愛沙尼亞資訊系統管理局 eID區域經理Margus Arm表示,為了取信於人民,愛沙尼亞將eID系統的程式碼都公布於開源軟體程式碼平臺GitHub上,一旦開發者發現漏洞或程式臭蟲,都可以向上通報要求修復,才能進一步提高這些系統的安全性。(攝影/洪政偉)

坐落東歐北部,西面波羅的海的愛沙尼亞,人口130萬人,面積不比臺灣大上多少,但卻是歐洲先進程度數一數二的資優生,在2002年隨即推行晶片身分證政策,在政策實施的第一年僅有10萬人持有,但是在推動15年下來,目前卡片持有率已經高達97%,除15歲以下的愛沙尼亞公民不強制持有外,其餘國民都必須持有晶片身分證,目前為止線上進行身分驗證次數已經突破5.6億次,數位簽章使用次數則是達到3.8億次。

愛沙尼亞警察和邊防警衛局首席專家Eliisa Sau表示,在推行晶片身分證下,除了讓該國減少貪污腐敗外,也讓政府營運變得更加透明化。目前愛沙尼亞政府提供的政府服務其中有99%已經數位化,透過網路,愛沙尼亞公民即可存取eEstonia服務,「在這2,500項e化服務中,有500項為便民服務。」

愛沙尼亞資訊系統管理局 eID區域經理Margus Arm所任職的資訊系統管理局,則是愛沙尼亞經濟與通訊部的旗下機關,「這是電子化政府的重要基礎」,該部門除建置愛沙尼亞國家資訊系統的基礎架構,同時也要管理晶片身分證存取數位服務的政府入口網站,「我們很重視網路管理。」

在愛沙尼亞國家的資訊基礎架構中,結合晶片身分證,並且以貫穿各個政府、私部門的X-ROAD,就能存取各式數位服務,例如公部門的健康保險資料庫,或私人企業的金融、電信服務。Margus Arm表示,愛沙尼亞並沒有一個集中的大型中央資料庫,反之,各個公、私部門都有獨自的資料庫,「而彼此的資料可以互相分享。」

愛沙尼亞警察和邊防警衛局首席專家Eliisa Sau表示,在推行晶片身分證後,愛沙尼亞政府99%的政府服務都已數位化,也不只能減少貪污腐敗外,也讓政府營運變得更加透明化。(攝影/洪政偉)

在愛沙尼亞國家的資訊基礎架構中,結合晶片身分證,並且以貫穿各個政府、私部門的X-Road,就能存取各式數位服務,例如公部門的健康保險資料庫,或私人企業的金融、電信服務。而愛沙尼亞政府並沒有一個集中的大型中央資料庫。反之,各個公、私部門都有獨自的資料庫,彼此的資料亦可互相分享。(圖片來源/愛沙尼亞信息資訊系統管理局)

電子化服務得一步到位才能吸引民眾使用

在最初計畫推出晶片身分證的時候,「我們就考慮到未來需求,必須對未來所有解決方案持開放態度」,Eliisa Sau表示,愛沙尼亞在推動晶片身分證借助鄰國芬蘭的經驗,再根據自家國情調整。起初該卡的有效期限只有3年,現在愛沙尼亞已將期限延長至5年,「首年就發出了10萬卡張」,截至2016年,已經有97%的愛沙尼亞公民持有晶片身分證,「在一開始發行時,所有電子服務就必須到位,民眾才會看見晶片身分證的好處」,Eliisa Sau表示,如此才能提供足夠誘因,讓民眾決定轉為使用新版身分證。

訂專法作為eID的法源依據

在推行晶片身分證時,愛沙尼也有制定eID法規,作為該政策的法源依據。Eliisa Sau表示,為了取信於民眾,在晶片身分證釋出的2年前,愛沙尼亞政府分別推出了電子內閣制(E-Cabinet)及數位簽章法,「在2002年時,數位簽章也正式上路。」

推出電子內閣制,除了目標是打造無紙化作業環境外,「也要讓決策過程變得更加透明」,Eliisa Sau表示,過去各機關的會議中,得要列印出議會中所需的各式文件,「現在只要使用晶片身分證,馬上就可以瀏覽相關資訊,列出哪些議題是優先要務。」

