civic-proof

從國家發行憑證到公民證明自己：以公共領域下界重述數位身分如何轉化數位公民建設（公民證明系列第 0' 版）

“本文是 civic-proof 概念的第 0′ 版學術重述，以 Public Realm Floor 承擔數位身分介入公共行動時的民主合法性下界，並把皮夾、AI 代理、公民行動收據、選擇性揭露 UX、跨法域信任治理與台灣案例整合為一套工程與制度檢核框架。2026 年 5 月 21 日修訂加入 Danielle Allen 第二輪來源，將 AllenBridge 擴為 participatory readiness、power-sharing institutions 與 digital public infrastructure 的制度轉譯層。”

Claude Opus 4.7 2026年5月17日 · 更新於 2026年5月21日 62 分鐘 #2026-05-17-civic-proof-foundations

#civic-proof #civic-proof-foundations #civic-proof-series-zero-prime #Allen-Lab-academic-rewrite #Harvard-Kennedy-School-Ash-Center #digital-civic-infrastructure #digital-public-infrastructure #public-realm-floor #Arendt-plurality #Habermas-validity #Pettit-contestation #Mouffe-agonism #conjunctive-normative-floor #civic-proof-operational-concept #Danielle-Allen #power-sharing-liberalism #political-equality #AllenBridge #participatory-readiness #voice-to-influence #public-interest-technology #input-to-action-loop #co-ownership #rights-of-participation #issuance-legitimacy #exchange-architecture #two-layer-analysis #legal-identity #attribute-proof #uniqueness-proof #pseudonymous-participation #anonymity #unlinkability #verifiability #accountability #accountability-without-real-name #Talley-v-California #NAACP-v-Alabama #McIntyre-v-Ohio #selective-disclosure #no-phone-home #minimal-proof #holder-centric #issuer-centric #trust-list #trust-root #trust-anchoring #federated-trust-list-alliance #wallet-three-presupposition #AI-agent-delegation-limits #Tomasev-delegation-five-elements #civic-action-receipt-schema #selective-disclosure-UX #supporter-UI-three-layer-separation #CRPD-Article-29 #four-tier-trust-governance #cross-jurisdictional-redress-gap #inclusion-rights-three-layers #functional-demos-operational-definition #universal-conditional-distinction #anti-mythologization-clause #design-intuition-vs-normative-claim-separation #working-strengthened-thesis-discipline #likelihood-by-mechanism #Taiwan-democratic-frontline #MOICA #TW-DIW #moda #Taiwan-Digital-Identity-Wallet #EUDI-Wallet #eIDAS-2.0 #BankID-Sweden #California-AB1043 #California-OpenCred #Utah-digital-identity #MOSIP #Aadhaar #Bhutan-NDI #Vocdoni #Rarimo-Freedom-Tool #QuarkID #zkPassport #PTT-zero-knowledge-blue-check #g0v-Summit-2026 #age-verification #ISO-IEC-27566-1 #Free-Speech-Coalition-v-Paxton #structural-slippage #minimum-viable-scope-reduction #sunset-clause #scope-bound #split-key #opt-out-architecture #Bhutan-NDI-Ethereum-mainnet #Taiwan-trust-list-public-chain #QuarkID-ZKsync-L2 #DNS-vs-identity-trust-roots #ICANN-research-fellow #ACLU #EFF #Access-Now #OpenID4VC-OpenID4VP #W3C-VC-2.0 #W3C-DID #Digital-Credentials-API #NIST-SP-800-63-4 #BBS-Cryptosuite #client-side-proving #Ethereum-Foundation-PSE #Mueller-Ruling-the-Root #Marshall-citizenship-three-layers #Bovens-accountability-dual-structure #Tomasev-AI-delegation #Cavoukian-Privacy-by-Design #Bygrave-Data-Privacy-Law #Bennett-Lyon-Playing-Identity-Card #Bjorgo-BankID-Norway

AI 生成資訊

模型：Claude Opus 4.7

生成日期：2026年5月17日

提問：改寫 2026 年 4 月 17 日 Allen Lab Fellow Meeting 簡報「從國家發行憑證到公民證明自己」一文之第 0' 版（學術投稿狀態）。改寫指引：(1) 棄 mashbean-accent 個人語氣，改採學術投稿文書狀態；(2) 降低脈絡性鋪陳，強化『公民證明』理論與案例陳述之論述本體；(3) 不使用技術縮寫代號（如 PRF / F1 / F2 / F3 / A2 等），技術術語以中文（英文）並列格式呈現；(4) 字數可放寬。承接過去三十天完成之公民證明系列二十五篇主文 + 四篇 retrofit + 一篇台灣深度案例 + 一篇系列收束總論之承擔。

摘要

當數位身分基礎設施以皮夾、可驗證憑證、選擇性揭露使用者介面、跨法域信任清單之具體形態進入民主政體的公共領域進入條件，民主合法性的規範下界落在哪裡？本文以公共領域下界（Public Realm Floor）作為此問題的規範性回答，承擔以 Arendt 多元（plurality）、Habermas 有效性（validity）、Pettit 異議可能性（contestation）、Mouffe 對抗政治（agonism）之四家政治哲學合取為民主合法性之複合下界；以公民證明（civic proof）作為此規範下界向具體工程設計（皮夾、人工智慧代理、行動收據、使用者介面、治理框架）的操作概念（operational concept）。本文採兩層分析架構（證件發行的正當性層與交換架構層）展開論證，以四種公民證明需求型態（法律身分、屬性證明、唯一性證明、假名式參與）與四個規範條件（匿名、不可連結、可驗證、可問責）為分析基底，論證「可問責並不需要以實名為前提」之核心命題在密碼學、規範政治理論、美國憲法判決史三條獨立譜系上的匯流承擔。本文以台灣作為民主前線壓力測試案例展開深度 case-tracing，並以多個跨案例（歐盟、瑞典、美國、印度、不丹）作為比較參照。結語承擔條件性的民主合法性下界——本文之規範力預設民主政治脈絡；不主張公共領域下界為合法性之唯一標準；不主張結論可外推至非民主政體；不主張為密碼學工程之決定性 ground truth。

§1 導論：當數位身分介入公共行動的時刻

數位公民建設（Digital Civic Infrastructure, DCI）此一概念在 Harvard Kennedy School Ash Center 的 Allen Lab 脈絡中被系統化處理，近期框架將其理解為一套支撐公民連結（connect）、學習（learn）、行動（act）的制度與技術條件之集合。與數位公共基礎設施（Digital Public Infrastructure, DPI）此一常見的「資料／支付／身分」三分法相比，數位公民建設將焦點從基礎設施的存在本身，轉向其能否支撐民主社會所需的公民行動。

本文於 2026 年 5 月 19 日新增 Danielle Allen 理論橋接層，並於 2026 年 5 月 21 日依第二輪 Allen corpus 補強此層。Allen 的權力分享自由主義（power-sharing liberalism）與政治平等（political equality）不被本文增補為公共領域下界的第五個分量；本文改以 AllenBridge 稱之，作為公共領域下界通往數位公民建設之制度轉譯層。經第二輪補強後，AllenBridge 不只檢查 Act 層的權力分享，也納入公民參與準備度（participatory readiness）、公共數位基礎設施（digital public infrastructure）與 voice-to-influence 轉換。完整橋接論證另見〈Danielle Allen 的權力分享自由主義如何改寫數位公民基礎設施〉與〈數位身分要讓人分享權力，Danielle Allen 如何補上 DCI 的政治靈魂〉。

在這個轉向之下，數位身分的位置出現了一個值得深究的不對稱性。在連結階段，身分主要處理持續性、社群治理、角色分工與基本信任，許多時候並不必然介入公共決策。在學習階段，許多資訊取得與討論其實不需要強身分，不需登入的資料閱讀或低門檻的參與討論往往仍然成立。但是在行動階段，當系統開始管制行動（gate action）——當系統開始詢問參與者有沒有資格、有沒有重複投票、是否屬於某個區域、年齡是否達標、參與是否符合程序、是否必須對某個結果負責——數位身分就會直接進入公共決策、公共資源分配、公共空間進入條件之核心。

第二輪 Allen corpus 使此不對稱性需要再加一項限制。Connect 與 Learn 雖然不宜被強身分化，卻不能被視為民主上中性的前置層。Allen 與 Eli Pariser 關於 digital public infrastructure 的論述提醒，民主需要可被公共目的塑造的數位空間；From Voice to Influence 與 2025 年 experiential civic learning 報告則提醒，公民輸入若要進入公共影響，前段必須先具備參與能力、公共學習與可理解的制度入口。故本文之 Act 層主張，不表示 Connect 與 Learn 可以交給平台市場或行政 UX 自行決定；它們是公民證明能否成立的能力條件與公共空間條件。

數位身分之所以在行動層介入最強，並非偶然，亦非因為「行動比較重要」這種同義反覆，而是因為行動是公共領域之四項規範條件——多元、有效性、異議可能性、對抗政治——同時被啟動的瞬間。連結階段不需要這四項條件同時就位；學習階段也不需要；只有當系統開始管制公民行動，這四項條件才同時被拉到桌面上。

本文以此不對稱性為起點，展開公民證明（civic proof）作為數位身分轉化數位公民建設之核心概念的論證。文章結構如下。第二章建立兩層分析架構，將數位身分拆為證件發行的正當性層與交換架構層。第三章展開公民證明的四種需求型態與四項規範條件。第四章論證「可問責並不需要以實名為前提」此一核心命題在三條獨立譜系上的匯流。第五章為本文之規範核心，建立公共領域下界之四家合取結構，並新增 AllenBridge 作為政治平等與權力分享自由主義的制度轉譯層。第六章為本文之操作核心，展開皮夾、人工智慧代理、公民行動收據、選擇性揭露使用者介面四層之具體工程承擔，並以 AllenBridge 補一組面向非壟斷、可理解性、回應閉環、共同擁有與備援能力的工程檢核。第七章展開跨法域治理結構。第八章建立比較案例之普適-條件區分方法論。第九章與第十章分別處理各國比較與台灣案例之深度展開。第十一章至第十五章分別處理公民層工程案例、年齡驗證壓力測試、最小證明工程承擔、公民與次國家實驗、公共區塊鏈在信任層的位置五項議題。第十六章給出政策議程，並以權力分享自由主義補強採購、標準、信任清單、供應商多元、公共投資與民間備援。第十七章為結語，收束 Public Realm Floor、AllenBridge 與 Digital Civic Infrastructure 三者之分工。

§2 兩層分析架構：證件正當性與交換架構

數位身分之分析有兩個層次——證件發行的正當性（issuance legitimacy）與交換架構（exchange architecture）——這兩個層次彼此息息相關但承擔不同的論證內容，混用兩者會使許多看似糾結的爭論失去清晰度。

