[譯文] ACLU、EFF 對於美國國土安全部數位駕照之評論

作者：美國公民自由聯盟（ACLU）、電子前哨基金會（EFF）以及電子隱私資訊中心（EPIC）

日期：2021年7月29日

原文：電子前哨基金會文件連結

譯註：文中所指稱之自主主權身分（SSI）相關標準主要為全球資訊網協會（W3C）的分散式識別符（DIDs 1.0）與可驗證憑證資料模型（VCDM 1.1），前者於一年後的2022年7月發布，後者也於同一年3月發布。而於此之間，數位駕照主要遵循的標準方面，ISO/IEC 23220-3 已經廢棄，截至目前只有 ISO/IEC 23220-1 正式發佈成為標準）

美國公民自由聯盟（ACLU）、電子前哨基金會（EFF）以及電子隱私資訊中心（EPIC）對於「聯邦機構接受的駕駛執照和身分證明文件的最低標準；行動駕駛執照」的評論

國土安全部所構想的行動或數位駕駛執照和/或身分證明文件（mobile Driver License, mDL）系統，涉及重要的隱私和言論自由權益（86 Fed. Reg. 於 20320 頁 (2021 年 4 月 19 日）。我們對這樣的系統以及它是否能適當保護隱私和其他公民自由權益，有許多疑慮。

超過一百年來，美國公民自由聯盟（ACLU）一直是我們國家的自由守護者，致力於在法庭、立法機關和社區中捍衛和保護憲法和美國法律賦予這個國家所有公民的個人權利和個人自由。ACLU 接手最艱鉅的公民自由權利案件和議題，以防止政府濫權和越權。ACLU 是一個全國性的組織，不遺餘力地在全美50州、波多黎各和華盛頓特區為每個人的權利在法律下平等保護的原則而戰，無論種族、宗教、性別、性取向、殘疾或國籍。

電子前哨基金會（EFF）致力於確保科技能夠支持全世界人民的自由、正義和創新。EFF 是一個擁有超過30,000名會員的非營利組織。EFF 經常在行政機關、法庭和立法機關中提倡自由言論、資料隱私以及其他在數位前沿的權利。

我們對於諮詢要求中提出的以下問題有所評論：

2. 一般隱私權。請就可能源自 mDL 傳輸的隱私權疑慮或利益提供評論，以及「真實身份證」（REAL ID）情境中，國土安全部（DHS）應如何或不應如何處理這些疑慮和利益。解釋哪些數位安全功能或特性，可被用在保護 mDL 傳輸中的任何個人可識別資訊（personally identifiable information, PII）隱私，包括每種安全特性的優點和缺點。

在考慮將任何形式的數位身分證件整合至聯邦流程的規定時，該部門必須認識到，這種技術可能帶來的影響遠超過簡單地用手機取代塑膠卡身分證，這種影響範圍遠超過機場海關或其他聯邦機構的類似情境。由於它引發的敏感問題，在建立這樣的系統時，我們需要特別謹慎。

美國公民自由聯盟（ACLU）已發表一份關於數位駕照提案所引發的隱私問題的報告，並將該報告全文作為這些評論的補充（See Am. Civil Liberties Union, Identity Crisis: What Digital Driver’s Licenses Could Mean for Privacy, Equity 參見電子前線基金會，數位身分識別必須以隱私和公平為設計原則（2020年8月31日））。我們認為，如果做得當，數位系統可以增強用戶的隱私和控制權，但也可能成為侵犯隱私並增加政府機構和公司對個人的影響力和控制權的基礎建設。

數位身分證的使用將使出示身分證變得更方便，因此無可避免地會使在美國生活中對身分證的需求更為頻繁。這可能也導致自動化或機器檢查成為常態，這些檢查不是由人類而是由機器進行，導致這種需求更為激增。根據數位身分證的設計方式，它也可能允許對所有身分證檢查進行集中追蹤，並引發其他隱私問題。我們可能會看到網路上對駕照檢查的需求變得普遍，這將大大擴大這種身分證檢查可能產生的追蹤資訊。在最壞的情況下，這將使我們幾乎無法進行與我們已驗證的現實身份無關的線上活動，從而阻礙我們進行受憲法保護的匿名言論，並促使我們的活動和聯繫的持續追蹤破壞隱私。

