1 號課堂:孫悟空的 72 個分身 - 數位身分

1 號課堂:孫悟空的 72 個分身 - 數位身分

Podcast 2020 / 03 / 25

1 號課堂:孫悟空的 72 個分身 - 數位身分
點我!王琍瑩律師親自獻聲講解!

大家好!我是王琍瑩律師。

說到數位身分 (Digital Identity),你會想到什麼?有想到政府正在推動的「New e-ID」嗎?針對官方發行的 e-ID (數位身分證) 或是 m-ID (也就是結合行動裝置 sim 卡的數位身分證),我們在後續有關「數位國家」的課程會進一步討論。今天想先和你聊聊非官方的數位身分。

Digital Identity,最簡單的理解,就是在網路上可以知道「誰是誰」的一種方法。當我們要 Po 一張照片、發一封電子郵件,必須透過帳號和密碼登入 Facebook 或 Gmail。這些帳號和密碼 (Log-In Credentials),本質上就是我們的 Digital Identity,一直以來為「線下本尊」扮演著「線上分身」的角色。只是久而久之,隨著我們使用的服務愈來愈多,購物的、叫車的、訂餐的、買票的、轉帳的、追劇的、當然還有每天一定要聽的「1 號課堂」,我們註冊的「線上分身」也愈來愈多,常常感到錯亂,甚至老是忘記密碼。

後來,平台業者就開始推動類似「Single Sign-On」這種一次登入各種網路或應用程式服務的好方法,Facebook、Google 的帳號、或是 Apple ID 成為我們主要的 Digital Identity,甚至為了不用記密碼、為了開機或下載服務更快一點,我們連臉部辨識、指紋辨識需要的生物資訊都貢獻出去了。

方便歸方便,卻也必須付出代價。首先,不只使用者登入方便,平台與第三方服務之間的數據分享也更方便了,其次,這些 Digital Identity 都是「中心化」(Centralized) 的架構,資安與隱私的風險相對集中,帳號的控制權也都握在平台手中,此外,儘管這些平台掌握使用者詳細的數位足跡 (Digital Footprint),仍然未必涵蓋使用者的全部生活,比方說就學身分、就診身分、在職或離職身分的確認,還是必須回歸學校、醫院、職場等各個單位,像是總統找一張畢業證書找很久的這類問題,還是無法解決。

User 有 User 的苦,其實平台也有平台的痛,因為多數的平台並未採取「實名制」認證,就是以官方身分為依據的認證,一般銀行開戶要求出示雙證件,就是典型的「實名制」認證。在「非實名制」認證的平台上,使用者可以用暱稱行走江湖,任意發表不實或不當言論;可以註冊多個帳號,發送垃圾郵件;未成年人可能用取巧的方式,騙過平台的年齡審查;而在討論「媒體識讀」的課程當中,我們也會聊到「假帳號」、「假訊息」衍生的種種問題。除了這些現存的漏洞,「假名」(Pseudonymous) 或「匿名」(Anonymous) 的帳號機制,也使得平台在金融領域等受到嚴格身分規管的應用發展,受到很大的限制。

事實上,Facebook 一直以來都在燒腦思考如何導向「實名制」以優化既有的數位身分運作,除了希望藉此解決困擾已久的「假帳號」、「假訊息」等問題之外,也隱含 Facebook 串接金流、進而跨足金融領域的野心。Facebook 的帳號不能應用在行動支付或是其他金融業務,對 Facebook 來說有多不舒服呢?我們之前在聊數據經濟和金融科技的時候,常常提到一個觀念,就是各大網路平台既然擁有寶貴的資訊流,自然會希望串起金流的最後一哩路,而這當中最為關鍵的,也就是對於「實名制」數位身分的掌握,一方面可以藉此強化交易的正確性,另一方面也是因為各地法規對於線上金流往來的 KYC 實名稽核、AML 防洗錢、CFT 反資恐種種合規要求,並不亞於對實體交易的規範,這是跨足金融業務的第一步。

