論eID潛力 從實名制購票說起


科技及創新 | 2018-04-25 《經濟日報》 下一篇 上一篇

從久石讓的音樂會到黃子華的棟篤笑,不少粉絲也許體會到「撳到F5都爛」亦無法搶購門票的心情。在一票難求的情況下,出現不少「黃牛飛」,有門票炒價達原價兩倍。[1]為杜絕黃牛黨,有主辦單位以實名制發售加場場次的門票。[2]

近日,亞洲國際博覽館已採用實名購票制,購票者在網上購票時需輸入個人資料,再在入場時出示電子票及身份證明文件。[3]這種處理方法,或會令人認為過於繁複,政府正計劃為香港居民提供的數碼個人身分(eID),是否能提供兩全其美的方案﹖

香港版eID留有空間發展公私營服務

根據政府今年3月公布的建議,eID是一條綜合的數碼身分認證鎖匙,市民可輕易且可靠地利用eID,使用政府和商業電子服務。eID 由政府免費提供予所有香港居民,市民可自願申請和使用。[4]

例如,市民可使用eID,在網上提交續領牌照、訂場和預約時間等服務或簽署文件;授權提取已儲存在電子服務系統內的資料,以作預填表格或更改住址之用。政府亦會積極推動公私營機構利用eID,讓市民能以其使用更多網上服務,例如網上銀行、網上購物、網上繳費以及其他電子商務等。[5]

除以上功能外,eID亦提供具法律效力的數碼簽署功能,用作處理合約丶法定文件及程序丶重要商業交易等用途。[6]現在具法律效力的數碼簽署,都來自香港郵政核證機關(核證機關)發出的「認可數碼證書」。這些數碼證書包括可載入智能身份證內的個人電子證書。[7]

不過,今年第四季開始,全港市民將會在2022年前,分階段換領新智能身份證。而新身份證晶片卡面資料分區,會廢除儲存電子證書的功能。[8]隨着eID系統推出,政府亦會檢討核證機關的服務及營運安排,包括由私人市場提供所有數碼證書的可行性。[9]可以預期,eID將會逐步取代個人電子證書。

香港的電子證書

為了配合互聯網服務的發展,香港郵政在2000年成立了認可公共核證機關,發出「認可數碼證書」,用以處理電子交易。電子證書可有效認證交易雙方身分、辨證傳送的信息有否被更改、確保私隱不受侵犯,以及防止任何一方否認曾作出承諾。[10]一言以蔽之,電子證書是為了促進市民在安全及可信的環境下進行電子交易。

電子證書可載於香港身份證、安裝於個人電腦或其他適當的儲存裝置。數碼證書通常以密碼保護,在網上交易前須首先輸入密碼。[11]電子證書可供個人及機構申請,而不同使用者亦可將之應用在不同服務上。

舉例而言,市民可在不同部門更改地址、提交報稅表、申請登記為選民及申請換領駕駛或車輛牌照等政府公共服務上使用電子證書認證身分。而一般機構若需要向香港海關提交電子預報貨物資料,亦可以電子證書登入「道路貨物資料系統」。商戶亦需要使用電子證書,在電子投標箱遞交投標報價書。[12]

另一方面,電子證書亦支援不同的銀行電子服務,例如在電子支票上產生數碼簽署。在個別銀行的網上銀行服務使用電子證書,更毋須預先登記,即可繳交高風險商戶之帳單,並以較低手續費辦理匯款,以及免費轉帳至本地其他銀行。[13]

從發展電子證書中學習

雖然電子證書涵蓋不少公私營服務,但在香港仍未被廣泛運用。截至2016年年底,核證機關在香港所發出而仍然有效的個人電子證書,只有14,448張,用於智能身份證上的個人電子證書只有163張,機構電子證書亦少於五萬張。[14]

相較2005年年底,核證機關共發出約147萬張個人及機構電子證書,其中超過120萬張為內置於智能身份證的個人電子證書[15],近十年來,電子證書使用率不升反跌。

當時政府已發現,新簽發的電子證書,有八成屬植入於智能身份證,供持證人首年免費使用的個人電子證書。不過,2004年的一項調查顯示,在2004年4至6月期間,只有10%市民曾使用智能身份證上的電子證書。[16]

