歐盟數位身分框架政策之相關推動措施概要
資訊工業策進會科技法律研究所
2021年8月30日
歐盟執委會(European Commission)於2021年6月3日公布關於建立歐盟數位身分框架的第910/2014號規則修正案(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity)[1],規劃於2022年9月前提供歐盟境內人民數位身分證明之服務。
壹、事件摘要
為落實歐盟「2030數位羅盤」(2030 Digital Compass)政策,實現「公共服務數位化」之核心願景,歐盟推行數位身分框架,規劃於2030年前歐盟全境須有80%民眾使用電子身分證,以強化歐盟境內所有民眾(包括身心障礙人士)公共服務之近用權(right of access)。執委會於2021年6月3日公布的數位身分框架修正案,主要係就2014年通過的「歐盟內部市場電子交易之電子身分認證及信賴服務規則」(簡稱eIDAS規則[2]),依據該規則第49條,對其運作情形進行評估(An evaluation of the functioning of the eIDAS Regulation was conducted as part of the review process required by Article 49 of the eIDAS Regulation),同步考量技術、市場發展,針對當中不合時宜之規定為增修,並於2020年7月24日至10月2日進行公眾意見徵詢。
根據修正案內容,會員國必須提供公民和企業數位身分錢包(Digital Identity Wallet),此可透過會員國認可的公務機關或私人企業提供,錢包能夠將國家數位身分識別(national digital identities)與其他個人身分證明(例如駕照、證照、銀行帳戶)進行連結,使歐盟公民和企業能夠經由使用數位錢包來進行身分識別,以方便近用線上服務,例如請求公共服務、開設銀行帳戶、填寫納稅申報表、入住酒店,租車或年齡證明等。該數位身分將在整個歐盟範圍內得到認可,使用者亦可依意願自行決定是否使用此身分識別服務[3]。
貳、重點說明
eIDAS規則作為歐盟境內電子身分識別(identities)、認證(authentication)和網站憑證(website certification)跨境使用的法律基礎架構[4],此次修正案旨在使各會員國的數位身分(eID)計畫於歐盟境內具互操作性(interoperable),以促進近用線上服務。重點內容如下:
一、會員國所發行歐洲數位身分錢包,須通過歐洲網路安全認證框架內的強制性合規評估(compulsory compliance assessment)和自願認證(voluntary certification)。
二、歐盟數位身分將供歐盟境內所有公民、居民、與企業使用,使用者得以利用數位身分作為識別與驗證其身分之有效工具,以方便近用歐盟之公共與私人數位服務。使用者另可控管其資料分享之廣泛度,意即得以自主決定是否與第三方分享特定個人資料,並可追蹤其資料之後續利用。
三、賦予個人電子身分證明(electronic attestations of attributes),如醫療證書或專業資格等電子證書的法律效力,並確保對源自個人身分資料和個人電子身分證明的身分驗證和真實來源驗證,以防止欺詐。
四、擴大跨境eID計畫的相互承認,降低各會員國於電子身分識別服務的差距;並加強信賴服務提供的整體監管框架,針對信賴服務提供商(trust service providers),新增為管理遠端電子簽章和封條(seal)產製設備(creation devices)所建立的新合格信賴服務(Qualified Trust Service, QTS)類型。
五、新增電子帳本(electronic ledgers)的信賴服務框架;電子帳本可為用戶提供交易和資料紀錄排序的證明和不可竄改的稽核軌跡(audit trail),能保障資料完整性。資料完整性對於匯集來自分散來源的資料、自主身分解決方案(self-sovereign identity solutions)、將所有權歸屬於數位資產與記錄業務流程等具備重要性,此有助實現更加去中心化(decentralized)的治理模式,並使多方合作成為可能。
六、於數位服務法案(Digital Services Act)中所定義的超大型線上平台(very large online platforms),將被要求透過歐洲數位身分錢包驗證其線上服務使用者身分。
參、事件評析
