【國外eID實例：愛沙尼亞】技術、法源、開源三管齊下，2千項數位服務才能安心用eID

坐落東歐北部，西面波羅的海的愛沙尼亞，人口130萬人，面積不比臺灣大上多少，但卻是歐洲先進程度數一數二的資優生，在2002年隨即推行晶片身分證政策，在政策實施的第一年僅有10萬人持有，但是在推動15年下來，目前卡片持有率已經高達97％，除15歲以下的愛沙尼亞公民不強制持有外，其餘國民都必須持有晶片身分證，目前為止線上進行身分驗證次數已經突破5.6億次，數位簽章使用次數則是達到3.8億次。

愛沙尼亞警察和邊防警衛局首席專家Eliisa Sau表示，在推行晶片身分證下，除了讓該國減少貪污腐敗外，也讓政府營運變得更加透明化。目前愛沙尼亞政府提供的政府服務其中有99％已經數位化，透過網路，愛沙尼亞公民即可存取eEstonia服務，「在這2,500項e化服務中，有500項為便民服務。」

愛沙尼亞資訊系統管理局 eID區域經理Margus Arm所任職的資訊系統管理局，則是愛沙尼亞經濟與通訊部的旗下機關，「這是電子化政府的重要基礎」，該部門除建置愛沙尼亞國家資訊系統的基礎架構，同時也要管理晶片身分證存取數位服務的政府入口網站，「我們很重視網路管理。」

在愛沙尼亞國家的資訊基礎架構中，結合晶片身分證，並且以貫穿各個政府、私部門的X-ROAD，就能存取各式數位服務，例如公部門的健康保險資料庫，或私人企業的金融、電信服務。Margus Arm表示，愛沙尼亞並沒有一個集中的大型中央資料庫，反之，各個公、私部門都有獨自的資料庫，「而彼此的資料可以互相分享。」

愛沙尼亞警察和邊防警衛局首席專家Eliisa Sau表示，在推行晶片身分證後，愛沙尼亞政府99％的政府服務都已數位化，也不只能減少貪污腐敗外，也讓政府營運變得更加透明化。（攝影／洪政偉）

在愛沙尼亞國家的資訊基礎架構中，結合晶片身分證，並且以貫穿各個政府、私部門的X-Road，就能存取各式數位服務，例如公部門的健康保險資料庫，或私人企業的金融、電信服務。而愛沙尼亞政府並沒有一個集中的大型中央資料庫。反之，各個公、私部門都有獨自的資料庫，彼此的資料亦可互相分享。（圖片來源／愛沙尼亞信息資訊系統管理局）

電子化服務得一步到位才能吸引民眾使用

在最初計畫推出晶片身分證的時候，「我們就考慮到未來需求，必須對未來所有解決方案持開放態度」，Eliisa Sau表示，愛沙尼亞在推動晶片身分證借助鄰國芬蘭的經驗，再根據自家國情調整。起初該卡的有效期限只有3年，現在愛沙尼亞已將期限延長至5年，「首年就發出了10萬卡張」，截至2016年，已經有97％的愛沙尼亞公民持有晶片身分證，「在一開始發行時，所有電子服務就必須到位，民眾才會看見晶片身分證的好處」，Eliisa Sau表示，如此才能提供足夠誘因，讓民眾決定轉為使用新版身分證。

訂專法作為eID的法源依據

在推行晶片身分證時，愛沙尼也有制定eID法規，作為該政策的法源依據。Eliisa Sau表示，為了取信於民眾，在晶片身分證釋出的2年前，愛沙尼亞政府分別推出了電子內閣制（E-Cabinet）及數位簽章法，「在2002年時，數位簽章也正式上路。」

推出電子內閣制，除了目標是打造無紙化作業環境外，「也要讓決策過程變得更加透明」，Eliisa Sau表示，過去各機關的會議中，得要列印出議會中所需的各式文件，「現在只要使用晶片身分證，馬上就可以瀏覽相關資訊，列出哪些議題是優先要務。」

再者是愛沙尼亞國會於2000年時通過的數位簽章法案，「數位簽章與手寫簽章的效力，兩者沒有任何差距」，利用數位簽章，還能加速各類文件簽署完成的速度。

Eliisa Sau舉例，假設愛沙尼亞公民想在海外簽署文件，政府也會提供相關免費軟體，在完成簽署後透過電子郵件傳送，在3分鐘內就可以完成整個程序。起初愛沙尼亞政府也以身作則，強制各政府部門必須接受數位簽章，「現在則到處都可以使用數位簽章」，每個愛沙尼亞公民平均1年會用上94次數位簽章。

