數位身分需要的法律條文建議稿
一、本文件之性質與用法
本文件並非法案,而是一組條文建議。其目的在於把「無論最終立法形式為何,都必須直接寫入法律本身之核心條目(而不得僅以技術規格、行政指引、或契約規定)」整理清楚,供後續納入適當之法律(如數位身分法、數位權利法、個人資料保護法子法等等)整合。
數位身分系統在架構上,易具有識別、連結、剖繪等能力;一旦允許系統擁有該能力,將影響人民之權利行使、公共服務取得、責任追溯與資料流動邊界,且其權利風險難以事後回復。
故,基於法律保留原則,凡涉及人民權利之限制、公權力與私人權力邊界之劃定,以及救濟條件之設定者,均不宜由下位規範或個別同意自行決定,而應由法律先行設定最低底線,再由技術規格於該邊界內實作。
本文件所列各條,即屬此類應以法律明定之核心條目。使用方式如下:
(一)各條依功能分組,編號為「建議條文」,納入法律時應重新編號。
(二)每條附「意旨與須以法律明定之理由」,並於必要時附「得授權下位規範之事項」,以標示法律保留之界線。
(三)條文中以〔 〕標示之制度介面(如〔主管機關〕),其具體指定留待法律定之。
(四)立法目的、適用範圍、主管機關之指定、救濟與損害賠償之具體設計、罰則、施行細則與過渡期間等事項,因涉及整體立法體例與跨單位、跨專業之分工,本文件刻意不予擬定,集中列於第四部分,留待法律訂定時與相關機關、專家共同討論。
二、用詞定義
下列用詞,於本組條文中之定義如下:
(一)數位身分系統:指以數位方式建立、發給、儲存、出示或驗證身分、資格或屬性憑證之系統。
(二)身分驗證:指確認特定主體對憑證或驗證裝置之控制權,或確認特定主體具備特定資格或屬性之程序。
(三)控制權驗證:指確認憑證或驗證裝置,處於特定主體實際持有及支配下之程序。
(四)資格驗證:指判斷特定主體,是否具備某項資格或屬性之程序。
(五)識別本人:指將一次互動、憑證、紀錄,解析至特定現實世界自然人之程序。
(六)數位權利介面:指經法律承認,得作為人民於數位環境中主張、行使、承接、證明或救濟其權利義務之憑證、流程、密碼學憑據、或其他技術性載體。
(七)互動介面:指主體於特定脈絡中與系統互動所使用之穩定載體。
(八)不可連結性:指任何機關、法人、團體、個人,無論以人工或透過電腦、資訊系統之自動化處理,均無法以足資利用之機率,區分兩個以上之數位身分介面、訊息、行為、交易、紀錄或其他利益對象是否彼此相關。
(九)剖繪:指對數位身分介面或互動介面及其相關資料,形成系統性描述、分類、預測、評分或輪廓建構之處理。
(十)最低連結性:指就單次互動之採行方式與處理過程,使其與任一其他互動、紀錄、資料間之關聯性降至最低。
(十一)最小侵擾:指就特定目的,採行對主體權利侵害最小之技術、流程或設計。
(十二)穿透:指將數位權利介面或互動介面反向連結、映射、再識別至其所對應之特定資料集、自然人、紀錄之作為。
(十三)例行穿透:指於日常驗證、撤銷檢查、風險評分、服務登入、中介管理或其他常態流程中,未經法定例外程序,即得將不同脈絡之紀錄反向連結、映射、再識別至其所對應之特定資料集、自然人、紀錄之作為。
(十四)中介者:指於身分驗證或資格驗證流程中,居間接收、轉介、核驗或彙整不同脈絡之憑證、紀錄或狀態之機關、法人、團體或個人。
(十五)具公共性之服務:指由政府提供,或為日常生活、社會參與或經濟活動所必要,使用者於事實上難以拒絕使用之服務。
【意旨與須以法律明定之理由】
定義決定其後所有義務之射程,尤其控制權驗證、資格驗證與識別本人三者之區分,以及不可連結性、穿透與例行穿透之界定,直接劃定系統能力之邊界。此等界定若交由技術規格或個別機關自行為之,將使核心義務隨實作而浮動,故應以法律明定。
