數位憑證(VC)帶來「可驗證性」與「最小揭露性」,也迫使我們回答兩個關鍵問題:哪些數據應公開,以建立社會信任?哪些數據即使技術進步也不該被看見?
透明不等於曝光;真正該被看見的,是權力與制度的運作,而不是個人的脆弱。
二、該被「看見」的,是系統,而不是個人
制度層的運作數據
- 發證/驗證單位、授權名單(Trust Registry)
- 憑證簽章規格、演算法版本與信任清單
- 匿名化的驗證事件趨勢(僅統計)
使用行為的總量統計(匿名化)
- 驗證次數、地區分布、時段波動
- 紙本替代比例與人工補件變化
治理與稽核紀錄
- 濫用通報與處置、授權撤銷事件
- 異常稽核結果與修正進度
問題轉譯:「這套機制怎麼運作?誰有權驗?誰在用?」——公開答案,但不公開個人。
三、該被「隱藏」的,是任何可連結到個人的資訊
- 姓名、身分證字號、生日、地址、照片等識別資料
- 親屬姓名、戶籍連結、監護與撫養關係等家庭關聯
- 收入、資產、稅務明細等經濟狀況
- 疾病、身障等級、就診紀錄等醫療與身心狀態
- 低收/中低收、補助等級等社會福利狀態
即使出於公務,「脫離原目的」的再利用皆需重新授權。
四、「匿名化」不是萬靈丹
在巨量資料下,少數欄位即可重識別。防護重點應從「匿名化」進一步走向 去連結化(De-linking)與最小揭露(Minimal Disclosure):
- 預設不保存可交叉比對的欄位,降低關聯風險。
- 驗證端僅取得「結果」而非「原因」(例:符合而非完整明細)。
- 事件紀錄只保留技術簽章與指紋,不留個資內容。
五、「永遠被隱藏」的,不只是資料,還有人們的脆弱
每一筆社福資料都是生活處境的切片。系統設計應讓「需求被理解」,不讓「身份被看穿」:社工知道 有資格,醫療知道享補助,但無需看見背後細節。
讓服務到位,而不是讓人被看見。
六、設計原則:讓「看見」成為權利,而不是風險
可查但不可識別
對外公開統計與機制,剝離個體識別。
可授權但不可默許
每次使用需明示目的與同意,不得默認。
可追蹤但不可監控
保留技術事件鏈,禁止形成行為軌跡。
可撤銷但不可永久綁定
憑證與授權可撤回,落實被遺忘權。
七、結語:讓資料服務人,而不是審判人
數位憑證的價值在於:政府少知道一些,也能提供服務;社會更透明一些,卻不傷害個人。當「制度的誠實」被看見,而「人的脆弱」被保護,數位信任才能真正落地。