【引進國際標準及技術，建立國內數位憑證驗證的公共基礎】數位憑證皮夾實現資料自主權及簡化驗證的關鍵

「數位憑證皮夾讓民眾僅提供必要的資訊，真正落實該給的才給，不該給的一個都不多的隱私保障」，數發部長林宜敬一語點出民眾提供實體證件驗證身分背後的隱私風險。

當民眾提供實體證件供服務商驗證身分，個人身分資訊揭露是全有或全無，證件上記載的所有個資都會一併揭露，民眾並不能控制只要揭露哪些資料，導致身分資訊外流，例如身分證字號、出生年月日或是你家的地址。

數位憑證皮夾則採用選擇性揭露（Selective disclosure）的隱私保護技術，賦予數位憑證的使用者對於個人身分資料的可控性，使用者可以選擇只揭露驗證身分需要的最少資訊，例如只授權出生年月日資訊，讓服務系統驗證年齡是否達到18歲，而不需要提供你的姓名、住址等資訊，暴露太多個人訊息。

此外，如同數發部於皮夾試營運時說的，數位憑證皮夾如同現實中每個人擁有的實體皮夾，實體皮夾內放著各種證件，例如駕照、健保卡等等，以證明自己擁有的身分資格，因此在數位世界裡也應有數位工具，即數位憑證皮夾，希望通過數位憑證皮夾，達到多憑證整合，同時促成政府機關憑證的數位化，並且和民間企業間接，提供簡單、安全、方便的工具。

目前在數位憑證皮夾政策中，數發部將和交通部、教育部、勞動部、經濟部合作，2026年在數位憑證皮夾裡陸續整合駕照、大學畢業證書、技術士證照、工商憑證，未來在行政院大力支持下，還可能和更多的部會合作，將政府機關核發的憑證數位化，加入數位憑證皮夾。政府機關先行，數發部也鼓勵地方政府、學校或民間企業能夠跟進，將他們的憑證數位化後加入數位憑證皮夾，或是讓其提供的服務支援數位憑證皮夾的驗證方角色。

建立驗證的三角

在數發部規畫的數位憑證皮夾，滿足數位自主權（Self-Sovereign Identity, SSI），實現公民自主的資料自決。這和過去提供實體證件驗證身分，一旦證件資料（影本）上傳，所有證件資料都可能因此曝露，使用者透過數位憑證皮夾，可選擇只授權憑證上的部分資訊欄位，讓使用者對隱私保護有更精細的控制，也克服證件資料影本外流可能遭冒用的風險。

在數位憑證皮夾的生態圈中，有三個重要的角色，那就是數位憑證的發證方（Issuer）、使用者或持有者（Holder）、驗證端（Verifier）。

發證方為政府機關或企業，甚至是個人，可以將實體證件、既有電子資料轉換為可驗證憑證（Verifiable Credential，VC）；持有者可能是一般民眾，可能具有學生、企業員工或其他身分，獲得發證方的審核取得各種數位憑證（VC）的持有者，在取得發證方的驗證後，並儲存在手機內的數位憑證皮夾App中；驗證方為提供服務的其他政府機關、學校，或是民間業者如超商、租車業者、線上求職等，驗證方向使用者請求並驗證必要的資料。

其中的發證方並非傳統集中式的統一身分管理，將各種憑證集中於數發部或是特定的組織來統一管理，而是去中心化，由分散的既有發證方管理數位憑證，降低集中化管理的外洩風險。

分散的身分管理迎合現今國際趨勢，如W3C在2022年提出的分散式身分識別符（W3C DID Standard Recommendation），不依賴於集中式，在特定組織或人的註冊表，來驗證一個人或一個物件的身分，而是仰賴使用者間基於共通的標準，相互承認對方所使用的方法、描述資訊與解析過程，達到數位身分流通的目的。

這種分散式身分發行、驗證也在歐盟的電子身分識別（eIDAS2.0）中，被應用在歐盟的數位身分皮夾（EU Digital Identity Wallet）概念，以涵蓋歐盟各國家的公私部門身分憑證。

數發部也在2023年加入W3C，研究及驗證分散式的身分管理及驗證機制，成為後來「數位創新關鍵基礎建設計畫」中推動數位憑證皮夾背後的基礎。

如同前面提到驗證三角中的發證方，為身分的提供者，專門核發給使用者各種身分證件，發證方可能是政府機關、企業，甚至是個人，將發行的實體證件轉換為數位格式，存放在使用者的數位憑證皮夾，當使用者想要向第三方申請服務時，由提供服務的政府機關或民間企業向使用者請求驗證身分，經過使用者自主選擇數位憑證皮夾內的證件（數位憑證）及分享的資料，授權第三方驗證取得資料。

以國際標準建立三方的信任關係

數發部一再對外強調數位憑證皮夾並不是要發行數位身分證，而是提供使用者選擇使用的數位工具，整合使用者的多張數位憑證，方便使用者自主選擇使用哪張數位憑證，通過驗證來取得第三方的服務。