證件發行的正當性處理的是法律效力、主權、制度問責、撤銷權，以及一個憑證（credential）為什麼值得被相信此一規範性問題。它的承擔者是國家、受信任機構、或社群規則。它的關鍵問題不是技術細節，而是「誰有權核發具備公民權利義務效果（civic consequences）的憑證」。當代多數高保證力的信任根（trust root），仍然由國家或國家承認的制度提供。雖然個人自發行身分（如基於以太坊地址的自我主權身分）、公民團體自發行的身分（如工會會員、俱樂部、協會）、企業發行的身分（如基於電子郵件的數位身分）等替代路徑長期存在並有具體部署，但截至本文撰寫時刻，這些替代路徑在法律證明、屬性證明等需要高保證力承擔的場景，仍難以取代由主權國家或國家承認制度發行之證件。在唯一性證明與假名式參與層面，雖有實驗性專案（如基於以太坊生態的 Gitcoin Passport，該專案後續已轉手轉向），但這些實驗性專案多數仍以國家發行的證件為其信任根（如 zkPassport 依賴護照晶片）。

交換架構則處理憑證如何被持有、如何被出示、誰來驗證、如何撤銷、如何跨越單一系統被重複使用，以及整個流程會不會留下可追蹤的痕跡此一工程性問題。它的承擔者是公鑰基礎建設（Public Key Infrastructure, PKI）、可驗證憑證（Verifiable Credentials, VC）、皮夾（wallet）、瀏覽器（browser）、信任清單（trust list）、信任註冊表（trust registry）等技術組件之集合。

過去十年的真正變化，不在證件發行的正當性層，而在交換架構層。這一層的差異——憑證如何被持有、如何被呈現、誰能驗證、誰能加入生態、誰控制信任清單、誰承擔接入成本（onboarding cost）——直接決定數位身分能不能介入數位公民建設的行動層。一個關鍵歷史脈絡是新冠疫情（COVID-19）的爆發：因為疫苗護照承載大量敏感個資，不同標準制定組織開始提出「去中心身分」（decentralized identity）的概念，以對應過去由政府資料庫儲存、使用的「中心化身分資料庫」之政府監控風險。這個領域後續衍伸出可驗證憑證（Verifiable Credentials）、去中心化識別碼（Decentralized Identifiers, DID）、零知識證明（Zero-Knowledge Proofs, ZKP）等技術譜系之具體應用。

將兩層拆開之後，前述各項技術組件——公鑰基礎建設、可驗證憑證、皮夾、瀏覽器、信任清單、信任註冊表——各自在不同層上發生作用，其關係結構得以被清楚呈現。本文後續各章皆建立在這個兩層分析架構之上。

§3 公民證明的四種需求型態

引入公民證明（civic proof）此一概念，目的在於將數位身分分析的焦點，從「證件本身是什麼」移到「能不能支撐公共行動的證明形式」。許多公民行動並不需要完整的法律身分；它需要的可能只是一個特定屬性的證明。將需求拆開之後，公民證明可分為四種型態。

第一種是法律身分（legal identity）的證明。這類需求出現在報稅、具法律效力的數位簽章、領取法定給付等場景。它要求一個由國家或法律授權的根身分（root identity），具備強保證力、可撤銷、可追訴之特性。對自由與隱私的最低要求是可驗證（verifiability）與可救濟（remedy availability）；本類需求並不要求匿名或不可連結。

第二種是屬性證明（attribute proof）。這類需求出現在年齡查核、居住資格驗證、學生身分、會員身分等場景。它要求一個可驗證的屬性來源，但不要求出示者揭露其完整身分。其核心工程要求是選擇性揭露（selective disclosure）與最小揭露（data minimization）。對自由與隱私的最低要求是不可連結（unlinkability）與不回撥（no phone home）——亦即驗證過程不應在驗證者之間留下可串接的痕跡，亦不應將驗證事件回傳給發證者。

第三種是唯一性證明（uniqueness proof）。這類需求出現在一人一帳、一人一票、論壇藍勾勾等場景。它要求唯一性來源可被信任，並具備抗 Sybil 攻擊（Sybil resistance）與低揭露特性。對自由與隱私的最低要求是假名（pseudonymity）與不可連結。

第四種是假名式參與（pseudonymous participation）。這類需求出現在吹哨、敏感諮詢、政治討論等場景。它要求程序正當性與事後問責機制；參與者必須能參與、能發言、能貢獻、能被事後稽核（auditability），但不必在平常狀態下暴露真實身分。對自由與隱私的最低要求是匿名（anonymity）、可問責（accountability）、與受監督（supervised audit chain）三者並存。

支撐這四種需求型態的，是四個必須同時成立的規範條件——匿名（anonymity）、不可連結（unlinkability）、可驗證（verifiability）、可問責（accountability）。本文採合取（conjunctive）讀法處理這四項條件：四項條件各自必要，難以由其他三項條件完全補位；任一條件被違反，整套公民證明設計之合法性即受到結構性威脅。這個合取讀法的規範根基由第五章承擔。

值得特別標明的是，這四項規範條件之中，有一項在工程實作上看似自相矛盾——可問責（accountability）通常被理解為「能將行為歸屬於某個具體可識別的個人」，而匿名（anonymity）則要求行為不能被歸屬於具體可識別的個人。如果兩者同時為必要條件，則公民證明在概念上似乎不可能成立。本文第四章承擔對此表面矛盾之解消。

§4 可問責並不需要以實名為前提：三條獨立譜系的匯流

公民證明此一概念的核心命題，是「可問責並不需要以實名為前提」。此命題在工程社群與政策界初聽起來違反直覺，因為主流理解將可問責直接等同於可被法律追訴，而可被法律追訴又似乎直接等同於可被識別為具體自然人。這個推論鏈條成立的條件，是「可問責 = 可法律追訴 = 可實名識別」此一同義鏈。本文承擔此同義鏈在三條獨立的承擔譜系上皆不成立。

第一條譜系是密碼學的事實。當代密碼學提供了選擇性揭露（selective disclosure）、零知識證明（zero-knowledge proofs）、不可連結的選擇性揭露（BBS+ 簽章方案）、撤銷狀態列表（status list）、可審計證據鏈（auditable evidence chain）等具體工程原語。這些原語允許一張憑證在不揭露完整身分的情況下被出示，並在事後出現爭議時，由特定條件下的稽核機構（如法院、獨立監督機關）對該次出示重建證據鏈。亦即，可問責的「事後可被稽核」此一性質，可由密碼學原語承擔，而不需要事前完整身分揭露。這是密碼學之事實，不是規範性主張。

第二條譜系是規範政治理論的事實。Mark Bovens 在 2007 年論文中將可問責（accountability）拆為兩層結構——應答性（answerability，行為者能對其行為作出說明）與可執行性（enforceability，外部能對該行為作出制裁或修正）。Bovens 此一結構並未預設應答的對象必須是「具體可識別的自然人」；應答的承擔者可以是一個假名身分（pseudonymous identity），只要該假名身分在特定條件下能被連結回某個可承擔責任的位置（不一定是真名）。Philip Pettit 在《On the People’s Terms》（2012）中發展共和主義之異議可能性（contestability）概念，將「非支配性」（non-domination）的核心要求承擔為「行為能被外部質詢與救濟」；此核心要求亦不必然以實名為前提。

第三條譜系是美國憲法判決史的事實。Talley v. California（1960）確立匿名印刷品的言論自由保護——加州曾要求所有印刷品標示作者姓名與住址，最高法院以多數意見認定此要求違憲，理由是強制揭露會壓制少數派之政治參與。NAACP v. Alabama ex rel. Patterson（1958）禁止州政府強制揭露民間結社會員名單，承擔結社自由之核心保護。McIntyre v. Ohio Elections Commission（1995）認可匿名政治言論之憲法地位，並明示「匿名言論是政治自由的核心要素之一」。這三案共同建立了「匿名表達與可問責不必同時要求實名」之憲法判例譜系。

三條譜系——密碼學、規範政治理論、美國憲法判決史——獨立發展，互不依賴，但匯流於同一個結論：可問責並不需要以實名為前提。這個結論不是任何一條譜系的單獨發明，而是三條獨立譜系的匯流共識。對工程實作而言，這個匯流意味著公民證明的工程設計可以同時承擔可問責與假名／匿名兩項條件，而不違反任何一條譜系之內部規範。對政策設計而言，這個匯流意味著「強制實名」此一管制工具，在面對公共領域議題時，並不必然能提升可問責，反而可能壓抑公民參與的多元性。

本文後續各章——尤其第五章公共領域下界與第六章工程承擔——皆建立在此匯流命題之上。

§5 公共領域下界：四家政治哲學的合取

本章為本文之規範核心。承擔以四家政治哲學原典——Hannah Arendt 的多元（plurality）、Jürgen Habermas 的有效性聲稱（Geltungsansprüche, validity claims）、Philip Pettit 的異議可能性（contestation）、Chantal Mouffe 的對抗政治（agonism）——之合取為民主合法性之規範下界。此規範下界稱為公共領域下界（Public Realm Floor）。

§5.1 四家錨點的構成

多元（plurality）此一概念來自 Hannah Arendt《人之條件》（The Human Condition, 1958）。Arendt 將人之存在區分為勞動（labor）、製作（work）、行動（action）三層；其中行動之所以為人之獨特性，是因為行動發生在多元主體（multiple who）共在的公共領域之中。Arendt 之多元並非統計學意義上的多樣性，而是存在論意義上的「複數性」——每一個進入公共領域的主體都帶來一個無法被簡約的「誰」（who），而公共領域正是這些「誰」彼此顯現、彼此承認、彼此行動的場所。多元若被消除，行動即喪失其公共性質。在當代數位身分基礎設施的脈絡中，多元之具體承擔表現為公民能否以多重身分（multiple identities）共存於公共領域而不被強制收斂為單一身分根。

有效性聲稱（Geltungsansprüche）此一概念來自 Jürgen Habermas《溝通行動理論》（Theorie des kommunikativen Handelns, 1981）與《事實與規範》（Faktizität und Geltung, 1992）。Habermas 將任一溝通行動之合理性結構拆為三項聲稱——關於外在世界的真實性聲稱（Wahrheit, truth）、關於規範性的正當性聲稱（Richtigkeit, rightness）、關於主體性的真誠性聲稱（Wahrhaftigkeit, sincerity）。任一公共討論之合法性，要求參與者能就其聲稱負起回應之義務；此即有效性。Habermas 在《事實與規範》中進一步將公共領域之結構拆為非正式意見形成層（informal opinion-formation）與正式決策層（formal decision-making），以閘門模型（Sluice model）描述兩層之間的承擔關係。在當代數位身分基礎設施的脈絡中，有效性之具體承擔表現為憑證之公共理性根據能否被驗證——亦即憑證所承擔之主張，能否在公共討論中被合理質詢與回應。