在2005年的檢討中認為,電子證書不流行的原因在於,香港使用電子證書只是進行網上交易時其中一種認證方式,而且當時主要銀行選擇以一次性密碼顯示器或短訊服務等其他方式進行網上認證。因此,政府估計不會有太多人願意繳付年費,為內置於身份證的電子證書續期。[17]

此外,電子證書須使用個人電腦和讀卡器來讀取,不能配合科技發展的趨勢和市民使用流動電話及器材的習慣,這些都是電子證書的限制。[18]

eID的設定,可以說是汲取了電子證書的失敗經驗。儘管目前相關詳情尚未公布,不過政府計劃利用至少兩種生物特徵,如指紋、虹膜[19]、聲音、面容等方式核實身份。[20]而且,因應大眾使用流動裝置的習慣,eID將以虛擬形式在流動應用程式或其他互聯網平台使用,不會以身份證為載體。[21]

政府除了免費供市民使用eID外,亦鼓勵公私營機構利用eID為市民提供更多網上服務,更定下長遠目標,要求所有政府部門以至公營機構必須支援使用 eID。[22]這些做法,加上其虛擬形式,相信可增加eID的使用率。

eID通行的願景

現時政府及商業電子服務提供者,各自使用不同認證系統以核實用戶身分,例如用戶名稱和密碼、保安編碼器或手機短訊等。使用 eID,市民將可隨時隨地利用同一登入方式使用各種電子服務,免卻管理多組用戶名稱和密碼或攜帶多個保安編碼器的不便。[23]

eID在便利用戶之餘,也為電子服務提供者節省身分認證的開支。[24]舉例說,一個有效的身分認證系統可以加快認證流程,免卻證明身分所涉及的步驟及文件,同時亦可避免市民資料過度曝光,增加隱私洩露或身份盜用的風險。[25]

另一方面,中小型企業亦可依靠eID在交易間進行身份認證,節省開發及營運個別用戶身分認證系統的開支和時間,促進香港電子商務的發展。[26]

市民可能難以想像各種應用eID的場景。以數碼身分認證系統著名的愛沙尼亞為例,除了一般的網上身分認證外,eID更可讓公民用互聯網投票,這種做法既方便選民,亦減輕了點票工作的負擔及可能的失誤。此外,愛沙尼亞eID使用者可存取集中寄存的醫療保險檔案及醫療紀錄,因此,由醫生處方藥物、藥房配藥,到病人取藥及向保險索償,整個過程都可以無紙化。[27]

保障私隱 有助推動eID

在看重私隱的香港,要推動數碼身分認證,政府亦需要在保障個人資料方面,建立市民的信心。翻查各地例子,可見不少計劃都容許用戶追蹤自己的資料去向。如果想令市民更安心,以加強推廣數碼認證,香港亦可參考這些例子。

以芬蘭的TUPAS數碼身分認證系統為例,這個系統由銀行認證用戶身份,並代表用戶將資料傳送給信賴憑證者。用戶透過銀行提供的憑證,可獲取不同服務,同時看到這些信賴憑證者索取了哪些資料,而且,這些信賴憑證者必須先得到用戶同意,銀行才會傳送相關資料。[28]

在比利時,公民亦可經政府電子系統,查閱過去六個月內,哪一個政府機構曾索取其公民資料,同時可透過網上表格,要求政府機構提供正式解釋,闡述索取其個人資料的原因。[29]

新加坡將國家數字身分注入手機應用程式

目前,香港政府希望市民可通過流動應用程式及其他互聯網平台,登記及使用eID,這種做法,與同樣正部署推行國家數字身份(NDI)的新加坡相似。[30]

新加坡市民目前要使用電子政府服務,可以SingPass進行身份認證,過程需要用到一次性密碼,密碼可選擇由保安編碼器隨機產生,或以短訊收取。不過前者相對不方便,而後者則易被駭客盜取。為了同時解決這兩個問題,新加坡政府打算以手機應用程式作NDI載體,來進行身份認證。[31]

