多維TW/ 數位治國? 德國謹慎愛沙尼亞喊Yes!

文/魏廷彥 圖/多維TW提供

社會上討論已久的數位身分證,原訂於2020年10月執行,因新冠肺炎(COVID-19)疫情而預計延期至2021年7月。並於1月起先在新竹市試辦,並以民衆自願申請爲主,7月後再推及其他縣市。行政院也將公佈舊款身分證全面更換的有效期。面對半年來社會上不少民衆與資安專家的質疑,政府雖提出不少配套措施,質疑聲浪仍舊不斷。

在這波討論當中,不少輿論指向歐盟數位化腳步,其中最引人注意的,莫過於被譽爲數位政府發展程度最高的愛沙尼亞格外注目;同時,步履蹣跚的歐洲心臟德國,則亟欲突破自己的數位天花板瓶頸。這兩國不論在人口、政府體制與文化都相當截然不同的兩端,如何也形成如此不同的發展方向?我們又該如何取經?

臺灣在自身數位化發展的同時,是否應兼顧了人民對於歷史記憶的重視而放緩腳步?又或者可以獲得人民的全面信賴而加快腳程?不論抉擇爲何,這塊拼圖都仍然需要補齊,也是全球政府將公共事務數位化之際,必須解決的胸中大石。

愛沙尼亞:數位化政策引領歐盟

僅有130萬人口的波羅的海小國愛沙尼亞,數位化進程自2000年初發展至今,早在2012年就曾被歐盟理事會提及,成爲歐盟國家中數位化發展程度的領先國家。其數位化身分證的設立,不僅僅是對於外國投資客在愛沙尼亞本地銀行開戶或貸款有所幫助外,其實該系統在國內整合的程度也相當高,舉凡政府選舉、退休制度、教育與醫療系統等,一概數位化、一指就能繳稅、選政府。

20年來的數位化經驗,也讓至今的愛沙尼亞成爲英國脫歐後許多英國中小型公司轉移陣地的選擇,以及歐盟其他國家借鏡的典範。

即便如此,當然也與臺灣一樣,在發展之初並不是沒有雜音與批評,從2000年開始決定數位化腳步、2002年推出數位化身分證,當時就曾受到許多質疑,尤其是過去蘇聯時期政府蒐集人民資料的歷史,更讓愛沙尼亞對此方向如履薄冰、緩步爭取人民的信任。但愛沙尼亞政府不僅沒有就此卻步,反而將批評聲音作爲發展的基石,讓批評轉爲擁護與贊成,成爲歐盟數位發展的先驅者。

愛沙尼亞數位轉型辦公室發言人馬庫斯(Florian Marcus)接受本刊受訪表示:「愛沙尼亞政府深知,從蘇聯獨立後,僅有一次讓政府獲得信任的機會,並希望利用這一機會產生對愛沙尼亞政府方向重大影響。從一開始,愛沙尼亞政府就知道,數位身分證只是國家方向方針的第一步。」因此,愛沙尼亞政府開始了自己的IT系統建立,同時在一開始就取經許多當時的資訊公司考慮了安全性和隱私性。重點之一,在於創建所謂的數據追蹤機制,使每位愛沙尼亞公民都可以檢查哪個政府機構查看了自身數據的哪一部分、何時、以及出於何種原因。也由於這樣的獨特系統,重新建立、穩固起了公民與國家之間的信任平衡。

對於臺灣從2020年初就大力推動的數位身分證,今年問世後預計也將含納許多功能諸如健保、勞保年金、自然人憑證等整合。對於這樣的野心,他提醒,「數位身分證的推出,一開始就必須兼顧政府開放性與個人隱私性,也是當時最重要的命題,才能獲得民衆支持,舉例來說:你的個人數據儲存在哪裡?如何使用?如果存在安全風險,如何通知民衆等。這些事情從一開始就全面與民衆溝通,才能幫助人們建立信任。」

馬庫斯表示:「公民最關心的,莫過於自己所得到的服務是否擁有信任性與方便性。假使爲人們提供有用、可靠和安全的服務,自然會有越來越多人願意使用。」總而言之,政府機構必須緊抓核心:究竟人民需要什麼?而我們政府能如何最好地爲他們提供解決方案?如此一來,政府與人民之間的互信橋樑才禁得起考驗

儘管如此,瑞典SEB銀行即曾在2015年調查指出,愛沙尼亞的數位化與銀行的整合,很可能成爲國際洗錢的窗口,即便愛沙尼亞因此更新數位身分證的認證方式以及識別裝置,仍在2019年被《華爾街日報》(The Wall Street Journal)爆出洗錢醜聞。聚焦鎂光燈下的壓力,再次考驗這個充分數位化小國,同時也加速了愛沙尼亞政府重整財政部門與民間銀行單位的行動,並且加強數位身分審覈的安全性,意欲挽回國際,尤其是自身於歐盟內的信任。