長期來看，如果數位身分證完全取代實體文件，僅持有實體文件的人士將處於不利地位，那麼這可能對美國生活中的公平與公正產生重大影響。許多人並未擁有智慧型手機，包括我們最弱勢的社區中的許多人。（皮尤研究中心，2021年手機科技與家庭寬頻報告（2021年6月3日））研究發現，15%的人口並未擁有智慧型手機，包括近40%的65歲以上人士和24%的年收入低於30,000美元的人。身心障礙者擁有智慧型手機的可能性比一般人少20%，許多無家可歸的人也無法使用智慧型手機。（4 Pew Rsch. Ctr.，美國殘障人士較少使用科技（2017年4月7日））

至少，「國土安全部」（DHS）應要求任何被聯邦政府認可的身分證明系統：

• 不允許驗證者接觸手機（Not allow Verifier access to phones）。標準和技術的設計應該使得在實際、現實世界中，持有人（那些攜帶並展示數位身分證的人）永遠不需要將他們的手機交給任何驗證者（那些試圖驗證持有者身份的人）。科技設計應該由政策來加強，禁止政府官員和其他人要求持有者「自願」交出設備。

• 不允許關聯式證明（Not allow linkable presentations）。無論是標準還是技術都應該被設計成，數位身分證的發行者（或其任何代理人或承包商）無法知道持有人將其身分證呈現給誰或位於何處，驗證者不能與其他驗證者或發行者共謀追蹤證明。

• 持有人需能充分掌握所釋出的資料（Provide Holders with granular control over data released）。無論是標準還是技術都應該被設計成，讓持有人對從他們的身分證釋出的資料有完全的控制權，包括廣泛的彈性，以提供他們符合的一般類別的證明，例如「超過 65 歲」或「這個城市的居民」。（譯註：這裡的相關技術可能為選擇性揭露（Selective Disclosure）或零知識證明（Zero Knowledge Proof））

• 提供一個標準化的開通流程（Provide a standardized provisioning process）。從汽車管理局（DMVs）或其他發行者將資料加載到人們的設備時，其過程應該標準化，以便任何人都可以編寫符合規定的數位身份應用程式，而持有者將可以自由選擇心儀的應用程式。

• 包含透明的原始碼（Include transparent source code）。人們在手機上安裝的數位身分證明應用程式，其程式碼應該是透明的，以便公眾可以確保它只做該做的事情，並提高其安全性。

• 身分證明不應該「回報」（IDs should not “phone home）。數位身分證件應該只能在離線狀態下驗證，並且除非持有人想要啟動與身分證本身相關的特定任務，例如更新或展延，否則應完全在離線狀態下操作。這代表驗證者不應該需要網路存取權，發行者不應該具有組裝任何身分證使用紀錄的機會，並且像即時遠端撤銷這樣的功能不應被納入設計之中。

• 捍衛「紙本權」（Protect a “right to paper.”）。人們應有權獲得並使用紙本或其他實體身分證明文件，而不僅僅是數位身分證。數位身分證的使用絕不應成為法律或實際上的強制要求。規定應確保所有機構和私人行為者在同等基礎上接受實體身分證，並且那些偏好使用實體身分證的人不會因此受到不便或其他不利影響。

我們認為，目前採納行業標準還為時過早，因為還沒有一套完全利用現有隱私保護（Privacy Preserving）技術的標準出爐。近幾十年來，我們看到整個身分證明社群的興起，他們一直在研究線上身分證明和授權的問題。身分證明社群中的一些人接受了中心化和/或封閉專利系統，而其他人則被「自主主權身分」（SSI）的願景所激勵，這種身分是分散的、開源的、保護隱私的，並賦予個人權力。這個運動創造了許多提議的系統，包括由全球資訊網協會（W3C）創建的一種開放標準，稱為可驗證憑證（Verifiable Credentials, VCs）。VC 的概念仍在被精煉，但這個領域的大部分努力也是如此，包括國際標準組織（ISO）和美國汽車管理員協會（AAMVA）所努力數位駕駛執照（mDL）。

