觀點文章呈現多元意見,不代表(WEB3+)的立場

World ID 進軍臺灣:數位身分、個資與公民討論

World ID 五月底在正式風光登陸臺灣,你只要下載 World App,並且在臺北三處尋得 Orb,就可以掃描虹膜,開始定期領取加密貨幣 $WLD。World ID 這半年大量投入政府關係營運以及各地法遵事務,此波除了在臺灣正式投放 Orb 之外,World ID 也正式開放美國業務。

臺灣人果然不負數位民主王國之名,一時之間社羣平臺出現兩極言論。

喜歡嚐鮮的科技擁抱者在社羣帳號分享自己的邀請碼,以期獲得佣金;另一方面,擔心個資外洩的臺灣人表示獻出虹膜即是出賣個資,這種行為是廉價出清生物資料。

若很簡單的將 World 服務視為數位身分救世主,或是搜刮個資的惡魔,似乎都不利於公眾討論。尤其裡頭有許多先進的技術,有些甚至比政府公共服務還前沿,這很容易讓討論陷入五里霧中。

因此我們應該怎麼看 World?

💡延伸閱讀:你願意交出你的虹膜嗎?World ID正式登臺,什麼是World?怎麼5步驟完成認證?

Super App(超級應用程式)

Super App(超級應用程式)是一種把很多功能整合在一起的 App,像是聊天、支付、叫車、訂餐、購物等都能在同一個平臺上完成,不需要下載很多不同的 App。

就像一個數位瑞士刀,Super App 裡可以做很多事。World ID 本質上是一把鑰匙,類似「以Google登入」的服務,使用者可以透過 World ID 登入不同服務,譬如最近官宣合作的 Shopify、遊戲服務雷蛇(Razer)。

此外,World 也在積極拓展各地開發者生態系,希望 World App 上面可以發展更多 Mini App。

此處可以理解為,World 試圖以「隱私強化技術」增強的超級 App,以真人證明解決詐欺問題,並快速發展應用情境,拓展其商業版圖。

對於公民個人的潛在的風險為越集中的服務,越難以「主動退出」(Opt-out),這也是國際上去中心識別符(DID)與可驗證憑證(Verifiable Credential, VC)想要處理的問題。可以比較的案例為美國猶他州最近通過的數位身分法規。

💡延伸閱讀:先進的數位身分法令是什麼模樣?

虹膜

World ID 需要透過前往實體地點,透過機器掃描虹膜後,纔可以獲得「真人證明」。據稱虹膜特徵轉化後的資料(Iris Code)是不儲存在該機器內的,那虹膜資料儲存在哪裡呢?

根據官方解釋,World 與可信任第三方機構合作,如 Nethermind、艾朗根紐倫堡大學 (FAU)、韓國科學技術院 (KAIST) 和加州柏克萊分校合作,使用匿名多方計算(Anonymized Multi-Party Computation, AMPC)的方式,將資料拆成三分分別放在使用者的手機與其他兩間機構內。

多方計算是一種技術,讓多個人一起計算一件事,但彼此不用透露自己的祕密資料。使用隱私強化技術確實是保障個人隱私的好方法,把虹膜資料拆成三份確實也讓攻破取得個資的難度提升,但是在此延伸的兩個問題為:
1. 經過處理且拆成三份無法溯源的 Iris Code,如何相容於既有的隱私保護框架,如臺灣的個人資料保護法?
2. 第二個問題為,誰纔是「可信任第三方機構」,並且確保這些機構不會串謀。此處可能缺乏數位信任的治理流程,並且充分與在地監管單位、消費者合作。

💡延伸閱讀:MPC's Role in Advancing World ID Privacy Features

全民基本收入

World 打個全民基本收入(Universal Basic Income, UBI)的名號,使用加密貨幣 Worldcoin 空投來吸引新使用者,以解決新創企業的冷啟動(Cold Start)問題。全民基本收入是一種政策,指的是政府定期無條件發錢給每個人,不管你有沒有工作、收入多少。

今年五月,因爲隱私疑慮,肯亞法院命令 Worldcoin 刪除使用者的生物辨識資料。此前肯亞曾有中介服務商收購不知情人士虹膜資料,藉以換取加密貨幣的情形,有違法數位人權的疑慮。

World 指出他們正在逐步汰除 Orb 服務商,並提升自助式 Orb 掃描服務,用以降低數位身分的倫理與道德問題。此題值得討論的是,獎勵空投究竟是否符合全民基本收入的意義,且獎勵空投引起的倫理問題,服務提供商應負起什麼樣的責任。

關於數位身分保護的 WhyID 曾經倡議,政府不應該藉由補助或獎勵誘使公民使用數位身分服務,如印度的數位身分證 Aadhaar 案例。但 World 不是公共服務,Worldcoin 也不是法定貨幣,卻具有「類」公共服務的效果,此題值得大眾討論。

💡延伸閱讀:Worldcoin Ordered to Delete Biometric Data in Kenya Over Privacy Breach

零知識證明

World ID 是全球最大的零知識證明服務商。零知識證明(Zero-Knowledge Proof)是一種技術,讓你證明你知道某件事,但不用透露那件事的內容。

就像你能證明自己年滿 18 歲,卻不用說出生日或身分證字號。如同多方計算,零知識證明也是一種隱私強化技術,近期零知識證明技術正在網際網路工程任務組(IETF)進入標準化的環節。

除了 World ID,以太坊基金會許多專案,如 Anon Aadhaar、zkPassport、zkMail 也都使用了零知識證明技術處理數位身分議題;而 Google Wallet 於今年五月,也在英國開放了以護照為基底的零知識證明服務,用作成年憑證讓使用者可以購買火車票。

零知識證明可以說是個資保護的終極解藥,因為除非對方明確知道資訊(如是否成年、是否為臺灣人),不然個資是不會洩漏的。但解藥並非萬能,如果大量的個資被交叉比對,仍有可能 Profiling 出一個人,如同現在的網路廣告代理商一樣。

此時 Super App 或許會產生集中化身分資料交叉比對的風險。零知識證明是否在 World ID 的服務框架下能發揮效應,此題值得我們持續觀察。

結語:預防勝於補救(Privacy by Design)

但凡遇到新興科技,尤其是公關效果強烈的科技服務,大眾很容易無條件接受或反對,但這並不能反映國人真正想要什麼、需要什麼。

因此在對於 World ID 所使用的科技有基本瞭解之後,筆者在此呼籲服務提供者、政府監管單位及公民社會,需要各自針對 World 議題倡議進行資料保護影響評估(Data Protection Impact Assessment, DPIA),才能判斷「獻出虹膜」究竟有沒有意義。

更多報導
你願意交出你的虹膜嗎?World ID正式登臺,什麼是World?怎麼5步驟完成認證?
川普加密企業空投新穩定幣!「USD1」恐難打過穩定幣龍頭?