1.新聞網址︰
https://www.twreporter.org/a/e-id-in-estonia
2.新聞來源︰報導者
3.完整新聞標題
連「政府」都備份好了!愛沙尼亞如何打造世界最成功的數位社會?
4.完整新聞內容
連「政府」都備份好了!愛沙尼亞如何打造世界最成功的數位社會?
https://i.imgur.com/u0X2GJU.jpg
從舊蘇聯獨立不到30年、人口只有台北市一半的波羅的海小國愛沙尼亞,世界銀行組織(Wo
rld Bank)盛讚其擁有全球最成功的數位身分證系統。圖為在愛沙尼亞首都塔林(Tallinn
)的民眾參加紀念當年以「歌唱革命」脫離蘇聯獨立的音樂會。(攝影/AFP/Raigo Pajul
a)
波羅的海三小國之一、擁有132萬人口的愛沙尼亞,獨立建國不到30年,卻在鄰國俄羅斯多
次資訊攻擊之下,建立起被世界銀行稱為全球最成功的數位身分證系統,創造聯合國評比下
最高的公民數位參與率。其提供的數位公共服務,成為包括了台灣在內,世界許多國家模仿
學習的對象。
在台灣數位身分證政策頻頻卡關、引起民間訴訟的關鍵時刻,《報導者》越洋專訪3位愛沙
尼亞政府官員與民間專家,理解他們30年來一步步的嘗試。受訪者提醒我們,走向數位國家
,除了透過開放、透明建立起人民對政府的信任,沒有其他捷徑了。
爭議多時的「數位身分識別證(New eID)」,原訂今年1月在部分區域試行,卻遭原訂試行
的地方政府紛紛退出,讓行政院長蘇貞昌做出暫緩實施的宣示。這把內政部口中,可以打開
政府各項服務的萬能鑰匙,從規畫之初就爭議不斷,專家學者紛紛跳出來批評數位身分識別
證法源不足、有侵犯隱私的疑慮,甚至可能造成國安破口。
當台灣為這張載有晶片的身分證吵得沸沸揚揚之際,早在18年前,愛沙尼亞就超前部署,發
行便利又安全的數位身分證(eID),讓人民可以在資安與隱私無虞的前提下,一鍵取得政
府服務。
事實上,愛沙尼亞正是我國推行數位身分證取經的重點國家之一。內政部在2016年與2019年
曾兩度派員參訪愛沙尼亞學習eID相關政策,也曾在2017年邀請愛沙尼亞專家來台參與「晶
片國民身分證研討會」。2018年底,國發會提出智慧政府的架構,更是援引愛沙尼亞的經驗
。
「政府當以最慎重縝密、嚴謹態度推動,惟遇百密一疏情形發生時,政府應勇於認錯,承擔
責任,不隱瞞事實,妥善解決問題,才能更取得民眾對政府的信任。」
2019年內政部赴愛沙尼亞考察報告中,如此觀察愛沙尼亞的成功之道。
從舊蘇聯獨立不到30年,人口只有台北市一半的波羅的海小國愛沙尼亞,不僅被外媒《連線
》雜誌(Wired)讚譽為全世界「最先進的數位社會」,世界銀行組織(World Bank)更指
出愛沙尼亞擁有全球最成功的數位身分證系統。即便鄰國俄羅斯頻頻發動資訊攻擊,愛沙尼
亞卻能在保護個人隱私與資訊安全之下,提供便捷數位服務,他們是如何做到?
