论eID潜力 从实名制购票说起


科技及创新 | 2018-04-25 《经济日报》 下一篇 上一篇

从久石让的音乐会到黄子华的栋笃笑,不少粉丝也许体会到「揿到F5都烂」亦无法抢购门票的心情。在一票难求的情况下,出现不少「黄牛飞」,有门票炒价达原价两倍。[1]为杜绝黄牛党,有主办单位以实名制发售加场场次的门票。[2]

近日,亚洲国际博览馆已采用实名购票制,购票者在网上购票时需输入个人资料,再在入场时出示电子票及身份证明文件。[3]这种处理方法,或会令人认为过于繁复,政府正计划为香港居民提供的数码个人身分(eID),是否能提供两全其美的方案﹖

香港版eID留有空间发展公私营服务

根据政府今年3月公布的建议,eID是一条综合的数码身分认证锁匙,市民可轻易且可靠地利用eID,使用政府和商业电子服务。eID 由政府免费提供予所有香港居民,市民可自愿申请和使用。[4]

例如,市民可使用eID,在网上提交续领牌照、订场和预约时间等服务或签署文件;授权提取已储存在电子服务系统内的资料,以作预填表格或更改住址之用。政府亦会积极推动公私营机构利用eID,让市民能以其使用更多网上服务,例如网上银行、网上购物、网上缴费以及其他电子商务等。[5]

除以上功能外,eID亦提供具法律效力的数码签署功能,用作处理合约丶法定文件及程序丶重要商业交易等用途。[6]现在具法律效力的数码签署,都来自香港邮政核证机关(核证机关)发出的「认可数码证书」。这些数码证书包括可载入智能身份证内的个人电子证书。[7]

不过,今年第四季开始,全港市民将会在2022年前,分阶段换领新智能身份证。而新身份证晶片卡面资料分区,会废除储存电子证书的功能。[8]随着eID系统推出,政府亦会检讨核证机关的服务及营运安排,包括由私人市场提供所有数码证书的可行性。[9]可以预期,eID将会逐步取代个人电子证书。

香港的电子证书

为了配合互联网服务的发展,香港邮政在2000年成立了认可公共核证机关,发出「认可数码证书」,用以处理电子交易。电子证书可有效认证交易双方身分、辨证传送的信息有否被更改、确保私隐不受侵犯,以及防止任何一方否认曾作出承诺。[10]一言以蔽之,电子证书是为了促进市民在安全及可信的环境下进行电子交易。

电子证书可载于香港身份证、安装于个人电脑或其他适当的储存装置。数码证书通常以密码保护,在网上交易前须首先输入密码。[11]电子证书可供个人及机构申请,而不同使用者亦可将之应用在不同服务上。

举例而言,市民可在不同部门更改地址、提交报税表、申请登记为选民及申请换领驾驶或车辆牌照等政府公共服务上使用电子证书认证身分。而一般机构若需要向香港海关提交电子预报货物资料,亦可以电子证书登入「道路货物资料系统」。商户亦需要使用电子证书,在电子投标箱递交投标报价书。[12]

另一方面,电子证书亦支援不同的银行电子服务,例如在电子支票上产生数码签署。在个别银行的网上银行服务使用电子证书,更毋须预先登记,即可缴交高风险商户之帐单,并以较低手续费办理汇款,以及免费转账至本地其他银行。[13]

从发展电子证书中学习

虽然电子证书涵盖不少公私营服务,但在香港仍未被广泛运用。截至2016年年底,核证机关在香港所发出而仍然有效的个人电子证书,只有14,448张,用于智能身份证上的个人电子证书只有163张,机构电子证书亦少于五万张。[14]

相较2005年年底,核证机关共发出约147万张个人及机构电子证书,其中超过120万张为内置于智能身份证的个人电子证书[15],近十年来,电子证书使用率不升反跌。

当时政府已发现,新签发的电子证书,有八成属植入于智能身份证,供持证人首年免费使用的个人电子证书。不过,2004年的一项调查显示,在2004年4至6月期间,只有10%市民曾使用智能身份证上的电子证书。[16]

