[翻譯]歐盟eIDAS:數位皮夾是建構信任或違背隱私?

因應數位皮夾政策討論,我們選出歐洲數位人權團體Epicenter.works的兩篇討論歐洲數位皮夾(錢包)法律與技術規範的文章,感謝志工梁理旋翻譯,根據原作團體CC4.0授權公開。這兩篇文章分別為2024年的eIDAS: Building Trust or Invading Privacy?以及2025年的eIDAS: One Step Forward – Two Steps Back 兩篇文章原始來源請見上述超連結。

文章日期:2024 年 6 月 26 日

我們分析了歐盟數位身份錢包(EU Digital Identity Wallet)的新技術框架,發現了嚴重的缺陷,這些問題不僅威脅到用戶隱私,還違背法規的原意。

自 2021 年 6 月以來,我們一直密切關注 eIDAS 法規的改革,並向立法者提供了大量建議。2024 年 2 月,歐洲議會通過了 eIDAS 法規,為「歐洲數位身份錢包」建立框架。此數位錢包將使公民能在網路或真實世界中具法律效力地識別自己,並可用於簽署文件、登入網站以及與他人分享個人數據。最近,歐盟執委會發布了架構參考框架(Architectural Reference Framework,ARF) 1.4,作為錢包技術實施的指導文件。

歐盟數位身份錢包的成功取決於能否獲得公民信任,並且在當前以資料為核心的經濟環境中建立一個強健的基礎設施。然而,在分析後,我們認為這個目標並未達成。我們發現ARF 存在著嚴重的缺陷,這些缺陷要麼與法規相互矛盾,要麼就是忽略了重要要素。如果這些問題得不到解決,將嚴重損害用戶權利和隱私。因此,我們敦促歐盟執委會立即解決這些關鍵問題。

所謂的假名使用

用戶隱私的基本要素之一即是使用假名的權利。eIDAS 法規賦予用戶在法律沒有要求披露真實身份的情況下使用假名的權利。然而,ARF 卻引入「假名提供者」(Pseudonym Provider)的概念,而此概念在原本的法規中並沒有被提到。該「假名提供者」可能會將假名與用戶的真實身份關聯起來。建議的實施方案中甚至允許執法機構事後將假名與其法律身份再次對應。這不僅削弱假名使用目的,還創造出大規模監控的風險。更重要的是,這個監控後門並不在 eIDAS 法規中,而詳述該監控後門的相關內容文件已泄露給我們。

依賴方(Relying Party)資訊請求

根據 eIDAS 法規,依賴方(編輯註:對用戶使用身分驗證服務的單位)須註冊並明確列出他們打算從用戶那裡請求的資訊類型。這是為了防止過度的資料請求並保護用戶的隱私。然而,ARF 並沒有充分實施此條件。它允許依賴方請求未註冊的資訊。此疏漏會讓用戶面臨未經授權的資料請求,並降低數位身份系統的信任度。例如,我們在超市或使用公共交通工具時,可能會被要求提供敏感的健康資訊。

交易歷史中缺少取消交易

ARF未能將取消交易(編輯註:此處為資料庫術語,可理解為資料請求、提供過程)納入用戶的交易歷史中。根據法規第5a(4)(d)(i)條款,交易歷史應包含「所有交換的資料」,此可合理地認定應包括已取消的交易。若略過這些資訊,用戶便無法取得完整的互動記錄,而這對於透明度和問責制來說非常重要。遭用戶拒絕的資訊請求可能是最敏感的資料。

無標準化的刪除請求或投訴

法規要求歐盟數位身份錢包須提供,允許用戶要求將他們的資料從依賴方處(編輯註:可理解用數位錢包登入的網站、服務、驗證身分的商家)刪除的功能。然而,ARF 並未充分明確規範這一功能,而是將其實施權限交由各國主管機關,沒有標準化、跨境的處理統一流程。這種缺乏標準化的情況可能會導致不同歐盟國家間對用戶權利保護存在差異,並使得用戶不易有效行使其權利。

缺乏不可觀察性和不可連結性措施

不可觀察性(Unobservability)是隱私保護的一項關鍵原則,確保錢包服務提供商不會在超出提供服務所需範圍下,追蹤或監控用戶活動。然而,ARF並未提及此一要求,因此可能允許服務提供商蒐集並濫用用戶與錢包互動的資料。該疏忽構成重大隱私風險,且違背法規保護用戶資料的初衷。

不可連結性(Unlinkability)問題也同樣存在。法規要求錢包支援防止交易與用戶身份連結的技術。然而,目前的 ARF 並未達到這此標準,因為它依賴的技術無法提供充分的不可連結性保證。該問題降低了用戶隱私,且不符合法規要求。

ARF 引入的監控風險

令人不安的是,ARF似乎主動引入了監控元素。可以將假名與真實身份關聯的假名提供者概念,即是其中一例。此新增項目並非法規所規定,且代表著監控能力的不必要和危險擴張。此對用戶隱私構成重大威脅,並違背 eIDAS 法規建立可信任環境的目標。

需要改變什麼?

