约旦数字公共基础设施诊断

数字公共基础设施诊断 2024 年 12 月数字副总统股 © 2024 世界银行 1818 H Street NW ， 华盛顿特区 20433电话 ： 1 - 202 - 473 - 1000 ； 互联网 ：www. worldbank.org 保留一些权利。 this work 是世界银行的产品。本报告中的发现、解释和结论并不代表世界银行执行董事会或他们代表的政府的观点。 世界银行不对本作品中包含的数据的准确性、完整性和时效性负责，并不承担因使用或未使用此处所述的方法、过程或结论而导致的任何责任。本作品中所示的边界、颜色、面值、链接/脚注及其他信息并不表明世界银行对任何领土法律地位的任何判断，也不表示世界银行认可或接受此类边界。引用其他作者的作品并不意味着世界银行认同这些作者的观点或其作品的内容。 此处不应构成、被解释或被认为是对世界银行特权和豁免权的限制或放弃，所有这些特权和豁免权均特此保留。 权限和权限 本作品的内容受版权保护。尽管世界银行鼓励其知识的传播，在非商业目的下可以复制本作品的全部或部分内容，但必须给予完整 attribution 致谢。封面照片：© Shutterstock, Inc. 通过 Shutterstock, Inc. 的授权使用。若要重新使用，请获得进一步许可。封面设计：[添加姓名] 归因– 请引用本作品如下：“Tullis, Christopher. 2024. 乔丹数字公共基础设施诊断报告. © 华盛顿特区：世界银行。” 关于权利和许可的任何查询，包括附属权利，请联系World Bank Publications, The World Bank, 1818 H Street NW,Washington, DC 20433, USA；传真：+1-202-522-2625；电子邮件：pubrights@worldbank.org。 封面照片：© 约旦数字经济与创业部。经约旦数字经济与创业部许可使用。未经许可，不允许重新使用。 封面设计: Duina TABLE OF CONTENTS 4关于 ID4D 致谢 5 1. 导言 6 10 2. 基础和推动者 2.1 法律身份102.2 数据中心和云计算112.3 法律和监管框架12 3. 数字身份证和信任服务 14 3.1 数字身份143.2 电子签名173.3 公钥基础设施183.4 同意管理18 20 4. 数据共享 4.1 直接数据共享204.2 分散数据共享204.3 数据聚合23 5. 用例24 5.1 Sanad 电子服务门户24 6. 结论 26 关于 ID4D T世界银行的识别与发展（ID4D）倡议利用全球性和跨部门的知识、世界银行的融资工具以及合作伙伴关系，帮助各国实现身份识别（ID）系统，包括民事登记（CR）的变革潜力。目标是使所有人能够行使自己的权利并获得更好的服务和经济机会，以符合可持续发展目标。 ID4D在全球范围内与世界银行的各个部门和单位合作，这些部门和单位专注于数字发展、社会保护、健康、金融包容性、治理、性别和平等、数据保护等领域。为了确保与国际最佳实践一致，以最大化发展效益并最小化风险，ID4D遵循了《可持续发展目标认证原则》（10个原则），该原则由世界银行及超过30个全球和地区组织共同制定并认可（详情请参见...）。http: / / idprinciples. org). ID4D 通过其三个工作支柱实现了这一点 ： 1.思想领导 ， 研究和分析 ， 以产生证据并填补知识空白。 2. 全球公共产品和服务的提供及召集以发展和放大良好实践，促进区域和全球利益相关方的合作，并支持知识交流。 通过金融和技术援助，在国家和地区层面实现包容性和可信赖的身份识别和民事登记系统。 ID4D 的工作是通过比尔和梅琳达 · 盖茨基金会、英国政府、法国政府 ， 挪威发展合作署(NORAD) 和 Omidyar 网络。