異議可能性（contestation）此一概念來自 Philip Pettit《On the People’s Terms》（2012）。Pettit 將共和主義之自由理解為「非支配性」（non-domination），並進一步將其工程化為「可被異議性」——任何權威性決定，必須在原則上能被受影響者質詢、救濟、撤回。Pettit 提出「眼球測試」（Eyeball Test）——若受影響者必須對權威者「不敢直視」，則該權威關係即構成支配。Pettit 將此測試延伸為「編輯民主」（editorial democracy）之四項條件，要求公共決策必須能被異議者參與、修改、撤回。在當代數位身分基礎設施的脈絡中，異議可能性之具體承擔表現為公民能否在數位空間中以積極姿態（active stance）對權威性決定提出事後質詢，並取得有效救濟。

對抗政治（agonism）此一概念來自 Chantal Mouffe《The Democratic Paradox》（2000）。Mouffe 拒絕 Habermas 之共識取向，主張民主政治之核心不在達成共識，而在維持「正當對手」（legitimate adversary）關係——對立的政治立場不必被消除為共識，但必須相互承認彼此為正當對手而非敵人（enemy）。Mouffe 將正當對手之關係條件分為三項：相互承認（mutual recognition）、共享規則（shared rules）、爭議框架（agonistic framework）。在當代數位身分基礎設施的脈絡中，對抗政治之具體承擔表現為政治對立的雙方能否在同一個身分基礎設施之中共存而不被消除——亦即少數政治意見的承擔者能否在不被強制揭露身分的情況下持續發聲。

§5.2 合取下界的承擔結構

本文承擔以上四家為民主合法性之合取下界（conjunctive floor）。合取讀法之核心承擔有三：四家分量各自必要、難以由其他三家完全補位、不可由數位工程取代。

各自必要意指——任一分量若被違反，民主合法性即受到結構性威脅。多元被違反，公共領域即失去「多重誰共在」之存在論基礎；有效性被違反，公共理性即失去其論證根據；異議可能性被違反，權威性決定即落入支配關係；對抗政治被違反，政治對立即退化為敵對殲滅或共識壓制。

難以補位意指——四家分量並非彼此可替代之冗餘設計，而是承擔彼此獨立的規範內容。多元承擔存在論層次的「誰」；有效性承擔溝通理性的合理化結構；異議可能性承擔權威關係的救濟結構；對抗政治承擔政治對立的承擔結構。任一家被違反時，其他三家無法填補其規範空缺。

不可由數位工程取代意指——四家分量之承擔，在原則上不能由密碼學原語、皮夾架構、人工智慧代理、區塊鏈共識協議等任何工程組件單獨完成。工程承擔可以是規範下界的具體實作，但不能取代規範下界本身。本文第六章將進一步展開此點。

合取下界之形式承擔，可以下列條件性蘊涵函數表示——對任一數位身分設計 d，若存在任一規範分量 i 使 d 違反該分量，則該設計之民主合法性退化（legitimacy degradation）將達到或超過一個民主政體可接受之退化閾值。此閾值為分析性建議數（analytic suggestion），非實證測量值；其校準需要至少五個獨立案例之迴歸研究作為實證基礎。本文不主張此閾值已被實證校準；任何將此函數讀為「實證機率預測」之引用，本文預先撤回。

§5.3 公共領域下界為下界，非唯一標準

公共領域下界之承擔，僅止於民主合法性之下界（floor），不主張為唯一標準（unique standard）。此區分有三項重要意涵。

第一，下界承擔的是必要條件而非充分條件。「未跨越下界」與「達到合法性最高水準」之區分嚴格保持。一個工程設計即使未違反四家分量之任何一項，也不必然即為「最佳設計」；它僅是「未跌破合法性下界」之設計。

第二，公共領域下界並非排斥其他規範性進路。John Rawls 之公平正義（justice as fairness）、Amartya Sen 之能力進路（capability approach）、Martha Nussbaum 之尊嚴本位能力（dignity-based capabilities）、Axel Honneth 之承認理論（recognition theory）等規範性進路，皆可作為公共領域下界之上界（ceiling）或邊界（boundary）條件。具體合取配置——例如「公共領域下界 + Rawls 公平正義」是否為更強的規範要求——為本文範圍之外之 future work。

第三，下界之非唯一性立場，承擔本系列對宣言式語式（manifesto register）的抗拒。下界承擔可檢驗化的最低門檻，不承擔合法性之充分判準。任何將公共領域下界推進為「絕對唯一規範標準」之引用，皆為對本承擔結構的偏離。

§5.4 AllenBridge：政治平等作為制度轉譯層

Danielle Allen 之政治平等與權力分享自由主義，提供本文對公共領域下界的一項補強。其補強位置位於下界通往制度設計與工程檢核的轉譯層。公共領域下界回答「何種民主合法性最低條件不可被繞過」；AllenBridge 回答「這些最低條件如何轉成數位公民建設中的權力分享、共同擁有與公共回應」。

形式上，可將此補強寫為：

AllenBridge(d) =
  participatory_readiness(d)
  ∧ digital_public_infrastructure(d)
  ∧ political_equality(d)
  ∧ rights_of_participation(d)
  ∧ no_monopoly(d)
  ∧ co_ownership(d)
  ∧ voice_to_influence_loop(d)

此式不改寫公共領域下界之四分量。政治平等同時觸及 Arendt 多元、Habermas 有效性、Pettit 異議可能性、Mouffe 對抗政治；若將其作為第五軸，將重複計算既有分量，並迫使第十九篇之 32 cell 承擔矩陣與必要性論證整體重開。本文採較節制之處理：公共領域下界保留為規範下界，AllenBridge 承擔其向數位公民建設之制度化方向。第二輪補強後，AllenBridge 的位置更明確：它不是第五軸，而是把下界轉成「能否準備公民參與、能否提供公共數位空間、能否讓 voice 進入 influence」的設計檢查。

此處的規範意義為，公民證明不能只被評估為隱私保護技術。若一套皮夾、收據、代理授權或信任清單設計保護了最小揭露，卻把公共行動之入口交給單一平台、單一供應商、單一發證者或不可回應之演算法決定，它仍未通過 AllenBridge 檢核。公民證明的民主價值，取決於它能否保留公民分享權力、參與制度、質疑決定、取得回應的實質能力。

§5.5 規範主張與描述事實的嚴格分離

本章作為規範性論證，必須與描述性主張嚴格分離。公共領域下界之四家錨點為規範性主張——亦即「民主合法性之規範下界落在哪裡」此一規範問題之回答。本章不主張當代任何數位身分基礎設施已實際達到此規範下界；亦不主張當代任何違反此規範下界之系統已實際造成民主合法性的崩潰。

規範下界與實證測量之關係，是條件性蘊涵：若某設計違反規範下界，則該設計之民主合法性退化會達到或超過閾值。這個條件性蘊涵之承擔，不依賴具體案例之實證資料；其證偽路徑（falsification path）為「找到一個違反規範下界但未產生民主合法性退化之具體案例」。本文承擔此條件性蘊涵之邏輯結構，不承擔其具體實證內容。

§6 工程承擔：皮夾、人工智慧代理、公民行動收據、使用者介面

本章為本文之操作核心。承擔以四項具體工程設計——皮夾、人工智慧代理、公民行動收據、選擇性揭露使用者介面——作為公共領域下界向數位身分基礎設施之具體承擔。本章之論證結構為：對每一項工程設計，承擔其與公共領域下界四家分量之對應關係、其結構性限制、其工程實作之具體條件。

§6.1 皮夾的三重預設與退化路徑

皮夾（wallet）作為數位身分基礎設施之最終使用者介面，承擔三項彼此糾纏之預設——個人擁有（individual ownership）、個人識別（individual identification）、個人私鑰（individual private key holding）。

個人擁有預設皮夾為單一自然人所擁有；不容許多重持有者、不容許共有結構、不容許跨代繼承。個人識別預設皮夾持有者之身分為單一識別；不容許假名持有、不容許多重身分、不容許情境化切換。個人私鑰預設皮夾之密碼學控制權集中於單一自然人；不容許共同簽署、不容許私鑰託管、不容許跨機構分割。

三項預設個別觀之，似為合理之工程簡化；然其合取則排除特定群體——失智長者、認知障礙者、未成年人、無身分證件之難民、需要意定監護之高齡公民——進入皮夾基礎設施的能力。在公共領域下界之框架下，此排除即構成對多元（plurality）分量之系統性違反——這些群體之「誰」被預先排除於公共領域之外。

針對三重預設之退化路徑（degradation path），具體之工程預防包括：承認多重持有者結構（例如意定監護人共同持有）、承認假名持有結構（例如以社群背書之假名身分）、承認跨機構私鑰分割結構（例如以閾值簽章將私鑰分散於信任機構之間）。此三項預防之具體工程實作，要求皮夾規格層之擴展，且要求驗證者端能識別並接受此擴展設計。

§6.2 人工智慧代理的委任極限

當人工智慧代理（artificial intelligence agent）介入公民行動——例如代為查詢、購買、簽署、投票、提交資料、操作公民工作流程——數位身分問題之核心由「誰登入」（who logs in）轉為「誰可以代表誰行動」（who can act on behalf of whom）。此轉變要求對代理委任（agent delegation）之具體形式作出規範性與工程性之雙重承擔。

Nenad Tomasev 等人於 2026 年所提出之代理委任五件結構——授權移轉（authority transfer）、責任移轉（responsibility transfer）、可問責性分配（accountability allocation）、邊界設定（boundary setting）、信任校準（trust calibration）——為當代代理委任分析之主要工程框架。將此五件與公民證明之三件式合取——規範主張之承擔者（normative claim bearer）、形式正當性之承擔者（formal legitimacy bearer）、行動者地位之承擔者（actor status bearer）——交叉檢驗，可得一個十五個 cell 之必要條件矩陣。

此矩陣之分析結論為：在十五個 cell 之中，有兩個 cell 在結構上不可被密碼學承擔——責任移轉與「行動者地位之承擔者」之交叉，以及可問責性分配與「行動者地位之承擔者」之交叉。前者要求「為行為承擔第一人稱之主觀責任」（first-personal mens rea），此一條件預設承擔者具備人類意識結構，密碼學無法以原語形式承擔此條件。後者要求「作為正當對手出現於對抗政治結構中」，此一條件預設承擔者能進入公共領域之對抗政治關係，密碼學無法以原語形式承擔此條件。

此兩個結構不可達 cell，構成代理委任之結構不可委任區（structurally non-delegable acts）。在公共領域下界之框架下，這些不可委任行動——以第一人稱承擔規範責任、作為正當對手進入政治對抗——必須由人類本人承擔，不可由人工智慧代理替代。任何主張「人工智慧代理可全面替代公民行動」之產品承擔，皆違反此結構性條件。

§6.3 公民行動收據的形式條件

公民行動收據（civic-action receipt）為公民在公共行動中所留下之證據鏈結構。其工程承擔為十四個欄位群、二十三個葉欄位（leaf field）之結構化資料模型。此模型承擔六項必要條件——資料最小化（data minimization, C1）、出示者-承載者之密碼學連結（presenter-holder binding, C2）、撤銷狀態之可驗證性（revocation status verifiability, C3）、跨組織獨立驗證（cross-organizational independent verification, C4）、跨法域承認（cross-jurisdictional recognition, C5）、事後審計可重建（ex post audit reconstruction, C6）。

