閱讀時間 10 分鐘
已故空拍攝影師齊柏林鏡頭下的台灣平原,綠意盎然、充滿生機 . . .
同時非常的不自然。
原始的大自然沒有明確的邊界、整齊的作物。那都是人為的。為何要劃分的秩序井然?自然是為了讓人類更好管理。當鳥飛越農田時,不會理解一塊塊切割的意義;人類卻一看就知道,邊界代表不同的主人,或相異的作物。
相較於大自然,農田更具有可辨識性(legibility)— 因此更容易管理。特別是更容易讓政府管理。政府要徵稅、主持土地買賣、估算人民財富等,就必須先把大自然變得可辨識,接著就可以列管、組織、掌控。
政府更需要管理人,因此人也一步步變得可辨識。遠古的人活在小村莊,彼此以血脈與習俗維繫。許多人不識字或無名無姓。社會管理充滿人治與例外,政府組織也很難擴大。而現代人就非常「可辨識」了:每一個人都有固定的地址、姓名、生日,講同一語言,使用同樣的貨幣。人民從混亂的「大自然」,轉為井井有條的「農田」。於是政府可以抽稅、徵兵、印貨幣、補助企業等,管理更多人,也管理到生活更深的層面。
科技發展不斷提高可辨識性。貨幣的出現讓資產價值得以相互比較。火車串連起城市,統一了各地的時間。工業革命量化了供給與需求鏈,並推動專科教育、戶籍體系,讓「能力」與「身份」有了定義。而金融系統的發展把床底下的現金,轉為銀行存摺上的數字。越多東西可辨識,整個社會產值越高。
注意觀察數字。任何東西能以一串數字代表,就代表它被「可辨識化」,成為某人管理的對象。學號、身分證號、工號、ISBN 書號、網址(URL). . . 如果覺得「可辨識化」太拗口,今天可以概稱為「數位化」。
數位化最大的價值是能規模化(scale)。過去要管理一個村莊,只能靠經驗。但經驗有其極限,而且不一定適用其他村莊。可是數位化是一種理論架構,可以延伸,也可以套用在同類的目標上。更好的是可以「疊床架屋」,在數位化的系統之上建立新系統。例如有了農田的邊界,就有產權,可以抵押、貸款、契作,甚至推出稻米期貨等等。
今天最有力量的科技是軟體。軟體進一步的挖出過去無法「辨識」的東西,例如各大網路平台吸入全球用戶,開始量化人們的注意力、情緒、人際關係與興趣。並且開始變現 — 網路平台代替政府,從這些新的「農田」中抽稅。以亞馬遜為例,其用訂閱制(Prime)降低交易門檻,用綑綁收割零碎需求;不僅從交易中分潤,還從物流、倉儲、雲服務收費。最後還收個人化的廣告費 — 就像擰抹布一樣,用力擰出每一分(過去政府分不到的)錢。
而數位化也有正向迴圈(positive feedback):越多東西數位化,其他的也必須跟著數位化。當資料、服務都移至網上,透過軟體執行,剩下的資料也必須跟上。少數沒跟上的會顯得特別顯眼,例如台灣的紙本身分證。
資安風險
租房子、申請信用卡、貸款、買車、老人搭貓空纜車等,都需要出示身分證,或是提供身分證影本。這對個人來說不方便。對政府來說,則是紙本散落在文件夾中,不好管理,也就是不好辨識。因此台灣內政部將於明年試辦數位身分證,預告了數位身分證的 16 種功能:
內政部希望讓人民「一證遨遊虛擬與實體世界」。然而數位身分證從 2013 年研議,一直到今年公布實施辦法,始終爭議不斷。主要有兩大疑慮。
首先是資安,包含三大類風險。
第一,硬體風險。數位身分證內含晶片,儲存個人資料。晶片具近場感應(NFC)功能,遭質疑可能被有心人士從遠端「竊取」資料。讀卡機也可能被駭。
另外,為了確認使用者的真實意願,使用者必須背誦 2 至 3 組密碼,對老人、記憶力不佳者是一種負荷。
第二,軟體風險。當身分證內的資料被讀取之後,會流向何方?資料庫安全嗎?誰能調閱?何時刪除?如果出現管理疏失,誰會受到什麼懲罰?
