法身分的人,多是中低收入的人口,且多位於非洲地區。欠缺一個合法身分,使得這些人沒有辦法使用政府提供的服務,因此,聯合國及世界銀行近年來聯手開始推動ID4D(Identification for Development)的計畫

ID4D的計畫目標十分明確:它希望持續增加有官方身分文件的人口,並使所有人都能存取基本服務並運作他們的權利。世界銀行在2019年10月出版了一本《身分系統從業員的指引》(下稱《指引》),指引中從「包容性」(Inclusion)、「設計」(Design)、「治理」(Governance)等三個面向著手,列出了一共十項原則,希望能建立一個可被信賴的身分制度。

提供一個合法的身分文件是一個重要、值得讚許的目標。因為有些族群,例如難民、無國籍者在當地社會可能並沒有合法的身分,政府若能儘速提供一個合法的身分給他們,能幫助這些族群更好的融入其所處的社會。

換言之,「包容性」是世界銀行在推動ID4D這個身分制度推廣計畫的原初動機:希望政府能提供一個合法身分,讓更多人可以被納入社會運作的機制中。但問題是,身分制度(例如一人一卡的制度)往往不只提供包容性。任何類型的身分制度在建置時,必然得伴隨個人資料的蒐集,做為日後核對身分之用。因而ID4D在其指引中,也大量討論了個資保護與隱私的風險評估。它「至少」明確列出了以下八點的隱私風險:

  • 資訊外洩:資料庫本身或資料傳輸過程受到物理或網路攻擊。
  • 暴露個人敏感訊息:因為未授權的目的而揭露了個人的敏感訊息。
  • 未授權的揭露:在政府單位、外國政府、私人公司、或其他第三方間進行不當的資料傳輸。
  • 功能蠕變:將因特定目的而蒐集來的個人資料在未經同意下用於其他目的。
  • 監控:公、私部門追蹤人們日常生活的活動
  • 歧視或迫害:用於身分驗證的資料被用來剖析個人,並因此基於該個人的身分而歧視或壓迫該個人。
  • 不公正的對待:在資料蒐集不完整或不精確的狀況下,使個人擁有錯誤身分或遭受不公正對待。
  • 身分小偷:犯罪者偷取他人的身分資訊,並以此偽裝成他人,存取金融帳戶等

值得一提的是,儘管上述的隱私風險是所有身分制度都會有的風險,但因如今有不少國家也伴隨採用數位身分(digital ID)制度,而鑑於數位資料比一般資料更容易被蒐集、複製、傳輸、分析等特性,ID4D的指引因此同時也指出:「採用數位身分的身分系統,將會擴大上述的威脅,並增加其結果的影響範圍。」

事實上,世界銀行在ID4D指引中所列出有關身分系統的資料蒐集、處理、利用可能有的問題,一共有超過30項。其中包含:欠缺同意、強迫同意、違法蒐集、非法存取/使用、販賣資料、資料庫遭到攻擊、釣魚、裝置遺失、強制要求配合目的不明確的資料分享、不允許人民存取資料等。完整條列如下:

資料處理的活動 潛在威脅或弱點
蒐集資料
  • 欠缺同意
  • 強迫同意 / 沒有選擇
  • 非法 / 不公平 / 過度的蒐集
  • 不安全的蒐集
  • 誤導或目的不明確的蒐集
  • 對資料行未授權或未告知的蒐集
  • 利用交易的後設資料追蹤或監控個人
儲存、傳輸及使用資料
  • 非法存取 / 使用
  • 販賣資料
  • 資料使用疏失
  • 隱私侵犯
  • 資料處理上有錯誤
  • 不精確或過時的資料
  • 資料庫被駭
  • 釣魚
  • 監視交易情形
資料保存(長期)
  • 資料遺失
  • 無限制的保存
  • 不安全的資料
  • 病毒或惡意軟體攻擊
  • 資料被駭
  • 裝置遺失
  • 沒有保護的裝置
  • 遺失封存資料
  • 身分小偷
  • 使用過時科技
資料處理與分享
  • 不當處置
  • 未經授權揭露給第三方
  • 強迫參與不特定目的的資料分享
  • 社交工程
  • 不實的描述
  • 機密資料外洩
  • 非法存取
  • 拒絕存取
  • 不安全的傳輸

