第三章 國際間數位身分制度之管理規範
第一節 歐盟 eIDAS
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
16
第三章 國際間數位身分制度之管理規範
隨著科技的進步以及數位化的發展,數位身分之應用越來越多元,不論是在 公部門的電子化政府服務,或是在私部門的商業電子交易等,對於身分之驗證需 求越來越多,為了保障資訊以及交易之安全,各國或國際組織制定相關規範或國 際標準予以因應,以其能夠防止身分之偽造與冒用等問題。
承第二章所述,目前國際上對於數位身分之管理以及身分驗證頒布了不同的 管理規章或是國際標準,以下將概述歐盟、美國與 ISO 有關數位身分驗證之相 關規範,並且再進一步闡明 FATF 數位身分指引之內容以及目前貿易協定裡有關 數位身分內容之最新發展。
第一節 歐盟 eIDAS
壹、立法目的及背景
歐盟為了符合 2010 年歐洲數位議程(A Digital Agenda for Europe)中數位單一 市場(digital single market)之目標,並建立消費者對於線上電子交易環境之信賴,
於 2014 年通過「電子身分認證與信任服務規章(The Regulation(EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic
identification and trust services for electronic transactions in the internal market,以下 簡稱 eIDAS)」,希望能提供歐盟公民、企業與公部門安心使用電子交易的基礎環 境31;此規章主要針對身分識別機制(electronic identification schemes, eIDs)、認 證(authentication)和信賴服務提供者(trust service providers, TSP)等通盤規範,
主要想解決歐盟既有電子簽章指令僅就電子簽章定義和提供憑證服務應具備條
31 European Commission, https://ec.europa.eu/digital-single-market/en/trust-services-and-eid (last visited July. 23, 2020).
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
17
件規範之不足,以及個人身分認證無法於全歐盟一體適用之窘境等問題32。
貳、規範
eIDAS 之立法形式為規章(Regulation),與指令(Directive)不同,係具有 強制力之法律,無須經過歐盟成員國轉換成內國法,直接適用於所有會員國。
eIDAS 有關電子身分認證之規定在第二章第 6 條至第 12 條,規範電子身分認證 之相互承認、電子身分認證通知資格、保障等級、通知、安全漏洞、責任及合作 等內容。本章將以保證等級(Level of Assurance)為主軸,分述在不同的等級下,
應有何種程度之驗證規範。
有關電子身分認證之相關要求,重點如下33:
一、電子身分認證方案應具備保證水準
第 8 條規定,電子身分識別方案應保證該方案中所發布的電子身分識別方式,
應具備所保證的低、中、高各種水準。而該保證之低、中、高水準應分別符合下 列標準:
(一)具備保證之低水準指的是電子身分識別方案中所採用的電子身分識別 方式僅提供有限程度的保密性,且採用的技術規格、標準與程序僅能減低識別資 料被濫用的風險。
(二)具備保證之中等水準指的是電子身分識別方案中所採用的電子身分識 別方式提供充分程度的保密性,且採用的技術規格、標準與程序能大幅降低識別 資料被濫用的風險。
32 李姿瑩,「歐盟 eIDAS 對國內電子簽章和身分認證規範之可能借鏡」,科技法律透析,2019 年 11 月,第 31 卷第 11 期,頁 25-26。
33 前揭註 28。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
18
(三)具備保證之高水準指的是電子身分識別方案中所採用的電子身分識別 方式提供較中等程度更高的保密性,且採用的技術規格、標準與程序能避免識別 資料被濫用。
二、技術細節另由施行細則決定
第 8 條亦要求歐盟執委會對於保證等級另為規定,亦即應透過本規則之施行 細則(implementing acts),訂定上述符合高中低水準所必要之技術規格、標準與程 序,訂定相關技術規格、標準與程序時,應考量下列要素之可靠性與品質34:
(一)能證明與確認申請使用電子身分識別方式的自然人或法人身分的程 序。
(二)電子身分識別方式的發行程序。
(三)使接受電子身分識別方式的信任方(relying party)可認證使用電子身分 識別方式的自然人或法人身分的認證機制。
(四)發行電子身分識別方式之組織(entity)。
(五)電子身分識別方式申請與發行過程之參與者。
(六)已發行電子身分識別方式之科技與安全規格。
三、保證等級
施行細則規定要求之項目中,與使用方式之要求與管理相關之例示如下:
34 根據 eIDAS 第 8 條規定之要求,歐盟執委會於 2015 年 9 月通過歐盟電子交易身分識別與信任 服務規則的施行細則(COMMISSION IMPLEMENTING REGULATION (EU) 2015/1502 of 8 September 2015 on setting out minimum technical specifications and procedures for assurance levels for electronic identification means pursuant to Article 8(3) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market),其目的在於訂定保證水準中所必要之技術規格、標準與程序。
也是為了確保不同電子交易身分識別方案中的保證水準得以互通。
‧
‧
隸屬於美國商務部的國家標準技術局(National Institute of Standards and Technology, NIST)負責制定資訊安全的相關標準與規範,在 2004 年首度公布名 為「電子身分驗證指引」(Electronic Authentication Guideline)的 SP 800-63 系列文 件,旨在依聯邦資訊安全管理法 (Federal Information Security Modernization Act,