一、開放與濫用之間,只差一層「授權設計」
開放 VC(可驗證憑證)給外部機構,開放的是驗證能力而非資料本身。關鍵在於「誰能用、用到哪裡為止」,而不是能不能用。
VC 的本質:讓驗證走出去,讓資料留在原地。
二、「可驗證」不代表「可任意驗證」
VC 遵循最小揭露(Minimal Disclosure)與主動授權原則:驗證方只能看到使用者同意揭露的必要資訊,且每次驗證都需有明確目的(Purpose Binding)。
- 醫院可查「是否具低收入戶資格」,不可見收入明細。
- App 以清楚提示顯示驗證方與用途,使用者點選同意後才進行。
三、授權與撤銷機制:讓權限可給也可收回
授權清單(Verification Registry)
- 列管所有被允許的驗證單位(Verifier DID)。
- 註記驗證範圍與使用目的(醫療/教育/公益)。
- 名單公開透明,供民眾查詢。
憑證/權限撤銷(Revocation)
- 違規即時撤銷驗證權限,同步到信任清單。
- 發證端金鑰洩漏可撤銷並重建信任鏈。
限時授權
- 每筆授權設定有效期限(如 6 個月)。
- 到期需重審與再授權。
四、如何避免「目的外使用」?
- 目的碼綁定(purpose_code):每個驗證請求皆需附上唯一用途碼(如 MED01、EDU02、NGO03),伺服器留痕時間戳記以供稽核。
- 匿名化統計回報:驗證方定期回報不含個資的統計(次數/目的/成功率),政府得以掌握趨勢而不蒐集個資。
五、資料不集中,也能共同防弊
| 比較項目 | 傳統集中式系統 | VC 分散式架構 |
|---|---|---|
| 資料存放 | 中央伺服器 | 使用者裝置 |
| 驗證方式 | 系統查資料 | 驗簽章比對 |
| 防弊方式 | 內部稽核 | 可追蹤簽章、撤銷授權 |
| 風險點 | 集中外洩 | 單點無效、整體安全 |
六、倫理與社會面:信任要有「回報機制」
- 出示後即顯示「你剛在何處被驗證」。
- 提供民眾對驗證單位的信任評分與舉報通道。
- 異常驗證行為自動告警與通報。
七、結語:開放不是放任,而是「讓信任有邊界」
開放 VC 的目的,是在既定邊界內讓授權機構安全使用信任能力:透明、可稽核、可回收。唯有如此,醫院、慈善團體、學校才能在不觸碰隱私的前提下,共同推動公共服務的數位化。
真正的開放,是把控制權設計成機制,而非口號。