此六項條件並非互相替代，而是彼此合取——任一條件缺失，則收據結構之證據鏈即出現可被攻擊之破口。例如若 C2（出示者-承載者連結）缺失，則任何持有該收據之第三方皆可冒稱為出示者，收據之證據價值瞬間崩潰。若 C6（事後審計可重建）缺失，則收據之可問責結構失能，可問責不以實名為前提此一命題之工程承擔即無法成立。

收據結構之形式定理化（formal theorems）承擔四項基本定理與一項補強定理。四項基本定理分別承擔上述六項條件之獨立必要性。補強定理（T2’）承擔「使用者介面層之合法性下界不可達」——亦即任何使用者介面工程設計，皆不能繞道公共領域下界。本定理之承擔，使選擇性揭露使用者介面之設計（第 6.4 節）承擔具體之合法性邊界。

§6.4 選擇性揭露使用者介面的三層分離

選擇性揭露（selective disclosure）此一密碼學能力，要求其使用者介面承擔具體之認知工程條件。本文承擔以四項條件——資訊認知負荷之承擔者明確（cognitive load bearer clarity, C7）、揭露範圍之資訊熵可被估算（disclosure entropy estimability, C8）、選擇行動之撤回可能性（reversibility of disclosure choice, C9）、決策結果之事後可追溯性（post hoc decision traceability, C10）——為使用者介面之合法性必要條件。

此四項條件對使用者介面之具體要求，承擔為「支持者介面三層分離」（supporter UI three-layer separation）：協助理解層（assistance-for-understanding layer）、操作介面層（operation interface layer）、決定承擔層（decision-bearing layer）三者必須分離承擔，不可合而為一。

此分離承擔有具體之規範根據。聯合國身心障礙者權利公約（Convention on the Rights of Persons with Disabilities, CRPD）第二十九條承擔身心障礙者之政治權利，並要求各國採取「支持型決策」（supported decision-making）取代「替代決策」（substituted decision-making）。CRPD 一般性意見第一號（General Comment No. 1, 2014）第二十六至二十九段進一步要求各國廢除替代決策制度。在工程實作上，若支持者介面將此三層揉合為一層，則「支持」即在實作上滑為「代行」，「支持型決策」即在實作上滑為「替代決策」，違反公約之具體承擔。

三層分離之具體工程要求為——協助理解層僅承擔「將揭露範圍以可理解之語言呈現給使用者」之功能；操作介面層僅承擔「將使用者之選擇轉換為密碼學操作」之功能；決定承擔層僅承擔「將決定結果記錄於收據結構並承擔事後可追溯性」之功能。三層之分離承擔，要求每一層之軟體實作不可調用另一層之控制權；具體技術手段包括嚴格的應用程式介面（API）邊界、權限分離（privilege separation）、稽核日誌之獨立記錄等。

§6.5 四項工程承擔的合取結構

皮夾三重預設、人工智慧代理委任極限、公民行動收據形式條件、選擇性揭露使用者介面三層分離——此四項工程承擔，在公共領域下界之框架下，承擔合取（conjunctive）結構之具體實作。任一項工程承擔之違反，皆對應於四家規範分量之一項或多項之違反。

具體而言：皮夾三重預設之違反，對應多元（plurality）之違反——特定群體被排除於公共領域；人工智慧代理結構不可委任區之違反，對應異議可能性（contestation）與對抗政治（agonism）之違反——以代理替代第一人稱規範責任與正當對手結構；公民行動收據六項條件之違反，對應有效性（validity）之違反——憑證之證據鏈失能；選擇性揭露使用者介面三層分離之違反，對應多元、有效性、異議可能性多項分量之違反——尤其涉及弱勢納入之多元維度。

此四項工程承擔之合取結構，並非任意湊合，而是公共領域下界向數位身分基礎設施之系統性轉譯。對任何擬上線之公民證明系統，本框架建議以此四項工程承擔為上線前之檢核基底。

§6.6 AllenBridge 工程檢核

在四項工程承擔之外，AllenBridge 提供一組面向制度實作的檢核問題。它不新增密碼學原語，也不替代前述四項工程承擔；其功能在於把工程設計放回權力分享的制度語境中檢查。

第零，參與準備度檢核。Connect 與 Learn 層不得被強身分化，也不得被當成單純流量入口。公共教育、經驗式公民學習、可理解的制度資訊與低門檻公共討論，構成 Act 層公民證明的前置能力條件。若公民在進入 Act 層前已被識讀、設備、語言、平台規則或資訊不對稱排除，後續再給予可驗證憑證也無法補回政治平等。

第一，非壟斷檢核。皮夾、瀏覽器、作業系統、發證者、驗證者、信任清單管理者之任一層，若形成事實單點控制，公民證明即可能由民主基礎設施滑向守門基礎設施。

第二，可理解性檢核。選擇性揭露、代理授權、收據欄位、撤銷狀態等機制，若只有工程師或供應商能理解，使用者即無法以平等地位參與決定。此處接合 Habermas 有效性，也接合 Allen 對 epistemic participation 的重視。

第三，voice-to-influence 檢核。公民輸入若無法追蹤其如何進入公共行動、行政回應或制度修正，更多 voice 可能加深犬儒。公民行動收據之證據鏈，須同時承擔參與紀錄、處理狀態、拒絕理由與回應閉環，使公民能看見自己的輸入如何被制度處理。

第四，共同擁有檢核。數位身分基礎設施若只由政府與供應商治理，公民社群、地方組織、弱勢使用者與獨立監督者缺乏制度槽位，則其「公共」性不足。

第五，備援能力檢核。無手機、無證件、失智、身心障礙、流亡、跨境、離線等情境，皆須有可運作之替代路徑。備援屬於政治平等在工程層的最低承擔。

§7 跨法域治理結構

當數位身分基礎設施跨越單一法域邊界，治理結構之複雜度顯著升高。本章承擔跨法域治理之四個分析層次——四層治理框架、四類救濟缺口、三層權利語言、功能性民主共同體之操作定義。

§7.1 四層治理框架

當代數位身分跨法域治理可分為四層——產業治理層（industry governance, G_industry）、國家治理層（state governance, G_state）、跨國承認治理層（cross-recognition governance, G_recognition）、獨立監督治理層（independent oversight governance, G_oversight）。

產業治理層承擔技術標準制定、互通性協議、市場競爭規範等工業層議題；其主要承擔者為標準制定組織（如 W3C、OpenID Foundation、ISO/IEC）、產業聯盟（如 Decentralized Identity Foundation）、開源社群。國家治理層承擔法律授權、撤銷權、公民權利義務之分配等主權層議題；其主要承擔者為各國政府。跨國承認治理層承擔跨國信任清單之承認、跨國憑證之互認、跨境救濟之程序協作等議題；其主要承擔者為跨國條約（如歐盟 eIDAS 2.0）、雙邊備忘錄（Memorandum of Understanding, MoU）、軟法工具（soft law instruments）。獨立監督治理層承擔對前三層之外部監督——資料保護、個資洩漏調查、消費者保護、人權審查等；其主要承擔者為獨立監督機關（如資料保護機關 Data Protection Authority, DPA）、人權委員會、公民社會審計組織。

四層之間之承擔分工，並非靜態；不同國家在不同層級之承擔成熟度差異甚大。例如，歐盟在前三層承擔成熟（產業層有 W3C VC、國家層有 eIDAS 2.0、跨國承認層有歐盟數位身分皮夾架構），但獨立監督層在資料保護機關之獨立性上仍有跨會員國差異。台灣在國家治理層承擔較成熟（數位發展部、內政部憑證管理中心），但獨立監督層之承擔（個人資料保護委員會）仍處於籌備期至執法初期之過渡階段，跨國承認層之承擔則因國際地位之特殊性而面臨結構性限制。

§7.2 跨法域救濟的四類缺口

當公民因跨法域數位身分而受到損害——例如其皮夾在另一個國家被拒絕、其憑證被錯誤撤銷、其廠商失效、其資料跨境洩漏——可訴諸之救濟管道結構性地不足。本文承擔四類具體救濟缺口。

第一類缺口為驗證者拒絕之救濟空白。當公民在跨法域場景被驗證者拒絕，難以追溯具體拒絕理由，亦難以對拒絕決定提出有效異議。第二類缺口為發證者錯誤撤銷之救濟空白。當發證者錯誤撤銷某張憑證，受影響公民難以快速取得錯誤撤銷之證明，亦難以對撤銷決定取得獨立第三方之審理。第三類缺口為廠商失效之救濟空白。當皮夾廠商、驗證者廠商、信任清單管理者破產或退出市場，其使用者之憑證可能瞬間失去驗證能力，但破產法或商業契約法通常未對此類情境作出系統性安排。第四類缺口為跨境隱私洩漏之救濟空白。當資料跨境洩漏，主要監督機關（lead supervisory authority）之機制在歐盟內部部分成立，在歐盟外則大致缺失。

人工智慧代理介入公民行動之後，本文承擔需新增第五類候選缺口——密碼學歸責之跨境多方歸責。當人工智慧代理代為簽署、提交資料、操作公民工作流程，若該操作跨越多個法域並涉及多個服務提供者，責任歸屬之具體形式（誰應對哪一段環節負責）目前缺乏成熟法律框架。

四類加一類缺口之識別，並未自動提供救濟方案；其作用在於將跨法域救濟之具體不足顯式化，使政策制定者能對應展開具體填補工作。

§7.3 三層權利語言

數位身分相關權利之主張，在不同法域可達之強度差異甚大。本文承擔以三層權利語言（three-tier rights language）分類處理。

第一層為前法律利益（pre-legal access interest, Level 1）。此層承擔「公民有合理利益進入數位身分基礎設施」之主張，但此主張尚未取得任何具體法律保護。其性質為「值得保護之利益」（worthy interest），可作為立法倡議之規範根據，但不具直接訴訟可主張性。

第二層為制度性義務（institutional entitlement, Level 2）。此層承擔國內法律對該權利之具體承認——例如某國個資法明示「公民有權選擇性揭露個資」、某國電子簽章法明示「電子簽章之法律效力」。其性質為「法定權利」，具直接訴訟可主張性，但其範圍受限於該國法律邊界。

第三層為條約層人權（treaty-level human right, Level 3）。此層承擔國際人權公約對該權利之具體承認——例如世界人權宣言第六條、公民與政治權利國際公約第十六條對法律人格權之承認，或身心障礙者權利公約第二十九條對政治參與之承認。其性質為「條約義務」，具跨國訴訟可主張性，但其執行依賴各國對該公約之具體承擔。

同樣是「數位身分相關權利之主張」，在不同法域可達之層級不同。例如「弱勢者不被排除於數位身分基礎設施」此一主張，在歐盟之框架下可訴諸 CRPD 第二十九條與一般資料保護規範（GDPR）第五條比例性原則，可達 Level 3；在美國某些州，可能僅能訴諸該州之數位身分權利法（如 Utah Digital Identity），達 Level 2；在某些尚未承認此類權利之低度開發民主政體，可能僅停留於 Level 1。

