讀者投書
波羅的海小國愛沙尼亞,在近年被視為充滿科技創新的國度,政府與民間合手打造一個從出生、電子病歷、投票都數位化,高達2,500項服務都可以在網上完成的國度。作者在去年(2019)走訪愛國,目睹這e化的「數位公民」模式,與當地學者、官員、系統開發工程師交換意見,並翻譯愛沙亞尼的數位治理架構;透過愛沙亞尼經驗再回頭檢視台灣目前狀況,究竟台灣能否突破資安的疑慮,走向更開放和安全的數位治理?
一個國家數位經濟化的程度多半跟其數位治理程度有高度正相關。原因不外乎,當一個國家的國民習慣使用政府的數位治理工具與政府互動時,自然也不會排斥使用其他數位經濟產品。但數位治理之路要能順利,重要的不只是新科技、新技術,一套新的思維、新的法規,以及政府與民間培養出新的信任基礎更為重要。
台灣的數位身分證(eID)政策在上百位資安專家反對下,政府臨時喊卡;而規劃中的「數位發展部」又定位混沌,雖為蔡政府重點政策,卻因缺乏明確架構,讓反對人士輕易將其框之為以發展為名行管控之實的「電子捕獸夾」。親身走訪愛沙尼亞的過程中,除了與當地參與數位治理的各方交換意見,我也著手翻譯架構數位治理之基礎法條,希望藉此探究台灣能學習的殷鑑。
Skype共同創辦人艾那斯(Toivo Annus),在7月中因一場意外疾病去世,他被稱為是愛沙尼亞最有影響力的投資人之一,卻在48歲就過世,是科技界和新創界的一大損失。由他所創辦的Skype於2003年在愛國創立,草創之初便擁有新穎的思維和進軍全球的抱負,兩年之內Skype的估值就超過了10億美元,成為愛沙尼亞的第一家獨角獸公司。
我曾在2019年9月訪問愛沙尼亞,在訪問期間聽了e-Estonia簡報、看了eID技術的現場示範,一般國民只要綁定手機認證後就能快速在網路上報稅、快速查看自己的病歷、文憑、戶籍等資料,我對於他們各式各樣的科技治國方式驚豔不已。生活在愛沙尼亞,只有在「買賣土地」、「結婚」、「離婚」時,才需要本人到現場,其餘政府所提供的2,500多項服務裡,包含出生登記、就學登記、電子病歷、報稅繳稅、申請補助、辦駕照到投票等事務有高達99%都已經數位化,愛沙尼亞的國民不用出門就能在線上快速完成。自「數位身分證」開始推行至今,現在愛沙尼亞「數位公民」的普及率已達到97%。
愛沙尼亞自1991年從蘇聯獨立後,最初只有少部分的國民擁有手機,但僅僅只經過10年,2002年愛國政府已經開始推行eID;2005年,成為全世界第一個利用I-Voting進行國會選舉的國家。
愛沙尼亞擁有一套獨特的國家資料庫系統「X-Road」:X-Road是一套龐大的個人資料交換系統,任何人不論是在政府機關或是私人企業留下的個資,都會匯集到X-Road資料庫。只要經過資料擁有者的授權同意,政府機關與企業就能透過X-Road資料庫,互相調閱各個公部門、私部門獨立資料庫中的資料;當資料可以共享時,民眾也無需再重複填寫相同的個人資料,業務的辦理也更加快速。
20年間,愛沙尼亞政府做了幾件重要的決定。
首先在2000年時,愛沙尼亞境內的所有學校就都已有寬頻可以上網,網路普及率已幾乎遍布全國,政府大規模建立免費網路、提升寬頻速度,是個高度落實網路使用權的國家。接著,是政府內部數位化,在既有的電子化政府措施,打造政府部門間的數據交換網絡。
之後,政府結合了公私部門研發的設計服務,讓政府相關99%的服務皆可線上申請,讓eID融入國民的生活。也就是政府先提升國民的使用意願,再讓國民習慣eID。
在與政府資訊官員訪談時我問,為什麼愛沙尼亞建國之初就這麼著重數位建設。他們的回答是:「因為我們太窮了!」原來在1991年獨立之時,愛沙尼亞連在國土各處設立區公所的預算都沒有,也拿不出錢採買IBM等國際大廠的軟硬體設備。於是他們決定擁抱了當時才剛問世的新科技:利用網路來解決民眾與政府間互動的需求。
現在,只要擁有一張內建有個人電子簽名的數位身分證以確認使用者身分,就能利用這套資料庫技術,連接各式各樣橫跨公營及私營領域的小系統,為生活在愛沙尼亞的人提供處理日常的電子服務,e-Estonia讓國家全盤數位化,為居民省去辦理手續及外出排隊的時間,也為國家節省聘用行政人員的成本。
但,當生活各個層面都e化的同時,難道該國民眾都不擔心自己的數位足跡被政府全面掌控嗎?愛沙尼亞以數位治理技術管理資訊政策的同時,也能做到個資與資安保護,原因有幾個層面:
●技術層面
愛沙尼亞政府用區塊鏈等類似技術建立了「個人資料使用開源監測系統」,只要有任何政府人員調閱國民個資時,都會在系統留下紀錄,所以每一位國民都能隨時知道自己的個資在何時被哪個政府單位查詢,若認為政府單位不當調閱或查詢個資時,也都能向法院提出異議。
●法律層面