在2005年的检讨中认为,电子证书不流行的原因在于,香港使用电子证书只是进行网上交易时其中一种认证方式,而且当时主要银行选择以一次性密码显示器或短讯服务等其他方式进行网上认证。因此,政府估计不会有太多人愿意缴付年费,为内置于身份证的电子证书续期。[17]

此外,电子证书须使用个人电脑和读卡器来读取,不能配合科技发展的趋势和市民使用流动电话及器材的习惯,这些都是电子证书的限制。[18]

eID的设定,可以说是汲取了电子证书的失败经验。尽管目前相关详情尚未公布,不过政府计划利用至少两种生物特征,如指纹、虹膜[19]、声音、面容等方式核实身份。[20]而且,因应大众使用流动装置的习惯,eID将以虚拟形式在流动应用程式或其他互联网平台使用,不会以身份证为载体。[21]

政府除了免费供市民使用eID外,亦鼓励公私营机构利用eID为市民提供更多网上服务,更定下长远目标,要求所有政府部门以至公营机构必须支援使用 eID。[22]这些做法,加上其虚拟形式,相信可增加eID的使用率。

eID通行的愿景

现时政府及商业电子服务提供者,各自使用不同认证系统以核实用户身分,例如用户名称和密码、保安编码器或手机短讯等。使用 eID,市民将可随时随地利用同一登入方式使用各种电子服务,免却管理多组用户名称和密码或携带多个保安编码器的不便。[23]

eID在便利用户之余,也为电子服务提供者节省身分认证的开支。[24]举例说,一个有效的身分认证系统可以加快认证流程,免却证明身分所涉及的步骤及文件,同时亦可避免市民资料过度曝光,增加隐私泄露或身份盗用的风险。[25]

另一方面,中小型企业亦可依靠eID在交易间进行身份认证,节省开发及营运个别用户身分认证系统的开支和时间,促进香港电子商务的发展。[26]

市民可能难以想象各种应用eID的场景。以数码身分认证系统著名的爱沙尼亚为例,除了一般的网上身分认证外,eID更可让公民用互联网投票,这种做法既方便选民,亦减轻了点票工作的负担及可能的失误。此外,爱沙尼亚eID使用者可存取集中寄存的医疗保险档案及医疗纪录,因此,由医生处方药物、药房配药,到病人取药及向保险索偿,整个过程都可以无纸化。[27]

保障私隐 有助推动eID

在看重私隐的香港,要推动数码身分认证,政府亦需要在保障个人资料方面,建立市民的信心。翻查各地例子,可见不少计划都容许用户追踪自己的资料去向。如果想令市民更安心,以加强推广数码认证,香港亦可参考这些例子。

以芬兰的TUPAS数码身分认证系统为例,这个系统由银行认证用户身份,并代表用户将资料传送给信赖凭证者。用户透过银行提供的凭证,可获取不同服务,同时看到这些信赖凭证者索取了哪些资料,而且,这些信赖凭证者必须先得到用户同意,银行才会传送相关资料。[28]

在比利时,公民亦可经政府电子系统,查阅过去六个月内,哪一个政府机构曾索取其公民资料,同时可透过网上表格,要求政府机构提供正式解释,阐述索取其个人资料的原因。[29]

新加坡将国家数字身分注入手机应用程式

目前,香港政府希望市民可通过流动应用程式及其他互联网平台,登记及使用eID,这种做法,与同样正部署推行国家数字身份(NDI)的新加坡相似。[30]

新加坡市民目前要使用电子政府服务,可以SingPass进行身份认证,过程需要用到一次性密码,密码可选择由保安编码器随机产生,或以短讯收取。不过前者相对不方便,而后者则易被骇客盗取。为了同时解决这两个问题,新加坡政府打算以手机应用程式作NDI载体,来进行身份认证。[31]