三、核心條文
(一)基礎原則
建議條文一 介面為原則、識別本人為例外
人民於數位環境中行使權利、承接義務、接受驗證、稽核及尋求救濟,原則上以數位權利介面為之。
將數位權利介面或互動介面反向連結、回溯、或再識別至其所對應之特定自然人,以法律明文列舉之情形為限,並應符合〈建議條文九(例外穿透之要件)〉所定要件。
本組條文所定各項義務,不因已取得當事人同意而免除;同意不得作為逾越本組條文所定能力邊界之正當化依據。
【意旨與須以法律明定之理由】
本條為總則性原則,確立數位權利介面為通常運作單位、穿透自然人為法定例外。其須入法之理由有二:其一,例外穿透涉及對人民之重大權利限制,依法律保留原則,何時得穿透應由法律明文列舉,不得由行政命令、技術規格或契約自行創設;其二,第三項明定同意不得作為逾越能力邊界之依據,係因於基礎設施環境中,使用者之同意常受實質強制影響,且難以涵蓋下游之推導與再利用,若不於法律層級排除「以同意架空底線」,其餘各條均可能被同意條款逐一掏空。
(二)身分驗證與識別之分離
建議條文二 資格驗證與識別之分離;最小揭露
數位身分系統進行身分驗證時,應以確認控制權或資格為原則。預設情況不得要求識別本人。
凡得以控制權驗證、資格驗證或屬性驗證達成特定目的者,不得要求揭露足以識別本人之資訊,或超出該目的所必要之個人資料。
法律明文規定特定情形必須識別本人,且其要求符合比例原則者,不受前二項限制。
【意旨與須以法律明定之理由】
本條為第一道底線。多數驗證於本質上僅為資格驗證,無須揭露身分;要求超出目的所需之資料,未必提升安全,反增外洩與冒用之風險。此一「驗證不等於識別」之原則若僅置於指引或契約,將因業者之營運壓力而被實質突破,故應以法律確立為預設義務,並僅容法律明文且合乎比例之必要識別為例外。
(三)驗證端行為
建議條文三 驗證端之行為規制
驗證端就特定互動,僅得請求與當下目的相符且必要之屬性,不得探測或請求與目的無關之其他屬性。
驗證端、中介者不得以反覆查詢、推論、統計或其他方式,反向推導當事人未提供之屬性或身分;〔主管機關〕得就查詢之頻率與方式定其限制。
〔主管機關〕應建置並維護公開之驗證者登記機制,登載各驗證端所屬之脈絡、依法得請求之屬性範圍、及其請求屬性之依據;未經登記或逾越登記範圍者,不得請求相應屬性。
【意旨與須以法律明定之理由】
為確實防止數位系統侵害使用者權利,不能僅依賴使用者逐次授權,而須以法律明定驗證端得請求之資訊範圍及其禁止行為。
【得授權下位規範之事項】
查詢頻率與方式之具體限制、驗證者登記之登載格式、申請與審查程序等技術性、細節性事項,得授權〔主管機關〕以法規命令定之。
(四)不可連結性與資料最小化
建議條文四 架構預設不可連結性
數位身分系統之架構,應以不可連結性作為預設設計。
系統不得設置或使用通用且持久之識別符;於不同脈絡使用識別符者,應採成對假名識別碼(Pairwise Pseudonymous Identifier,PPID)、匿名憑證(anonymous credentials)或其他至少具同等效果之技術,使不同脈絡之紀錄無法以足資利用之機率被連結。
系統之架構,須使撤銷檢查、生命週期管理、跨域驗證之實作,預設無法串連跨脈絡之資料串連或驗證行為足跡。
【意旨與須以法律明定之理由】
數位足跡之聚合,往往非始於揭露真名,而始於不同紀錄得被判定為彼此相關。「以不可連結性為預設」屬影響系統架構之根本要求,且關涉全民之資訊自主,須以法律確立為強制義務,方能拘束握有架構決定權之機關、平台與廠商,而非任由其自行取捨。
【得授權下位規範之事項】