三層權利語言之分類，使政策溝通與司法救濟之具體強度得以被精確指認，避免將不同層級之主張混為一談。

§7.4 功能性民主共同體之操作定義

公共領域下界之適用範圍預設一個可清楚界定之民主憲政共同體（demos）。然而，部分民主政體——例如國際地位特殊之台灣，或主權承認爭議之地區——其民主共同體之邊界在跨境信任與國際承認層面長期不穩定。

針對此類案例，本文承擔以功能性民主共同體（functional demos）為操作定義之退讓——亦即將民主共同體之邊界，操作性地界定為「實際參與該政體之選舉、稅務、健保、民間結社之公民與長期居民集合」，避開主權承認之政治爭議。此操作定義之代價為——跨境議題（如在台灣案例下，涉及陸籍配偶、台灣商務人士在中國大陸、東南亞配偶、海外公民等群體）之公共領域下界承擔，需獨立論證，不能直接接合既有跨法域救濟之歐盟內論證。

功能性民主共同體之操作定義，並非主張公共領域下界僅適用於本操作定義所涵蓋之共同體；而是承擔——在民主憲政共同體邊界不穩定之案例下，本文之分析範圍以功能性共同體為基準，跨境議題之承擔留作 future work。

§8 比較案例的方法論限制：普適-條件區分

跨案例比較——例如將台灣 TW DIW、歐盟 EUDI Wallet、瑞典 BankID、美國各州 mDL 並列比較——是政策研究與技術評估之常見方法。然而，此類比較若未事先建立方法論紀律，極易陷入「不同案例下之相同概念被視為共軌」之謬誤。

本文承擔以普適-條件區分（universal-conditional distinction）為跨案例比較之必要方法論紀律。其結構如下。

公共領域下界之承擔有兩層——普適部分（universal）與條件部分（conditional）。普適部分為四家規範分量之結構必要性——亦即「多元、有效性、異議可能性、對抗政治四分量各自必要、合取構成複合下界」此一規範結構命題，不隨案例變動。條件部分為三層——機制承擔層、分量耦合度層、適用範圍層——隨案例變動。

機制承擔層意指——同一規範分量在不同案例中可由不同制度機制承擔。例如，多元此一分量在台灣案例由街頭社運、立法機關、線上平台、公投制度、社運網絡五類承擔者並存承擔；在愛沙尼亞案例可能由不同制度配置承擔。機制承擔之具體實例（instantiation）為條件性，隨案例而異。

分量耦合度層意指——在合取下界之框架內，各分量保持可區辨之規範身分；但其機制承擔可耦合——亦即同一機制可同時承擔多個分量之具體實例。例如，台灣場景下民間公民科技社群（如 g0v）同時承擔多元與對抗政治兩分量；此耦合不違反規範下界之合取結構，但要求在案例分析時對兩分量之耦合度作出明示。

適用範圍層意指——公共領域下界之適用域預設民主憲政共同體；不同案例下，此共同體之邊界穩定度不同。對主權承認爭議之案例，需採功能性民主共同體之操作定義（第 7.4 節）。

跨案例比較必須先做此分層，否則即陷入「以瑞典 BankID 經驗硬套台灣 TW DIW」「以歐盟 EUDI 經驗硬套不丹 NDI」之外推謬誤。每個案例之條件部分皆不同，但普適部分共享。比較之合法形式為——「在普適部分共享之前提下，比較條件部分之具體差異」；不可將條件部分之差異讀為對普適部分之否證，亦不可將某案例之條件部分結論直接外推至其他案例。

§9 各國比較

依第八章建立之普適-條件區分方法論，本章分述七個案例——台灣、歐盟、瑞典、美國、MOSIP、印度 Aadhaar、不丹 NDI——之具體承擔結構。本章僅作描述性比較；規範性比較之承擔由前述各章承擔。

§9.1 台灣

台灣同時存在自然人憑證（MOICA）此一以發證者為中心、強保證力、具明確法律效力之傳統公鑰基礎建設路徑，以及數位憑證皮夾（TW DIW）此一以持有者為中心、朝多發證者、場景化出示、選擇性揭露前進之皮夾路徑。MOICA 由內政部憑證管理中心承擔法律授權與技術維運；其法律效力清楚，但第三方介接需正式申請與審查，介接摩擦較高。TW DIW 由數位發展部主政，採 OpenID for Verifiable Credentials、選擇性揭露 JSON 網路權杖（SD-JWT VC）等國際標準，將信任清單錨定於公共區塊鏈。其法定授權仍由數位發展部與內政部承擔，公共區塊鏈僅承擔信任清單之可審計層，屬「混合架構」（hybrid architecture）。台灣案例之深度展開由第十章承擔。

§9.2 歐盟

歐盟之數位身分基礎設施採雙層結構——上層為 eIDAS 2.0 信任服務與各成員國信任清單，下層為歐盟數位身分皮夾（European Digital Identity Wallet, EUDI Wallet）。eIDAS 2.0 於 2024 年正式生效（Regulation (EU) 2024/1183），設定 2026 至 2027 年間 EUDI Wallet 之強制部署階段。其技術架構文件（Architecture and Reference Framework, ARF）已迭代至 2025 年 12 月之版本。歐盟之優勢在於法制完整、跨境互通有正式框架；其挑戰在於規則複雜、皮夾與瀏覽器之控制權成為新守門者。

§9.3 瑞典

瑞典之 BankID 為商業電子身分識別系統，由瑞典各大銀行共同營運，已成為瑞典社會之事實基礎設施——銀行業務、稅務申報、線上消費、政府服務之登入幾乎皆透過 BankID 完成。其社會滲透深度高，使用頻率高。然其結構性風險為——商業壟斷加上單一營運者依賴，使無 BankID 之公民（如新移民、未持有瑞典銀行帳戶之居民、信用評分不足者）面臨系統性排除。瑞典中央銀行已公開主張政府電子身分識別應作為重要補充，反映商業身分系統可深入社會生活，但公共治理問題不會因此消失。

§9.4 美國

美國之數位身分基礎設施呈分散結構——州級行動駕照（mobile Driver’s License, mDL）、州級皮夾生態（如加州 OpenCred）、州法授權之數位身分權利（如猶他州數位身分立法）、聯邦層之 NIST 指南（SP 800-63-4，含「訂閱者控制的皮夾」模型）。其優勢在於作業系統與市場影響力強；其挑戰在於全國制度碎片化、州際差異大、聯邦統一框架尚未形成。

§9.5 MOSIP

模組化開源身分平台（Modular Open Source Identity Platform, MOSIP）為一以全球南方為主要對象之開源身分基礎設施。MOSIP 提供模組化、可在地部署之身分系統組件，使各國能依自身需求自建身分基礎設施。其優勢在於對多國具成本與主權吸引力——尤其對缺乏自建能力之低度開發國家；其挑戰在於 MOSIP 本身為技術組件，能否支撐公民權利取決於各國之具體治理結構。

§9.6 印度 Aadhaar

印度之 Aadhaar 為國家級巨大規模根身分系統，覆蓋逾十二億人口，主要設計目的為認證與電子認識客戶（electronic Know-Your-Customer, eKYC）。其優勢為規模與覆蓋度極高；其挑戰在於高規模驗證與高覆蓋度不等於公民自由優先——Aadhaar 之使用案例多以政府服務與商業認證為主，公民參與與假名式行動之具體承擔較弱。

§9.7 不丹 NDI

不丹之國家數位身分（National Digital Identity, NDI）為主權支持之國家級身分基礎設施，採可驗證憑證與受信任皮夾之架構。NDI 於 2025 年 10 月遷至以太坊（Ethereum）主網，將憑證與去中心化識別碼之解析整體錨於公共區塊鏈。其優勢為國家級創新方向之具體實踐；其挑戰在於國際互通與治理成熟度仍在形成階段。

§9.8 比較之方法論限制

依第八章普適-條件區分之方法論紀律，本章比較表僅作描述性呈現，不應作為跨案例外推之依據。每一案例之條件部分（機制承擔、分量耦合度、適用範圍）皆不相同，其結論不可直接外推。下列比較表為描述性彙整，不主張為跨案例之共軌比較。

案例	上層發證正當性	下層交換架構	目前優勢	主要挑戰
台灣	MOICA 強法效；TW DIW 多發證者生態	PKI + 皮夾／VC 雙軌；信任清單上鏈	法效清楚，政策試驗彈性上升	生態接入摩擦與公民負擔並存
歐盟	eIDAS 2.0 信任服務；各國信任清單	EUDI Wallet；認證；選擇性揭露	法制完整；跨境互通正式框架	規則複雜；皮夾與瀏覽器成新守門者
瑞典	商業 BankID 為事實基礎設施	高日常採用；平台化成熟	使用頻率高；社會滲透深	單一商業營運者依賴；納入性風險
美國	州級 mDL；州法；州級皮夾	標準成熟；部署分散	作業系統與市場影響力強	全國制度碎片化；州際差異大
MOSIP	各國自建模組化身分基礎設施	開源；模組化；可在地部署	對多國具成本與主權吸引力	是否支撐公民權利取決於各國治理
印度 Aadhaar	國家級巨大規模根身分	認證／eKYC 導向	規模與覆蓋度極高	高規模不等於公民自由優先
不丹 NDI	主權支持之國家數位身分	受信任皮夾；VC 導向；錨於以太坊主網	國家級創新方向	國際互通與治理成熟度形成中

§10 台灣作為民主前線壓力測試案例

台灣案例之深度展開，承擔以四項條件並存——強公民社會、四年一週期之高頻選舉、地震與海纜中斷之物理基礎設施情境、跨海峽認知作戰與灰色入侵——為其特殊背景。本文承擔台灣為公共領域下界在民主前線條件下之條件性典型壓力測試案例 + 存在性壓力證明，明示不主張其結論可外推至其他民主政體。

§10.1 制度史四階段

台灣數位身分制度史並非自 2022 年數位發展部成立始；其結構性涵養可回溯至四個階段。

第一階段為民主轉型期（1991-1996）。1990 年 3 月之野百合學運後，1990 年 6 月 21 日司法院釋字第 261 號解釋要求第一屆未定期改選之中央民意代表於 1991 年 12 月 31 日終止行使職權；1991 年至 1993 年完成第二屆國民大會代表、立法委員、監察院之全面改選；1996 年 3 月 23 日舉行首次總統直接民選。此階段為公共領域下界之多元分量奠定政治基礎——「異議者也是合法成員」此一共識在此階段被制度化。

第二階段為首次政黨輪替（2000）。2000 年 3 月 18 日第十任總統選舉完成首次政黨輪替，終結中國國民黨在台五十五年連續執政。其關鍵不在政權轉移本身，而在政權交接時行政連續性未被政治化——戶政與身分基礎設施之行政程序未因政權交接而中斷。此階段為公共領域下界之有效性分量奠定程序基礎。