95％民眾都靠eID進行網路報稅

同時，愛沙尼亞的晶片身分證還可以用於繳稅、電子投票或存取病歷資料等政府服務。目前該國已經有95％的民眾透過網路報稅，Eliisa Sau表示，透過網路申報，在5天內就可以獲得退稅，「而傳統報稅方式則需花上數個月時間才能退稅，這是鼓勵民眾利用網路報稅的強力誘因。」在2015年時，愛沙尼亞政府更進一步，推出一鍵報稅機制，個人的繳稅資料已經預先載入報稅系統中，「只需要檢查資料有無問題，無誤後按下確認鍵就完成報稅作業。」

再者是使用晶片身分證進行投票，民眾只需要登入投票系統，點選候選人就能完成投票作業。不過考量電子投票此項服務兼具敏感性、公共性，「完成投票後，民眾也可以使用手機進行投票結果查詢，確認自己投給正確的候選人」，Eliisa Sau表示，萬一民眾仍感到不放心，愛沙尼亞也保留傳統方式，國民也可前往投票所進行投票。在2015年的議會大選中，藉由此機制，即使愛沙尼亞公民散落在全球超過100個國家，也能完成投票，「不過，即使有網路投票機會，還是無法提升投票率，只是給予民眾另一種選擇。」

不過，方便與安全性往往是難以兼得，在愛沙尼亞享受晶片身分證存取各式數位服務的方便時，背後也必須有強力的資訊技術，確保其安全水準足夠達到一定水準。Margus Arm表示，愛沙尼亞的晶片身分證由該國警政單位核發，無論是身分證、居留證都採取相同的資安技術。每一張卡片中，「皆有兩組安全鑰匙，採取PKI X.509的安全憑證。」而X.509憑證是由國際電信聯盟（ITU-T）制定的數位認證標準，以公開金鑰基礎架構（PKI）與電子簽章為基礎。

Eliisa Sau則表示，當持卡人遺失該卡片所記錄的兩組PIN碼，只需到政府服務據點或是銀行等機構申請新密碼即可，若持卡人的密碼遭竊取，民眾也可以透過政府所提供的免費軟體修改密碼。或晶片身分證一旦遺失、遭竊，持卡人在任何時間都可以提出申請，要求中止該身分證的存取權限，避免身分證被不法人士盜用。

「我再次強調，晶片身分證只是一把鑰匙而已」，Margus Arm表示，該卡片中除了不會儲存隱私資料外，它亦無法作為付款工具。他解釋，晶片身分證是讓民眾存取政府、民間機關所提供電子化服務的鑰匙，透過晶片身分證辨認用戶的身分。

愛沙尼亞的晶片身分證除了晶片機制，還有常用身分資訊和簽名筆跡，無論是線上、離線都可以使用，支援2,500項政府數位服務支援，甚至可以用來投票。（圖片來源／愛沙尼亞警察和邊防警衛局）

取信人民才能順利推動晶片身分證

在該政策15年下來，愛沙尼亞也累積許多推動晶片身分證的經驗，「究竟一開始要採取強制推動還是自願性措施呢？」在一開始詢問民眾推動意願時，必定會出現反對的意見。也因此，愛沙尼亞政府為了大力推廣晶片身分證政策，一開始便決定採取強制規定的策略。

除此之外，政府與民間也必須充分合作，建立雙贏局面。Margus Arm表示，政府得要取得民間信任，「否則晶片身分證政策無法順利推動。」當中，愛沙尼亞政府取得人民信任方式，就是將相關系統的程式碼都公布於開源軟體程式碼平臺GitHub上，「做到完全的透明」，Margus Arm表示，一旦開發者發現系統程式碼有存在漏洞、破綻，也都可以上報至愛沙尼亞政府，「政府才能進一步增進這些系統的安全性。」他表示，由於愛沙尼亞政府100％透明的策略，使得晶片身分證政策廣泛受到民眾信賴，「程式碼除開放給愛沙尼亞國民，世界上任何人亦都可檢視這些程式碼。」