國土安全部應拒絕承認在中心化身分系統中呈現的身分證明。如果要讓聯邦政府接受一個標準的數位身分系統，該系統必須以開放、透明的方式創建，並且需要多方利益相關者的參與，且基於自主主權身份的概念。這樣的系統可以被聯邦政府機構用來查看由各州汽車管理局（DMVs）發出的身分證明，這樣做是有意義的。如果基於自主主權身份的標準還不夠成熟以供採用，那麼應該將努力導向修正這一點，而不是採用其他可能帶來隱私、安全和自主性風險的系統。

現行的產業標準也是透過一個並未對廣大利害關係人開放的過程來制定的。身分系統並非一種晦澀的工業標準，而是一個涉及個人隱私、公平性，以及公民與政府關係的高度敏感議題。我們生活在一個民主社會，然而對我們而言很重要的新型態身分基礎建設相關決策，卻由國際標準組織（ISO）內的工作小組來做出，而該小組的美國成員似乎主要由企業、美國汽車管理協會（AAMVA）和政府機構的代表組成。ISO 是一個私法人，其活動對公眾有如此重要的影響，卻幾乎沒有展現出應有的透明度。ISO 甚至不會公開該工作小組的成員名單。任何有興趣的一方實際上都無法加入這個秘密委員會，他們的討論並未對公眾開放，他們的草案和其他工作成果被視為機密文件。ISO 中也有來自專制國家的代表，他們希望監視身分證持有人，而非保護他們的隱私。

這種缺乏開放性和民主性的現象，例如在標準中未能將不可連結的呈現作為核心特性，就是一個明顯的表現。

AAMVA，如同 ISO，是一個私法人，並非像 DHS 這樣的政府機構所受到的制衡檢查。例如，AAMVA 可能會主張《資訊自由法案》（Freedom of Information Act）對其並不適用。儘管 AAMVA 在推動數位駕照方面扮演著類似政府機構的角色，但它可能會逃避適用於民間政府機構的透明度義務。其許多關鍵文件並未對公眾開放，並且它對其產出的材料擁有版權。在過去，它已經從其網站上移除了具爭議性的文件，並向監控其活動的批評者發送版權下架通知。

這與 W3C 的情況形成鮮明對比，W3C 是「可驗證憑證」（VC）標準的開發者，其工作是通過開放的公眾過程進行的，參與度遠比 AAMVA 更開放，且會議記錄、錄音和材料對所有人都是開放的。

最後，我們對於該提案將 REAL ID 與 mDL 結合的做法感到擔憂。REAL ID 存在許多隱私問題，這些問題不應該被帶入 mDLs。此外，如果一個人擁有由州政府的 DMV 發出的 mDL，那麼就可以解決偽造和複製的問題，而無需依賴 REAL ID 及其隱私問題。(參見，例如，美國公民自由聯盟，Real ID；電子前線基金會，實體 ID：透過未獲政府資助的命令威脅您的隱私。)

5. 產業標準 ISO/IEC 23220-3：DMV 與 mDL 裝置間的通訊介面。DHS 了解即將頒布的 ISO/IEC 23220-3 可能會規定有關 DMV 和行動裝置間通訊介面的數位安全機制和協議，特別是關於供應方法、資料儲存和相關行動。雖然 DHS 可能會採納預期將出現在此標準中的某些要求，但這個標準可能需要幾年時間才能最終確定。

a. 請解釋評論者是否認為目前的 ISO/IEC 23220-3 標準草案已經成熟到足以支持 mDLs 的安全和廣泛部署。

公開並未揭露 ISO/IEC 23220-3 的草案。這使得大眾無法對此問題提供有根據的評論。如果唯一能評估正在開發的標準的人，是參與產生該標準的不透明過程的未公開方，那麼僅使用這些實施者的評論作為決定公共政策的依據是不適當的。

6. 服務開通。DHS 理解服務開通可能是面對面進行，也可能是遠端進行，或者以其他方法進行。

a. 從任何利益相關者的角度來解釋親自、遠端或其他供應方法所帶來的安全與隱私風險。

對於安裝數位身分證明應用程式的人來說，開通過程基於開放標準是非常重要的，以保護他們的安全與隱私。開放標準將允許任何人只要遵守這些標準，就能創建一個能與「DMV」互動的應用程式。這將讓各種開發者，包括公益/非營利開發者，創建競爭的身分證明應用程式，讓消費者可以選擇他們要使用的應用程式。