找出更多关于 ID4D 和访问我们的其他出版物 ， 请访问https: / / id4d. worldbank. org / ACKNOWLEDGMENTS T本报告由世界银行数字副总统办公室的高级数字发展专家Christopher Tullis撰写。该报告是世界银行的识别与发展（ID4D）倡议与约旦数字经济与创业部（MoDEE）合作的结果。在报告的开发过程中，收到了优秀的意见反馈和输入。特别感谢H.E. Ahmad Hanandeh，数字经济与创业部长，以及以下人员（按字母顺序排列）为本报告做出了各种贡献：Ayman Anabtawi,Ahmad Elayyan, Ahlam Jadallah, Yousef Khamees, 和Ramy Rawashdih（MoDEE）; Ibrahim Mbaidin（规划与国际合作部）;以及Abdallah Jabbour, Nay Constantine, Ambrose Wong, David Porteus, Nadine Chehade, 和Matthew Zoller（世界银行）。Julia Clark, Stephen Davenport, 和Samer Qubain的审阅也帮助提升了报告的质量。 INTRODUCTION 在近年来，约旦越来越致力于通过数字公共基础设施（DPI）来提升公共服务交付能力。DPI指的是支撑跨公共和私营部门可信的数字化服务发展的基础性和可重用的数字平台和构建块，如数字身份、数字支付以及数据共享等，这些服务涵盖社会保护、健康、公共财政和银行业等领域。1约旦 2021 - 2025 年国家数字化转型战略及实施计划2反映了该国的战略承诺，政府积极建立DPI基础模块，如数字身份和数据共享平台，以利用安全且可扩展的架构加速公共服务的数字化。 作为数字身份和数据共享的一部分，这些使命还考察了对DPI实施至关重要的基础性使能因素。数字支付被排除在本次研究范围之外，因为它们将在后续的相关工作中专门进行探讨。团队与数字经济和创业部（MoDEE）进行了全面讨论，以了解DPI生态系统及其所支持的数字公共服务平台所带来的挑战与机遇。本诊断报告总结了这些讨论，并为约旦以民众为中心的数字化政府计划（项目编号P180291）的分析工作奠定了基础。该计划于2024年3月经世界银行董事会批准，并自2024年6月起生效，旨在通过数字化手段提升服务交付的民众中心化程度、政府效率以及透明度和问责制。 尽管采取了这些额外的努力，数字化公共服务的采用仍限于较小范围。仅约140万约旦人注册使用Sanad平台，该平台是国家数字化公共服务交付的核心集成电子服务平台。3服务采用受制于有限的实际应用场景、数字服务使用的选择性以及许多公共服 务无法实现全流程的数字化交易。 本诊断提供了对约旦DPI生态系统所支持的数字公共服务交付的全面审查，并提出了增强信任、互操作性、安全性和以人为中心特性的建议。4为了更好地了解生态系统组成部分，图1呈现了一个简化的高层次概述，展示了这些构建块之间的相互连接。 识别这些挑战后，世界银行的数字团队于2023年执行了数次任务，以评估在约旦建立一个可信且以人为中心的数字支付基础设施（DPI）生态系统的技术缺口，确保所有居民，包括非约旦籍人士和难民，都能全面受益于数字化公共服务。此外，除了考察核心DPI组件之外，还涵盖了其他关键要素。 这些全面而系统的诊断结果将有助于约旦政府朝着以信任和以人为本的DPI生态系统迈进，促进用户采用并加速国家的数字化转型。为此，表1提供了本次诊断主要建议的关键概览。 2基础和启用 国际良好实践，如联合国《个人数据保护和隐私原则》以及欧盟《通用数据保护条例》（GDPR）中的诸多规定，包括处理的合法性、目的限制、个人数据的准确性以及保密性。法律还强调了数据主体同意的重要性，并确定了此类同意在何种条件下可以正当化个人数据的处理，包括具体性、信息性、表达性和与目的的一致性。