歐盟數位身分框架政策之相關推動措施概要
歐盟數位身分框架政策之相關推動措施概要
資訊工業策進會科技法律研究所
2021年8月30日
歐盟執委會(European Commission)於2021年6月3日公布關於建立歐盟數位身分框架的第910/2014號規則修正案(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity)[1],規劃於2022年9月前提供歐盟境內人民數位身分證明之服務。
壹、事件摘要
為落實歐盟「2030數位羅盤」(2030 Digital Compass)政策,實現「公共服務數位化」之核心願景,歐盟推行數位身分框架,規劃於2030年前歐盟全境須有80%民眾使用電子身分證,以強化歐盟境內所有民眾(包括身心障礙人士)公共服務之近用權(right of access)。執委會於2021年6月3日公布的數位身分框架修正案,主要係就2014年通過的「歐盟內部市場電子交易之電子身分認證及信賴服務規則」(簡稱eIDAS規則[2]),依據該規則第49條,對其運作情形進行評估(An evaluation of the functioning of the eIDAS Regulation was conducted as part of the review process required by Article 49 of the eIDAS Regulation),同步考量技術、市場發展,針對當中不合時宜之規定為增修,並於2020年7月24日至10月2日進行公眾意見徵詢。
根據修正案內容,會員國必須提供公民和企業數位身分錢包(Digital Identity Wallet),此可透過會員國認可的公務機關或私人企業提供,錢包能夠將國家數位身分識別(national digital identities)與其他個人身分證明(例如駕照、證照、銀行帳戶)進行連結,使歐盟公民和企業能夠經由使用數位錢包來進行身分識別,以方便近用線上服務,例如請求公共服務、開設銀行帳戶、填寫納稅申報表、入住酒店,租車或年齡證明等。該數位身分將在整個歐盟範圍內得到認可,使用者亦可依意願自行決定是否使用此身分識別服務[3]。
貳、重點說明
eIDAS規則作為歐盟境內電子身分識別(identities)、認證(authentication)和網站憑證(website certification)跨境使用的法律基礎架構[4],此次修正案旨在使各會員國的數位身分(eID)計畫於歐盟境內具互操作性(interoperable),以促進近用線上服務。重點內容如下:
一、會員國所發行歐洲數位身分錢包,須通過歐洲網路安全認證框架內的強制性合規評估(compulsory compliance assessment)和自願認證(voluntary certification)。
二、歐盟數位身分將供歐盟境內所有公民、居民、與企業使用,使用者得以利用數位身分作為識別與驗證其身分之有效工具,以方便近用歐盟之公共與私人數位服務。使用者另可控管其資料分享之廣泛度,意即得以自主決定是否與第三方分享特定個人資料,並可追蹤其資料之後續利用。
三、賦予個人電子身分證明(electronic attestations of attributes),如醫療證書或專業資格等電子證書的法律效力,並確保對源自個人身分資料和個人電子身分證明的身分驗證和真實來源驗證,以防止欺詐。
四、擴大跨境eID計畫的相互承認,降低各會員國於電子身分識別服務的差距;並加強信賴服務提供的整體監管框架,針對信賴服務提供商(trust service providers),新增為管理遠端電子簽章和封條(seal)產製設備(creation devices)所建立的新合格信賴服務(Qualified Trust Service, QTS)類型。
五、新增電子帳本(electronic ledgers)的信賴服務框架;電子帳本可為用戶提供交易和資料紀錄排序的證明和不可竄改的稽核軌跡(audit trail),能保障資料完整性。資料完整性對於匯集來自分散來源的資料、自主身分解決方案(self-sovereign identity solutions)、將所有權歸屬於數位資產與記錄業務流程等具備重要性,此有助實現更加去中心化(decentralized)的治理模式,並使多方合作成為可能。
六、於數位服務法案(Digital Services Act)中所定義的超大型線上平台(very large online platforms),將被要求透過歐洲數位身分錢包驗證其線上服務使用者身分。
參、事件評析
歐盟數位身分框架修正案,旨在解決 eIDAS 規則部分瑕疵,以順應市場動態和技術發展,包含承認電子身分證明、電子帳本之法律效力,擴增新合格信賴服務類型等,並作為歐盟建立數位身分認證政策的基礎規範,確保使用者於近用私人或公共服務時,可透過具高度安全和具信賴性的信賴服務進行身分識別。歐盟數位身分框架修正案目前於歐洲議會(European Parliament)內已送交產業、研究暨能源委員會(Industry, Research and Energy Committee, ITRE)進行審議[5],值得持續追蹤其未來發展。
近來受新冠肺炎(COVID-19)保持社交距離影響,推動企業朝數位轉型發展;執行遠距辦公政策,亦加速使用電子文件、電子簽章等數位工具。而我國電子簽章法作為促進電子商務領域發展之重要規範,自2002年4月1日起正式施行後至今未為修訂,實務上已有衍生相關適用疑義。如電子簽章法有針對電子簽章和數位簽章為層級化分類,並對於數位簽章之技術有一定規範,惟未賦予相異之法律效力,使得其區分不具太大效益。建議可參酌eIDAS規則中,對於信賴服務提供者區分為不同層級規範,並給予經主管機關審核通過之合格信賴服務提供者,所提供的信賴服務具有更高的法律效力。
此外,我國欲推行數位身分證(New eID)政策,提供我國人民網路上身分識別之證明,連結政府骨幹網路(T-Road)串接各類電子政府服務,提升民眾近用公共服務的便利性,惟後續因安全性、法源依據等爭議而暫緩推行[6]。故建議我國相關主管機關可參酌歐盟數位身分框架修正案,考量因應科技革新、商業模式創新等要素,對於身分識別相關規範進行修正與更新,以促進電子化政府及電子商務之發展,提供更具安全與信賴性的身分認證法律框架。
[1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity, EUROPEAN COMMISSION,
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281 (last visited Aug. 24, 2021).