對消費者來說，能夠使用擁有透明原始碼的應用程式是非常重要的，這樣專家（或任何有意願的公眾成員）就能審查它們，確認其運作和安全性。這些應用程式將執行重要的公共功能，因此人們需要能夠確保這些應用程式 a) 只做它們應該做的事情，並且 b) 如其設計者所宣稱的那樣安全。

許多或所有代表 DMVs 製作這些應用程式的私人公司可能希望保留他們的原始碼專有權。這將意味著 ID 持有者在他們的手機上所執行的基本上是秘密的政府原始碼，並只能信任其運作和安全性。

這是無法接受的——如果人們被法律或實際上要求使用 mDLs，那麼這種情況就更加無法接受。

如果政策制定者未能要求所有 mDL 應用程式公開其原始碼，那麼針對供應過程的開放標準也將有助於讓消費者能夠選擇他們信任的開源應用程式。

8. 資料即時性。有關資料有效性和即時性的安全風險，請就 mDL 資料與其 DMV 資料庫之間的同步頻率提供評論。

a. 請就 mDL 傳輸的資料同步期間提供適當的意見。解釋較長或較短期間的優點和缺點。

雖然可能存在數位身分證書中過時資訊的情況是重要的，但像是 TSA 這樣的聯邦機構最常想要確認的資訊很少變動，例如出生日期（永不變動）和姓名（一生中很少變動超過一兩次）。在使用數位駕照確認身分的地方，例如 TSA 檢查站，持有人的駕駛權是否被撤銷並不重要。

對比這些微弱的好處，為了確保 ID 資料的「即時性」所需做出的隱私妥協將是無法接受的。設計可以遠程更新的數位 ID 將需要這些 ID 定期「回報」給其發行者（如 DMV）。這將會暴露持有者的 IP 地址，從中有時可以推斷出他們的位置——這兩者都可能是敏感的資訊。考慮到實體駕照只在每 4-12 年更新一次，這取決於發證州，沒有理由為了讓數位駕照更新鮮而妥協其隱私。堅持這麼做強烈暗示 DHS 打算讓數位駕照最終變成強制性的，而不是保持作為實體駕照的可選擇替代品——在我們看來，這將導致巨大的問題，我們的國家不應該允許這種情況發生。(6 保險學會公路安全研究所，各州駕照展延流程（2021年7月）。)

11. 離線和線上資料傳輸模式。DHS 了解到 mDL 數據可能會透過離線和線上模式傳輸到聯邦機構。

a. 從任何利益相關者的角度來解釋，線下和線上資料傳輸模式所帶來的安全和隱私風險。

b. 對於需要用來緩解線下和線上資料傳輸模式所帶來的安全和隱私風險的安全協議，提供評論。

任何可接受的數位身分識別系統的關鍵特性，就是必須防止身分發行者和任何其他方自動追蹤身分呈現。在這份徵求意見的文件中討論的「線上數據傳輸模式」，允許進行通訊。當聯邦機構和車輛管理局（DMVs）驗證身分證件時，包含在草案 ISO/IEC 18013-5 標準中的系統，與提供強大技術保護的不可追蹤呈現系統並不相容。

當有人以目視檢查塑膠駕照時，並不會自動生成、保留或與車輛管理局分享該檢查的記錄。隨著從塑膠身分證轉變為數位身分證，這種追蹤變得可能。鑑於這種系統可能擴大至涵蓋越來越多的用途，因此將不可追蹤的呈現方式內建於數位身分證系統中尤為重要。目前，行動駕照（mDLs）被狹義地定義為實體身分證的替代品，用於機場安檢、交通攔查、購買酒精等場合。但一旦在這種角色中穩固下來，數位身分證可能會擴大到比現今駕照在證明身分中的角色更廣泛。事實上，許多參與行動駕照開發的人都預見到這種濫權。（Secure Tech. Alliance，《行動駕照（mDL）與生態系統》（2020））例如，全球 ISO 工作小組正在計劃第二階段的標準撰寫，以啟用行動駕照在網路上的展示（Presentation）。同樣地，Google 和 Apple 在這個領域的作業系統工作主要集中在建立線上展示的能力。同樣地，美洲汽車管理協會（AAMVA）宣稱，「由於行動駕照的性質帶來的新用途可以預期。線上使用就是一個例子。」（美國汽車行政管理員協會，行動駕照功能需求白皮書（2019年1月））