達成不可連結性之具體實作方式,得由〔主管機關〕依〈建議條文十一〉所定技術規格定之。
建議條文五 最低連結性與最小侵擾義務
任何機關、法人、團體或個人,就數位權利介面之互動、驗證或相關資料處理,應以最低連結性及最小侵擾之方式為之。
有侵害較低之替代技術、流程或設計可資採行,且能達成同一目的者,應及時採行之。
凡於流程及架構上得不蒐集某項資料即足以完成驗證或確保問責者,不得蒐集該項資料。
【意旨與須以法律明定之理由】
本條將傳統「資料最小化」提升為以最低連結性與最小侵擾為核心之義務,並以系統與處理者為義務主體。其須入法之理由在於,此係一項會隨技術進步而更新之動態義務,且將發動責任置於處理者而非人民。此功能若未明文要求,將退化為「人民請求時始啟動」之選配,無法形成穩定之制度保障。
(五)反剖繪與反差別待遇
建議條文六 禁止未授權之剖繪與差別待遇
縱使未識別或未揭露當事人本人,任何機關、法人、團體或個人,仍不得對穩定之互動介面進行未經法律明文允許之剖繪、持續性評價或差別待遇。
未取得當事人姓名或其他身分資訊,不得作為免除前項義務或規避資料治理義務之理由。
前項所稱差別待遇,包括基於剖繪或持續性評價,而對不同介面施以不同之服務條件、權限、接取門檻、價格或救濟機會。
【意旨與須以法律明定之理由】
實質之差別待遇可於從未識別真名之狀態下形成。本條補足不可連結性所未涵蓋之風險,明定「未取得姓名」不得作為規避治理義務之理由。對人民施以差別待遇涉及平等與資訊自主,其容許與否、範圍與救濟,屬須由法律決定之事項。
(六)防止實質綁定
建議條文七 禁止實質綁定
任何機關、法人、團體或個人,不得以契約、技術、流程、資料格式、驗證機制或其他安排,使人民行使數位權利、取得具公共性之服務、維持功能等價、保全紀錄或尋求救濟之實質前提,綁定於特定平台、帳號體系、錢包、代理人、中介者或技術架構。
前項綁定之認定,以其對權利行使、服務延續、紀錄控制或救濟可得性所生之實質效果為準,不得僅以形式上仍得退出、仍得另行申請,或市場上尚有其他選項為由而否認之。
【意旨與須以法律明定之理由】
數位環境之綁定常以契約、資料格式、技術相容性等方式,將轉換成本與救濟障礙外部化於使用者,使其形式上似有選擇、實質上喪失等價行使權利之能力。此一上位原則須由法律確立,並以「實質效果」為認定基準,排除「仍可退出」等形式抗辯,方能與競爭法、消保法相互補充而不被架空。
(七)例外穿透之限制
建議條文八 禁止例行穿透
數位身分系統、平台、機關及中介者,於日常驗證、撤銷檢查、風險評分、服務登入、中介管理或其他常態流程中,預設不得具備將不同脈絡之紀錄解析、映射或連結回特定自然人之能力。
前項主體不得以系統架構,使其得以低成本、常態化之方式,連結不同脈絡中之行為紀錄,並據以穿透回自然人。
【意旨與須以法律明定之理由】
數位系統侵害個人權利之核心機制,並非單次蒐集個資是否過多,而在於把原應屬例外之識別與連結能力,轉化為未經程序控制之常態能力。有效之管制不僅來自授權文字,更來自程序、成本與稽核所形成之制度摩擦;一旦能力被建置為可隨時啟用,紙面授權即難以維持。故「禁止以架構建立例行穿透能力」須以法律明定,使其拘束力及於系統設計階段。
建議條文九 例外穿透之要件
將互動介面,或不同脈絡之驗證紀錄彼此連結、映射、解析,以法律明文列舉之情形為限,並應同時符合下列要件:
(一)基於重大而具體之公益目的。
(二)經法院或其他獨立機關之事前授權;情況急迫且符合法律所定要件者,得於事後最短期間內補行審查。
(三)符合特定性,指向特定之人、特定範圍、及特定目的。
(四)具備時間及範圍之限制。
(五)就執行情形作成完整且不可竄改之稽核紀錄。