新加坡亦计划在不久将来设立一个叫Moments of Life的政府电子服务,希望根据市民在人生中的不同阶段(例如:组织家庭或生育孩子),通过单一平台将不同的政府服务联系,节省他们与不同机构协调及沟通的时间[32],这些更为个人化的服务,都是香港设立eID后,可以研究的发展方向。

以香港人的生活习惯,应用程式是否有作为eID载体的潜力﹖据政府统计处(统计处)资料,在2016年,有接近550万名十岁及以上人士拥有智能手机,较2014 年的人数多出约60万人。智能手机的渗透率,也由2014年的77.2%升至2016年的 85.8%。[33]使用智能手机上网的情况,亦日趋普及。2016年,在所有曾上网的十岁及以上人士中,有98%曾使用智能手机接驳互联网,较2014年上升3.3个百分点。[34]

仍有大量长者未有智能电话 推广时要注意数码鸿沟

近年香港同样有愈来愈多长者使用智能手机。在2014年,每四名 65岁及以上人士中,大约只有一名有智能手机,然而在2016年,大约每五名65岁及以上人士,便有两名有智能手机。而在45至 64岁人士中,智能手机渗透率亦由2014 年的78.6%,上升至2016年的91.5%。[35]

虽然如此,香港总人口中还有14.2%的人没有智能手机,65岁及以上的人士,这个比率更是多于一半(57.1%)。[36]换而言之,假如eID只能以应用程式为载体,香港将有不少人无法受惠。

世界经济论坛认为,一个数码身分系统应协助市民融入金融和社会系统,因此,数码身分应被视为社会公益(Social good),所有市民只要想参与,都能参与。[37]

智经早前撰文亦曾提到「友待长者」的资讯科技政策,让长者可走进数码生活[38],一个以流动电话号码作载体、以SIM卡为认证单位的eID系统,可能有助长者融入数码社会。

统计处数据可见,在2016年4至7月,香港有96.1%的人拥有包括智能手机在内的流动电话。与智能手机不同,拥有流动电话的市民在各年龄组别中都占大多数,60岁及以上人士中,就有92.1%的男性和85.5%的女性拥有手提电话。[39]

爱沙尼亚和芬兰将eID载于SIM卡

因此,以流动电话为单位的eID,可能更有助推动数码身分系统。参考外国经验,与流动电话服务供应商合作,亦可能有助政府提供流动认证服务。[40]爱沙尼亚及芬兰两地的eID,就是由流动电话服务供应商,向市民提供套用了公钥基础设施(Public Key Infrastructure)的SIM卡,让市民可以用流动电话认证身分。[41]

在爱沙尼亚,这些SIM卡由官方认证机构发出,再由流动电话服务供应商透过手机合约出售予用户,认证过程毋须额外硬件或其他文档。[42]而芬兰的认证系统,就建基于SIM卡和服务提供者的资料库,为确保使用服务的市民为认证者本人,市民需要在手机上再键入密码,才可使用电子服务。[43]

虽然上述两种流动认证方法,均需要透过电话上网进行,不过建基于SIM 卡的技术,使用时只需一部能够上网的功能手机,而不一定是智能电话。为了确保长者能融入数码社会,这种以SIM卡为eID的应用方案,亦值得社会讨论。

提供跨越国界身分 可便利营商﹖

虽然香港预计要到2020年才开始流通eID,而且暂时只为本地居民而设,不过参考国际趋势,这种技术的发展,可以跨地域,亦可以跨国籍。财经事务及库务局局长刘怡翔曾提到,eID目前虽限定使用者为香港人,但下一步可以开放至非香港地区,证监会亦有提及跨境开户的未来设想。[44]

事实上,爱沙尼亚就在2014年设立电子居民身份证(e-Residency),供全世界有兴趣的人申请。[45]虽然直到目前为止,这张身份证仍不会为持证人带来任何实体的公民权利,不过持证人可以此使用爱沙尼亚的电子政府服务,亦可在爱沙尼亚营运网上生意。[46]