2018 年 Facebook 併購 Confirm.io,這間新創公司原先的業務就是針對政府官方核發的身分證進行數位化的驗證,美國的訂餐外送服務 DoorDash 使用 Confirm 來確認外送員身分、數位文件公證服務 Notarize 也使用 Confirm 來確認提交文件的用戶身分,這個併購案幫助 Facebook 往「實名制」數位身分的方向推進。2019 年 Facebook 帶頭成立 Libra Association,規劃發行 Libra 加密貨幣,在 Libra 的白皮書當中也偷偷藏了一句話:「An additional goal of the association is to develop and promote an open identity standard. We believe that decentralized and portable digital identity is a prerequisite to financial inclusion and competition.」也就是說,Libra 專案的初衷在於實踐 Financial Inclusion (普惠金融),為信用資料不足而無法使用金融服務或使用受限的這些族群提供服務,而普惠金融的前提必定是人人都有數位帳號,其實就是一種數位身分,由此可以看出 Facebook 希望藉由 Libra 以及配套的 Calibra 加密貨幣錢包,來推動數位身分,並且是以 Blockchain (區塊鏈) 技術為基礎的「去中心化數位身分」。

Facebook、它的子公司 Calibra、或是 Facebook 主導的 Libra Association,到底適不適合推動全球通行的數位身分呢?這個問題我們先賣個關子,你可以等到聽完專門介紹 Libra 的課程之後,再來思考。但是,前面這一段話的關鍵字「去中心化和可攜式的數位身分」(Decentralized and Portable Digital Identity) 就是今天這一堂課的重點了,「去中心化」講的就是藉由區塊鏈分散式架構,讓數位身分的驗證不再集中於單一平台企業,而「可攜式」就是讓這個技術成為一種產業標準,在不同的平台都能通用,聽起來好像解決了我們前面提到的種種問題,除了「控制權」的歸屬問題,所以接下來我們就繼續聊聊「控制權」。

聽完這個系列的這麼多堂課,你一定已經深刻體會「數據經濟」 (Data Economy) 如何方方面面影響我們的生活,你也因此可以發現,Digital Identity 漸漸不只是像實體世界的「身分證」一樣,只是用來證明「誰是誰」。藉由數據,我們的 Digital Identity 同時描繪了我們的喜惡輪廓 (例如我們聊過的 Facebook 的 Profiling,就是「剖析建檔」)、也同時記錄著我們「凡走過必留下痕跡」的一切歷史 (例如我們聊過,你可以去 Google 的 My Activity 網頁看到所有你曾經看過的網頁、聽過的歌、肉搜過的人、住過的飯店等等)。最後,外界基於這個身分、以及身分背後的相關數據,甚至會進一步形成關乎我們權利與義務的決策。

由於 Digital Identity 比政府發給我們的身分證更為重要、影響更大,開發者長期以來都在研究如何優化既有的數位身分運作,尤其是避免「控制權」集中在大型平台的問題。而在 Blockchain 技術穩定開展之後,Decentralized Identifier (去中心化的身分識別機制)逐漸成為一個新的選項,尤其在媒體廣泛報導中國的社會信用制度和影響美國大選、英國脫歐的 Cambridge Analytica 劍橋分析事件之後 (這個事件我們在「媒體識讀」的課程會有更多討論),一般大眾開始對於身分與數據集中在政府或單一企業感到不安,促使 Decentralized Identifier 得以加速推動。這一段「由中心化走向去中心化」的 Digital Identity 進化史,大家可以在聽完今天的課程之後,參考文字稿的附圖和連結,我們提供了 World Economic Forum (世界經濟論壇) 2018 年「Identity in a Digital World」研究報告,裡面有詳細的階段性說明。

Graphic 1

Decentralized Identifier 運用區塊鏈的技術,標榜「去中心化」、「可追蹤」的特性,試圖藉由產業標準的建置,使數據歸戶 (Data Linkage) 成為可能,也就是每一筆原始數據都有自己的 ID 身分,無論隨著資訊流,流到了哪裡、被誰、如何地使用,都始終與原始 ID 相連結,不只是人與數據的連結 (例如瀏覽網頁或電商交易的種種數位足跡),還包括物與數據的連結 (例如智慧家居、智慧醫療、智慧交通等物聯網裝置的數據運用)。如此一來,原本「給出去的數據就像潑出去的水,難以追蹤」的問題,在技術便可能獲得解決,也因此可以進一步藉由「同意與否」、甚至是「付費與否」的機制設計,將個資與隱私的主導權,交回每一位使用者手中。

