一、信任問題,不是「App 相不可信」,而是「我能不能掌控」
當民眾問「我的資料真的不會被誰看到嗎?」其實是在問: 「我能不能自己決定誰看到?」
傳統流程裡,資料一旦交出去便失去掌控。數位憑證的目標,是讓信任重新回到使用者手上。
二、數位憑證不是「資料庫」,而是一張「加密的證明」
你手機裡的 VC 並非完整個資的複製,而是經發證單位簽章的「事實摘要」。
| 項目 | 政府原始資料庫 | 數位憑證內容 |
|---|---|---|
| 年收入 | 數值明細 | 不存 |
| 身分證字號 | 完整字串 | 不存 |
| 地址 | 完整地址 | 不存 |
| 狀態 | 是否符合資格 | ✅ 符合(已簽章) |
不是把資料搬進 App,而是把「可信結果」封裝進憑證。
三、誰能看到?完全由使用者授權
- 你選哪一張卡:如「身障卡」、「低收入戶卡」。
- 你決定給誰:醫院、社工、物資站等。
- 你選擇揭露哪些欄位:如只揭露「符合資格」。
驗證方看見的是「真偽與結果」,而非你的完整個資。
四、App 的三重保護機制
- 本地儲存:憑證存在你的裝置,不上傳中央伺服器。
- 加密封裝:由政府簽章,任何改動都會驗證失敗。
- 即時授權:出示前清楚顯示授權對象,可中止或刪除。
備註:目前沙盒多採連線驗證;未來方向支援離線驗證。
五、驗證方也不會看到「你沒給的東西」
✅ 是的,我符合票種/補助條件。
❌ 但不需要知道我的姓名、住址、身分證號或財稅細節。
透過「選擇性揭露」,甚至可進一步以 ZKP 僅證明「條件成立」。
六、「信任」不該是信仰,而是可驗證的機制
- 驗證方可不連線主資料庫即可檢查簽章真偽。
- 發證方簽章公開可查、不可否認。
- 憑證生命週期事件可被稽核(不含個資)。
這是「信任最小化」:不必先相信,也能安全使用。
七、那會不會被駭?
- 就算取得裝置存檔,內容仍為加密封裝,不能竄改。
- 沒有發證私鑰無法生成有效憑證。
- 你可註銷遺失裝置上的憑證,阻止再次使用。
設計重點是:就算入侵,也拿不到可用的內容。
八、小結:信任的基礎不是「保密」,而是「掌控」
數位憑證讓你不必交出整份資料,只為證明一件事;你也不必「相信伺服器」,因為驗證機制本身即可建立信任。
當信任被設計成機制,答案已內建在系統裡——
你才是那個決定誰能看到的人。