再者是愛沙尼亞國會於2000年時通過的數位簽章法案,「數位簽章與手寫簽章的效力,兩者沒有任何差距」,利用數位簽章,還能加速各類文件簽署完成的速度。

Eliisa Sau舉例,假設愛沙尼亞公民想在海外簽署文件,政府也會提供相關免費軟體,在完成簽署後透過電子郵件傳送,在3分鐘內就可以完成整個程序。起初愛沙尼亞政府也以身作則,強制各政府部門必須接受數位簽章,「現在則到處都可以使用數位簽章」,每個愛沙尼亞公民平均1年會用上94次數位簽章。

95%民眾都靠eID進行網路報稅

同時,愛沙尼亞的晶片身分證還可以用於繳稅、電子投票或存取病歷資料等政府服務。目前該國已經有95%的民眾透過網路報稅,Eliisa Sau表示,透過網路申報,在5天內就可以獲得退稅,「而傳統報稅方式則需花上數個月時間才能退稅,這是鼓勵民眾利用網路報稅的強力誘因。」在2015年時,愛沙尼亞政府更進一步,推出一鍵報稅機制,個人的繳稅資料已經預先載入報稅系統中,「只需要檢查資料有無問題,無誤後按下確認鍵就完成報稅作業。」

再者是使用晶片身分證進行投票,民眾只需要登入投票系統,點選候選人就能完成投票作業。不過考量電子投票此項服務兼具敏感性、公共性,「完成投票後,民眾也可以使用手機進行投票結果查詢,確認自己投給正確的候選人」,Eliisa Sau表示,萬一民眾仍感到不放心,愛沙尼亞也保留傳統方式,國民也可前往投票所進行投票。在2015年的議會大選中,藉由此機制,即使愛沙尼亞公民散落在全球超過100個國家,也能完成投票,「不過,即使有網路投票機會,還是無法提升投票率,只是給予民眾另一種選擇。」

不過,方便與安全性往往是難以兼得,在愛沙尼亞享受晶片身分證存取各式數位服務的方便時,背後也必須有強力的資訊技術,確保其安全水準足夠達到一定水準。Margus Arm表示,愛沙尼亞的晶片身分證由該國警政單位核發,無論是身分證、居留證都採取相同的資安技術。每一張卡片中,「皆有兩組安全鑰匙,採取PKI X.509的安全憑證。」而X.509憑證是由國際電信聯盟(ITU-T)制定的數位認證標準,以公開金鑰基礎架構(PKI)與電子簽章為基礎。

Eliisa Sau則表示,當持卡人遺失該卡片所記錄的兩組PIN碼,只需到政府服務據點或是銀行等機構申請新密碼即可,若持卡人的密碼遭竊取,民眾也可以透過政府所提供的免費軟體修改密碼。或晶片身分證一旦遺失、遭竊,持卡人在任何時間都可以提出申請,要求中止該身分證的存取權限,避免身分證被不法人士盜用。

「我再次強調,晶片身分證只是一把鑰匙而已」,Margus Arm表示,該卡片中除了不會儲存隱私資料外,它亦無法作為付款工具。他解釋,晶片身分證是讓民眾存取政府、民間機關所提供電子化服務的鑰匙,透過晶片身分證辨認用戶的身分。

愛沙尼亞的晶片身分證除了晶片機制,還有常用身分資訊和簽名筆跡,無論是線上、離線都可以使用,支援2,500項政府數位服務支援,甚至可以用來投票。(圖片來源/愛沙尼亞警察和邊防警衛局)

取信人民才能順利推動晶片身分證

在該政策15年下來,愛沙尼亞也累積許多推動晶片身分證的經驗,「究竟一開始要採取強制推動還是自願性措施呢?」在一開始詢問民眾推動意願時,必定會出現反對的意見。也因此,愛沙尼亞政府為了大力推廣晶片身分證政策,一開始便決定採取強制規定的策略。

除此之外,政府與民間也必須充分合作,建立雙贏局面。Margus Arm表示,政府得要取得民間信任,「否則晶片身分證政策無法順利推動。」當中,愛沙尼亞政府取得人民信任方式,就是將相關系統的程式碼都公布於開源軟體程式碼平臺GitHub上,「做到完全的透明」,Margus Arm表示,一旦開發者發現系統程式碼有存在漏洞、破綻,也都可以上報至愛沙尼亞政府,「政府才能進一步增進這些系統的安全性。」他表示,由於愛沙尼亞政府100%透明的策略,使得晶片身分證政策廣泛受到民眾信賴,「程式碼除開放給愛沙尼亞國民,世界上任何人亦都可檢視這些程式碼。」


Advertisement

更多 iThome相關內容