不是,它可以靠手機啊。
對。
就這兩種——電信三個嘛,自然人憑證一個——這是目前正式版承認的。
但你如果用的是搶先版,那你就可以掃這種「唐鳳訪客卡」。
對啊。你再掃一個。
發行成功了。
你得再掃一次。
你要是還沒有可以再掃。
你可以用來證明你今天看過我。
當然你如果說服管委會,也許可以,理論上也做得到。
它事實上是非常分散式的。就是數位發展部大概沒有辦法想到我會這樣用——它也沒有必要想到我會這樣用——因為我們這整件事情的過程,數位發展部都不需要知道。這是它的技術特色。
所以回答你的問題,就是說我覺得至少在這種搶先版場景裡面,並不是每個場景都違法。我如果現在來開一個驗證端讓大家可以驗證的話⋯⋯
其實我們可以試試看。依目前沙盒設計,看起來申請成為驗證端門檻不高。然後也不需要發行端的授權,它就可以開始驗那個唐鳳訪客卡,它只要有我這個 issuer 的 ID 就可以了。
對,所以其實說真的,我作為發行端,我也沒有辦法去管到底你們要怎麼用這個卡。如果現在你們要發限動,甚至要燒成 NFT,我也沒有辦法管你,說你不能夠這樣子來使用。
但是如果我們實際上來跑一次驗證的話⋯⋯
可能台灣大哥大已經退出沙盒了,只在正式版有,這我不知道,你可能要去問他們。
對,那所以好比像說這是驗證。假設我是我家的管理員,那現在你是唐鳳的訪客了,你就可以進來了,假設它已經建設好這套系統。對,那這樣的話你就是要在這邊按掃描,然後掃這個。正掃。然後它就會給你一堆法律條文,說我有個資保護義務什麼的。等一下⋯⋯現在可以了。
對。有嗎?
授權成功。好,那說不定以後你就可以直接進門,就不用等五分鐘。
對啊,你看驗證成功,我這邊就看到了。對,那這個都有 API 嘛,所以是很容易串的。
對,所以以我的理解就是說至少——
我這裡還有別的。
是喔。靈芝科技早餐店⋯⋯意思是說它被加到常用情境去?
你如果去沙盒裡面,你就會看到 413 個發行者。所以真的是還蠻多的。什麼展覽門票、員工運動憑證、東吳大學學生會、神腦數位房產、計程車登記、災害補助之類的。
因為它沒有被放到快速搜尋列表?
對,那你要就是⋯⋯這個就是介面設計。所有這些沙盒都公開,但是如果你去沙盒裡面,就是你申請一個一般的沙盒帳號,這些都是看得到的。那當然我想像中這個早餐店還是什麼學生會,它們自己有自己的方法,用 App 或者是用網站去發布這個。
但因為這個系統的設計目標,並不是回傳使用紀錄給發行端,所以我其實完全不知道它們到底用得怎麼樣。你看這個界面,除了知道其他發行端的建立時間之外,其他什麼都不知道。
因為理論上剛剛在驗證的時候告知你個資義務了。就是說理論上在這種非高度管制場景,我們本來是在《電子簽章法》——再刷一下。
我們再看一次。很有意思——我自己也試一次好了。有知情同意——我有看到。
它是按鈕,不是打勾。因為你有一個有意識行動嘛,就是按「送出資料」嘛。那至於要不要打勾,這屬於介面設計問題。
對,但這應該是在個資法的範圍裡。然後因為我已經有蒐集主體、蒐集目的、個人資料類別了嘛。
然後你如果用它作為電子文件,那已經有《電子簽章法》嘛。那適用《個資法》的場景本來也就可以適用《電子簽章法》,除非依法律及經法律具體明確授權之法規命令來排除適用。現在好像所有經濟相關部會,都沒有用函釋來主張排除適用。
我們原本有一大堆排除的函釋,修法是說要大家日落。因為當時葛如鈞委員說這個一年就要日落掉了,對不對?2024 年 5 月立的法,所以 2025 年就是去年就應該日落了。
那它是說但是如果真的有人受不了,還需要時間改系統,那可以來申請延長。
我們在講的是《電子簽章法》第 20 條?
對啊,目前還在依公告排除的,大概就是《通訊保障監察法》,然後還有檢察機關沒入、《強制執行法》之類。但是這個跟我們剛剛講的場景一點關係沒有。
那以我的理解,目前沒有其他主管機關僅以函釋就主張排除《電子簽章法》之適用。
在兩邊都是普通民間機構或自然人——我們剛剛的情況——而不是法務部強制執行的標的的情況下,剛剛的適法性,我看起來沒有什麼問題。
那再不然就是要加入東吳大學學生會,或者要來看唐鳳。總之你得認識某個發行端。
然後它才會——但是有四百多個嘛。
可以啊。你就去註冊就好了,你要加入發行端,你就註冊就好。你也可以成為——
那你就要去說服全家。就是說現在假設看過唐鳳的人都可以去全家取貨,這個場景顯然是荒謬的。本來就不應該這樣做。
那現在假設你想要把它改成是——我舉例,稍微可行一點的——你有市話的,那你也可以去超商取貨,我的後三碼可以留市話。那這樣你要做的是你要去說服你的市話提供商去壓一個憑證給你,因為你沒有手機號碼。
或者是說你是漫遊使用者,你想要拿什麼 T-Mobile 的去超商取貨,那你要說服的是 T-Mobile 壓個憑證給你。你知道我的意思嗎?
看起來不需要做到。
原因是因為這完全是看場景決定。就是說你去超商取貨這個場景,它天生不需要你身份證字號。你報身份證字號其實它覺得很麻煩,因為只要聽到身份證字號,他突然就有個資保護義務。所以對超商來講,個資最小化是好事、不是壞事。
所以他自然有那個動機去——尤其是因為新《個資法》施行之後,個資義務又更多了,要行政檢查什麼的。所以在這個情況下,當然就是你不會從驗證方這邊去 push 過度提供。因為那個過度提供,每一項你都要發行端跟使用者的知情,而且又有現成的這種最小化揭露在前面,所以你就是要破壞一個最小化揭露的常規。
那沒有哪個驗證方——像超商——會想要增加自己的個資保護負擔,然後又要破壞掉常規,然後又要承受民間團體的指責,然後只為了怎麼樣——每年可以多幾個會員?這個好像不是很 work。
沒有。我們剛剛到底收集到哪裡?我剛剛發這個憑證,只在你的手機裡。
我的發行端是個範本,所以我這邊有個 QR code。但是這個 QR code 發出去之後就只在你手機裡。我這邊也沒有一份。
