全球數位身分驗證的發展與法律框架:跨國比較與最佳實踐
在現今數位服務盛行的時代,對於數位身分的需求和重視亦與日俱增,在現實世界中,個人可以透過出示身分證、健保卡或駕照等確認其身分,但在數位世界中無法實行這些行為,此時則需仰賴其他有效認證身分的方式,在數位世界中的身分驗證為通過數位渠道進行遠程身分驗證,經由一組已經驗證過的資料特徵或憑證,實現同於現實世界中的個人身分驗證。而數位身分的建立需透過以下步驟:
註冊(Registration): 此階段為建立數位身分最重要的過程,其包含登錄(enrollment)及查驗(validation)兩個步驟。在身分登錄階段,身分提供者方會向使用者收集屬性資料,並將這些屬性與已儲存的資料進行比對,以確保該身分的唯一性和真實性,避免與其他人的身分混淆。
核發(Issuance): 完成註冊後,身分提供方會向使用者核發信物(Credential),以證明使用者的身分。對於數位身分而言,信物通常以數位形式存在,例如:晶片卡(Smart Card)、二維條碼(QR Code)、行動身分(Mobile Identity)等。
驗證(Authentication): 使用者完成註冊並取得信物後,即可利用數位身分來證明自己的身分並獲取服務。在這個過程中,使用者將通過數位信物的一個或多個驗證因子(Authentication Factor)來進行身分驗證。以晶片卡為例,數位信物及生物辨識資料儲存在卡片的晶片內,使用者可以根據交易的性質和風險,使用晶片卡內的資料進行不同確信程度的驗證。
上述步驟亦可體現於我國常見身分驗證系統所遵循的ISO/IEC 29115「個體身分驗證確認框架」國際標準中,該標準對於數位身分驗證機制即指出應包含「身分登錄」、「信物管理」及「身分驗證」。
台灣在數位身分驗證之法律規範
根據研究報告,我國目前對於數位身分驗證之應用,常見於線上申辦金融服務,如銀行開戶、約定帳戶轉帳、行動投保時等。
因應時代變化與主流,我國對於數位身分驗證之法律規規範監理,亦需有所跟進。我國目前尚缺直接規範數位身分之法律,但可從電子簽章法之修法看出現在對於數位身分驗證之強化與效力。電子簽章法新修法案已於2024年五月公布,其針對電子簽章有更明確具體的定義,合法且有效力的電子簽章除了需附於電子文件外,亦需具有能夠確保該電子文件的完整性的能力和具備能夠確認、辨識簽署人身分與資格,另外,新修正的電子簽章法將數位簽章與電子簽章關係明確化,數位簽章對於身分驗證之需求更為嚴謹,其要求需有政府許可之憑證機構所頒發之憑證。
而在重視身分資格、身分驗證的金融業,在各家金融機構的數位服務也隨著時代潮流出現數位身分驗證之機制,過去針對數位驗證制度之規範,已可見於各部金融自律規範與法規命令中,惟此欠缺統一性的監理以及完整性,而近年金管會為鼓勵業者研究並導入創新之方式作為數位身分驗證機制,於2023年十月已針對金融機構使用數位身分驗證公布相關指引《金融服務業辦理數位身分驗證指引》,旨在提升數位金融服務的便捷性、安全性與效率。指引內容涵蓋身份驗證的定義、程序、風險評估、信任等級及風險管理,強調以風險為基礎的方法來促進創新,同時保障客戶權益及金融系統的穩定性。此指引將推動金融服務業數位轉型,改善用戶體驗並加強安全防護,期望能減少欺詐風險,並確保符合國際標準和本地需求的動態調整。
數位身分驗證在其他國家之應用與其之相關法規
世界上已有許多國家地區由政府推動並實施數位身分,透過政府認定之機構核發數位身分憑證,流暢運用於國內或國與國間(如歐盟),達到從機構上對下的統一性以及合法性。以下將列舉出數位身分驗證在其他國家之應用以及法規框架:
澳洲 myGovID: 為澳洲國稅局推動的PKI身分架構,符合澳洲自行推動的國家級身分驗證法律框架可信任的數位身分框架(Australian Trusted Digital Identity Framework, TDIF),在身分註冊時有不同身分證明之等級,myGovID的角色為作為驗證單位提供業者使用其作為身分驗證服務。
挪威 BankID: 此為由挪威政府支持的一個數位身份驗證系統,用於在線訪問銀行、保險、政府和企業服務。BankID通過銀行或其他信任機構發行,並符合挪威法律和金融監管標準,而在對於支付與電子文件的應用方面上,其則遵循歐盟eIDAS的規定。
歐盟 eIDAS (electronic IDentification, Authentication and trust Services, eIDAS): eIDAS旨在促進歐盟成員國之間的數位身份驗證互操作性和通過法規中的信任服務提升電子交易的安全性和法律有效性。透過歐盟成員國間互相承認經驗證的數位分,其可以在整個歐盟范圍內使用,以便於在線訪問跨境服務,如政府相關的服務,報稅、申請社會福利等,其亦已用於金融機構中。
普匯觀點:
數位身分驗證在全球範圍內逐漸成為關鍵技術,因其能提升數位服務的安全性和便捷性。從上述觀察,可以看見我國對於數位身分之應用與驗證尚缺政策上的一體性以及具有整合性相關規範,數位身分在當今世代已成為個人不可或缺的身分,台灣在這方面的法律框架應逐步完善,尤其是在金融領域的應用和監管,學習其他國家和地區的最佳實踐,如澳洲、挪威和歐盟,可以為台灣制定更加全面和有效的數位身分驗證體系提供參考。
而數位身分普及的同時亦需發展有效、便利之驗證機制方式,「持證自拍」即得作為一種數位身分驗證之方式,「持證自拍」在我國司法上之判決受到認可,其符合電子簽章法,且以此作為身分驗證簽署電子文件可屬於電子簽章之一種,此外金管會對於持證自拍作為數位身分驗證之方式並未禁止,對於欲採用之金融機構可至銀行公會提案,可見「持證自拍」具合法性,若能明確將「持證自拍」納入數位身分驗證之機制必會使得我國在數位身分機制上更有跳躍性的發展和普及。