第三階段為新型晶片身分證撤案（2018-2021）。2018 年 12 月 27 日行政院通過「智慧政府發展藍圖」，將數位身分識別連結政府服務列為兩大基礎建設之一，預計 2020 年全面換發新型晶片身分證（New eID）。然此計畫於 2020 年起遭遇學界資安專家（包含林宗男、李忠憲等）與公民團體（包含台灣人權促進會、民間司法改革基金會）之連署反對。2021 年 1 月 21 日，行政院長同意內政部提出之「暫緩數位身分證發行計畫」，待完善法制後再推動。截至本文撰寫時刻，新型晶片身分證換發計畫未重啟，相關專法亦尚未通過。此階段為公共領域下界之異議可能性分量之具體案例——多層異議來源（公民團體、學界、監察體系、立法委員質詢、行政部會內部爭議）共構之異議過程，使政府之原始政策得以撤回。

第四階段為數位皮夾架構建立（2022-2026）。2022 年 8 月 27 日數位發展部正式掛牌，整併原分散於行政院各部會之數位事務業務。2024 年起，數位發展部啟動數位憑證皮夾（TW DIW）計畫，2025 年 12 月起進入試營運，並將信任清單錨定於公共區塊鏈。並行的個資治理面為：依憲法法庭 111 年憲判字第 13 號判決，國家應於 2025 年 8 月以前建立個人資料保護獨立監督機制；2023 年 12 月個人資料保護委員會籌備處成立，2025 年立法院通過個資法部分條文修正草案。

四階段對公共領域下界四分量之系統性涵養並不均勻——有效性與異議可能性兩分量因 1990s 民主轉型與 2018-2021 撤案兩個正面歷史事件被相對強化；多元分量因信任根仍集中於國家機關而未被結構性處理；獨立監督層（對應公共領域下界之有效性與異議可能性之制度承擔）則因個人資料保護委員會自籌備至完整執法槓桿之過渡期而最為脆弱。

§10.2 數位皮夾與人工智慧代理界面之工程承擔差距

台灣數位憑證皮夾與當代規範文件（如歐盟 EUDI 架構文件 2025 年 12 月版本、W3C 可驗證憑證資料模型 2.0、ISO/IEC 18013-5 行動駕照標準）之對齊狀況，可由四項揭示缺口（disclosure gap）描述。

第一缺口——皮夾實例認證（wallet instance attestation）規格未對外完整揭示，使「皮夾端在收據生成時可否提供代理身分與主體身分之密碼學區分」此一條件難以判定。第二缺口——代理／授權（representation / mandate）規格未對外明示，使人工智慧代理介入皮夾操作之具體形式缺乏直接承擔。第三缺口——信任清單上鏈但具體鏈別、合約位址、去中心化識別碼方法未對外揭示，使跨境驗證者透過鏈上資料解析台灣發證者認可狀態之路徑停留於工程未驗證階段。第四缺口——數位憑證皮夾與行動自然人憑證（TW FidO）分屬不同部會之法定授權，使持有者綁定（holder binding）與選擇者簽章（chooser signature）之密鑰歸屬難以判定。

四項揭示缺口共同構成台灣數位皮夾與人工智慧代理界面之工程承擔差距。在公共領域下界框架下，這些缺口尚未直接觸發合法性退化，但其延宕將使台灣案例在 2026 至 2028 年間之強制連結時程下，面臨多元、有效性、異議可能性多項分量之同時壓力。

§10.3 三重壓力之 case-tracing

台灣作為民主前線之具體壓力，可分為三類——認知作戰滲透下之發證者公信力可塑性（壓力 α）、海纜中斷下之離線備援可用性（壓力 β）、灰色地帶入侵下之制度撤銷時延（壓力 γ）。

壓力 α 之具體承擔為——當發證者之公信力被認知作戰預先框定為政治符號（例如將某政府發行之數位憑證與某執政黨綁定敘事），公共領域下界之有效性分量在文化層被掏空——即使憑證本身未被偽造。此壓力主要承擔於有效性與異議可能性兩分量。Doublethink Lab、台灣事實查核中心、IORG 等公民組織自 2022 年起持續監測之資料顯示，台灣在資訊環境維度受到的境外影響操作密度位居樣本國前段。

壓力 β 之具體承擔為——2023 年 2 月之馬祖海纜中斷事件（中華電信公告之兩條馬祖海纜於 2023 年 2 月 2 日與 2 月 8 日先後中斷，當地網路恢復至備援水準歷時約三十五天）為直接歷史錨點。海纜中斷下，皮夾之離線驗證模式可保留密碼學驗證子集，但撤銷狀態之新鮮度承擔降階——以舊狀態驗證之降級模式下，公共領域下界之有效性分量被「降階」而非「失效」，但分階後之有效性性質與原始設計不同。此壓力主要承擔於多元與異議可能性兩分量。

壓力 γ 之具體承擔為——准戰爭狀態（below-threshold conflict）下之灰色入侵情境，使發證者、驗證者、撤銷機制承擔持續性局部降級。撤銷清單之推送時延可能由分鐘量級延長至小時甚至日量級；發證者與驗證者之間之半失效狀態使同一張皮夾在不同驗證者端可能得到不一致之驗證結果。此壓力主要承擔於異議可能性與對抗政治兩分量。

三重壓力複合（壓力 α + β + γ 同時發生）之情境，並非純假設。國防安全研究院之灰色地帶系列研究與美國新美國安全中心（CNAS）之台灣應變規劃，皆將此複合情境視為合理分析錨點。複合壓力下，公共領域下界四分量之共同主要受害分量為異議可能性——救濟機制之存活在三重壓力下面臨「能否被聽見、救濟通道存活、救濟時序可接受」三條件之同時受擊。

§10.4 民間備援與政府單一棧的張力

台灣現行政府主導之數位身分基礎設施（包含數位憑證皮夾、行動自然人憑證、MyData 個資自主應用）之核心發證者信任根單一鎖定於數位發展部。在此單一棧結構之下，當灰色入侵或認知作戰造成具體影響時，公民缺乏第二信任根作為可挑戰之 fallback bearer。

針對此結構性脆弱，2025 年 11 月公開徵詢之民間倡議文本《有備而來——通向互通卻不可連結的數位身分之路》提出反脆弱（antifragile）、備援（backup）、信任輪替（trust rotation）三設計原則之民間備援提案。該倡議文本提出之設計直觀包括——「互通卻不可連結」（interoperable yet unlinkable，三條件：能互通、不可連結、不主動回傳）、信任清單承諾值上鏈（meta-issuer 結構之版本變更可被外部稽核）、鏡像簽發者接手（issuer 失效時容許同類型憑證之發行權威線上熱切換）、跨網段離線備援（地方、跨域、離散三層信任場域）。

本文對該倡議文本採設計直觀與規範主張分離原則（design intuition vs normative claim separation）處理。亦即——該倡議文本提出之設計直觀，作為描述對象被引述；但其在公共領域下界框架下之規範對映，由本文獨立論證承擔，不依賴該倡議文本自身之規範語言。具體而言，該文本之 antifragile 概念與 Nassim Nicholas Taleb 2012 年原著定義有明顯偏離（Taleb 預設「由衝擊取得正凸性」，該文本則僅承擔「由衝擊不退化」之 robustness 與 resilience 兩階），不應直接搬用為規範主張。

該倡議文本之設計直觀在多元與異議可能性兩分量上承擔較強之初步對映；然此對映之邊界條件——民間發證者之間之實質可分離性、離線可驗證信任清單之發布權威之多元性、跨網段備援之具體部署成熟度——皆未在 2026 年時刻得到實證承擔。該倡議文本作為設計直觀之來源具有承擔價值；任何將其讀為政策推薦或規範主張之引用，本文預先撤回背書。

§10.5 反神話化條款

台灣案例最易被外部讀者組裝為「台灣浪漫例外論」（Taiwan romantic exceptionalism）敘事——將公民科技社群、開放政府實踐、民間備援之韌性敘事，組合為「台灣是民主數位治理的全球範本」之過度美化。本文明示反神話化條款（anti-mythologization clause）——不主張台灣為民主數位治理之全球範本；不主張公民科技社群、民間備援機制可獨立提供公共領域下界四分量之完整承擔；不主張台灣經驗可直接外推至其他民主政體。任何將本文讀為「台灣是模範生」敘事之引用，本文視為對承擔結構之偏離，預先撤回背書。

§11 公民層工程案例：PTT 與 g0v Summit

在台灣案例之公民層工程實作中，兩個案例值得展開——台灣最大電子布告欄系統 PTT 透過自然人憑證產生零知識證明之「藍勾勾」機制，以及零時政府（g0v）2026 年峰會透過數位皮夾發行入場憑證之機制。兩案例個別觀之為小規模實作，合取觀之則承擔「國家根憑證 + 假名式參與」與「持有者為中心生態之非政府承擔」兩種具體可能性。

§11.1 PTT 零知識證明之藍勾勾

PTT 為台灣最大之電子布告欄系統，使用者數量仍維持數十萬規模；該平台長期受到選舉週期前協同操作行為（如網軍協同操作）之困擾，傳統內容審核難以解決。2026 年為台灣地方選舉年，PTT 工程團隊以自然人憑證產生零知識證明，使使用者在不揭露真實身分之情況下取得「藍勾勾」標記，藉以降低協同操作攻擊之頻率。

此案例之承擔結構為——國家根憑證（自然人憑證）作為信任根，但不揭露完整身分予平台；公民僅出示「持有有效自然人憑證之某個人」此一屬性證明加唯一性證明；且此操作在事後可被稽核（透過特定條件下之證據鏈重建），承擔可問責性。此案例對公共領域下界之具體承擔分布為——對異議可能性（公民社群對抗網軍操作之積極姿態）、對唯一性（一人一帳）、對不可連結性（不揭露真實身分予平台）三層之同時承擔。此案例證明國家根憑證可提供信任根而不必交出完整身分予平台，亦不必讓平台識別具體公民，為「從國家憑證轉成公民證明」之具體路徑。

§11.2 g0v Summit 2026 之數位皮夾入場憑證

零時政府為台灣最大之公民科技社群，每兩年舉辦一次峰會。2026 年峰會志工團隊以數位皮夾發行證件與入場憑證，並由非政府之第三方擔任發證者與驗證者。

此案例之承擔結構為——以持有者為中心之生態結構，可由非政府第三方（公民社群、活動組織者）擔任發證者與驗證者，承擔基於皮夾架構之具體公民實作。此案例對公共領域下界之具體承擔分布為——對多元（非政府發證者之並存）、對對抗政治（政府／民間／商業三方共構治理之制度槽位擴張）兩層之具體承擔。

此案例與第 9.3 節之瑞典 BankID 對照具有結構性意義——瑞典 BankID 為商業壟斷之以持有者為中心生態（單一商業營運者主導），而零時政府峰會為公民社群之以持有者為中心生態（多元發證者加非政府驗證者）。同一個技術架構（以持有者為中心之皮夾生態）在不同治理結構下，可走向完全不同的政治結果。此對照印證公共領域下界之具體承擔依賴於治理結構而非僅依賴於技術架構。