爱沙尼亚政府的做法,看来对当地商务发展有一定助益,因为自推出电子居民身份证后,已有33,438名来自154个国家的人士申请,当地亦超过5,033间公司现由电子居民持有。[47]有持证人表示,证件有利商业交易,亦方便他们在境外开展爱沙尼亚的业务。[48]

在全球化浪潮下,数码个人身分,将来更可能跨越边界,适用于其他地方。经济合作与发展组织(OECD)的工作小组就曾提及,以往政府主要关注于建立自己的数码公民身分,不过,不少地方开始思考如何跨国应用各自的数码公民身分。[49]以欧盟为例,预计今年中开始,成员国间的数码公民身分将能够互通互认,进一步扩大eID的潜力。[50]

跨边境跨国籍的数码身分,对我们而言,或许有些遥远。不过千里之行,始于足下,随着香港eID系统在2020年正式运作,除了以其对付黄牛党,它的各种潜在用途,有待社会继续发掘。

1 洪晓璇,「【宫崎骏御用】久石让香港开骚加场实名制买飞 其他歌手几时跟?」。取自香港01网站:https://www.hk01.com/article/171054,最后更新日期2018年3月23日;「【网上热话】黄子华栋笃笑黄牛票炒贵近两倍 $900至$2400不等 (13:45)」。取自明报即时新闻网:https://news.mingpao.com/ins/instantnews/web_tc/article/20180326/s00001/1522042419686,最后更新日期2018年3月26日。
2 洪晓璇,「【宫崎骏御用】久石让香港开骚加场实名制买飞 其他歌手几时跟?」。取自香港01网站:https://www.hk01.com/article/171054,最后更新日期2018年3月23日。
3 「亚博馆推实名购票系统 杜绝黄牛炒卖门票」。取自Topick网站:https://topick.hket.com/article/2040166,最后更新日期2018年3月28日。
4 「智慧城市重要基础建设」,立法会资讯科技及广播事务委员会,立法会CB(4)701/17-18(03)号文件,2018年3月12日,第2至3页。
5 同4。
6 同4。
7「关于香港邮政电子证书」。取自香港邮政电子核证网站:https://www.hongkongpost.gov.hk/about/intro/index_c.html,查询日期2018年4月10日。
8 「新智能身份证」,立法会保安事务委员会,立法会CB(2)424/17-18(05)号文件,2017年12月5日,第2、4至5页。
9 同4。
10 同7。
11 「『电子认证』和数码证书」。取自香港政府一站通网站:https://www.gov.hk/tc/residents/communication/infosec/digitalcert.htm,最后更新日期2018年2月9日。
12 「电子证书应用」。取自香港邮政电子核证网站:http://www.hongkongpost.gov.hk/product/ecert/usage/index_c.html,查询日期2018年2月8日。
13 同12。
14 「财务委员会审核二零一七至一八年度开支预算管制人员的答复(答复编号:ITB189)」。取自立法会网站:http://www.legco.gov.hk/yr16-17/chinese/fc/fc/w_q/itb-c.pdf,查询日期2018年2月8日,第429页。
15 「香港邮政核证机关业务检讨」,立法会资讯科技及广播事务委员会,立法会CB(1)460/05-06(05)号文件,2005年12月12日,第2页。
16 同15,第3页。
17 同15,第3至4页。
18 同8,第5页。
19 注:一个眼睛上的虹膜可找出约240个不同的特征点,由统计的观点来看,要找出完全相符的机率只有1/10^72,与指纹(约30–40个特征点)相较,具有更高的准确性,也是目前具有最高安全性的生物辨识方式。资料来源:许鹤龄,「虹膜辨识技术」。取自CTimes网站:https://www.ctimes.com.tw/DispArt/tw/虹膜辨识/0403251710CI.shtml,最后更新日期2004年3月25日。
20 「eID如一条锁匙 通行多个户口」。取自明报新闻网网站:https://news.mingpao.com/pns/dailynews/web_tc/article/20180122/s00002/1516558362869,最后更新日期2018年1月22日。
21 「立法会十四题:为香港居民提供数码个人身分」。取自政府新闻公报网站:http://www.info.gov.hk/gia/general/201711/22/P2017112200542.htm,最后更新日期2017年11月22日。
22 同4。
23 同4。
24 「智慧城市蓝图公布」。取自香港政府新闻网网站:http://www.news.gov.hk/tc/categories/finance/html/2017/12/20171215_114116.shtml,最后更新日期2017年12月15日。
25 "A Blueprint for Digital Identity: The Role of Financial Institutions in Building Digital Identity," World Economic Forum, August 2016, p. 33.
26 同4。
27 "Estonian identity card : Estonia in the digital age," Gemalto, https://www.gemalto.com/govt/customer-cases/estonia-eid, accessed February 8, 2018.
