Make Digital ID Work for Citizens
สรุปจาก Presentation ของ Gartner by Arthur Mickoleit
“Now is the time to make digital identity work for citizens and governments”
ในเรื่อง digital identity ไม่มีโครงการใดหรอกที่ครอบจักรวาล ชนิดที่เอาไปใช้แล้วประสบความสำเร็จได้ทุกที่สมมุติถ้าเราเป็นรัฐบาล เราอยากจะใช้ digital identity ละ หลักๆ เราต้องมองเรื่องอะไรบ้างอย่างแรกก็ ตระหนักว่า การออก digital identity มีหลายแบบ เช่น
- หน่วยงานรัฐออกให้ ใช้ได้ทุกที่ (เรียกแบบ ปฐมภูมิ)
- หน่วยงานรัฐออกให้ ใช้ได้บางที่ (เรียกแบบ ทุติยภูมิ)
- เอกชนออกให้ ใช้ได้บางที่ (เรียกแบบ ทุติยภูมิเหมือนกัน)
- แบบมีตัวกลาง (brokered) ประสานระหว่างคนออก หลายๆ ที่รวมๆ กันจะรัฐหรือเอกชนก็ได้ แต่ใช้ได้บางที่
ตัวอย่างแบบ หน่วยงานรัฐออกให้ ใช้ได้ทุกที่ แบบ official สุดๆ ก็มี Aadhaar (อ่านว่า ‘อาธาร’) ของอินเดีย, MyKad ของมาเลเซีย, DNIe ของสเปน
ตัวอย่างแบบ หน่วยงานรัฐออกให้ ใช้ได้บางที่ ก็มี MyGovID ของไอร์แลนด์, SingPass ของสิงคโปร์, login.gov ของอเมริกา
ตัวอย่างแบบ เอกชนออกให้ ใช้ได้บางที่ ก็มี Handy-Signatur ออสเตรีย (บริษัท https://www.a-trust.at), NemID ของเดนมาร์ก (บริษัท https://www.nets.eu), Freja ID ของสวีเดน (บริษัท https://www.verisec.com)
ตัวอย่างแบบ brokered ก็เช่น FranceConnect ของฝรั่งเศส, SPID ของอิตาลี, Verify ของอังกฤษ ที่อยากจะหยิบยกมาพูดถึงคือ FranceConnect
FranceConnect ตั้งขึ้นมาปี 2015 มีคนใช้ประมาณ 23% ของประชากร (สถิติเมษาฯ 2020) การออก digital identity ไม่ยึดโยงกับบัตรประชาชน และเปิดรับให้ใครมาเป็น provider ก็ได้ ไม่ว่าจะหน่วยงานรัฐหรือภาคเอกชน
ทีนี้ ก่อนที่จะไปดูของประเทศอื่นแล้วคิดว่าจะลอกมาใช้กับประเทศตัวเอง ต้องคิดดีๆ
บริบทนั้นสำคัญ ลอกมาก็ไม่จำเป็นว่าจะสำเร็จก็ได้ ประชาชนแต่ละกลุ่มตอบสนองต่อแต่ละวิธีการไม่เหมือนกัน ตัวอย่างมีให้เห็นมากมาย
digital identity แบบยึดโยงกับบัตรประชาชนอิเล็กทรอนิกส์ เอสโตเนียคนใช้ 98% เยอรมนีทำแนวทางเดียวกัน คนใช้แค่ 6%
digital identity แบบทุติยภูมิจากหน่วยงานรัฐ DigiD ของเนเธอร์แลนด์คนใช้ 80% UAE ทำแนวทางเดียวกัน (UAE Pass) คนใช้แค่ 2%
digital identity แบบทุติยภูมิจากภาคเอกชน NemID ของเดนมาร์กคนใช้ 81% ออสเตรียทำแนวทางเดียวกัน (Handy-Signatur) คนใช้แค่ 16%
