從痛苦的線上報稅過程,反思我國數位身分認證政策/編輯部

編按:本文為時代力量智庫副執行長彭盛韶、時代力量智庫研究員吳也民、開放文化基金會董事長李柏鋒共同撰寫。

台灣身為科技出口國,很神奇的是,政府端服務總是存在著不小的數位落差。

五月剛過的一場重頭戲就是「線上報稅」,申報時人民個個哀號;後來因財政部回應MAC用戶的「跟朋友借電腦」說法,又讓累積多年的民怨達更高峰。即使網友在JOIN平台提案連署後,數位政委唐鳳立即於5月19日開了多方協作平台回應[footnote]編按:詳見本站專文〈Mac報稅軟體難用到爆炸:以多方參與協作,解決政府相關軟體與服務的各種問題〉。[/footnote];然而報稅平台僅是問題的冰山一角,我們認為應該把問題聚焦到根本,即是「數位認證」這項政策,政府到底該怎麼改善?

壟斷造成低競爭力,「開放」才是全球趨勢

為因應「電子化政府」政策,政府從2000年開始推動數位認證,委由中華電信營運後,即開始一連串的封閉壟斷策略。

中華電信所建構的PKI機制,採用晶片卡的憑證,又需要安裝驅動程式等,才能進行身分認證。也因此,使用者瀏覽器、作業系統皆必須與中華電信選用的各項套件相容,始能運作。

自然人憑證使用封閉且對用戶不便的技術,造成各種政府線上服務品質問題。

認證機制的運行如此環環相扣的結果,即是一旦使用者在任何一個環節無法順利配合,例如無法使用特定的瀏覽器或作業系統,便無法順利完成整個認證程序。

雪上加霜的是,由於政府策略上以自然人憑證作為電子化政府的中心,因此自然人憑證使用時產生的各種不便,便被擴散到更多其他應用上。例如公務人員使用的公文系統,必須以自然人憑證登入,因此無法在其他載具進行;Mac使用者要線上報稅得要向朋友借電腦,或是下載連原廠都已不支援的Java Applet軟體套件等等。這些因壟斷而衍生的成本,最終都是由全體公務員及人民承擔。

攤開整個國際的資通訊生態,相較於壟斷規格綁定,越來越多大廠和政府都開始擁抱開放思維。

微軟在現任執行長Satya Nadella上任後,也加入了開源的社群,將旗下.NET平台開放原始碼;Google旗下的DeepMind Lab也在近日宣布將Alpha Go開源。2016年8月,美國政府也頒布了「聯邦軟體源碼政策」(Federal Source Code Policy),規範了為政府訂製的軟體,每年應該要開源其中至少五分一。

與此些民間、政府的國際趨勢相對比,台灣線上報稅的種種痛苦,其實反映了數位政策在觀念及執行上的落後。

數位認證國外怎麼做?從易用性跟易取得性切入

綜觀其他各國的政策,愛沙尼亞自2014年開始推動數位國民身分認證,同樣採用晶片卡PKI認證模式;但晶片卡的讀取程式,不論簽章或檢核,都已開源且跨平台可用,使用者可輕易地在網路上完成所有申請步驟,並用這張數位身分證開設公司、簽核法務文件、報稅等。此外,這項數位國民身分甚至不限定本國國民,大大地降低企業經營難度,增加愛沙尼亞的商業活絡。

荷蘭從2004年即開始推動DigiD計畫,公民只要先透過實體認證,啟動一組帳號密碼,之後便完全不需其他實體卡片,便可用通用的網路認證平台OAuth進行認證,暢行政府各項網路服務。

泰國則從今年開始推行指紋登記,將指紋與手機SIM卡綁定後,便能進行全國性的指紋支付。

從前面案例可看到,各國在推動數位認證並因應各國民情時,「易用性」及「易取得性」才是強調的重點。相反地,實體憑證並不是符合趨勢的作法,雖然理論上安全程度最高,但非常不易使用反而限縮了服務普及度,及相伴的創新可能。

世界各國推動數位認證,除了安全性之外,易用性的考量更為重要。

更進一步言,目前已經存在多種數位認證的技術作法,包括OAuth、OpenID,或是需要任選兩個要素(密碼、掛號信、電話語音、手機簡訊、USB Security Key、智慧卡、生物特徵)的雙因子認證,在市場上都已存在成熟可行、安全無虞的技術,在台灣要執行更不是問題。

我們認為,提供大眾使用的政府服務,安全性當然是首要考量;但唯有在安全保護做到隱形而不影響使用者體驗時,才會成為一個易於推廣、可普及的方案。政府與其把目前的自然人憑證當作主要的身分認證管道,倒不如規劃出多種數位身分認證模式,將相關的資安風險攤開後,告知民眾、使其理解,並把選擇權交還給民眾,讓民眾可依自己的習慣及風險接受程度,選擇適當的認證機制。

在數位身分認證的便利性提高後,民間廠家更可以因為多元的認證模式,規劃出不同的衍生服務;當安全風險與便利性都成為公開的競爭要素時,與政府相關的各項數位服務,才能因業者競爭而更快速地反映民眾需求,並保有持續更新、進步的誘因。

DIGI+政策宣示「開放性」,這次請好好從根改起

綜上,我們認為前述問題,反映的不僅僅只是身分認證機制的選擇,更是一國政府面對資通訊政策時所展現的心態。台灣在這塊上不論「易用性」、「易取得性」、「開放」程度皆落後,連帶著數位服務的普及度也帶動不起來。

翻開行政院在「數位國家創新經濟發展方案 DIGI+」的計畫,可看到將「具公信力及開放性之網路身分識別中心」列為重點政策主軸;也許這次我們該好好思考,檢討各種政府發放的憑證被壟斷現況,以開放促進競爭,以易用活絡市場,讓台灣成為一個表裡如一的科技國。