新加坡亦計劃在不久將來設立一個叫Moments of Life的政府電子服務,希望根據市民在人生中的不同階段(例如:組織家庭或生育孩子),通過單一平台將不同的政府服務聯繫,節省他們與不同機構協調及溝通的時間[32],這些更為個人化的服務,都是香港設立eID後,可以研究的發展方向。

以香港人的生活習慣,應用程式是否有作為eID載體的潛力﹖據政府統計處(統計處)資料,在2016年,有接近550萬名十歲及以上人士擁有智能手機,較2014 年的人數多出約60萬人。智能手機的滲透率,也由2014年的77.2%升至2016年的 85.8%。[33]使用智能手機上網的情況,亦日趨普及。2016年,在所有曾上網的十歲及以上人士中,有98%曾使用智能手機接駁互聯網,較2014年上升3.3個百分點。[34]

仍有大量長者未有智能電話 推廣時要注意數碼鴻溝

近年香港同樣有愈來愈多長者使用智能手機。在2014年,每四名 65歲及以上人士中,大約只有一名有智能手機,然而在2016年,大約每五名65歲及以上人士,便有兩名有智能手機。而在45至 64歲人士中,智能手機滲透率亦由2014 年的78.6%,上升至2016年的91.5%。[35]

雖然如此,香港總人口中還有14.2%的人沒有智能手機,65歲及以上的人士,這個比率更是多於一半(57.1%)。[36]換而言之,假如eID只能以應用程式為載體,香港將有不少人無法受惠。

世界經濟論壇認為,一個數碼身分系統應協助市民融入金融和社會系統,因此,數碼身分應被視為社會公益(Social good),所有市民只要想參與,都能參與。[37]

智經早前撰文亦曾提到「友待長者」的資訊科技政策,讓長者可走進數碼生活[38],一個以流動電話號碼作載體、以SIM卡為認證單位的eID系統,可能有助長者融入數碼社會。

統計處數據可見,在2016年4至7月,香港有96.1%的人擁有包括智能手機在內的流動電話。與智能手機不同,擁有流動電話的市民在各年齡組別中都佔大多數,60歲及以上人士中,就有92.1%的男性和85.5%的女性擁有手提電話。[39]

愛沙尼亞和芬蘭將eID載於SIM卡

因此,以流動電話為單位的eID,可能更有助推動數碼身分系統。參考外國經驗,與流動電話服務供應商合作,亦可能有助政府提供流動認證服務。[40]愛沙尼亞及芬蘭兩地的eID,就是由流動電話服務供應商,向市民提供套用了公鑰基礎設施(Public Key Infrastructure)的SIM卡,讓市民可以用流動電話認證身分。[41]

在愛沙尼亞,這些SIM卡由官方認證機構發出,再由流動電話服務供應商透過手機合約出售予用戶,認證過程毋須額外硬件或其他文檔。[42]而芬蘭的認證系統,就建基於SIM卡和服務提供者的資料庫,為確保使用服務的市民為認證者本人,市民需要在手機上再鍵入密碼,才可使用電子服務。[43]

雖然上述兩種流動認證方法,均需要透過電話上網進行,不過建基於SIM 卡的技術,使用時只需一部能夠上網的功能手機,而不一定是智能電話。為了確保長者能融入數碼社會,這種以SIM卡為eID的應用方案,亦值得社會討論。

提供跨越國界身分 可便利營商﹖

雖然香港預計要到2020年才開始流通eID,而且暫時只為本地居民而設,不過參考國際趨勢,這種技術的發展,可以跨地域,亦可以跨國籍。財經事務及庫務局局長劉怡翔曾提到,eID目前雖限定使用者為香港人,但下一步可以開放至非香港地區,證監會亦有提及跨境開戶的未來設想。[44]

事實上,愛沙尼亞就在2014年設立電子居民身份證(e-Residency),供全世界有興趣的人申請。[45]雖然直到目前為止,這張身份證仍不會為持證人帶來任何實體的公民權利,不過持證人可以此使用愛沙尼亞的電子政府服務,亦可在愛沙尼亞營運網上生意。[46]

