(中央社訊息服務20241118 14:05:28) 隨著個人資料保護意識抬頭,運用去中心化加密技術,讓數位身分發行者與驗證者不用依賴集中式機構,便可對特定對象進行必要的身分驗證機制,已成為全球各大產業的發展趨勢。澳洲於今(2024)年5月30日簽署的《2024年數位身分法》(Digital ID Act 2024)與《2024年數位身分(過渡及相關條文)法》(Digital ID (Transitional and Consequential Provisions) Act 2024)(合稱數位身分法)對擴展數位身分系統的應用可能面臨的挑戰值得省思。
澳洲政府數位身分系統(Australian Government Digital Identity System, AGDIS)的運作框架,是由身分識別服務提供者(Identity Service Provider)、身分表徵服務提供者(Attribute Service Provider)、接收個人資料之信賴方(Relying Party),以及身分資料交換服務提供者(Identity Exchange Provider)等參與者所組成。
數位身分法為擴展AGDIS的應用提供法律依據,讓系統能夠在數個政府或民間企業之間運作,同時也建立自願認證機制,允許更多主體申請認證成為相關服務提供者。在此規範下,未來AGDIS將分階段進行擴展:首先開放州/領地政府向聯邦政府申請認證;其次預計兩年內,所有州/領地政府與民間企業均可向數位身分監管機關申請,往後開放申請之主體範疇亦將隨認證機構的增加而更加擴大。以上所有加入系統的服務提供者皆須遵守數位身分法與認證規則(Accreditation Rules)之相關要求,以確保個人隱私受到足夠保障。
資策會科技法律研究所副法律研究員楊承昕表示,澳洲政府在後續推動AGDIS的擴展計畫仍會面臨諸多挑戰。首先,目前法律並未明確規範信賴方接收個人資料的程度,且監管機構的職責範圍尚不明確;其次,缺乏端對端加密(End-to-End Encryption)系統的資安評估標準;再者,社會大眾對新制的了解甚少,無法完全信任系統能否確實保障個人隱私。
臺灣數位發展部於今年10月11日表示將進行數位皮夾(Taiwan Digital Identity Wallet,全稱分散式數位身分認證與授權系統)的驗證測試,力拚2025年年底前對外釋出測試版本。楊承昕建議,本項新制推行初期,除採漸進方式從政府機關開始執行導入外,更應著重監管制度的設計與資安環境的建置,同時鼓勵公眾參與,更有利於新數位生態系統的推廣,以達數位轉型之成效。
【資策會科技法律研究所】 https://stli.iii.org.tw/model.aspx?no=99
【新聞聯絡人】 資策會科法所 顏翩翩 Tel: (02) 6631-1084 Email: [email protected]