https://i.imgur.com/dM4EFly.png
愛沙尼亞eID使用情況。愛沙尼亞除了在2002年推出晶片式的eID之外,也在2011年推出內建
在手機裡的mobile-ID,以及內建在其他行動裝置上的smart-ID。(圖片來源/e-Estonia B
riefing Center)
獨立建國沒資源,數位化成為解方
在第一次世界大戰後獨立建國的愛沙尼亞,長期捲入德軍與俄軍的對抗中。二戰後,愛沙尼
亞被蘇聯併吞,原共和國領導人流亡到瑞典成立流亡政府,而愛沙尼亞則開始了長達50年的
共產專制,直到1991年蘇聯解體,愛沙尼亞才獨立。因為國土小、自然資源匱乏、在蘇聯統
治下又缺乏基礎建設,獨立之初,便面臨國家如何重建的困境。
「我們不只沒有足夠的政府員工、政府甚至連辦公大樓都不夠。獨立後,一切從零開始,」
來自電子愛沙尼亞簡報中心(e-Estonia Briefing Center)的馬柯斯(Florian Marcus)
在接受《報導者》專訪時回顧。當時,正逢網際網路興起,愛沙尼亞很快便體認到數位化是
最「省錢」的方法。
重建一個歷經戰爭、流亡、共產專制的國家,愛沙尼亞的首要任務是「找回」國民。獨立之
初,愛沙尼亞並沒有全國統一的身分證系統。1995年,愛沙尼亞起草《身分文件法案》(Id
entity Documents Act),建立了身分證制度的基礎。隔年,《愛沙尼亞資訊政策原則》(
Principles of Estonian Information Policy),則確定了政府優先數位化的政策方向。
「在大國環伺下,愛沙尼亞宛若大海裡的一條小魚。我們要麼動作慢被吃掉,要麼動作快,
建立起經濟實力與數位社會來自保,我們選擇了後者。」愛沙尼亞前總理羅伊瓦斯(Taavi
Rõivas)曾如此形容。
立法先行、民間企業再跟進,連內閣都可以數位化
走向數位社會的第一步,是立法。早從1996年起,在eID開始發放之前,愛沙尼亞政府便陸
續增修與數位化政策相關的法律。目前,與eID或政府數位服務相關的法律便有近20條,包
括了《身分證件法》、《數位簽章法》、《個人資料保護法》、《資訊系統安全措施法》等
等。
此外,民間企業如銀行,也迅速跟進,搭配eID提供各種銀行端的數位服務,在公私協作下
,增加民眾的信任和使用率。如今,愛沙尼亞的民眾可以在線上遠距申請各項政府服務;而
政府端,則用安全加密的「X-Road」系統串聯各個政府資料庫,並用單一入口網頁來提供服
務。
https://i.imgur.com/5YbX2nB.jpg
愛沙尼亞政府資訊交換架構X-Road。(圖片來源/X-Road Global)
「我已經有至少十幾年沒踏進政府大樓了,」凱德羅(Raul Kaidro)在接受《報導者》專
訪時表示,凱德羅成立的公司RaulWalter,在過去十多年來,為愛沙尼亞政府提供數位身分
證整合管理服務。
在愛沙尼亞,99%的政府服務已經數位化:從出生開始,醫院在系統裡登入嬰兒與母親的基
本資料後,各式政府福利與補助的通知,透過線上系統推送給家長;緊接著疫苗施打、健康
檢查、學校登記,一路到成年後的駕照辦理、報稅繳稅、選舉投票,都可以在線上完成。若
是線上操作有問題,聊天機器人隨侍在側,或是撥打24小時全年無休的服務專線,讓專人來
回答疑難雜症;甚至你也可以寫email聯絡任何一個政府官員。只有買賣土地、結婚、離婚
時,才需要本人到現場辦理,驗明正身。
https://i.imgur.com/y4A48Ev.png
高度數位化的愛沙尼亞政府服務:70%的國民經常使用eID取得政府服務,99%政府服務已上
線,超過2,600種服務透過X-road進行資料交換。(圖片來源/e-Estonia Briefing Center
)
不只政府服務數位化,愛沙尼亞還推動內閣數位化,將繁瑣的紙本公文全部線上化。閣員可
以遠端參與會議,並且在會議前先上線查閱政策細節並投票,這讓4、5個小時的內閣會議,
減少到90分鐘以內,大大提升政府效率。
數位身分證愈簡單、愈安全、愈好用