服務和隱私 是人民信任基石

馬庫斯直言:「在諸如歐盟這樣的跨國界環境中,反洗錢的程序與執行總是特別棘手。最大的問題在於,各國銀行都擁有自己、並相互不聯通的洗錢防制程序(AML),使得政府要打擊跨國洗錢更加困難。」在這點上,愛沙尼亞新創企業Salv開啓了與政府合作,和國內主要銀行達成了試點協議,幫助銀行之間相互使用AML數據,諸如此類的政府與企業間的倡議,將可強化政府機關打擊洗錢的力道,也會提升公共服務對民衆有更高程度的方便性。當然,這必須靠長期且全球性的司法管轄更加合作,纔可能達成。

近年來,其他歐盟各國如法國,也急欲追趕其數位化腳步,其中所借用的許多數位政策,就是借鏡愛沙尼亞經驗而來,這兩年間並邀請許多在愛沙尼亞設立辦公室的新創企業彙集巴黎召開會議,都是爲了借用他山之石來加速自身的發展。

馬庫斯建議:「只有政府資訊公開透明、傾聽人們的意願並維護隱私來建立信任,例如透過上述的公民可觀看自身的數據追蹤系統,方能逐漸獲得信任。還有另一種類型的信任,即是無論我想使用什麼公共服務,都肯定可以在數位身分證一項系統下,能方便達成又具隱私性。」

他提及過去經驗,「在許多國家和地區,公民知道他們可以數位身分證來使用一些線上服務,但大多數事情仍然在紙上解決,這將造成了一定程度的民意不確定性,對雙方都沒有幫助。」因此,國家如何建立一窗口服務?一個受信賴的法律框架允許政府機構各部門交換有限程度的數據;最後,確保每個公民都必須擁有一項電子身分。這也是爲何許多國家現今推出許多政策前或者公司內部組織,都會有所謂的「資訊保護衝擊影響評估」(DPIA),讓政策提出推行時的阻力降到最低。

最後他也提及,「我們愛沙尼亞可以說是世界上數位化程度最高的社會之一,但絕不是世界上唯一在線上做事的國家。追根究柢,當你提出這項服務,究竟能造福與顧及到民衆多少權益?纔是人民最關心的問題。」

德國:承載歷史重量 謹慎發展

作爲歐盟經濟火車頭的德國,發展數位化的腳步卻比起鄰近許多國家,都更爲謹慎。基於納粹以及東德蒐集人民資料作爲政治控制人民籌碼的悲痛歷史,柏林圍牆的記憶,讓德國對許多人權基礎,都嚴防被科技干預。

在數位化發展之初,德國普遍民意即對於科技與個人之間,多抱持懷疑看待,對德國人民而言,寧可生活不方便、也不可將自己的隱私給予政府,這是大衆對納粹與東德共產歷史教訓記取的共識,也是政府不可侵犯的底線。

對此,儘管早在2007年即開始建立個人電子資訊系統的德國,始終謹慎慢行,更在2018年實施的歐盟歐盟一般資料保護規則(GDPR)後,將隱私權的價值放入極高標準的正式法規,保護人民資訊安全。其中最重要的,就是身分證中的個人可識別資訊(PII)內容、不在同企業子母公司或政府不同部門的「資料不共用性」以及人民可簽署的「資料可轉移性」和第三項「資料去除權」,這些原則基石,成爲了德國政府要發展數位政策中雲端資料庫首要顧及的任務之一。

顧及隱私 重視「資料不共用性」

也是因爲對於隱私權的重視,即便是首都柏林,光是一個城市的人口就比前項提及的愛沙尼亞全國多了近三倍,但在全球數位化發展浪潮中,仍然無法也不願完全統整在單一政府部門底下,生怕侵害人權顧慮,造成市民強烈反彈。

即便如此,柏林市政府不同部門仍持續穩健地發展數位化,有趣的是,在推動此項政策過程中,一般對個人資訊更爲敏感的左翼團體,反而也是起初的推手之一,當時這項動力在於希望爲尚未取得身分證的柏林難民以及無居所身分者,可以藉由數位「類」身分證的機制,來爲其提供市政服務,如圖書館、醫療以及政府救濟措施等;當然,這也受到團體內部質疑,深怕警察機關用這項資料來追蹤並驅趕難民等不利用途

