原标题:【国外eID实例:爱沙尼亚】技术、法源、开源三管齐下,2千项数位服务才能安心用eID
爱沙尼亚资讯系统管理局 eID区域经理Margus△Arm表示,为了取信于人民,爱沙尼亚将eID系统的程式码都公布于开源软件程式码平台GitHub上,一旦开发者发现漏洞或程式臭虫,都可以向上通报要求修复,才能进一步提高这些系统的安全性。(摄影/洪政伟)
坐落东欧北部,西面波罗的海的爱沙尼亚,人口130万人,面积不比台湾大上多少,但却是欧洲先进程度数一数二的资优生,在2002年随即推行晶片身份证政策,在政策实施的第一年仅有10万人持有,但是在推动15年下来,目前卡片持有率已经高达97%,除15岁以下的爱沙尼亚公民不强制持有外,其余国民都必须持有晶片身份证,目前为止线上进行身份验证次数已经突破5.6亿次,数位签章使用次数则是达到3.8亿次。
爱沙尼亚警察和边防警卫局首席专家Eliisa△Sau表示,在推行晶片身份证下,除了让该国减少贪污腐败外,也让政府营运变得更加透明化。目前爱沙尼亚政府提供的政府服务其中有99%已经数位化,通过网络,爱沙尼亚公民即可存取eEstonia服务,“在这2,500项e化服务中,有500项为便民服务。”
爱沙尼亚资讯系统管理局 eID区域经理Margus△Arm所任职的资讯系统管理局,则是爱沙尼亚经济与通讯部的旗下机关,“这是电子化政府的重要基础”,该部门除建置爱沙尼亚国家资讯系统的基础架构,同时也要管理晶片身份证存取数位服务的政府入口网站,“我们很重视网络管理。”
在爱沙尼亚国家的资讯基础架构中,结合晶片身份证,并且以贯穿各个政府、私部门的X-ROAD,就能存取各式数位服务,例如公部门的健康保险资料库,或私人企业的金融、电信服务。Margus△Arm表示,爱沙尼亚并没有一个集中的大型中央资料库,反之,各个公、私部门都有独自的资料库,“而彼此的资料可以互相分享。”
爱沙尼亚警察和边防警卫局首席专家Eliisa△Sau表示,在推行晶片身份证后,爱沙尼亚政府99%的政府服务都已数位化,也不只能减少贪污腐败外,也让政府营运变得更加透明化。(摄影/洪政伟)
在爱沙尼亚国家的资讯基础架构中,结合晶片身份证,并且以贯穿各个政府、私部门的X-Road,就能存取各式数位服务,例如公部门的健康保险资料库,或私人企业的金融、电信服务。而爱沙尼亚政府并没有一个集中的大型中央资料库。反之,各个公、私部门都有独自的资料库,彼此的资料也可互相分享。(图片来源/爱沙尼亚信息资讯系统管理局)
电子化服务得一步到位才能吸引民众使用
在最初计划推出晶片身份证的时候,“我们就考虑到未来需求,必须对未来所有解决方案持开放态度”,Eliisa△Sau表示,爱沙尼亚在推动晶片身份证借助邻国芬兰的经验,再根据自家国情调整。起初该卡的有效期限只有3年,现在爱沙尼亚已将期限延长至5年,“首年就发出了10万卡张”,截至2016年,已经有97%的爱沙尼亚公民持有晶片身份证,“在一开始发行时,所有电子服务就必须到位,民众才会看见晶片身份证的好处”,Eliisa△Sau表示,如此才能提供足够诱因,让民众决定转为使用新版身份证。
订专法作为eID的法源依据
在推行晶片身份证时,爱沙尼也有制定eID法规,作为该政策的法源依据。Eliisa△Sau表示,为了取信于民众,在晶片身份证释出的2年前,爱沙尼亚政府分别推出了电子内阁制(E-Cabinet)及数位签章法,“在2002年时,数位签章也正式上路。”
推出电子内阁制,除了目标是打造无纸化作业环境外,“也要让决策过程变得更加透明”,Eliisa△Sau表示,过去各机关的会议中,得要列印出议会中所需的各式文件,“现在只要使用晶片身份证,马上就可以浏览相关资讯,列出哪些议题是优先要务。”
再者是爱沙尼亚国会于2000年时通过的数位签章法案,“数位签章与手写签章的效力,两者没有任何差距”,利用数位签章,还能加速各类文件签署完成的速度。
Eliisa△Sau举例,假设爱沙尼亚公民想在海外签署文件,政府也会提供相关免费软件,在完成签署后通过电子邮件传送,在3分钟内就可以完成整个程序。起初爱沙尼亚政府也以身作则,强制各政府部门必须接受数位签章,“现在则到处都可以使用数位签章”,每个爱沙尼亚公民平均1年会用上94次数位签章。
95%民众都靠eID进行网络报税
同时,爱沙尼亚的晶片身份证还可以用于缴税、电子投票或存取病历资料等政府服务。目前该国已经有95%的民众通过网络报税,Eliisa△Sau表示,通过网络申报,在5天内就可以获得退税,“而传统报税方式则需花上数个月时间才能退税,这是鼓励民众利用网络报税的强力诱因。”在2015年时,爱沙尼亚政府更进一步,推出一键报税机制,个人的缴税资料已经预先载入报税系统中,“只需要检查资料有无问题,无误后按下确认键就完成报税作业。”