[2] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Aug. 24, 2021).
[3] Commission proposes a trusted and secure Digital Identity for all Europeans, EUROPEAN COMMISSION, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_2663 (last visited Aug. 24, 2021).
[4] 李姿瑩,〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉,《科技法律透析》,第31卷第11期,25-32頁,(2019年11月);謝明均,簡介〈歐盟提供合格信任服務者依循標準建議〉,科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8687(最後瀏覽日:2021/08/24)。
[5] REVISION OF THE EIDAS REGULATION – EUROPEAN DIGITAL IDENTITY (EUID), EUROPEAN PARLIAMENT,
https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-eid (last visited Aug. 24, 2021).
[6]〈暫緩數位身分證發行計畫 蘇揆:完善法制後再推動〉,行政院新聞傳播處,2021/01/21,https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a (最後瀏覽日:2021/08/24)。
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity
- Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC
- Commission proposes a trusted and secure Digital Identity for all Europeans
- 歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡
- REVISION OF THE EIDAS REGULATION – EUROPEAN DIGITAL IDENTITY (EUID)
- 暫緩數位身分證發行計畫 蘇揆:完善法制後再推動
諾華(Novartis)旗下學名藥廠山德士(Sandoz)和美國學名藥廠Momenta,同意支付1.2億美金,使涉及其暢銷救命藥Enoxaparin之反托拉斯集體訴訟達成和解。本案原告為非營利醫院Nashville綜合醫院和紐約州公務員工會醫療計畫組織DC 37,於2014年美國田納西中區聯邦地方法院起訴。根據訴訟文件提到,Enoxaparin原是訴外人賽諾菲(Sanofi-Aventis)以Lovenox為品牌名販售的抗凝血劑,用於預防和治療深部靜脈血栓、肺栓塞及急性冠心症等症狀,2010年Momenta證明其學名藥Enoxaparin和Lovenox具相同療效,申請簡易新藥上市(Abbreviated New Drug Application,ANDA)獲准。 原告指稱2008年Momenta欺瞞美國藥典委員會(United States Pharmacopeial Convention,USP),使其開發之Enoxaparin檢測方法,成為美國食品藥品監督管理局(U.S. Food and Drug Administration,FDA)指定的檢測方法之一,但在此過程中未向藥典委員會揭露自己正為該檢測方法申請專利。隔年Momenta之檢測方法取得專利(No.7,575,886),因該檢測方法無法迴避,故其它欲生產Enoxaparin的學名藥廠皆可能侵害該專利,而難以進入市場。又Momenta和山德士早在2003年就簽有合作協議,Momenta將該專利授權給山德士,共同創造一個壟斷的學名藥市場,以抬高售價賺取暴利。 未來和解金將用於賠償醫院、保險公司、為員工支付醫療費用的公司,及田納西州其它29區受山德士和Momenta反競爭行為影響的人們。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
美國環保署於提出首部「限制發電廠有毒氣體排放」國家管制標準草案並預定於2011年11月完成立法美國環保署(Environmental Protection Agency of the United States,以下簡稱EPA)於2011年3月16日首度對於國內發電廠有毒氣體的排放提出國家管制標準草案,並預定於2011年11月完成立法,此項立法措施被譽為近20年來美國空氣污染防治史上的重要里程碑。 美國對於發電廠所排放的有害氣體管制,最早源於美國清淨空氣法案(The Clean Air Act)在1990年要求EPA加強對於發電廠排放之汞(mercury)等有毒氣體之管制,而國會亦要求其須於2004年底以前提出國家管制標準。