跳到主要內容區塊

ntuccepaper2019

產業專欄

政府資訊長應了解的數位身分二三事
  • 卷期:v0051
  • 出版日期:2019-12-20
  • 分類:產業專欄

作者:文/Arthur Mickoleit‧Gartner資深研究總監
本文轉載「CIO IT經理人」雜誌 2019年10月號 NO.100 Page88-89


為打造有效且成功的數位公民身分系統,政府資訊長必須關注三大重點:治理、技術和使用者體驗。

 

娜耶咪(Noemi)是一位居住在法國的居民, 某天她要申報所得稅時想到,既然已經在處理「行 政事務」了,不如順便查詢醫療給付的狀態,並登 記參加地方選舉投票。透過FranceConnect這樣的公 共服務管道,娜耶咪能夠一次完成以上所有任務- 這是一個顯示數位身分(Digital Identity)能讓民眾 生活與政府機關間的互動更加方便的例子。

 

除了法國,台灣也開始積極建構數位身分系 統,內政部預計於2020下半年開始全面換發數位身 分證,除將結合自然人憑證,民眾也可選擇將國民 健保卡與駕照等證件與數位身分證介接,實現一卡 多工的目標。就理想而言,每位台灣民眾一生僅需 提供一次個人資料給政府機關,各部會的雲端資料 庫將透過數位身分系統相互整合,簡化行政流程並 優化治理效率。在未來,民眾辦理行政事務將不再 需要準備多種證件,透過一張數位身分證即可快速 申辦各項公共服務。

 

Gartner資深研究總監Arthur Mickoleit表示:「各 國政府已長期投注於數位身分和相關驗證方法,以 確保民眾能輕鬆、安全並合法地取得公共服務。不 過截至目前為止,各國的成果有別。在挪威或瑞典 等北歐國家,幾乎所有人都已使用數位公民身分系 統。但在澳洲、德國或美國等其他國家,即便一直 以來也都嘗試著建立類似系統,卻都礙於官僚文化的過度影響,導致用戶體驗不佳而收效甚微。

 

因此,為打造有效且成功的數位公民身分系統,政府資訊長必須關注三大重點:治理、技術和 使用者體驗。

 

治理


提供數位服務的政府機關,其資訊長必須在以 下兩種治理模式中擇一:
‧ 從內部管理整個身分辨識與驗證流程。
‧ 求助於數量與日俱增的數位身分服務供應商(IDSP)


從大部分案例來看,採用一家或一家以上的第三方數位身分服務供應商是比較好的做法。如此一來,政府機關方能將有限的資源聚焦在服務大眾等 核心業務,也能省去民眾在不同單位間多次切換系 統登入的麻煩。

 

Arthur Mickoleit指出:「到了2023年,在所有 需要身分驗證的政府服務中,至少有80%皆透過多 家數位身分服務供應商取得支援。民眾可以使用自 己偏好的數位身分與政府機關互動,而不必再為每 個單位都設定一個只具個別用途的數位身分。」

 

然而政府必須注意,在委外提供數位身分服務 時,有很多做法可以選擇。例如,可選擇由政府發 行數位身分,而非透過提供服務的企業來發行。或者,也可以選擇像是FranceConnect這樣能夠整合多種登入管道的方式來提供數位身分服務。

 

每種方式都有各自的優缺點。舉例來 說,當以營利為主的數位身分服務供應商 掌握了民眾的身分資料和其中潛在的洞察 資訊後,隱私疑慮也隨之攀升。而政府資 訊長必須在和民間業者合作即可快速推動 普及率的優勢,以及不同利害關係人間可 能產生的衝突中,找到平衡。

 

數位身分的設計


政府和民眾彼此對數位身分的期望可 能很難達到平衡。政府資訊長必須將高度 安全性列為優先考量,以確保民眾在存取 服務時確實為本人。另一方面,民眾最想 要的則是存取方式簡易便利的數位身分。

 

過去許多政府單位都因過於謹慎而忽略了設計 上的便利性,往往造成系統非常安全但很難使用。 只有最精通科技知識的民眾,才能在其他人都堅持 使用傳統的類比式身分獲取服務時,仍不畏挑戰。

 

為了在安全和便利之間取得平衡,政府資訊長 應採取比較彈性的做法,同時確保所提供的服務符 合安全級別。圖1列出了三個不同的情況:
‧ 情況1─便利性大於安全性:在阿根廷,民眾可 以透過Facebook或Google的帳號與身分證連結, 藉此預約公家機關的服務。
‧ 情況2─便利性與安全性程度相當:奧地利國民 可以透過「Handy-Signatur」這種雙重驗證機制 (同時以帳號密碼、手機簡訊或密碼生成器進行驗證),提交健保補助申請。
‧ 情況3─安全性大於便利性:愛沙尼亞國民需透過電腦搭配手機身分證(Mobile-ID),或結合 讀卡機和國家發出的電子身分證進行投票。

 

預約一般服務比起報稅應該不用太過嚴格的安全措施,更不用說像是愛沙尼亞那樣,可以讓民眾 在全國大選時上網投票的服務,其對資訊安全的需 求亦截然不同。

 

2019092011001.png
圖1 完善的身分服務設計會根據不同情況,在安全和便利之間取得平衡

 

政府必須了解到,針對身分安全的設計可不只 關乎技術。最近愛沙尼亞爆發數位身分誤用事件, 主要跟網路釣魚和社交工程(social engineering)有關,因此政府單位對相關問題也必須要有心理準備。政府機關應對民眾多加宣導數位身分的概念, 讓民眾意識到數位身分的價值和重要性等同於類比 身分,都需要加以保護。



技術


數位身分的技術在快速演進中,這也意味著政 府資訊長在選擇技術時必須把變革納入考量,但同 時也要確保使用者經驗的得以延續。

 

Arthur Mickoleit表示:「身分驗證的三大主要因 子: 知識(knowledge)、認證代碼(token)和生 物特徵(biometric trait),仍然是數位身分識別和 驗證程序中的一環。正如我們現在所知的生物辨識 感測器,當數位身分經過設定並保障其安全後,將 會隨著應用階段的發展而越趨實用。」

 

不過很重要的一點是,當安全和使用者方便性 隨著時間演進,政府資訊長必須掌握並了解相關狀 況。舉例來說,以簡訊服務(SMS)交易代碼為主的 標準型雙因素認證法,現已逐漸被專用代碼生成器 應用程式所取代,讓服務的存取更加安全便利。

 

未來,數位身分也可能會利用區塊鏈技術,提 供更嚴密的隱私防護和使用者身分管控。而隨著身 分驗證技術越來越普遍且成本逐漸降低,將可造福 全球約10億尚無正式工具可供身分驗證的人口,加 速社會融合。

 

全文轉載內容(PDF)