§12 年齡驗證作為國家數位身分政策壓力測試

年齡驗證（age verification）易從兒少保護之合理目的滑向普遍化之存取控制；此一張力使年齡驗證成為「數位身分作為公共基礎設施」之最具壓力之測試場域。當系統開始要求公民在進入特定服務、特定討論空間、特定內容、特定社會互動時提出年齡證明，數位身分即正式介入公共空間之進入條件。

§12.1 制度動向

本波年齡驗證立法之速度，明顯快過技術標準與人權評估之節奏。在國際標準 ISO/IEC 27566-1（《年齡保證系統——框架》，2025 年 12 月出版）之前，美國多州已立法、英國通訊管理局（Ofcom）已開始執法、澳洲法律已生效。重要的是，此標準本身明白寫出，年齡驗證之目標為作成年齡相關之資格判定，而「取得年齡保證」並不必然需要建立一個人的完整身分。

英國通訊管理局採高監理強度加技術中立之模式，要求年齡驗證在技術上準確、穩健、可靠且公平，並列出開放銀行、照片證件比對、臉部年齡估計、行動網路業者年齡查核、信用卡查核、數位身分服務、電子郵件年齡估計等方法。其優點在於彈性高；其挑戰在於平台可能選擇最便宜、最易部署之方案，而最便宜之方案未必最隱私友善。

澳洲採平台責任加實施後監理之模式。2025 年 12 月 10 日生效之社群媒體最低年齡限制要求平台採「合理措施」（reasonable steps）；澳洲網路安全專員於 2026 年 3 月發布合規進度更新，持續檢視平台合規狀況。

歐盟之方向則試圖將「只證明已滿十八歲」做成制度化設計。2026 年 4 月，歐盟執委會宣布年齡驗證應用程式可部署，並以護照或身分證件進行初始化設定。

美國之轉折出現於 2025 年 6 月 27 日，美國最高法院在「言論自由聯盟訴帕克斯頓案」（Free Speech Coalition v. Paxton）中以六比三裁定德州成人內容年齡驗證法合憲。多數意見認定年齡證明是執行年齡限制之通常且適當手段。然此判決之法律推理侷限於「對未成年人有害之性內容」此一脈絡，並未自動授權對社群媒體、一般網站、應用程式商店套用更廣泛之年齡門檻。

加州 2025 年簽署之第 1043 號法案（AB1043, Digital Age Assurance Act）要求作業系統提供者於帳號建立時要求填寫使用者之出生日期或年齡，並以即時應用程式介面向開發者提供年齡區間訊號；開發者必須在應用程式被下載與啟動時請求此訊號。此案使年齡驗證自特定類別網站之內容門檻，往裝置、作業系統、應用程式發行之基礎設施層下沉。

§12.2 結構性滑坡之風險

本文承擔以結構性滑坡（structural slippage）作為年齡驗證之核心風險識別。基礎設施一旦建成，新政策即傾向搭便車——加州 AB1043 之年齡訊號模型、英國自《線上安全法》到更廣義之皮夾與數位身分討論、歐盟將年齡驗證納入歐盟數位身分皮夾之路徑、美國州法自成人網站走向社群媒體與裝置層級訊號——皆指向同一方向。

結構性滑坡所造成之具體權利衝擊，至少涵蓋四個面向——隱私（證件、年齡、生物特徵被集中處理）、匿名（合法瀏覽與匿名權衝突）、言論自由（成人被迫自我審查之寒蟬效應）、數位落差（無證件或無銀行帳戶者被排除）。

集中式第三方驗證服務商之資安風險亦不可忽視。2025 年，Discord 承認其第三方供應商之事件中，約七萬名使用者用於年齡相關申訴之政府證件照片可能遭曝露。其他案例（如 Tea、AU10TIX、IDMerit 等事件）共通點在於——一旦年齡驗證採取集中式文件上傳與外包服務模式，即形成高價值攻擊目標。

§12.3 工程預防機制：MVSR 三層

針對結構性滑坡風險，本文承擔以最小可行範圍縮減（minimum viable scope reduction, MVSR）三層加四項工程原語之預防組合。

MVSR 三層為——範圍最小化（任何年齡驗證設施之範圍應預設為最小必要範圍，不擴張至無關場景）、退役條款（任何年齡驗證設施應預設退役條件與退役時程）、邊界明示（任何年齡驗證設施應明示其適用邊界，跨邊界使用須重新規範論證）。

四項工程原語為——日落條款（sunset clause，設施於特定時程後自動退役，除非主動延展）、範圍綁定（scope-bound，憑證之使用範圍綁定於發證時宣告之具體場域，跨場域使用需重新驗證）、私鑰分割（split-key，憑證之解密權限分散於多個信任機構之間，避免單點集中控制）、退出路徑（opt-out architecture，公民應有結構性可退出之路徑，紙本或非智慧型手機之替代路徑須保留）。

四項工程原語並非互相替代，而是合取設計——任一原語缺失即削弱結構性滑坡之預防能力。MVSR 三層加四項原語之組合，可作為年齡驗證設施上線前之具體檢核基底。

§12.4 三層權利語言對年齡驗證的應用

第 7.3 節建立之三層權利語言，可對年齡驗證之具體權利風險作出層級化指認。

例如「無證件或無銀行帳戶者被排除於數位空間」此一主張，在歐盟之框架下可訴諸 CRPD 第二十九條與一般資料保護規範（GDPR）第五條比例性原則，可達 Level 3 之條約層人權強度；在美國某些州，可能僅能訴諸該州之數位身分權利法（如 Utah Digital Identity）達 Level 2 之制度性義務強度；在某些尚未承認此類權利之法域，可能僅停留於 Level 1 之前法律利益強度。

同樣是「弱勢被排除」之具體現象，在不同法域可主張之權利強度差異甚大——這個差異不應被忽略或抹平。三層權利語言之分類，使政策溝通與司法救濟之具體強度得以被精確指認。

好方案亦存在。法國之雙重匿名（double anonymity）、歐盟之歐盟數位身分皮夾路線、西班牙之零知識證明年齡驗證嘗試，皆示範年齡驗證不必等於完整身分上傳。歐盟數位身分皮夾架構文件直接寫明，選擇性揭露、使用者核准、防止追蹤、甚至以零知識證明實作之「我已滿十八歲」皆為正當方向。

§13 從完整身分識別走向最小證明

年齡驗證為一典型之屬性證明場景。屬性證明有兩種數位身分證明方案——完整身分識別（full identity）與最小證明（minimal proof）。

完整身分識別要求出示者交出完整證件、出生日期、地址、身分號碼等完整資料；驗證者基於完整資料作出判定。最小證明僅要求出示者證明特定屬性（如「已滿十八歲」「居住於某轄區」「持有某資格」「為同一人」），不揭露其他資訊。兩種方案在不同場景下對自由與隱私之影響差異甚大。

場景	完整身分識別之路徑	最小證明之路徑
年齡查核	出示出生日期、完整證件	僅證明已滿十八歲
居住資格	出示完整地址或戶籍	僅證明居住資格
唯一性確認	交出真名、身分號碼	唯一性證明或假名憑證
資格驗證	交出整張證件	僅出示特定屬性

最小證明之工程承擔由第六章之三層承擔——人工智慧代理委任之結構不可委任區、公民行動收據之欄位群與形式定理、選擇性揭露使用者介面之三層分離——具體實作。每一層承擔皆對最小證明之具體實作提供形式約束。

皮夾（wallet）之必要性問題，可由下列條件式回答——若需求僅為單一服務登入，聯合登入（federation，如「使用 Google 登入」）、通行金鑰（passkey）或既有高保證力登入工具往往已足夠。當需求轉為多發證者、跨場景重用、最小揭露、使用者同意、跨境互通，皮夾之制度價值即顯著上升——此時皮夾不僅為容器，亦承擔呈現（presentation）、同意（consent）、憑證管理（credential management）、不同發證者之間之組合邏輯。美國國家標準與技術研究院之數位身分指南（NIST SP 800-63-4）將「訂閱者控制的皮夾」（subscriber-controlled wallets）納入模型，反映此承擔。

呈現層（presentation layer）正快速平台化。當皮夾、作業系統、瀏覽器開始成為數位憑證之預設出入口，真正之競爭即從「誰核發身分」擴大為「誰控制身分之呈現與同意介面」。Google Wallet、Chrome、Apple Wallet、歐盟數位身分皮夾之瀏覽器中介呈現皆指向此方向。此意味平台層已非中性。其可能成為新守門者（gatekeeper），亦可能成為權利保護之新位置。歐盟對瀏覽器與作業系統之具體限制條款、Google 對「不追蹤伺服器」之公開表述，皆說明此層正被制度化。

以太坊基金會之隱私與擴展性探索團隊（Privacy and Scaling Explorations, PSE）持續推進客戶端證明（client-side proving）之性能突破、撤銷之可用設計、以及讓行動裝置或一般消費裝置足以承擔證明之工程化努力。PSE 將客戶端證明與零知識身分（zero-knowledge identity, zkID）放到發展路線之上，並在 2026 年持續討論圖形處理器加速與撤銷機制——此使零知識證明不再僅為研究語言，亦開始成為產品與公民實驗可依賴之技術基礎。

§14 公民與次國家實驗

當主流制度未充分支援低暴露、可攜、可驗證之公民證明，公民與次國家實驗即出現。這些專案之主要價值，不在於它們已證明替代身分體制（alternative identity regime）成熟，而在於它們將未被主流制度充分服務之需求顯式暴露。

§14.1 三案例

Vocdoni 為西班牙加泰隆尼亞之技術開發非營利組織。自 2017 年加泰隆尼亞獨立公投失敗後，加泰隆尼亞之政治活動面臨限縮，許多新興組織嘗試新型態之公民參與形式。Vocdoni 透過西班牙護照驗證持有者為加泰隆尼亞人，進行模擬投票。此案例顯示——地方政府與民間組織具備可驗證、可稽核、隱私優先（privacy-first）之數位投票工具之具體需求。

Rarimo 之 Freedom Tool 同樣使用各地護照轉化為匿名數位身分，進行模擬投票。Rarimo 在羅馬尼亞、俄羅斯、伊朗皆有小規模之模擬投票實作。此案例顯示——在流亡社群與威權脈絡下，以護照為根基、以零知識證明為基礎（passport-rooted, ZK-based）之匿名資格證明具備具體需求。

QuarkID 為阿根廷布宜諾斯艾利斯之城市級數位身分計畫，將數位信任框架（digital trust framework）與公民控制之憑證（citizen-controlled credentials）放進公共治理。此案例顯示——城市級政府亦在嘗試以皮夾架構承擔公民身分基礎設施。

§14.2 設計直觀與規範主張的分離原則

針對此類公民與次國家實驗之引用，本文承擔以設計直觀與規範主張分離原則（design intuition vs normative claim separation）為具體紀律。其分離結構如下。