https://i.imgur.com/VzKsz9T.png
愛沙尼亞的eID 。(圖片來源/維基百科)
「eID,就像是我的數位名片一樣,是讓他人在網路上識別我、認識我的方式,」凱德羅透
過視訊毫不遮掩、大方地在我面前展示他的身分證件。
跟許多國家的身分證號碼設計不同,在愛沙尼亞,身分證號碼並不是祕密,而是像學號或員
工編號一樣,可大方公開的資訊。這組號碼由生日與性別代碼組成,在每個人出生時給予,
終生不會改變。「身分證號碼就是我的數位姓名,任何人都可以看。需要被保護的資料必須
在卡片之外。對個人來說,唯一要保密的,是你使用數位身分證的2組密碼。這張卡要這麼
的單純,才足夠安全,」凱德羅說明。
愛沙尼亞的身分證晶片裡,並未載有卡面上沒有的資訊。人們記住的兩個密碼,則是在讀卡
時輸入,分別用來驗明網路身分,以及進行電子簽章。
搭配著身分證使用的,是政府的一站式入口網站「Eesti.ee」。
https://i.imgur.com/CL9PTWs.png
愛沙尼亞政府入口網站 Eesti.ee,使用者馬上接觸到從生活需求出發的服務分類,不用去
各政府部門裡盲找。(圖片來源/Eesti.ee網站截圖)
另一位受訪者馬柯斯,在視訊上用他的eID登入Eesti.ee,向我們示範。
登入政府網站後,會看到一排選單。上面不是複雜的政府部門列表,而是從民眾需求出發的
服務分類。「很多國家的政府網站,一看就知道是公務員設計給公務員使用,而不是從人民
的角度出發,」馬柯斯邊示範邊說,但愛沙尼亞不同,在首頁有家庭的選單,往下,則有結
婚、學校登記、寵物登錄等等選項。這些通常分屬不同機關的業務,依民眾的需求被整合在
同一個類別裡,讓人們可以很直觀的找到。同時,在右上角個人資訊欄裡,政府會不時推送
重要資訊與服務給人民。
一次性原則、去中心化資料結構,「想取得個資得駭進900個機關」
使用單一的身分證件,在同一個網站上進行各項活動,難道不會造成資安巨大的風險嗎?這
是世上所有推行數位政府的國家,都會面臨的問題,但少有人能真正讓民眾釋疑。愛沙尼亞
在過去30年,經歷俄羅斯的資訊攻擊、推出更多元數位服務,過程中以法律、教育、開放透
明等方式,找到了一些政府與民眾之間累積信任的方法。
首先,是數據存取過程的設計。馬柯斯解釋,雖然從使用者的角度看起來是一站式的服務,
但系統後面其實是受加密保護的資料通道,以及去中心化的資料庫。
愛沙尼亞在2007年修定《公開資訊法》(Public Information Act)增加了「一次性原則」
,明定同樣的資料,政府只能跟人民要一次。比方說,搬家後,人民只需要向人口登記處提
供一次新的地址。接下來其他機關,像是稅務或是健保,都不應該跟人民要地址資料。各機
關如果需要取得地址的資料,必須透過政府資料交換架構「X-Road」系統,向人口登記處索
取。「X-Road」擁有高規格的點對點加密系統,保護資料傳送過程的安全,它還應用了區塊
鏈技術,來儲存資料的交換紀錄,確保資料不會被任意竄改。
一次性原則、加上去中心化的政府資料結構,不僅可以保障人民隱私,也分散了資安風險。
「我的資料分散在900多個機關裡,每一個機關都只擁有一小部分的資訊。如果有人想要取
得我完整的資料,就必須要駭進900多個機關才行,」凱德羅解釋。
https://i.imgur.com/azJ0T0T.jpg
2011年3月,愛沙尼亞舉辦世界上首次提供網路投票的議會選舉,一位民眾正使用資訊加密
的身分證投票。(攝影/AFP/Raigo Pajula)
在台灣,我們往往去不同政府部門辦理業務,需要重覆填寫資料,因此各個政府資料庫,例
如健保資料庫、戶政資料庫、或交通監理庫中,都儲存大量的國民個人資料,對有心人來說
,這彷彿是取得國民個人資料的不同寶庫、攻擊選項,只要能攻破一個,就能成功。愛沙尼
亞去中心化和一次性原則的設立,便是為了避免如此情況發生。
系統內建讓人民監督政府的工具
第二,是提供人民監督政府的可能,和建立保護隱私的獨立機關。愛沙尼亞政府不僅僅開放
相關文件全上網供民眾查閱,政府更是打開整個資訊系統,以開放原始碼的方式,放在GitH