(六)於不妨害目的之範圍內為事後通知,並提供當事人有效之救濟途徑。
穿透所得之資料,不得逾越授權目的而為利用,並應於目的完成後依規定銷毀或封存。
【意旨與須以法律明定之理由】
本條設定「任何法律欲開放穿透時,均須一體適用」之共同門檻,使例外維持為例外。各款係將憲政秩序中「侵入性行為僅於更高條件下始得允許」之原理予以明文化,屬限制人民權利之核心要件,自應以法律定之。
【得授權下位規範之事項】
「哪些具體情形」屬得穿透之法定例外,宜由各該作用法(如刑事訴訟、通訊監察等)明文列舉,本組條文僅就其共同要件設限,不就個別情形為列舉。
(八)制度性保障
建議條文十 獨立可稽核性
數位身分系統於正式運作前及運作期間,應接受〔主管機關〕或其指定之獨立第三方,就其實際運行之軟硬體、系統與流程進行稽核,以確認其符合最低連結性、不可連結性及其他法定義務。
前項稽核,營運者應提供物料清單、資料流、節點與受託處理者清單及必要之原始碼與架構文件;〔主管機關〕得就系統必要元件與功能實施紅隊測試與開放審查。
通過資訊安全標章或公開原始碼,不得作為免除前項稽核之事由。
【意旨與須以法律明定之理由】
規範之落實有賴對實際運行系統之稽核;標章或開源均無法保證實際部署版本符合規範,亦無法排除技術黑箱。課予營運者接受稽核及配合提供文件之義務,係對其課予作為義務,須有法律依據。
【得授權下位規範之事項】
稽核之頻率、項目、報告格式與獨立第三方之資格條件等,得授權〔主管機關〕以法規命令定之。
建議條文十一 技術規格之法定地位
〔主管機關〕應依本組條文所定原則,就身分驗證與識別之分離、不可連結性、最小侵擾、例外穿透等,訂定技術規格。
涉及數位身分識別或穿透驗證之系統,其關鍵之安全與權利保護功能,應符合前項技術規格,不得僅以契約或行政指引定之,並應經〔主管機關〕或獨立第三方之實質審查。
【意旨與須以法律明定之理由】
為使法律所定價值轉化為實質之技術限制,須由法律授權主管機關訂定具強制力之技術規格,並明定關鍵功能不得僅以契約或指引定之。此一「技術規格之法定地位」本身屬法律保留事項,否則底線將在實作層級被悄然架空。
建議條文十二 數位主權與可重建性
數位身分必要元件應開源、採用可互通之標準,並確保國家於必要時得依技術規格獨立重建或重啟可互通之系統,避免受單一封閉架構之技術鎖定。
【意旨與須以法律明定之理由】
基礎設施可能因設計或實作瑕疵而失靈,嚴重時甚至須大規模暫停憑證。為避免社會之身分運作受制於單一供應商,並確保失靈時得以回復,須以法律課予「開源、採用可互通標準、並保有獨立重建能力」之要求,此屬國家對關鍵基礎設施之結構性義務,不宜僅由採購契約處理。
四、刻意留待母法與跨單位討論之事項
下列事項雖為一部完整法律所必需,但因涉及整體立法體例、機關權責分工或須與相關機關及專家共同研議,本文件刻意不予擬定,謹列明如下,以界定本建議稿之範圍:
(一)立法目的與適用範圍:須配合母法之整體定位(數位身分法、數位權利法、個資法專章等)而定。
(二)主管機關之指定及其與目的事業主管機關之分工:涉及機關權責配置,須由跨機關協商定之;本文件以〔主管機關〕標示其制度位置。
(三)救濟與損害賠償之具體設計:包括救濟途徑、舉證責任之分配,以及就遭不法連結或穿透之「整體紀錄」為救濟(而非僅更正單一紀錄)等事項。其原則性主張屬實體重要事項,可考慮納入核心條文;惟其與母法之既有救濟與賠償體系如何銜接,宜另行研議。
(四)罰則與行政管制措施:罰鍰級距、按次處罰、命停止運作等手段,須與母法整體之裁罰體系一致,並衡酌比例原則後定之。
(五)施行細則、過渡期間與施行日:屬技術性與時程性安排,待母法確定後定之。
👾