歐盟數位身分框架修正案,旨在解決 eIDAS 規則部分瑕疵,以順應市場動態和技術發展,包含承認電子身分證明、電子帳本之法律效力,擴增新合格信賴服務類型等,並作為歐盟建立數位身分認證政策的基礎規範,確保使用者於近用私人或公共服務時,可透過具高度安全和具信賴性的信賴服務進行身分識別。歐盟數位身分框架修正案目前於歐洲議會(European Parliament)內已送交產業、研究暨能源委員會(Industry, Research and Energy Committee, ITRE)進行審議[5],值得持續追蹤其未來發展。
近來受新冠肺炎(COVID-19)保持社交距離影響,推動企業朝數位轉型發展;執行遠距辦公政策,亦加速使用電子文件、電子簽章等數位工具。而我國電子簽章法作為促進電子商務領域發展之重要規範,自2002年4月1日起正式施行後至今未為修訂,實務上已有衍生相關適用疑義。如電子簽章法有針對電子簽章和數位簽章為層級化分類,並對於數位簽章之技術有一定規範,惟未賦予相異之法律效力,使得其區分不具太大效益。建議可參酌eIDAS規則中,對於信賴服務提供者區分為不同層級規範,並給予經主管機關審核通過之合格信賴服務提供者,所提供的信賴服務具有更高的法律效力。
此外,我國欲推行數位身分證(New eID)政策,提供我國人民網路上身分識別之證明,連結政府骨幹網路(T-Road)串接各類電子政府服務,提升民眾近用公共服務的便利性,惟後續因安全性、法源依據等爭議而暫緩推行[6]。故建議我國相關主管機關可參酌歐盟數位身分框架修正案,考量因應科技革新、商業模式創新等要素,對於身分識別相關規範進行修正與更新,以促進電子化政府及電子商務之發展,提供更具安全與信賴性的身分認證法律框架。
[1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity, EUROPEAN COMMISSION,
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281 (last visited Aug. 24, 2021).
[2] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Aug. 24, 2021).
[3] Commission proposes a trusted and secure Digital Identity for all Europeans, EUROPEAN COMMISSION, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_2663 (last visited Aug. 24, 2021).
[4] 李姿瑩,〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉,《科技法律透析》,第31卷第11期,25-32頁,(2019年11月);謝明均,簡介〈歐盟提供合格信任服務者依循標準建議〉,科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8687(最後瀏覽日:2021/08/24)。
[5] REVISION OF THE EIDAS REGULATION – EUROPEAN DIGITAL IDENTITY (EUID), EUROPEAN PARLIAMENT,
https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-eid (last visited Aug. 24, 2021).
[6]〈暫緩數位身分證發行計畫 蘇揆:完善法制後再推動〉,行政院新聞傳播處,2021/01/21,https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a (最後瀏覽日:2021/08/24)。
2011年3月31日,歐盟執委會啟用新一代的關鍵資訊基礎設施保護計畫(Critical Information Infrastructure Protection, CIIP)。上一代的關鍵資訊基礎設施保護計畫在2009年公布並已取得一定的成果。新一代的計畫集中在全球化的挑戰,著重在歐盟成員國與全球其他國家的合作,與相互之間的合作關係。 為了達成這個目標,歐盟執委會訂定以下的行動綱要: (1)準備和預防:利用成員國論壇(European Forum for Member States, EFMS)分享資訊及政策。 (2)偵測和反應:發展資訊分享及警示系統,建置民眾、中小型企業與政府部門間的資訊分享、警示系統。 (3)緩和及復原:發展成員國間緊急應變計畫,組織反應大規模網路安全事件,強化各國電腦緊急反應團隊的合作。 (4)國際與歐盟的合作:根據歐盟成員國論壇所制訂的,歐洲網際網路信賴穩定指導原則和方針,進行全球大規模網路安全事故的演習。 (5)制訂資訊通信技術的標準:針對關鍵資訊基礎設施制訂技術標準。 另外,在2011年4月14-15日舉行的關鍵資訊基礎設施保護電信部長級會議(Telecom ministerial conference on CIIP),整個會議針對歐盟成員國、私人企業、產業界及其他國家進行策略性的對話,強化彼此在數位環境中的合作與信任關係。並針對新一代的關鍵資訊基礎設施保護計畫,向歐盟執委會提出相關政策建言。 受全球化、資訊化發展的影響,以及各國間互賴程度的增加,使得影響關鍵資訊基礎設施(CIIP)安全的問題,不再侷限於單一區域,更需要各方多元的合作。
墨西哥聯邦資料保護法生效墨西哥的聯邦資料保護法在二0一0年四月經墨西哥國會通過後,已於同年七月六日生效。這個新法旨在保護個人的隱私權並強化個人對自身資訊的掌控。與我國新近通過的個人資料保護法相同,墨西哥的這個新法所規範的範圍也包括了私部門對個人資料的蒐集、處理與利用。 在新法通過之後,原本的聯邦公共資訊近用機構(Federal Institute for Access to Public Information),亦擴張執掌並更名為聯邦公共資料近用及資料保護機構(Federal Institute of Access to Information and Data Protection)。在新制下,該機構將在原有負責事務外,另肩負起監督私部門就個人資料保護的相關事務。 此外,該法設計了一個雙重的監督機制:當資料的蒐集、處理或利用人,也就是所謂的資料控制者(Data Controller)出現可能違反聯邦資料保護法的狀況,將先由各相關部門的主管機關,例如主管經濟事務的機關或主管交通事務的機關來介入處理,而非由聯邦公共資料近用及資料保護機構立刻介入。
美國公布「保護資通訊技術與服務供應鏈安全」行政命令美國總統川普於2019年5月依據「國際緊急經濟權力法」(International Emergency Economic Powers Act, IEEPA)之授權,訂定「保護資通訊技術與服務供應鏈安全」行政命令(Executive Order on Securing the Information and Communications Technology and Services Supply Chain)。目的係為避免因具有競爭關係之外國政府或機構,利用其設計、開發或製造之資通訊技術或相關服務之資安漏洞進行資料竊取或網路攻擊等行為。 川普總統認為,如未能對於相關之資通訊技術、產品或服務進行管制,將有提升美國資安風險之疑慮,進而對美國之國家安全、外交政策及經濟構成威脅,故應針對具有競爭關係之外國政府或機構所提供的相關資訊與通訊技術或服務,進行下列相關之措施: 禁止美國境內之相關單位(包含合夥、協會、信託等機構、合資企業、公司、集團或其他組織)取得、進口、轉讓、安裝、交易或使用具有資安風險而由競爭關係之外國政府或機構所擁有、控制、設計、開發、製造或供應的資通訊技術或服務。 授權由商務部長訂定具有競爭關係之外國政府或機構、資通訊技術或服務及上述禁止措施之相關認定標準及程序。 商務部長應與國務卿向國會提交本命令之經常性及最終報告;而國家情報總監及國土安全部,則應持續針對美國所面臨之相關風險威脅進行定期之識別與評估,並將評估內容提交予總統。
能源稅課徵 經濟部爭取三年緩衝財政部日前對外公布「能源稅條例」修正草案,由於課徵能源稅對產業的衝擊層面甚大,行政院最近邀集財經等部會及環保署協商「能源稅條例」草案。 經濟部認為能源稅開徵應在能源價格合理化後再實施,且需採漸進式方式開徵,並主張應仿歐盟做法,給予業者至少二至三年的緩衝期,即 98 年之後再開徵。同時經濟部也建議參照歐美國家給予差別稅率,燃料油及煤炭能源稅,應給予工業部門較低稅率或免稅,以降低對產業的衝擊,否則製造業生產流程使用到煤及天然氣的業者都將受衝擊。另外,經濟部也應主張若要課徵能源稅,應同步取消平板玻璃、橡膠輪胎、電器及飲料等四類貨物稅及汽燃費,並取消空汙費與土汙費,以避免雙重課稅。 能源稅的直接用意應是藉由租稅手段提高能源使用效益,間接才是充實國庫。我國許多能源相對便宜,以致部分中小企業在欠缺嚴謹工程管理的情況下,石油、水電等資源的使用或有浪費情形,因此祭出能源稅,重點應擺在提高能源使用的邊際效益,同時,政府亦應提出有效配套,以兼顧產業的國際競爭力。