ub平台上,讓資訊好手可以為這座系統檢視、糾錯。
「沒有人會信任黑箱系統,」愛沙尼亞資訊系統局(Estonian Information System Author
ity)副局長亞姆(Margus Arm)在接受《報導者》專訪時強調:
「政府公開透明,是建立人民對政府信任的關鍵。」
2017年eID晶片程式曾被發現有漏洞,愛沙尼亞政府選擇第一時間公開向全民說明,定期報
告進度,並且大量收回有問題的晶片,讓問題在傷害發生前被解決。
更為人稱道的,他們還直接在系統裡內建民眾監督政府的武器:「個人資料監測系統」(Pe
rsonal Data Usage Monitor)。政府是人民資料最大的收集者,但很少有政府會在使用人
民的資料時,知會每一個人用途與理由。往往提供給政府做A業務的資料,卻在民眾毫不知
情、也未同意的狀況下,被拿去用在B用途。
但愛沙尼亞徹底改變這種政府使用資料的習慣。馬柯斯一邊打開他的個人帳號,一邊說明,
透過個人資料監測系統,人們可以隨時登入自己的帳號,查看是誰、在什麼時候、以什麼理
由使用了他的資料。民眾如果認為自己的資料被不當使用,便可以向「資料保護監管機關」
(Data Protection Inspectorate)申訴,甚至將政府部門中的不當使用者告上法院。
資料保護監管機關獨立於其他行政機關,擁有職權可以代表民眾向各機關要求資料使用的說
明,也可以協助民眾利用法律來對侵害其隱私的人進行權利救濟。例如去年8月,有一名警
察利用他的權限,查看他未婚妻的犯罪紀錄;還有一位醫生,為了幫鄰居一個忙,而進入系
統調閱救護車出勤的資料。透過個人資料監測系統,這位警察和醫生馬上被發現有不當行為
,很快地就被裁罰。
「情節嚴重的,甚至可能要吃上牢飯。所以很少有人願意冒這個風險去偷看別人的資料,」
馬柯斯說,「在愛沙尼亞,人們彼此也許會對政策有不同意見;有人喜歡某個政治人物、有
人討厭他。但我們都同樣信任政府的資訊系統。」
從教育扎根:幼兒園有程式課、圖書館教長輩上網
第三,有了公開透明的機制、和監督政府的獨立機關,還需要具有高數位素養的人民。教育
,是愛沙尼亞政府的數位建設之根本。
1996年,配合著《愛沙尼亞資訊政策原則》,愛沙尼亞政府出資成立了「虎躍基金會」(Ti
ger Leap Foundation),來推動資訊普及與科技教育。他們的首要任務,是在各級學校大
規模地舖建網路,並廣設電腦教學課程。同時,也在全境建立免費Wi-Fi。
電腦與網路普及後,愛沙尼亞更進一步在2012年推出了「程式老虎」(Proge Tiiger)計畫
,在幼兒園與中小學裡導入適齡的科技教育,將程式語言、機器人、3D等等課程,融入學校
活動裡,讓孩子從小學習程式語言,就如同英文、數學一樣自然。
除了學校,政府也與銀行和電信業者合作,推出「[email protected]」計畫。計畫其中之一,便是
組成「資訊馬戲團」下鄉巡迴各個市鎮,將免費的電腦課程帶給愛沙尼亞國民。據統計,有
將近十分之一的愛沙尼亞人受惠於這些免費課程。公共圖書館也是資訊教育的前線之一,許
多年長較不熟悉電腦的長輩,習慣到圖書館來使用電腦。愛沙尼亞政府於是訓練圖書館員成
為科技志工,來幫助長輩們使用各種政府線上服務。
透過學校教育、訓練計畫與社區協助,愛沙尼亞培養出擁抱科技的國民,讓網路使用率從20
00年的3成,到2016年攀升至9成以上。2020年,愛沙尼亞更被聯合國評比全球數位政府發展
第三名,國民的數位參與程度第一名。
官民攜手對抗國家級網攻,連「政府」也先備份起來
除了對內的工作,對外,愛沙尼亞面對的是俄羅斯的數位攻擊,愛沙尼亞在過去30年進行的
第四個面向,便是數位防線的建立,甚至未雨綢繆地將政府備份都建立完成。
2007年4月底,愛沙尼亞政府移除了一座位在首都塔林的蘇聯二戰紀念碑,引發俄羅斯強烈
抗議。隨後不久,愛沙尼亞便遭受數日的網路癱瘓式攻擊,政府網站、媒體、銀行、通訊公
司紛紛被迫停站,導至許多政府服務與銀行交易大當機。這場世界史上首度的國家級網路戰