我們也可能看到這些數位身分證所持有的資料擴增。正如一位州官員所說：「你可以用它來申請狩獵和釣魚許可證，武器許可證，申報稅務——各種事情。」

如果要採用數位身分證系統，必須設計標準和技術，以確保發行者（或其任何代理人或承包商）無法知道持有者將其身分證呈現給誰或在哪裡，並最大程度地減少驗證者與其他驗證者或發行者串通，以編制呈現記錄。僅依賴政策保護來防止呈現的非連結性是不夠的，尤其是考慮到數位身分證系統可能包含的個人資訊量可能會大幅增加。（Jenni Bergal，各州推動數位駕照，批評者引發隱私疑慮，Huff. Post（2018年11月20日））

12. 無人監控的線上行動駕照驗證。請就聯邦機構能夠實現無人監控的線上行動駕照驗證的能力或技術提供意見。解釋每種方法可能的優點和缺點。

a. 從任何利益相關者的角度，解釋無人監控的線上行動駕照驗證所帶來的安全和隱私風險。

未受監管的身分驗證存在一項重大風險，即TSA或其他聯邦機構可能未能投入足夠的資源，以確保那些出示實體身分證的人不會受到質疑。這可能導致數位身分證實質上變成必要的證明文件（de facto mandatory credentials），以應對排隊或其他不便的問題。

14. 關於智慧型手機以外的 mDL 裝置的考量。請提供對於在智能手機以外的裝置上配置 mDL，或從該裝置訪問 mDL（例如，智慧手錶從與其配對的智慧型手機取用 mDL 資料，或者獲得授權訪問遠端存儲的 mDL 數據的移動裝置）是否存在與在智慧型手機上配置或訪問 mDL 不同的安全或隱私考量。解釋這些安全或隱私考量，以及如何可以緩解它們。

我們認為，實體證照必須始終與數位身分證等同地作為一種選擇。若數位身分證在法律或實際上成為強制性的，則可能：

• 進一步邊緣化那些無法取得相關科技設備的人，無論該設備是智慧型手機或其他 mDL 裝置。如果 mDL 應用程式（在智慧型手機或其他裝置上）需要線上開通服務和頻繁更新，則價格合理且品質良好的網路連線也可能成為使用上的挑戰。

• 設立了一個強制採用科技的糟糕先例，無論是在人們的手機上安裝應用程式，或是手環、其他追蹤器。個人的數位裝置應該由其擁有者控制，並賦予他們權力。人們不應該因為各種政府機構強制安裝應用程式的規定，而變成自己手機的囚犯，將其轉變為各種法律和行政規則的監控和執行裝置。我們的身分證明，無論是在智慧型手機上還是其他地方，都不應該變成腳鐐的功能等價物 — 必須隨時攜帶的裝置，並且可以立即且遠程地成為政府對公民的控制槓桿。

• 開啟了新的濫用可能性。一個設計不良的數位身分證可能會讓任性的官員或政治化的執法機構進行濫用撤銷、監控，並缺乏正當程序，這是我們在歷史上經常看到的情況。

• 讓人們容易受到科技故障的影響。數位裝置（包括智慧型手機）有時會在隨機的時間、無明顯原因下出現故障。集中式資料庫的條目可能會被破壞、駭客入侵，或莫名其妙地被刪除。純粹的數位系統對於這類故障的抵抗力，並不如基於實體文件的系統來得強韌。

15. mDL 接受度的障礙。請描述任何對於 mDL 公眾或產業接受度的障礙，這些是 DHS 在制定其監管要求時應該考慮的。請對 DHS 應該如何解決這些障礙提供意見，包括如何教育公眾關於數位身份和 mDL 的安全與隱私問題。

在我們這樣的國家，對政府的疑慮理所當然地高，任何數位身分證明系統 — 已經是一項充滿爭議的工作，因為其可能的過度使用 — 將會任何數位身分證明系統 — 已經是一項充滿爭議的工作，因為其可能的過度使用 — 若想要被廣大的美國人接受，就必須包含最強大的隱私保護措施。

感謝您考慮我們的觀點。若有進一步的問題，請聯繫 Jay Stanley（JStanley@aclu.org）和 Kathleen Ruane（KRuane@aclu.org）。

敬上，

美國公民自由聯盟
電子前沿基金會（EFF） 
電子隱私資訊中心（EPIC）