他們有與資訊政策相應而且周延的完整法律架構。例如,為了推動eID,愛沙尼亞修訂了《個資法》、《數位簽章法》、《公開資訊法》、《資訊系統安全措施法》等法規,用更細緻配合系統運作的法規來守護資安及保障國民的隱私。
●教育層面
愛沙尼亞重視數位教育與資訊教育,成立資訊科技教育基金會,自1996年起開始負責高中以下的資訊教育。2012年開始的「程式老虎」計畫(Progetiiger)除了重點栽培數位資訊教育師資外,甚至也將數位資訊教育延伸至幼兒園,即使是偏鄉地區也不例外。
在台灣數位身分證因各種疑慮目前停滯推行,追根究柢,各界對eID的不信任來自於相應法規的不完備性,若直接推行勢必產生許多隱私侵害與資安漏洞的問題。
台灣在今年5月底時才被美國資安公司Cyble揭露有暗網在販賣台灣的戶籍資料,並聲稱資料庫的來源是內政部戶政司;雖然行政院調查後說明不是戶政單位資料,而是彙整各不同來源資訊拼湊而得,但外洩的資料裡還是包含了中英文姓名、身分證號碼、護照號碼,或是其他證照的編號,也有行業類別和薪資所得,這些資訊外流再一次證明了台灣政府在資安政策和個資保護上的不足。蔡英文總統也曾在競選連任前表示台灣要成立「數位發展部」,希望能透過成立橫跨資訊、資安、電信、網路及傳播5大領域的主管機關來達成台灣的數位轉型,但目前關於數位發展部的成立也是雷聲大雨點小,是否能達到全面帶領我國數位治理轉型的遠大目標,目前還沒有人知道。
從愛沙尼亞數位治理的經驗裡我們看到的是,一個國家要走向數位治理,除了理解新科技的重要性,也需要有一套因應新科技的「新思維」,因此有一套相應的隱私權保護措施更為重要。同時結合技術、法律、教育等多個層面,並建立民眾與政府間的「信任」才是真正的關鍵,民眾會願意使用政府數位治理工具的前提必定是:
- 信任政府會妥善保管其個資 ;
- 信任政府會善用其個資,不會無目的的搜集用不到的資料,或者搜集過的資料在不同部門又被重複搜集;
- 信任政府部門不會在沒有正當理由下存取甚至是監控其提交的個資。
要達到這樣的信任程度,很大一部分來自政府科技通常使用開源軟體。使用開源軟體的好處讓政府所採用的技術可以輕易地受到科技社群的監督,另一方面,民間的技術高手也能替政府找出資安漏洞,並協力進行補強。在建立人民對數位治理的信任上,愛國政府使用公開透明的開源軟體與民間社會進行對話,是其中不可忽視的因素。
除了使用開源軟體,最重要還有政府開誠布公的治理心態。
每當筆者提起愛沙尼亞的數位身分證,時不時會受到這樣的質疑:愛沙尼亞的eID不是在2017年發生「資安漏洞」?事實上,愛沙尼亞是在他們最前端的加密程式上發現有安全漏洞,讓系統有理論上被入侵的「可能」,因此他們超前部署將漏洞補強,過程中也沒有發現任何公民個資遭到竊取。
這跟每台電腦及智慧型手機上的軟體升級、安全性補丁 (security patch)是一樣正常的事,愛沙尼亞政府其實大可默默處理,但他們決定將這個漏洞公諸於世,並與社群分享技術細節,讓愛沙尼亞國民以及全世界的資安社群知道他們在系統加密上投注多大的心血及對資安保護的決心。這種數位治理模式才是讓愛沙尼亞晉身數位化大國的根本因素,可惜的是,消息傳到台灣被聚焦為「資安漏洞」,讓有心人士藉此操作對數位身分證的不安心理,平白錯失一次深入探討「數位治理典範」的良機。
愛沙尼亞是地理位置特殊的小國,因此歷史上不斷地被周遭大國騷擾、侵略,甚至併吞,成為愛沙尼亞致力於發展數位治理的原因之一。愛沙尼亞前總統易維斯(Toomas Hendrik Ilves)在分享經驗時曾提到:
「不只是愛沙尼亞,只要是小國家,都必須要有將重要資料數位化,存放在安全地方的意識,否則當災難一發生,過去傳統的紙本資料都會一夕之間消失殆盡,對整個國家和人民來說,要重建許多事情會變得非常困難。」 「像我們一樣的小國,應該要有大刀闊斧的決心,而完成數位治國的關鍵並非在於技術,而是國家是否擁有足夠的政治意志,去制定相應的法律來執行數位化」。
台灣和愛沙尼亞一樣,都是地理位置特殊的小國家,在歷史上不斷的被周圍國家騷擾甚至侵略,我們也都擁有充滿活力的民間創新能力,期許我們的政府能夠健全新創技術發展的環境、建立一套周延保障的法規,透過技術、法規與信任的結合,台灣也能成為世界的數位治理大國。
用行動支持報導者
獨立的精神,是自由思想的條件。獨立的媒體,才能守護公共領域,讓自由的討論和真相浮現。
在艱困的媒體環境,《報導者》堅持以非營利組織的模式投入公共領域的調查與深度報導。我們透過讀者的贊助支持來營運,不仰賴商業廣告置入,在獨立自主的前提下,穿梭在各項重要公共議題中。
你的支持能幫助《報導者》持續追蹤國內外新聞事件的真相,邀請你加入 3 種支持方案,和我們一起推動這場媒體小革命。