只是,數位化的腳步發展至今卻與原先左翼團體想的不同,德國數位發展不是從市民社會起步、反是從商業導向落實。根據德國工業界2020年10月發佈的統計,德國的智慧數位社會發展程度,由強烈有所商業需求的漢堡、慕尼黑與科隆名列前三,柏林落在第七,更凸顯了這項隱私權與商業之間的平衡問題。

2016年,柏林市議會正式通過數位化草案而開始申辦數位身分證,定調雖然不具投票、繳稅等敏感功能,但還是可作爲低階政府功能、歐盟內通關或金融與貨物買賣的信任憑證。即便如此,根據德國世界報隔年統計,德國民衆使用數位服務的比例仍非常低,儘管有5,000多萬人已換髮而擁有此項功能,但實際上僅約5萬人使用了數位服務,佔比約0.1%。

德國波昂大學政治與社會學博士生斯爾克(Florian Siek)接受本刊訪問指出:「數位服務使用率低,也許和德國政府並沒有告知民衆究竟可以使用哪些服務有關。舉例來說,我在家鄉市政廳更換身分證時,曾詢問此新的數位身分證有哪些功能?市政廳人員卻回答:沒什麼功能。大多市政事務仍然以紙本進行,此項服務當然也就無從推展。」

由於數位身分證目前在德國政府系統使用時,有許多功能仍多不支援手機等攜帶裝置開啓認證過程,對於現在早已是攜帶裝置當家的大衆社會來說,也成爲國民使用率偏低的原因之一。

歐盟數位整合 身分證是焦點

2020年11月2日,因應歐盟發展方向而使歐盟內各國公民都可申請的數位身分證,過去在居住法規下,通常僅能在母國辦理,現在可以在其他國家作爲憑證與申請。對此,柏林市政府也開始試行。儘管如此,歐盟數位身分證仍然與原有身分證不同,僅限於線上個人金融認證的用途。

「未來在柏林,柏林將成未來的家。」這項柏林市政府經濟能源與創新辦公室的口號,除了吸引外資的商業數位發展政策,朝着數位身分證能夠統合市民一般支付工具,讓政府稅務、多數公共服務與市民註冊戶籍進一步有效結合,這也是柏林市政府的努力方向。這個方向能否成功,最首要且一直在進行的,不外乎與隱私權感很深且有過東德監督警察制度警惕的德國人民持續溝通,期盼化解疑慮與強化自身系統安全性。

斯爾克指出:「跨國界的資料共享會讓我有些顧慮,儘管動機若是爲了打擊跨國逃稅合作上可以理解,但即便是基本資訊,爲何我在德國的個人資料要與保加利亞政府共享?又或者怎確保自己的政府真正能夠建立起完善保護牆避免個資被盜取?」

說實話,以一個即便早已可自動結帳、卻仍偏好在櫃檯前排隊付現金,不讓信用卡公司蒐集自身消費偏好的德國民衆來說,目前仍然對數位整合速度持保留態度,也因此多數民衆在公共服務上偏好傳統紙本作業,更能保障自己的資料不被系統性蒐集。

斯爾克表示:「這項服務對於生活或政府服務也好,可以更加方便,其實是贊成的;但個人資料在哪些層級被哪些單位使用,會希望自己能夠查詢到,政府也應該跟民衆說明哪些單位有權限讀取其資料,其中的敏感資訊如金融與犯罪資料是否會被濫用或外泄,這些關乎隱私的事情都會影響民衆使用數位服務意願。」

基於歷史與數位發展的迥異選擇,臺灣能從這兩個歐盟國家借鑑到什麼?事實上,臺灣政府對於推動此項服務已經有許多配套措施,不論在《個資保護法》的刪除權、公務機關蒐集資料的規範等,都有安全傘的設計。那麼爲何仍然有許多資安專家與民衆有所顧忌,不外乎在於這些機制的落實過程,是否有獨立機關監督或政府是否有透明化、落實溝通的前置作業、多處設立提供民衆諮詢數位服務的空間等。

去年夏天,歐盟藍皮書提到,希望展開歐盟內所有公民數位化身分證的統整,讓人才之間的流動更爲順暢,同時也期盼這項統合腳步能夠減少跨國洗錢以及逃稅的可能性,也因而促成法國、德國與愛沙尼亞之間簽署數位合作協議。

只是,全歐盟不只這三個國家,各國數位化腳步並不同步且歷史經驗亦不相同的情況下,加上GDPR的限制,該如何在跨國間達成數據互通而又不觸犯個人資料保護法規,問題也與臺灣相同,都是各國公司與政府發展數位化公共事務時,共同面對的難題。