數位憑證皮夾採用國際標準架構。在發證端（Issuer）部分，數位發展部提供Issuer模組，協助發證機關或企業依循OpenID for Verifiable Credential（OpenID4VCI）標準，將既有資料系統中的證件資訊製作為可驗證憑證（Verifiable Credential，VC）。VC由發證方使用其私鑰進行數位簽署後，透過標準流程發送至使用者的數位憑證皮夾App，並以SD-JWT（Selective Disclosure for JSON Web Tokens）作為資料封裝格式，儲存在使用者的行動裝置中。

SD-JWT是一種支援選擇性揭露（Selective Disclosure）的隱私強化技術，允許使用者在出示數位憑證時，只揭露驗證情境所需的特定資料欄位，而非完整揭露整張憑證內容。例如，在僅需驗證是否年滿18歲的場景中，使用者可證明其符合年齡條件，而無須揭露完整的出生年月日，避免額外暴露實際年齡。透過此機制，可有效降低地址、身分證字號等非必要敏感個資的揭露風險，符合GDPR等資料最小化與隱私保護原則。

在驗證端（Verifier）部分，數位發展部提供Verifier模組，供驗證方部署於其系統環境中，Verifier模組是以容器化（例如Docker）方式提供，降低系統整合與部署門檻。驗證方的後端應用系統可透過API與Verifier模組介接，由Verifier模組依據OpenID for Verifiable Presentation（OpenID4VP）標準，向使用者的數位憑證皮夾請求所需資料，並接收由使用者皮夾即時產生的可驗證證明（Verifiable Presentation，VP）。Verifier模組負責驗證VP與其所引用之VC的數位簽章、發證來源可信性，以及資料完整性，並將使用者已授權揭露的資料提供給驗證方應用系統使用。

數位憑證皮夾政策推動發行端、持有端（使用者）、驗證端的驗證三角，透過OpenID4VCI標準，將數位憑證轉為可驗證憑證（VC）存於使用者端，再由使用者選擇授權資料輸出可驗證證明（VP），以OpenID4VP提供給驗證方進行驗證、取得授權資料。圖片來源／數發部

以數位憑證皮夾於試營運期間的「超商取貨」應用為例，使用者需先以個人手機門號向電信業者申請電信電子卡，此時電信業者即為發證方（Issuer）。電信業者完成身分確認後，依OpenID4VC標準產生對應的VC（電子卡），並將該 VC發送並儲存於使用者的數位憑證皮夾App中。另一方面，超商則扮演驗證方（Verifier），其後端系統部署Verifier模組並支援OpenID4VP標準。當使用者至超商取貨時，於數位憑證皮夾中選擇出示電子卡，皮夾即依驗證需求即時產生包含必要欄位的可驗證證明VP，並以QR Code形式呈現。超商店員完成掃碼後，由後端Verifier模組驗證VP並解讀使用者所授權揭露的資料（例如姓名及電話末三碼），待系統確認身分驗證通過後，方可完成包裹交付。

從電信商發送電信門號電子卡到使用者的數位憑證皮夾，到民眾前往超商取貨，使用電信門號電子卡完成身分驗證，整個過程看似複雜，但實際背後是透過技術串連發證方、使用方、驗證方，來簡化整個超商取貨的作業過程，讓民眾在超商取貨時，不需攜帶實體身分證件，只要出示手機上的QR Code讓店員掃碼，就能快速通過身分驗證取得包裹。

確保數位憑證皮夾使用安全

在安全保障方面，使用者開啟數位憑證皮夾需輸入密碼，或是通過手機上的生物特徵辨識才能使用，因此不需擔心手機遺失後，數位憑證皮夾遭到冒用的風險。如果手機不慎遺失，可遠端鎖定手機，掛失數位憑證皮夾服務。

在數位憑證的發行方、使用者端與驗證方所構成的三方架構中，數位憑證由發行方依OpenID4VC標準製作為可驗證憑證VC，並發送至使用者的數位憑證皮夾App內儲存。不同類型的數位憑證，皆以獨立的VC形式存在於使用者端。

當民眾在實際情境中使用數位憑證進行身分或資料驗證時，驗證流程並不需與原憑證發行方進行即時連線，而是由使用者的數位憑證皮夾，依驗證方需求即時產生可驗證證明VP，並與驗證方系統進行互動。驗證方僅針對使用者已授權揭露之資料進行驗證與使用。

由於整個驗證過程無須回傳使用紀錄至憑證發行方，因此發行方無法掌握民眾的實際使用情境與頻率，避免因集中式查詢機制所造成的使用足跡蒐集問題，落實使用者隱私保護與資料最小化原則。

民眾使用數位憑證皮夾App，可以和手機上的生物特徵辨識綁定，例如指紋或臉部辨識，來確保啟動數位憑證皮夾App的用戶身分安全，因此當手機不慎遺失，可避免數位憑證皮夾遭到他人冒用。攝影／洪政偉

另外，當使用者選擇使用哪張數位憑證，並且選擇同意授權分享資料給第三方查驗，數位憑證皮夾產生QR Code，這組QR Code限制使用時間，且第三方掃碼後，數位憑證皮夾會再次確認要授權第三方取得哪些資料，可避免QR Code遭有心人士翻拍冒用的風險。

