政府轄下的香港應用科技研究院近年積極研究數碼個人身份(eID)技術。應科院首席科技總監楊美基接受本報專訪稱,eID涉及相當敏感的個人資料,建議政府推行時應設「雙重生物認證」,避免市民身份被盜用,並使用區塊鏈(Blockchain)存放數據,防止市民個人資料被任何人刪改。
備受市民關注的eID有望最快於二○二○年中推出,即利用一個數碼身份,便能直接使用各項政府服務,包括申請公屋、交稅或車牌續期等,未來有望伸延至金融活動。
簡單而言,eID可省卻重複填寫個人資料的步驟,取而代之以一個電子身份,便可游走各項政府及金融服務,毋須多次申請服務。
楊美基認為,eID有效準確地遙距認證(eKYC)市民身份真實性,大幅減低不法之徒盜用他人身份犯案機會,有潛力用於金融服務,如樓宇買賣或銀行開戶等。相比起坊間部分財務公司,只是要求市民上傳個人身份證明文件圖片便可以申請網上貸款,eID的認證要求更嚴謹。
由於eID涉及敏感個人資料,他建議,eID數據庫需要「去中心化」,即不能單一由政府數據庫儲存,相反利用區域鏈技術在分散的數據庫存放資料,才可確保每一個細微的數據,不會隨意被人修改。
他又建議,政府運作eID的時候,最少需要使用兩種難以被冒認的生物認證,來核實市民身份的真實性,其中包括指紋、面部識別、眼睛虹膜結構、聲紋或全球定位等,甚至市民使用手機時的按鍵習慣,都可以視為身份特徵之一,有效防止身份被不法之徒盜用。
他舉例指出,假設騙徒使用電腦技術合成了一條「移花接木」的影片,試圖欺騙面部識別系統假扮他人的身份,但第一層的保安系統應該可以即時分辨出登入eID服務非本人,並且拒絕讓其登錄。
即使騙徒成功破解首層認證,但第二重的實時全球定位(GPS)認證,亦有效可準確查出騙徒所在的位置。他解釋,如一個沒有離境紀錄的市民,突然試圖於非洲地區申請銀行戶口,系統便會即時攔截。
不過,他笑言,即使再嚴密的保安技術,「世界上總會有人努力破解」,因此,必定要時時刻刻緊貼市場的發展及更新保安技術,以減低市民身份被盜用的風險。