再者是使用晶片身份证进行投票,民众只需要登入投票系统,点选候选人就能完成投票作业。不过考量电子投票此项服务兼具敏感性、公共性,“完成投票后,民众也可以使用手机进行投票结果查询,确认自己投给正确的候选人”,Eliisa△Sau表示,万一民众仍感到不放心,爱沙尼亚也保留传统方式,国民也可前往投票所进行投票。在2015年的议会大选中,借由此机制,即使爱沙尼亚公民散落在全球超过100个国家,也能完成投票,“不过,即使有网络投票机会,还是无法提升投票率,只是给予民众另一种选择。”
不过,方便与安全性往往是难以兼得,在爱沙尼亚享受晶片身份证存取各式数位服务的方便时,背后也必须有强力的资讯技术,确保其安全水准足够达到一定水准。Margus△Arm表示,爱沙尼亚的晶片身份证由该国警政单位核发,无论是身份证、居留证都采取相同的资安技术。每一张卡片中,“皆有两组安全钥匙,采取PKI△X.509的安全凭证。”而X.509凭证是由国际电信联盟(ITU-T)制定的数位认证标准,以公开金钥基础架构(PKI)与电子签章为基础。
Eliisa△Sau则表示,当持卡人遗失该卡片所记录的两组PIN码,只需到政府服务据点或是银行等机构申请新密码即可,若持卡人的密码遭窃取,民众也可以通过政府所提供的免费软件修改密码。或晶片身份证一旦遗失、遭窃,持卡人在任何时间都可以提出申请,要求中止该身份证的存取权限,避免身份证被不法人士盗用。
“我再次强调,晶片身份证只是一把钥匙而已”,Margus△Arm表示,该卡片中除了不会储存隐私资料外,它也无法作为付款工具。他解释,晶片身份证是让民众存取政府、民间机关所提供电子化服务的钥匙,通过晶片身份证辨认用户的身份。
爱沙尼亚的晶片身份证除了晶片机制,还有常用身份资讯和签名笔迹,无论是线上、离线都可以使用,支援2,500项政府数位服务支援,甚至可以用来投票。(图片来源/爱沙尼亚警察和边防警卫局)
取信人民才能顺利推动晶片身份证
在该政策15年下来,爱沙尼亚也累积许多推动晶片身份证的经验,“究竟一开始要采取强制推动还是自愿性措施呢?”在一开始询问民众推动意愿时,必定会出现反对的意见。也因此,爱沙尼亚政府为了大力推广晶片身份证政策,一开始便决定采取强制规定的策略。
除此之外,政府与民间也必须充分合作,建立双赢局面。Margus△Arm表示,政府得要取得民间信任,“否则晶片身份证政策无法顺利推动。”当中,爱沙尼亚政府取得人民信任方式,就是将相关系统的程式码都公布于开源软件程式码平台GitHub上,“做到完全的透明”,Margus△Arm表示,一旦开发者发现系统程式码有存在漏洞、破绽,也都可以上报至爱沙尼亚政府,“政府才能进一步增进这些系统的安全性。”他表示,由于爱沙尼亚政府100%透明的策略,使得晶片身份证政策广泛受到民众信赖,“程式码除开放给爱沙尼亚国民,世界上任何人也都可检视这些程式码。”
相关:
花了10年,开源资料库MongoDB终于上市,首日大涨33%
打造开源NoSQL资料库的MongoDB△Inc.于本周四(10/19)正式登上美国那斯达克股市(NASDAQ),交易代号为MDB的MongoDB的股票发行价格为24美元,上市首日股票上涨了33.62%,以32.07美元作收。MongoDB公司前身是10gen团
台湾微软新总经理孙基康:用云端助企业数位转型,还要深入产业应用
孙基康以不到40岁年纪接掌台湾微软。 台湾微软新任总经理孙基康正式与媒体见面,他将带领台湾微软今后的营运发够,包括加速推动云端以协助企业数位转型,更要扩大云端的应用层面,深入不同产业之中。今年9月孙基康
图片来源: GitHub Google、IBM及红帽等多家业者于本周四(10/12)借由GitHub共同发表了Grafeas开放原始码专案,这是一个软件运算元件的元资料API,可用来稽核及管理软件的供应链,包含时兴的微服务与容器应用。当初G
GitHub推出开源程式管理新功能,强化程式码安全、开源专案搜寻
图片来源: GitHub GitHub于本周三(10/11),在Universe开发者大会上发布一系列开源程式管理功能,分别是相依关系图(Dependency△Graph)、安全性警告(Security△Alerts)、新闻提要(News△Feed),以及探索(Exp
IBM开源程式开发模型Composer问世,为无伺服器运算应用开发推一把
图片来源: IBM IBM于本周二(10/10)揭露了新的开源程式开发模型(Programming△Model)Composer,促进无伺服器(Serverless)运算架构的应用程序开发,目前已在GitHub开放使用者下载。Composer是IBM旗下OpenWhisk服务