28 同25,第59和69页。
29 "Digital dividends: reaping more with eGovernment services and eID schemes," Gemalto, https://www.gemalto.com/govt/inspired/digital-dividends, last modified November 27, 2017.
30 同4。
31 Irene Tham, "Coming your way: An NRIC - but in digital form on your smartphone," The Straits Times, http://www.straitstimes.com/tech/new-digital-identity-system-in-the-works, last modified August 22, 2017.
32 "Strategic National Projects to build a Smart Nation," GovTech Singapore, https://www.tech.gov.sg/-/media/GovTech/Media-Room/Media-Releases/2017/0821/Annex-A-StrategicNationalProjectsforaSmartNation.pdf, August 2017, p. 7.
33 「主题性住户统计调查第62号报告书 资讯科技使用情况和普及程度」,政府统计处,2017年4月,第11页。
34 「同33,第12页。
35 同33,第11至12页。
36 同33,第57页。
37 同25,第68页。
38 「向体验出发 长者如何走入数码生活」。取自智经研究中心网站:http://www.bauhinia.org/index.php/zh-HK/analyses/664,最后更新日期2017年11月13日。
39 「按年龄组别及性别划分的拥有手提电话(包括智能手机)的10岁及以上人士数目」。取自政府统计处网站:https://www.censtatd.gov.hk/hkstat/sub/gender/itu/index_tc.jsp,最后更新日期2017年7月27日。
40 "Digital Identity: Towards Shared Principles for Public and Private Sector Cooperation," World Bank Group, GSMA, Secure Identity Alliance, July 2016, p. 30.
41 同40。
42 同40,第37页。
43 同40,第38页。
44 郑宝生,「刘怡翔:优先研究银行区块链系统 KYCU及eID助业界甄别风险」。取自香港01网站:https://www.hk01.com/article/127211,最后更新日期2017年10月20日。
45 Nabeelah Shabbir, "Estonia offers e-residency to foreigners," The Guardian, https://www.theguardian.com/world/2014/dec/26/estonia-offers-e-residency-to-world-what-does-it-mean, last modified December 26, 2014.
46 "e-Residency: mapping the future for eID," Gemalto, https://www.gemalto.com/govt/customer-cases/e-residency, last modified March 27, 2018; Nabeelah Shabbir, "Estonia offers e-residency to foreigners," The Guardian, https://www.theguardian.com/world/2014/dec/26/estonia-offers-e-residency-to-world-what-does-it-mean, last modified December 26, 2014.
47 "e-Residency: mapping the future for eID," Gemalto, https://www.gemalto.com/govt/customer-cases/e-residency, last modified March 27, 2018.
48 "Developments in digital identity," Working Party on Security and Privacy in the Digital Economy, Organisation for Economic Co-operation and Development, DSTI/ICCP/REG(2015)12, November 6, 2015, p. 22.
49 同48,第3至4页。
50 "Access to the European public services with national eID is becoming possible," European Commission, https://ec.europa.eu/digital-single-market/en/news/access-european-public-services-national-eid-becoming-possible, last modified March 7, 2017.