第三,供應鏈風險。從製卡、讀卡,到維持資料庫與整套系統的完整,每一個環節都有可能成為資安破口。
有些人擔憂供應鏈中有中資的影子。有些人擔憂政府採封閉的軟體系統,外部無法檢視系統安全性。還有些人擔憂系統由內政部監督製造,資料庫協議(T-Road)由國發會負責,導致多頭馬車、互踢皮球。
我覺得內政部相當清楚的澄清了硬體部分的安全性,但軟體與資料庫的部分卻沒有。特別是沒有認知到中國必然會攻擊此一系統,以及(任何)系統必然會出錯,並提出對應措施。從某方面來說,也反映了台灣硬體強軟體弱的體質。
隱私問題
更大的風險是隱私。紙本不易「辨識」,不易流通、蒐集,較不容易侵害隱私。當我買車時交出身分證,不會擔心車商把影本交給好市多說:「等周欽華進門就發給他輪胎廣告!」然而數位身分證會「吐」出資料。資料更容易集結,就有「數位足跡」的風險。數位身分證的應用範圍越廣,有心人越容易拼湊出我的行動範圍。
最極端的就是中國「老大哥」式的監控。透過芝麻信用、個人健康碼、網路長城、以及遍布街頭的監視器,中國政府不僅知道人民的一舉一動 — 包括在虛擬與實體世界的舉動 — 更可以限制人民的一舉一動。不管你做錯事或沒做錯事,政府可以讓你搭不了火車、進不了醫院、上不了學、領不了錢。
有人說:「台灣民主自由,不會有老大哥吧?」或是:「只要沒做虧心事,幹嘛怕被追蹤?」
但那不是風險管理的心態。風險管理的原則是防範於未然,做最壞的打算。因此更合理的假設是:
- 系統一定會出錯
- 系統一定會被駭
- 政府一定會「變壞」
- 資料一定會被濫用
與其假設不會有「老大哥」,不如從設計上消滅政府變成老大哥的誘因。如果數位身分證是時勢所趨,那麼最根本的工作是明訂資料使用規範,建立權責機關,讓人民能清楚的看見系統的使用方式。在這一點上,內政部的表現不及格。
循序漸進
內政部的立場是現行個資法就足以保障人民的隱私,而內政部長保證自家不會監控(中央社):
[內政部長] 徐國勇說,數位身分證政策從前總統馬英九推動到現在已經十多年,是行政院重要政策;內政部絕對不會監控,也不會留下使用足跡,內政部對任何國民到哪使用、怎麼使用數位身分證,都沒有蒐集,只有使用的機關才會有,數位足跡也不會回傳到內政部。
可是其他部會與民間企業呢?內政部說其他機關需自行負起責任。問題是個資法的相關規範十分空洞,也沒有明確罰則。也沒有主管機關負責。這不叫風險控管,而是想像有完美的科技與完美的政府。
因此我同意反對者的立場,認為政府推動數位身分證根基不穩,操之過急。政府應該循序漸進:
- 訂定數位身分證專法、設置專責管理機構。特別是要涵蓋:
a. 人民知情同意才能跨機關取用資料(參考蘋果的作法吧)
b. 訂定濫用資料的罰則
c. 取用資料的機關必須留下數位足跡,供人民調閱 - 開放系統程式碼,一方面供大眾檢驗安全性,另一方面讓大眾檢驗資料的使用。
- 不強制更換數位身分證 — 不預設一開始就完美。
- 保障數位身分證以外的認證方式。
由於批評聲浪不減反增,內政部一退再退,現在已不再談「多卡合一」,而是改稱用戶可自行選擇開通「自然人憑證」功能。數位政委唐鳳也表示不會啟動自然人憑證功能,並會把晶片用貼紙貼起來,「就跟紙本身分證差不多了。只是外部記載的資料更少,更隱私」。
計畫一變再變,反而凸顯考量不週,讓人更難理解內政部急迫的理由。
實務的重要
人們對隱私的顧慮,其實就是在呼喊:「暫停!我不想再成為更小的可辨識單位了!也不要被更精細的劃分了!」人們擔心自己的足跡被轉為數位化之後,會被巨大的系統以無法預料的方式使用。會不會將來銀行發放信用卡要先看醫療資料?學校招生要先看消費記錄?現在無法,但身分證數位化之後就更可能做到。
然而,我也同意數位身分證是時勢所趨 — 前面解釋了數位化的正向迴饋很難阻止。其他激進的替代方案,例如取消身分證制,或是去中心化的身份資料庫,在現行體制下幾乎不可能實現。那麼剩下的實務問題,就是如何節制此一巨大系統的運轉,以及系統下的人如何適應。
系統規模越大,人的無力感越強,節制權力的機制也會更「粗放」。例如在遠古社會,村民可以透過人情、禮物來影響村長,甚至可以每天跟村長聊天。但在今天的台灣,人民只能透過立法與選舉來節制政府。唯有完善的立法才能保障人民權力,也是政治穩定之本。
同時,新的系統也必須留下彈性空間,讓人民、業者與主管機關可以溝通調整。而不是想像一個完美的制度或完美的科技。任何完美的設計,終究都會因為無數人性的誤差而崩毀。這是因為可辨識的不等於真實。就像農田的邊界無法描述土地上豐富的生態,整齊的街廓無法反映其中的人生百態,固定的姓名無法表達人的多種面貌一樣;「可辨識化」描述的不是真實的世界,而是理論的世界。理論非常有價值,但運轉世界仍需要實務的智慧。