為使 ARF 與 eIDAS 法規一致並確保強大的用戶隱私,Epicenter.works 提出以下修改建議:

  • 刪除假名提供者的概念,確保假名是在本地端生成與儲存,且無法與真實身份鏈接。
  • 強化依賴方註冊要求,以防止未經授權的資訊請求。
  • 將取消的交易納入交易歷史中,提供用戶互動的完整記錄。
  • 實施標準化的跨境刪除請求和資料保護投訴處理流程,確保一致的用戶權利保護。
  • 加入不可觀察性措施,防止錢包提供商追蹤用戶活動。
  • 採用先進隱私保護技術,確保不可連結性並實現零知識證明(Zero-knowledge proof)。
  • 消除 ARF 中引入的任何監控元素,尤其是法規中未規範部分。

結論

因為 eIDAS ARF 1.4 目的是為歐洲數位身份錢包提供實施框架,有必要進行修訂,以確保符合法規要求並維護最高的資料保護標準。目前的草案引入了不必要的監控元素,並危及用戶隱私。只有在實施我們提出的關鍵建議後,數位錢包才能贏得公民的信任,並在歐洲建立一個安全且尊重隱私的數位身份系統。

閱讀完整分析

文章日期 2025 年 2 月 4 日

我們持續為即將推出的 eID 皮夾的使用者權利與保護而奮鬥。然而,最新的實施法案草案再次讓我們陷入兩難。一方面,歐盟委員會採納了我們最近在公開信中要求的重要保障措施,但同時也再次引入了對隱私不友善的舊有規定。

邁向用戶友善且安全的歐洲電子身份(eID)之路仍然崎嶇不平。儘管我們成功地在 eIDAS 法規中確保了多項保障措施,但我們看到歐盟執委會試圖從技術實施層面繞過這些保障。

我們在上週發表了一封公開信,敦促歐盟委員會消除法律漏洞,避免造成嚴重的隱私與透明度問題。

在我們發出信件後不久,更新後的實施法案草案送達我們手中。起初,最新版本的草案看似朝向正確方向邁進,不過我們發現了全新的弱點,這些弱點不僅危及使用者隱私,還和與歐洲議會間之協議相互矛盾。

進一步的隱私保護

好消息 —— 我們的公開信產生了影響!在與其他 14 個組織共同發聲後,歐盟執委會採納了關鍵的保障措施。我們最大的成就是:註冊憑證(registration certificate)現在已成為所有歐盟成員國的強制性要求項目。這將使錢包能驗證哪些機構被授權向用戶請求哪些資訊。

這意味著,每個依賴方(公司、政府機關,或任何透過錢包向你請求資訊的單位)都必須註冊他們希望請求的資料類別(如姓名、出生日期、健康資料等)。只有這樣,錢包才能可靠地警告用戶,防止過度請求資訊的情況發生,提供 eIDAS 生態系統所需的清晰度和信任保證。

接著是退兩步

正如我們所預期,每當在 eIDAS 實施法案的隱私保護過程中取得勝利時,新的漏洞似乎便隨之出現。而這次也不例外。

最新草案的問題是:

侵蝕透明度

eIDAS 生態系統信任的核心支柱之一是公共依賴方註冊機構(registry)。此註冊機構對公共監督機構來說,是實施監督、確保透明度的重要關鍵。然而,目前的系統下幾乎不可能理解依賴方如何使用數位身份,此也完全違背透明註冊機構的初衷。

妨礙使用假名的權利

目前的法案實施草案未能清楚區分兩種情況:依賴方在法律上必須識別錢包用戶的情境,以及識別用戶僅為選用的情境。以實際應用來舉例,錢包本身無法判斷它正在與具有識別客戶法律義務的銀行互動,抑或是與沒有權利識別或追蹤用戶的 Facebook 互動。

由於假名使用權取決於此區別性,因此依賴方須明確聲明他們是否受法律約束需要識別用戶,以及具體適用的法律條款。在缺乏明確性的情況下,實際上等同於剝奪了使用假名的權利,並使這項權利的執行幾乎不可能實現。

再次引入唯一識別碼

更令人擔憂的是,在公眾諮詢過程結束後,幕後進行的爭議性修改——是在強大產業利益團體的明確要求下所進行。它們重新引入了唯一的、持續的識別碼,並擴大其適用範圍至私部門,為用戶指派一個終身不變的數位身份號碼

此提案明顯違反了 eIDAS 法規。歐洲議會早已明確劃下紅線,禁止這類識別碼的使用——然而,現在它卻以不民主的方式,透過法案實施再次被引入。

這些隱私與透明度的缺陷,嚴重降低了 eIDAS 生態系統的信任度,也破壞了整個民主決策過程。這些問題必須立即修正。

漏洞必須消除:具體解決方案

為填補這些漏洞並確保 eIDAS 錢包達到最高的安全標準,我們已向歐盟執委會提交了一份詳細聲明,說明我們的擔憂並提出具體解決方案。

閱讀完整分析

延伸閱讀