愛沙尼亞政府的做法,看來對當地商務發展有一定助益,因為自推出電子居民身份證後,已有33,438名來自154個國家的人士申請,當地亦超過5,033間公司現由電子居民持有。[47]有持證人表示,證件有利商業交易,亦方便他們在境外開展愛沙尼亞的業務。[48]

在全球化浪潮下,數碼個人身分,將來更可能跨越邊界,適用於其他地方。經濟合作與發展組織(OECD)的工作小組就曾提及,以往政府主要關注於建立自己的數碼公民身分,不過,不少地方開始思考如何跨國應用各自的數碼公民身分。[49]以歐盟為例,預計今年中開始,成員國間的數碼公民身分將能夠互通互認,進一步擴大eID的潛力。[50]

跨邊境跨國籍的數碼身分,對我們而言,或許有些遙遠。不過千里之行,始於足下,隨着香港eID系統在2020年正式運作,除了以其對付黃牛黨,它的各種潛在用途,有待社會繼續發掘。

1 洪曉璇,「【宮崎駿御用】久石讓香港開騷加場實名制買飛 其他歌手幾時跟?」。取自香港01網站:https://www.hk01.com/article/171054,最後更新日期2018年3月23日;「【網上熱話】黃子華棟篤笑黃牛票炒貴近兩倍 $900至$2400不等 (13:45)」。取自明報即時新聞網:https://news.mingpao.com/ins/instantnews/web_tc/article/20180326/s00001/1522042419686,最後更新日期2018年3月26日。
2 洪曉璇,「【宮崎駿御用】久石讓香港開騷加場實名制買飛 其他歌手幾時跟?」。取自香港01網站:https://www.hk01.com/article/171054,最後更新日期2018年3月23日。
3 「亞博館推實名購票系統 杜絕黃牛炒賣門票」。取自Topick網站:https://topick.hket.com/article/2040166,最後更新日期2018年3月28日。
4 「智慧城市重要基礎建設」,立法會資訊科技及廣播事務委員會,立法會CB(4)701/17-18(03)號文件,2018年3月12日,第2至3頁。
5 同4。
6 同4。
7「關於香港郵政電子證書」。取自香港郵政電子核證網站:https://www.hongkongpost.gov.hk/about/intro/index_c.html,查詢日期2018年4月10日。
8 「新智能身份證」,立法會保安事務委員會,立法會CB(2)424/17-18(05)號文件,2017年12月5日,第2、4至5頁。
9 同4。
10 同7。
11 「『電子認證』和數碼證書」。取自香港政府一站通網站:https://www.gov.hk/tc/residents/communication/infosec/digitalcert.htm,最後更新日期2018年2月9日。
12 「電子證書應用」。取自香港郵政電子核證網站:http://www.hongkongpost.gov.hk/product/ecert/usage/index_c.html,查詢日期2018年2月8日。
13 同12。
14 「財務委員會審核二零一七至一八年度開支預算管制人員的答覆(答覆編號:ITB189)」。取自立法會網站:http://www.legco.gov.hk/yr16-17/chinese/fc/fc/w_q/itb-c.pdf,查詢日期2018年2月8日,第429頁。
15 「香港郵政核證機關業務檢討」,立法會資訊科技及廣播事務委員會,立法會CB(1)460/05-06(05)號文件,2005年12月12日,第2頁。
16 同15,第3頁。
17 同15,第3至4頁。
18 同8,第5頁。
19 註:一個眼睛上的虹膜可找出約240個不同的特徵點,由統計的觀點來看,要找出完全相符的機率只有1/10^72,與指紋(約30–40個特徵點)相較,具有更高的準確性,也是目前具有最高安全性的生物辨識方式。資料來源:許鶴齡,「虹膜辨識技術」。取自CTimes網站:https://www.ctimes.com.tw/DispArt/tw/虹膜辨識/0403251710CI.shtml,最後更新日期2004年3月25日。
20 「eID如一條鎖匙 通行多個戶口」。取自明報新聞網網站:https://news.mingpao.com/pns/dailynews/web_tc/article/20180122/s00002/1516558362869,最後更新日期2018年1月22日。
21 「立法會十四題:為香港居民提供數碼個人身分」。取自政府新聞公報網站:http://www.info.gov.hk/gia/general/201711/22/P2017112200542.htm,最後更新日期2017年11月22日。
22 同4。
23 同4。
24 「智慧城市藍圖公布」。取自香港政府新聞網網站:http://www.news.gov.hk/tc/categories/finance/html/2017/12/20171215_114116.shtml,最後更新日期2017年12月15日。
25 "A Blueprint for Digital Identity: The Role of Financial Institutions in Building Digital Identity," World Economic Forum, August 2016, p. 33.
26 同4。
27 "Estonian identity card : Estonia in the digital age," Gemalto, https://www.gemalto.com/govt/customer-cases/estonia-eid, accessed February 8, 2018.