然而EPA於2005年正式公告「清靜空氣除汞管制規則(the Clean Air Mercury Rule,以下簡稱CAMR規則)」時,卻將燃煤電廠排放汞排除於管制名單外,引發紐澤西等14個州政府與相關環保團體的抗議,並對EPA提起聯邦訴訟。2008年2月8日聯邦上訴法院作出判決,除指出EPA對於發電廠空污之認定前後矛盾外,更認定其在未發現有新事證下擅自將發電廠所排放之空氣污染自CAMR管制名單中移除(delist),已違背反清靜空氣法案之程序要求,故推翻CAMR規則之有效性。 此後,經過密集的聽證會與討論,EPA最終於2011年3月16日正式提出「限制發電廠有毒氣體排放」的國家管制標準,對於發電廠所排放的汞、砷(arsenic)、鉻(chromium)、鎳(nickel)及其他酸性或有毒氣體加以管制,並要求電廠必須採用污染控制技術以減少製造量。 後京都議定書時代中,各國無不致力於新興能源替代方案之提出,惟於新興能源研發應用前的過渡期間仍需仰賴傳統發電技術,美國為解決傳統火力發電對於環境及人體健康所造成的傷害,提出首部國家管制標準草案,其後續對於該國能源結構可能產生何種影響,值得注意。
FTC對廣告不實的孩童增高藥片開鍘為人父母最怕自己的小孩比不上別人,尤其是發育較慢、身高較矮等,許多廠商看準這點,大量推出營養補給品或健康食品,滿足父母親想使小孩長得又高又壯的願望。這樣的現象不僅在台灣發生,日前美國一家佛羅里達的廠商,製造並銷售聲稱可以為孩童和年輕人增加身高的藥片,不過這些藥品經證實都不具所聲稱的療效。廠商必須為其不實的廣告內容支付37萬5千美元的和解金,並且必須花費190萬美金刊登更正廣告,內容除說明他們廣告內容欺騙消費者外,還要說明任何一種營養補給品、食品或藥物的廣告內容,必須是真實且非屬於使人誤導的內容。FTC起訴被告的原因是被告的產品HeightMax無法提出確實證據,證明該公司商品能如所陳述的廣告內容,快速地使孩童和年輕人的身高增加。 HeightMax以英語和西班牙語在網際網路和收音機等方式播送廣告,並捏造一位名為William Thomson的生化博士,宣稱HeightMax在其臨床試驗與長期的研究後,可以在6個月內令使用者增加2至3英吋的身高等。FTC指出被告製作虛偽不實的廣告內容且無確實證據可供支持該公司的論述,經佛羅里達州法院宣判,被告Sunny Health Nutrition公司將支付37萬5千美元的和解金與190萬美金的廣告費用,來賠償消費者並為更正的內容。
美國寬頻進步報告:寬頻部署有顯著改善但數位落差持續存在根據美國聯邦通訊傳播委員會(Federal Communications Commission, FCC)於2016年之寬頻進步報告,美國現行之標準為業者必須提供下載速度至少達25Mbps與上傳速度至少達3Mbps之寬頻服務,相較於2010年所設立之標準─下載速度至少達4Mbps與上傳速度至少達1Mbps的寬頻服務,顯示出美國在寬頻部署上有明顯的進步。然而,目前仍有3400萬美國人民所使用之寬頻服務並未達到上述FCC所設立之標準(25Mbps/3Mbps)。 這份報告亦顯示,持續之數位落差(digital divide)導致40%生活在鄉村以及部落地區之人民所使用之寬頻服務並未達到上述FCC所設立之標準(25Mbps/3Mbps)。此外,E-rate計畫方案之持續推行,雖使許多學校之網路連線已有顯著改善,但仍有41%之學校未能符合FCC之短期目標,亦即這些學校之寬頻連線仍無法供應數位學習之應用。基於以上理由,2016年之寬頻進步報告總結:寬頻部署並未被適時並合理的(timely and reasonable)適用於全體美國人。 該份報告亦認為當今的通訊服務應以固網及行動寬頻服務(fixed and mobile broadband service)之方式提供,彼此的功能不同並能互補。然而,FCC尚未建立行動寬頻服務標準,因此,行動寬頻之部署尚未能反映在目前之評估。 依據1996年電信法第706條之規定,FCC必須每年報告先進通訊能力之部署,是否讓每位美國人民都能適時且合理的使用。國會所定義之「先進通訊能力」(advanced telecommunications capability)必須具高品質之能力,可讓使用者傳輸以及接收高品質之聲音、數據資料、照片以及影像服務。 此份報告重點總結如下: ●全面部署: 目前仍有3400萬美國人(約10%人口)無法接取固網下載速度至少達25Mbps與上傳速度至少達3Mbps之寬頻服務。然而,相較於去年之5500萬美國人(約17%人口)未能接取該寬頻服務,今年已有顯著的改善。 ●鄉村與城市間之數位落差仍待改善: 仍有39%之鄉村人口(2340萬人)以及41%之部落人口(160萬人)無法接取該寬頻服務(25Mbps/3Mbps)。相較於都市僅有4%之人無法接取該寬頻服務,發展上仍不平等。但相較於去年報告所示,有高達53%鄉村人口以及63%部落人口無法接取寬頻服務,城鄉發展不均之程度已有改善。 ●學校之寬頻速度: 全國僅有59%之學校達到FCC所設立之短期目標,亦即100Mbps可以供1000位學生使用,並有極少數之學校達到長程目標,即1Gbps可供1000位學生使用。 這份報告首次將衛星寬頻服務列入評估,FCC對於衛星寬頻服務適用與固網寬頻服務採用同樣之標準(25Mbps/3Mbps)。然而,在評估過程中,尚未有任合衛星寬頻服務符合FCC所採行之寬頻標準。