數位身分之定義

路時代下，數位身分(Digital Identity)的概念隨之而生。

數位身分的概念相對於物理身分，在日常生活中我們會出示政府所給予的法

或是身分屬性（identity attributes）⁴。一個人的身分可能由許多不同身分屬性所 組成，可能包含傳記性資料（biographical data，如：姓名、生日、性別）、生物 資料（biometric data）及其他資料⁵。關於我們的各種資料（像是我們喜歡什麼、

2 Peter Steiner, WIKIPEDIA,

https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you%27re_a_dog (last visited July. 23, 2020).

3 協合國際法律事務所，變革中的金融科技法制，頁 71（2019 年）。

4 WORLD BANK GROUP,GSMA&SIA, Digital Identity: Towards Shared Principles for Public and Private Sector Cooperation, p.8,

http://documents.worldbank.org/curated/en/600821469220400272/pdf/107201-WP-PUBLIC-WB-GS MA-SIADigitalIdentity-WEB.pdf (last visited July. 23, 2020);

陳奕甫，數位身分（Digital Identity），網址：

https://medium.com/@yfc/%E6%95%B8%E4%BD%8D%E8%BA%AB%E5%88%86-digital-identity-414a1cc5cba6

5 WORLD BANK GROUP,GSMA&SIA, supra note 4, at 11.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

4

做什麼、我們是誰）分散在數位環境中，它分佈在不同的系統、不同的儲存設備、

社群網絡、公司伺服器及政府資料庫裡，無論位於何處，這些資料都具有一個重 要特徵：可以追溯到特定個人⁶。

而當身分資料與身分提供者（Identity Provider）所核發之信物（如：數位身 分證、Mobile ID 等）結合，再運用有效方式去驗證身分時，就可確認一個人是 否具備他所聲稱之身分⁷。

一般而言，數位身分是透過三個步驟建立⁸：

壹、註冊（Registration）：註冊包含登錄（enrollment）及查驗（validation）兩 階段，是建立數位身分最重要的步驟。當一個人宣稱其為某個人，也就是身分登 錄時，身分提供者會存取並記錄該使用者之關鍵身分屬性資料，其中可能包括傳 記性資料（例如：姓名、出生日期、性別、地址、電子郵件等）、生物資料（例 如：指紋、虹膜掃描）和越來越多的其他屬性資料。在此階段所存取的身分屬性 種類及存取之方式會影響之後數位身分的確信等級（level of assurance, LoA）。登 錄後，身分提供者會以該屬性與其他既有的身分屬性比對查驗，以確保該身分存 在且僅屬於一人，不會指涉到其他人。

貳、核發（Issuance）：使用者經註冊後，身分提供者會核發信物（Credential）

予使用者，以表彰使用者的身分。依傳統的形式而言，身分提供者會提供文件（例 如出生證明）或某種憑證（例如身分證或護照）；就數位身分而言，信物須為數 位形式，例如：晶片卡（Smart Card）、二維條碼（QR Code） 、行動身分（Mobile Identity）等。

6 THE BOSTON CONSULTING GROUP, The Value of Our Digital Identity, p. 35-36,

https://2zn23x1nwzzj494slw48aylw-wpengine.netdna-ssl.com/wp-content/uploads/2017/06/The-Value-of-Our-Digital-Identity.pdf (last visited July. 23, 2020).

7 協合國際法律事務所，前揭註 3，頁 72-73。

8 WORLD BANK GROUP,GSMA&SIA, supra note 4, at 16-19; 同上註，頁 73-74。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

5

參、驗證（Authentication）：使用者經註冊、核發後，就可以運用數位身分證明 自己的身分進而取得服務。這個過程中，使用者將透過數位信物的一個或多個驗 證因素（Authentication Factor）驗證身分。以晶片卡而言，數位信物及生物辨識 資料儲存於卡片的晶片內，使用者得依照交易的性質與風險，運用存放於晶片卡 內的資料進行不同確信程度的驗證。

來源：World Bank Group, GSMA & SIA, p. 20

數位身分系統能夠對各種功能和服務的最終用戶進行識別和認證，而政府和 私部門公司在推廣此系統方面有著共同利益，因為公私部門可以相互依賴來建構 和管理身分系統，例如，政府可以將其身份架構的各個方面外包給私營公司（例 如系統開發），也可以與私營公司合作以確保官方 ID 與私有服務的交互操作可能 性(interoperability)。同樣地，私營公司通常依靠官方形式的證明（例如出生證明、

身分證）來驗證其用戶身分⁹。舉例來說，在銀行開戶時必須出示身分證即是一 例。在這個應用中，銀行之所以會信賴身分證，是因為身分證係由內政部核發，

9 WORLD BANK GROUP,GSMA&SIA, supra note 4, at 25.

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

6

而內政部在台灣是被社會大眾、銀行信賴的單位。

而國際打造數位身分與身分驗證，體系上多是透過政府或權威機構在一定準 則框架下建構。但無論是由政府、受政府行政委託的機構，或是金融機構本身主 導，均仰賴權威機構做為「信賴起源（Trust Anchor）」，因而數位身分的生態系 統（digital identity ecosystem）大致可分為以下型態¹⁰：

一、植基於政府所核發的數位身分「中心化身分」（Centralized Identity Framework based on an official eID as a root）：由政府主導的中心化身分，身分屬性儲存於政 府的資料庫，並運用國家所核發的數位身分做為所有公、私部門數位交易的基 礎。

二、經認可的身分提供者「結構型身分」（Structured Identity Framework, under a federation of endorsed identity providers）：由一個或多個的單位，經政府認可後可 向民眾提供數位身分。通常此種模式會在政府核發官方身分文件（如出生證明）

後，就將數位身分的產製交由私人企業或非營利事業提供。

三、無國家層級「開放身分市場」（Open Identity market without any National Scheme）：公、私部門各自創造、管理及使用各自的數位身分。

四、自行驗證的開放數位身分（Self-asserted, “Open” Digital Identity）：數位身分 主要是由大型網路服務提供者（如：Facebook、Google）所提供。使用者可以自 己選擇所要存取的身分屬性，且由於未與官方身分資料進行驗證，故其確信程度 較低。

10 WORLD BANK GROUP,GSMA&SIA, supra note 4, at 26; 協合國際法律事務所，前揭註 3，頁 74。

‧ 國

立 政 治 大 學

‧

N a tio na

l C h engchi U ni ve rs it y

7

來源：World Bank Group, GSMA & SIA, p. 25