28 同25,第59和69頁。
29 "Digital dividends: reaping more with eGovernment services and eID schemes," Gemalto, https://www.gemalto.com/govt/inspired/digital-dividends, last modified November 27, 2017.
30 同4。
31 Irene Tham, "Coming your way: An NRIC - but in digital form on your smartphone," The Straits Times, http://www.straitstimes.com/tech/new-digital-identity-system-in-the-works, last modified August 22, 2017.
32 "Strategic National Projects to build a Smart Nation," GovTech Singapore, https://www.tech.gov.sg/-/media/GovTech/Media-Room/Media-Releases/2017/0821/Annex-A-StrategicNationalProjectsforaSmartNation.pdf, August 2017, p. 7.
33 「主題性住戶統計調查第62號報告書 資訊科技使用情況和普及程度」,政府統計處,2017年4月,第11頁。
34 「同33,第12頁。
35 同33,第11至12頁。
36 同33,第57頁。
37 同25,第68頁。
38 「向體驗出發 長者如何走入數碼生活」。取自智經研究中心網站:http://www.bauhinia.org/index.php/zh-HK/analyses/664,最後更新日期2017年11月13日。
39 「按年齡組別及性別劃分的擁有手提電話(包括智能手機)的10歲及以上人士數目」。取自政府統計處網站:https://www.censtatd.gov.hk/hkstat/sub/gender/itu/index_tc.jsp,最後更新日期2017年7月27日。
40 "Digital Identity: Towards Shared Principles for Public and Private Sector Cooperation," World Bank Group, GSMA, Secure Identity Alliance, July 2016, p. 30.
41 同40。
42 同40,第37頁。
43 同40,第38頁。
44 鄭寶生,「劉怡翔:優先研究銀行區塊鏈系統 KYCU及eID助業界甄別風險」。取自香港01網站:https://www.hk01.com/article/127211,最後更新日期2017年10月20日。
45 Nabeelah Shabbir, "Estonia offers e-residency to foreigners," The Guardian, https://www.theguardian.com/world/2014/dec/26/estonia-offers-e-residency-to-world-what-does-it-mean, last modified December 26, 2014.
46 "e-Residency: mapping the future for eID," Gemalto, https://www.gemalto.com/govt/customer-cases/e-residency, last modified March 27, 2018; Nabeelah Shabbir, "Estonia offers e-residency to foreigners," The Guardian, https://www.theguardian.com/world/2014/dec/26/estonia-offers-e-residency-to-world-what-does-it-mean, last modified December 26, 2014.
47 "e-Residency: mapping the future for eID," Gemalto, https://www.gemalto.com/govt/customer-cases/e-residency, last modified March 27, 2018.
48 "Developments in digital identity," Working Party on Security and Privacy in the Digital Economy, Organisation for Economic Co-operation and Development, DSTI/ICCP/REG(2015)12, November 6, 2015, p. 22.
49 同48,第3至4頁。
50 "Access to the European public services with national eID is becoming possible," European Commission, https://ec.europa.eu/digital-single-market/en/news/access-european-public-services-national-eid-becoming-possible, last modified March 7, 2017.