爭,是愛沙尼亞數位政府的第一次挑戰。
面對俄羅斯網軍步步進逼,愛沙尼亞如何加強資安能量,正面迎擊?2008年,北約在愛沙尼
亞首都塔林設立「網路防禦中心」(Cyber Defence Centre of Excellence),由來自北約
29個國家的資訊專家與軍事好手,在這裡建立起防禦俄羅斯網軍的第一道防線。同年,愛沙
尼亞開始定期頒布國家資訊安全策略書(National Cyber Security Strategy),詳細規畫
從政府部門、民間企業、個人教育及國際合作各方面如何增加資安實力,並定期檢視成效。
為了補足政府內資安專業人員的不足,愛沙尼亞政府更號召國內好手成立一支「資安志願軍
」(Cyber Defense Unit)。這支志願軍除了協助國家資安維護之外,最重要的任務,是對
公務員及學校進行資安訓練,同時規劃資安防護的緊急措施和災難處理機制。2018年,愛沙
尼亞更進一步成立「網路司令部」(Cyber Command),將資訊安全以軍事安全的規格全面
升級。
https://i.imgur.com/JTb5XUc.jpg
由北約成立的「網路防禦中心」(Cooperative Cyber Defence Centre of Excellence)選
擇位於愛沙尼亞首都塔林。圖為2020年10月,指揮官Jaak Tarien上校向愛沙尼亞國防部、
數位政策部(Cyber Policy Department)進行簡報。(攝影/AFP/Raigo Pajula)
面對境外勢力威脅,愛沙尼亞除了與盟友合作、從民間借助能量,來增加自己的資安實力之
外,想得更遠。
「我們的政府曾經流亡過。面對俄羅斯在2014年併吞克里米亞,我們必須想得更遠。如果有
一天,敵人大軍壓境,我們的政府必須在境外運作的話,該怎麼辦?」馬柯斯說。2017年,
愛沙尼亞在盧森堡成立了全球史上首座「數據大使館」。這座數據大使館擁有愛沙尼亞政府
資料庫備份,並以最高規格的軟硬體防禦。
「盧森堡四周都是北約盟國,是最適合的地點,」馬柯斯解釋。愛沙尼亞與盧森堡簽訂協定
,讓這座數據大使館得以如一般外交使館一樣擁有治外法權,已經高度數位化的愛沙尼亞政
府,如果領土被敵軍佔領,可以快速利用數據大使館重新在世界上任何一個地方重建政府。
走向數位政府的起點:建立信任
從獨立之初連電話都不普及的小國,愛沙尼亞在30年內透過法律、政策與教育打造出一個連
英、美等世界強權都望塵莫及的數位大國,成為許多國家學習的對象。我們與3位身處數位
國家建置過程其中的政府、民間專家訪談,他們都說,愛沙尼亞的祕訣就是開放透明、公私
協作。
政府建立完善的法律讓政策依法有據、公開政策細節供全民檢視、開源資訊系統讓高手協助
除錯、提供透明的資料使用紀錄給全民監督──有了完備的法律、政策與系統之後,愛沙尼
亞政府積極與民間尋求合作的可能。不論是資訊教育計畫或是資安志願軍,沒有雄厚財力與
龐大組織的愛沙尼亞政府,選擇了一條與人民攜手的方式前進,並在過程中累積信任。
這短短幾行字絕非一蹴可幾,作為資訊系統局副局長的亞姆,提醒來自台灣的我們:
「建立信任是一個漫長的過程,而開放溝通是唯一的方法。我對台灣政府的建議就是:讓一
切,讓文件、程式碼、過程,全部開放透明。」
2020年,在COVID-19(又稱武漢肺炎、新冠肺炎)的肆虐下,各國紛紛檢討其數位政策,希
望用線上服務來因應疫情生活中的變化。英國、法國也在近年重啟延宕多時的數位身分證討
論。但如台灣一樣,在沒有完善的法律與配套措施下,該政策引發了眾多的質疑與討論。
愛沙尼亞的經驗告訴我們,數位治理並非將紙本轉為線上如此簡單,除了需要重新檢視政府
整體架構,補足法律、制度與人才三方面的數位實力之外,更重要的是讓資料使用與管理的
過程開放、透明、可受監督。人民對政府有了信任,數位之路才有機會起步。
5.附註、心得、想法︰
如果文章太長看不下去,可以看紅字就好,拜託啦!
「凡是殺不死我的,都將使我更加強大」
台灣要走向數位化,勢必要做出完善配套,如法律、政策、教育的先行
還有公部門的電腦系統可以先改嗎?
拜託了