侯宜秀指出，在建構發證、使用者、驗證三方的信任生態圈，數發部負責審核管理信任清單，類似於白名單的概念，參與數位憑證皮夾計畫的數位憑證發證方、驗證方，都會由數發部審核後才會加入信任清單中，確保在數位憑證皮夾建立的信任生態圈。

在數發部的信任清單中，被信任的憑證發證方紀錄於區塊鏈上，避免遭到偽造或竄改，清單上紀錄發證方發行哪種數位憑證，可被哪些驗證方進行驗證。

另外，在憑證的管理上，憑證並非一經核發後便永久有效，每張憑證通常設有使用期限，到期必需重新取得新憑證，有的憑證也可能因為種種原因遭到憑證發行方撤銷憑證，因此驗證方需要定期從發證方下載憑證清單，來查驗使用者方的數位憑證有效性。

建立數位身分等級

另一個問題是，數位憑證皮夾內存放的各種數位憑證，可能對應現實世界中的駕照、技術士證照、員工證、會員卡、集點卡等等，各種實體的證件卡片，因為當初申請證件卡片的身分審核嚴謹程度有別，因此不同證件、卡片被信任程度的高低也有差別。例如身分證、駕照需經過臨櫃辦理，可信度通常較高，其他證照可能通過線上提供證件辦理，真實身分的可信度次之，至於會員卡、集點卡則因為沒有嚴謹的實名審核為最低，愈嚴格身分審核核發的證件通常可用於對身分確認強度較高的服務。

從服務提供者（驗證方）的角度來看，並非所有服務都需要一樣高的身分確認強度，因此數位身分憑證不能等同視之，而必需畫分等級的概念。

在國際上對於數位身分有不同的等級，以美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）提出的數位身分信任分級（Identity Assurance Level，IAL）為例，IAL將數位身分畫分為3級，IAL1為最低等級，幾乎不作身分確認或只作基本的確認，適合一般會員或低風險的線上服務使用，IAL2則是中級，需確認本人的真實身分，但不會要求本人臨櫃驗證身分，通常使用政府審發的證件線上申請，至於IAL3則是最高級，採最嚴謹的身分驗證，以確認真的是本人申請，常見的臨櫃辦理確認本人的身分真實性，由於為最嚴謹的身分驗證，對應重要的政府服務，例如申請政府的補助申請或是具有法律效力的行為、高風險交易。

簡單來說，低度風險的服務，可能只需要IAL1的數位身分等級即可，一般商務的中度風險服務，則需要IAL2等級，而高風險或需要承擔法律責任的法定服務，為避免爭議，需要IAL3最高等級。

因數位憑證的身分確認強度有別，提供服務的驗證方辨別不同數位憑證的身分確認強度等級，以判斷服務需要的身分驗證強度。例如申請e-mail信箱通常不需要高強度身分認證，只需要基本的個資，甚至不會驗證資料真實性，而申請獎學金或金融線上交易、政府救助需要較高的身分確認強度。

莊盈志表示，參考國際上對於數位身分的等級標準，對於發證方（Issuer）發行哪種數位憑證，對憑證的身分查核嚴謹度高低進行分級，由驗證方根據他們的服務身分驗證強度高低，決定哪一種等級的憑證才能申請。

以目前在數位憑證皮夾中已上線的「超商取貨」應用為例，用戶所使用的電信門號電子卡屬於IAL2，代表由手機門號線上申請的電信電子卡符合中級身分確認強度，符合超商取貨的身分驗證要求，才能代替實體身分證件在超商領取包裹。

另外，對於企業而言，過去向用戶要求翻拍證件查驗身分，取得用戶的資料，可能面臨身分證件偽造的風險，取得民眾的完整證件資料也需承擔個資保護的義務。未來如果支援數位憑證皮夾，透過整個技術、信任制度的建立，可避免證件資料偽造，基於信任制度，不需承擔用戶身分真實性的驗證責任。

以線上申請加入租車會員為例，過去使用者需以手機翻拍駕照正反面，上傳證件照片，並且填寫會員基本資料，上傳所有會員申請相關資料後，租車業者後端審核可能花費數個小時或1、2天的時間，使用者必需等待會員資格審核的結果，通過會員審核才能開始租車。

使用數位憑證皮夾則可大幅簡化會員審核流程，使用者先以皮夾App掃描會員申請頁面的QR Code，選擇皮夾內駕照的必要資料供租車業者存取，由於數位憑證皮夾的駕照資料已確保真實性，租車業者即時完成驗證，縮短會員審核時間。

在數位憑證皮夾的整體架構中，數發部特別強調數位憑證皮夾並非是身分資料或驗證流程的集中管理者，而是扮演技術與制度的基礎建設者角色，引入國際標準，未來可進一步與國際接軌，並且提供發證與驗證共用模組、建立可信任機制，以及規劃身分信任分級框架，以協助各發證機關與驗證場域快速導入數位憑證應用。在隱私保護上，透過不連回發證方的驗證設計，避免集中蒐集民眾使用紀錄，確保民眾使用服務的隱私與身分資料的主控權。