既然是透過區塊鏈分散式的驗證架構,並且強調數據的歸戶與連結以使用者的意願為前提,平台中間人的角色將因此被弱化,數據便可以隨使用者的控制,遊走在不同平台與服務之間,前面 Libra 專案提到的「去中心化、可攜式的數位身分」,也是基於類似的原理。從此以後,分享與否、分享的多寡,都是使用者說了算,並且因為使用者的控制權被強化,能夠提供的數據資料將更為精準,我有朋友把這種行銷領域稱之為「Persona」的使用者形象描繪,比喻為動漫界常說的「人設 (人物設定)」,我覺得很貼切,有了 Decentralized Identifier、搭配「數據歸戶」技術,數位世界的「人設」就會更生動、更寫實。而我們在其他課程也提到,有業者進一步主張「資料市集」(Data Marketplace) 的觀念,讓數據資料成為一種真正「有價」的資產,數據擁有者在提供數據資料的同時,可以獲得數據使用者給付的對價,對雙方來說可能是雙贏的局面。

簡單來說,中心化的數位身分可以回答「我是誰?」;去中心化的數位身分,則是更在乎「我控制什麼?」。除了 IBM、Microsoft 和 Accenture 這些跨國軟體和顧問服務公司長期投入研究之外,全球開發者架構在 Bitcoin、Ethereum、IOTA Tangle 等等公鏈的 Decentralized Identifier 解決方案,已經高達四十多種,還在不斷增加中。接下來你也會常常聽到外界推動跟這個有關的「Self-Sovereign Identity」的觀念,也是同樣強調「賦權於使用者」。今天課程結束之後,你可以回到文字稿,參考相關的連結 。

現階段這些去中心化的數位身分提案,似乎還有懸而未決的問題,包括:第一,哪些數據資料應該上鏈 (就是完整公開記錄在區塊鏈上,永遠無法竄改或刪除)、而哪些應該維持鏈下的儲存 (就是只將加密過的資訊放到區塊鏈上)?這個議題伴隨著歐盟 GDPR 個資保護規範強調的「被遺忘權」(Right to be Forgotten),外界已經有許多討論;第二,作為區塊鏈技術驗證基礎的私鑰 (Private Key,也就是使用者證明「我是我」並且行使「控制權」的一串密碼,你可以想像成一個「信物」)究竟要如何保存或託管?私鑰遺失或遺忘該如何處理?數據資料如何移轉或繼受?第三,「資料市集」所謂對價的支付和分配,在現實的情境可能成真嗎?在數位進用 (Digital Access) 和數據識讀 (Data Literacy) 尚未全球普及,還有許多人生活在沒有聯網基礎設施的地方、或是對自身數據被蒐集與利用欠缺權利意識的時候,弱勢族群會受到保護、還是遭到不當利用呢?凡此種種都是新的觀念,有待新的解法。

如果在未來的未來,所謂「主權在民」的理念真的可以實踐,那麼「數據經濟」所面臨隱私保護、人權信仰的挑戰,或許就可以找到平衡與共識。我們在其他課程陸續討論到的數位行銷、社群媒體、精準醫療、智慧物聯網等等各種「資料市集」的應用,也將開啟更多的想像。今天的課程先到這裡,希望你喜歡,有任何想法都歡迎留言給我。我們下次再見!

其他課程單元包括:
00 說在前面:數位科技的前世與今生
01 人工智慧好棒棒還是好怕怕? – 好 AI 與壞 AI
02 聽 AI 在唱歌 - 數位內容與著作權
03 你的網路銀行夠「純」嗎?- 純網銀與開放銀行
04 看不見卻一定用得著 - 區塊鏈與加密貨幣
06 臉書的超級央行夢 - Libra 加密貨幣生態系
07 自由業可以多自由?- 零工經濟與零工科技 (上)
08 斜槓人生適合你嗎? - 零工經濟與零工科技 (下)
09 數位公民的新挑戰 - 假新聞與媒體識讀
10 楚門的世界真人版?- 5G 、智慧城市與數位轉型
11 數據打造出的是神人還是狂人?- 數位經濟與數據壟斷
12 獨角獸的產地 - 數位國家愛沙尼亞 (上)
13 成功故事的背後 - 數位國家愛沙尼亞 (下)