此外，数据主体的权利被明确阐述，敏感个人数据被明确界定并与国际良好实践相一致。 this诊断从识别、计算和建立数字转型的信任基础开始，在约旦进行。具体而言，将分析法律身份、数据中心、云计算以及数据保护框架等组件，这些组件能够提供一个可信的基础，以支持dpi（数字化转型计划）的实施。 2.1 法律和法规框架 Summary 约旦在确保包容性和可信度的数字身份（DPI）方面取得了一些显著的进步，改善了必要的法律和监管环境。关键措施包括：2015年制定承认电子交易和电子签名有效性的法律和监管框架；2024年修订了信息获取法；2023年通过了网络犯罪立法以及期待已久的《数据保护法》（2023年）。虽然这些措施突显了约旦致力于为国家数字经济建立坚实基础的决心，但还需要进一步的法律和监管改革，以完全符合国际标准并促进可信和包容的DPI。这包括制定治理和实施数字身份系统相关立法，以及进一步加强数据保护框架，如下所述。 然而，该立法中存在一些明显的差距和模糊之处。值得注意的是，数据最小化原则（即仅收集实现特定处理目的所需的人个数据）并未明确表达，从而错失了“设计之初”和“默认状态”方法来保护数据的机会。同样，“隐私影响评估”（PIA，也称为“数据保护影响评估”）的概念对于识别和个人数据处理过程中的风险管理至关重要，特别是在数字化项目中。尽管初级立法中没有对PIA的要求，但最近的一项实施条例草案对此有所涉及。尽管如此，这一要求仍然缺失，尤其是在主要立法层面。12要求在某些情况下执行隐私影响评估（PIA），以识别和减轻与数据处理活动相关的隐私风险，尤其是被认为是高风险的情况。该草案条例第7条强调了定期更新PIA的重要性，以确保责任明确和适当的文档记录。所需执行的PIA范围广泛，涵盖处理敏感个人数据或大规模开展活动的情景。 Personal数据保护,依托法律、监管和制度框架，促进通过确立可执行的权利和义务来保障个人数据和用户隐私，从而建立信任。 法律的其他弱点包括某些豁免的广泛性质。例如 ， 中央银行 2023 年 9 月颁布的《个人数据保护法》纳入了以下建议的关键原则 乔丹允许在数据主体事先同意的情况下处理个人数据，并且几乎没有限制。另一个类似的豁免条款允许公共机构之间共享数据，而未明确规定替代法律基础以获得此类共享的同意，这可能会为在缺乏充分理由的情况下分享和传输个人数据留下空间。最后，数据保护机构的组成包括来自内部安全部门的成员，这可能引发关于该机构能否提供国际标准通常预期的独立和有效的监督能力的担忧，从而可能削弱对该机构以及整体数字政府和数字经济的信任。 Summary 在2016年之前，约旦人使用塑料材质的国家身份证以符合法律规定，即公民在使用政府和私营部门提供的基本服务时必须出示这种身份证明。自2016年起，约旦将其替换为包含嵌入式数字芯片的新“智能”卡。这款新设计的国家身份证旨在取代先前针对16岁及以上成年人使用的塑料卡，现已覆盖超过650万人，占全国人口的一半以上。根据ID4D 2021数据集，两种版本的国家身份证的累计覆盖范围达到了符合条件人口的97%。14 新的国家身份证在安全、隐私和信息披露方面进行了多项改进。例如，为了保护用户隐私，持卡人的宗教不再印在卡片正面。国家身份证还包含一个数字证书，可用于电子签名文件，但由于需要专门的读卡设备且成本较高，其实际应用受到限制，因此通常不用于实际交易中。这种解决方案的低可用性很可能导致公民和依赖方对其采用率较低。 Recommendations 未来对《个人数据保护法》进行修订或出台配套法规（如实施细则），可能有助于解决上述识别出的一些薄弱环节。建议包括但不限于以下几点： • 引入数据最小化和隐私影响评估等良好实践概念。 • 减少并限制豁免数量和范围，这些豁免允许公共部门实体在缺乏明确法律基础的情况下共享和处理数据。 每个国民身份证持有者都通过基于虹膜生物特征识别的主要过程以及面部和指纹生物特征数据的支