digital identity แบบมีตัวกลางรวมหลายๆ ที่ (brokered) FranceConnect มีคนใช้ 23% ก็ว่าน้อยแล้ว อังกฤษทำแนวทางเดียวกัน (UK Verify) คนใช้แค่ 10%
digital identity แบบยึดโยงกับการสแกนใบหน้า อาร์เจนติน่าประชากรยอมรับ (Argentina SID) ฝรั่งเศสประชากรลุกฮือต่อต้าน (FranceConnect นี่แหละ)
นอกจากบริบทภายในประเทศแล้ว บริบทต่างประเทศก็อาจมากระทบเราด้วย ก็ต้องศึกษาไว้ หรืออย่างน้อยก็ศึกษาไว้เป็นตัวอย่าง พวก framework ต่างๆ เช่น eIDAS (Electronic Identification, Authentication and Trust Services), PCTF (Pan-Canadian Trust Framework), TDIF (Trusted Digital Identity Framework ของออสเตรเลีย), DIF (Decentralized Identity Foundation), W3C (World Wide Web Consortium) เป็นต้น
ที่สำคัญอีกอย่างคือ ไม่ว่าโครงการสร้าง digital identity จะออกมาแบบไหน ต้องรองรับอนาคตด้วย เทคโนโลยีพัฒนาเร็ว digital wallet, Self-Sovereign Identity, biometrics for authentication, delegated access ฯลฯ
เริ่มเปิดตัวเบาๆ จะดีที่สุด อย่าออกตัวแรง อย่าออกตัวปั้งว่าจะเข้ามาแทนที่ทุกอย่าง เริ่มจากไม่กี่ use case ก่อน ให้ประชาชนจริงใช้งาน ลองผิดลองถูกว่าวิธีไหนเวิร์กไม่เวิร์ก
วิธีที่ใช้ ถ้าความน่าเชื่อถือสูง ก็ไม่ค่อยสะดวก (ยืนยันตัวตนยุ่งยาก) ถ้าจะเอาสะดวก ก็อาจจะไม่ค่อยน่าเชื่อถือ ก็ต้องหาความสมดุลระหว่าง assurance กับ convenience
แทนที่จะมานั่งหาความสมดุล อีกวิธีก็คือ ก็ใช้หลายๆ แบบไปเลย ตามแต่สถานการณ์ ตัวอย่างเช่น
- ในอาร์เจนตินา การนัดหมายกับหน่วยงานรัฐ ไม่ต้องการความน่าเชื่อถือมาก เน้นสะดวก ก็ใช้ identity จากพวก Facebook หรือ Google ไปเลยครับ
- ในฝรั่งเศส การสำแดงภาษี เบิกค่ารักษาพยาบาล เลือกตั้งท้องถิ่น ต้องการความน่าเชื่อถือระดับนึง แต่ก็อาจจะไม่ต้อง max สุด ก็ใช้ FranceConnect ได้ ไม่ถึงกับต้องใช้ solution ที่ยึดโยงกับบัตรประชาชน
- ถ้ายึดโยงกับบัตรประชาชน เพื่อความน่าเชื่อถือสูงสุด แต่ต้องยืนยันตัวตนหลายขั้นตอนยุ่งยากหน่อย ก็จะใช้สำหรับการเลือกตั้งทั่วไป เช่นในเอสโตเนีย
- บางที platform เดียว ก็ทำรองรับหลายๆ ระดับความน่าเชื่อถือได้ เช่น RealMe ของนิวซีแลนด์ ธุรกรรมที่ทำได้ จะขึ้นอยู่กับว่าเราลงทะเบียนด้วย credential แบบไหน
- บางประเทศก็ใช้หลายๆ platform แยกกันสำหรับคนละระดับความน่าเชื่อถือไปเลย เช่น ฝรั่งเศส FranceConnect ก็สำหรับ medium assurance แล้วก็มี Alicem แยกต่างหาก (ดำเนินการโดยกระทรวงมหาดไทย) สำหรับ high assurance