表:一個「身分」的生命循環中可能遭遇的隱私與個資保護威脅

ID4D在指引中雖條列了諸多身分系統可能有的隱私風險,但一方面,它並未給予各點次更深入的說明,多半只是點到為止;此外,世界銀行也未在指引中,提出何種身分制度是理想中的身分制度;而個別國家因應國情不同,能否妥善處理上述風險,更是一大問號。而最大的問題,恐怕是ID4D從未就打造各種身分制度的「必要性」提出質疑與說明。

因此現實的情形時,早在ID4D計畫啟動前,就已有一些國家(例如美國、英國、印度等),嘗試打造一個通行全國的強制身分制度(包含數位身分),而在ID4D計畫啟動後,有了世界銀行跟聯合國單位的背書,預期則將會有更多國家也投入資源,打造強制的身分制度。而這當然也引發了專注於隱私保護的人權組織的注意。

位於英國的隱私國際(Privacy International)無疑是在此議題上態度最明顯的國際知名人權組織。隱私國際在其網站上就明指,「為何需要身分?」是首要面對的問題。例如隱私國際就針對身分制度存在的必要性,列出了以下幾個有待解決的大問題(可點這裡這裡):

  • 引入身分制度的動機,或是想解決的問題?
  • 證明前述問題確實存在的證據?
  • 證明該身分制度能解決前述問題的證據?
  • 身分制度的倡議者對該制度帶來的風險的評估
  • 是否有身分制度外的其他替代方案?
  • 是否有立法流程的制衡?
  • 當身分制度不如人意時,要如何施加政治壓力給提倡者?

世界銀行在其ID4D的指引中,反覆強調了Privacy by Design的念頭。但從隱私國際的角度來看,Privacy by Design只是身分制度的細節,之所以從必要性討論起,是因為「身分系統對公民權利的意涵,遠超過Privacy by Design可能包含的。」因為身分制度最大的問題在於,一旦個人的身分不被承認,或與身分認證者的機制或資料不合,可能將導致公民的基本權無法行使。例如我們完全可以想像,倘若有一天,台灣公民必須讀卡才能投票,當卡片無法通過讀卡機驗證時,個人是否就因此失去了投票權?

除了必要性外,隱私國際在針對身分制度的隱私風險討論中,也有一些觀點是特別值得注意的。例如針對「功能蠕變」(Function Creep),隱私國際就提到,功能蠕變是身分制度最常見的危害。即使一個ID一開始只用在少數的地方,但其使用範圍總是會隨時間越來越廣,而隨之而來的,這個ID也會與越來越多公、私部門的資料串聯在一起,從而讓整個身分制度的使用脫離了原先的設計目的。

此外,有關身分認證紀錄的留存,隱私國際也指出這可能會揭露了個人的活動資訊,因此即使是為了後續稽核用,也應遵守資料蒐集最小原則、目的特定原則,並應有保存期限的設置等。

事實上,除了隱私國際外,另一國際人權組織AccessNow也在近期發表了一篇政策公開信《WhyID:在數位時代中保護我們的身分》,同樣也是由身分制度的必要性著手進行討論,台灣也有兩個公民組織一起加入了連署。而除了必要性或風險的評估外,更值得一提的是,AccessNow在該公開信中也表示,應停止使用生物特徵資料(包含臉部辨識)做為身分認證的機制。這樣的立場宣示,應該也是國際上首見。

小結

簡言之,從世界銀行ID4D的計畫來看,各國無論是在網路空間或實體社會推動身分制度的理由皆有差異。回到台灣,台灣實施強制一人一號的身分制度已數十年,且政府近年來仍執意推動將紙本身分證換成晶片身分證(可搭配數位身分),這樣的制度使用與變革,從ID4D的指引來看,相關的制度必須有良好的隱私保護設計與法制規範,而從國際人權團體的角度看來,換發數位身分甚至現有的身分制度,是否皆有系統設計的必要性,這都是值得我們在未來審慎思考的問題。

延伸閱讀