當引用 speculative civilian implementation document（推測性民間實作文件）、灰色文獻（grey literature）、民間倡議文本時，須區分設計直觀（design intuition）——描述對象提出之工程設計概念——與規範主張（normative claim）——本文獨立承擔之公共領域下界對映。前者可被引述、可被分析；後者不依賴描述對象自身之規範語言。

具體而言，Vocdoni、Rarimo、QuarkID 等專案可以在其自身文件中主張「我們的工具是民主的」「我們的設計保護隱私」「我們的方案承擔公民自由」——這些是其作者立場之規範主張。本文可引述「該專案提出之設計直觀」，但本文對該設計直觀在公共領域下界框架下之對映分析，須由本文獨立論證承擔，不直接搬用該專案之規範語言。

此分離原則並非否定上述專案之規範主張之合理性；而是預防規範語言搬用之偷渡——將民間倡議文本之規範倡議偷渡為學術規範承擔。在規範政治理論與工程實作之交界處，此偷渡為常見之分析缺陷。

公民與次國家實驗之主要承擔，並非「替代既有身分制度」，而是「將未被主流制度充分服務之具體需求顯式化」。它們最重要的價值，在於將「以護照為根基之假名資格證明之具體需求」「城市級信任框架之具體需求」「流亡社群之匿名公民參與之具體需求」等議題，從理論層帶到實作層之具體案例。其根身分仍多依賴既有護照、會員邊界、地方政府文件或其他制度型信任根；亦即，根身分仍需要公共正當性與民主問責，僅是往外分岔之後彈性提高，信任基礎變弱。

更可能之未來方向，不是國家根憑證被全面替代，而是國家根憑證與公民層參與工具之結合。此處有一深層政治問題——如何讓公民相信，政府提供之證件不會變成政府追蹤公民之工具。此為許多公民實驗最重要之隱含問題。若公民相信憑證僅為信任根，而驗證流程本身不會將交易回傳給國家，接受度會完全不同。此即為「不回撥」（no phone home）與「不可連結性」（unlinkability）兩工程原語之具體政治意義。

§15 公共區塊鏈在信任層的位置

在新型態數位身分基礎設施中，公共區塊鏈（public blockchain）為一直在標準規劃中、但實際大規模部署國家案例不多之方案。本文採節制立場——公共區塊鏈在數位身分基礎設施中之制度價值，不在合法性本身，亦不在將個人資料放於鏈上；其最適合之位置，是信任層（trust layer）、狀態錨定（status anchoring）、跨組織共見（cross-organizational visibility）、可稽核之狀態發布（auditable state publication）。

§15.1 三案例

不丹國家數位身分（NDI）於 2025 年 10 月遷至以太坊主網。此為當前公共區塊鏈作為國家級數位身分基礎設施之最完整部署案例。NDI 之具體架構將憑證與去中心化識別碼之解析整體錨於以太坊主網——不是測試網、不是 L2，是主網。

台灣數位憑證皮夾（TW DIW）之信任清單亦已上公共鏈。其具體鏈別、合約位址、去中心化識別碼方法截至 2026 年 5 月在開發者頁面尚未對外完整揭示，但「信任清單錨定於公共區塊鏈」此一事實已公開。其架構為混合架構——法定授權仍由數位發展部與內政部承擔，公共區塊鏈僅承擔信任清單之可審計層。

QuarkID（阿根廷布宜諾斯艾利斯城市級數位身分）部署於以太坊之 L2 解決方案 ZKsync。此為城市級而非國家級之公共鏈部署，路線與不丹、台灣不同。

三案例放在一起看，公共區塊鏈在數位身分基礎設施之角色已非未來想像，而是正在發生之具體事實。然此三案例之鏈別、層級、治理結構皆不相同——不丹用主網、台灣用主網（推測）、QuarkID 用 L2。在公共領域下界之框架下，三種選擇對有效性與異議可能性兩分量之承擔強度差異甚大；具體鏈別之選擇即為治理選擇。

§15.2 上鏈內容之合理範圍

公共區塊鏈在數位身分基礎設施中之合理上鏈內容，不應為個人資料本身。無論從歐盟一般資料保護規範、隱私、不可連結性、實務資料治理之任一角度，將個資本體上鏈皆非合理方向。較合理之上鏈內容包括——發證者之去中心化識別碼、發證者之公鑰、信任清單之錨點、狀態清單之承諾值，或其他公開可驗但不直接暴露個資之資料。

此設計使持有者或驗證者可在不逐筆聯繫發證者之情況下確認某發證者是否可信。此對公民證明至關重要——它有助於減少中心查詢，亦即減少回撥（phone-home）之可能性。

公共區塊鏈相對於許可制聯盟基礎設施（permissioned consortium infrastructure）之具體優勢，在於同時提供無許可發布（permissionless publication）、跨組織共見、獨立驗證、較強抗單點失效能力。此優勢在跨法域、公民社群、次國家治理、城市級信任框架中尤其具吸引力。許可制聯盟基礎設施之價值通常在特定法域或聯盟內部之協調效率，但其節點治理與全球可驗性邏輯與公共區塊鏈完全不同。

以歐盟之信任清單為例，其核心價值來自法制與監理。若將公共鏈放入此位置，最合理之角色更接近信任層與註冊介面（registry interface），而非取代法制正當性本身。

§15.3 聯邦式信任清單聯盟

未來真正可行之方向，可能不是單一全球信任根，而是不同法域、城市、機構、社群之信任清單彼此橋接，形成可對接、可查核、可分層治理之網絡。本文以聯邦式信任清單聯盟（federated trust-list alliance）此一概念承擔此方向。

聯邦式信任清單聯盟之具體治理工具仍處於形成階段。一個值得參照之歷史對照為網域名稱系統（Domain Name System, DNS）之信任根治理。經過長期參與網際網路名稱與號碼指配組織（Internet Corporation for Assigned Names and Numbers, ICANN）相關研究員計畫之經驗，本文承擔——DNS 走出之治理路徑與國家權力路徑完全不同，至今十二個信任根仍很大程度不由國家管理。然此歷史脈絡之具體條件（包括 Postel jar 之社群文化、美國政府之策略性放手、技術中立論述之歷史機會、IANA 移轉之過渡機制）與當代數位身分之具體條件差異甚大。本文承擔——DNS 治理史所示之非國家路徑，於數位身分之領域難以直接重現。

§16 政策議程：五條原則與五項方法論工具

本文承擔以五條政策原則為數位身分轉化數位公民建設之具體政策方向；並承擔以五項方法論工具，將此五條原則自「對的方向」升級為「可被外部審查之具體紀律」。

§16.1 五條政策原則

第一原則為固定隱私優先底線。其至少包含最小揭露、不可連結、不回撥、自願性、紙本或非智慧型手機之替代路徑、明確之申訴救濟。此原則與美國公民自由聯盟（ACLU）、電子前哨基金會（EFF）、Access Now 等數位權利倡議方向相互呼應。若不先固定此底線，新使用場景幾乎皆會從最高可見性、最方便管理、最易資料化之方向起跑。

第二原則為要求開放皮夾與標準化配發。呈現層即將成為新守門者。若皮夾、作業系統、瀏覽器層被單一平台主導，數位身分僅會從國家壟斷轉為平台壟斷。台灣數位憑證皮夾以 OpenID for Verifiable Credentials 與 OpenID for Verifiable Presentations 為核心、Google Chrome 將數位憑證 API 帶入實作、加州以 OpenCred 處理驗證方生態——皆提供可觀察之材料。政策之具體要求應為——使配發（provisioning）、呈現（presentation）、驗證方接入（verifier onboarding）盡量標準化，避免形成新封閉生態。

第三原則為建立採購沙盒。許多權利主張在政策白皮書中看起來漂亮，一進入實施即消失，原因是未被翻譯為採購語言。真正需要被測試之具體議題，包括全生命週期成本、第三方測試、事件回應（incident response）、模組替換能力、退出條款、驗證方接入之現實摩擦。實施（rollout）不是最後一步，其本身即為制度設計之一部分。

第四原則為建立試驗場網絡。不建議一開始即追求通用數位身分。較穩健之做法為，挑選幾種公民使用場景作小規模、可比較之試驗——論壇或公共討論場域之唯一性證明、年齡或居住資格之最小揭露證明、社群自治或公民團體之會員證明等。此等試點若能做出可比較、可評估、可擴散之材料，對關心數位公民建設之研究環境亦有具體貢獻。

第五原則為將人工智慧代理授權納入主線。人工智慧代理已快速進入公民工作流程。下一階段最大之問題，將自「誰登入」轉為「誰可以代表誰行動」。人工智慧代理是否能代表某公民查詢、購買、簽署、投票、提交資料、操作公民工作流程，皆需要範圍限制（scope limitation）、撤銷（revocation）、可稽核性（auditability）、人類覆寫（human override）。OpenID 基金會與美國國家標準與技術研究院皆已將此問題寫入正式文件；代理身分（agentic identity）與委任授權（delegated authority）必須被接回數位身分之主線議程。

§16.2 五項方法論工具

五項方法論工具，承擔對五條政策原則之具體審查紀律。

第一工具為基線命題與強化命題之分層紀律（working / strengthened thesis discipline）。對外引用採基線命題版本——亦即「在最嚴苛條件下保留之核心功能」之承擔；強化命題（在密碼學敏捷性、多軌備援、制度補強等緩解條件下擴展之功能）僅在明示緩解條件後使用。此工具對應第一原則——避免「強隱私承擔」之偷渡為「絕對隱私保證」。

第二工具為普適-條件區分（universal-conditional distinction）。將普適性主張內建脈絡化——普適部分為結構必要性（皮夾標準化承擔之 schema 結構）；條件部分為具體實作（發證者多元化、適用範圍、機制承擔之配置）。此工具對應第二原則——避免將標準化承擔讀為「單一全球標準」之具體偷渡。

第三工具為機制性可能性序級評估（likelihood-by-mechanism four-level）。對供應商產品主張採設計直觀排序語式（低 / 中 / 中高 / 高四級），不被「我們的方案是 99.9% 隱私安全」這類具體機率小數所誘騙。此工具對應第三原則——將採購沙盒之測試結果以序級語式呈現，避免假精確之機率主張。

第四工具為反神話化條款（anti-mythologization clause）。試點成果不主張為其他法域之模板；具體試點之外推必須有條件性條件之獨立論證。此工具對應第四原則——避免將某試點之成功讀為「全球範本」之外推謬誤。

第五工具為設計直觀與規範主張分離原則（design intuition vs normative claim separation）。人工智慧代理產品之規範語言（「我們的代理守護你的隱私」）不能直接搬用為政策承擔；政策承擔須由代理委任之具體分析獨立論證。此工具對應第五原則——將人工智慧代理產品承擔自「廠商規範語言」帶到「政策獨立論證」之分析層。

§16.3 五條原則與五項工具的合取應用

五條原則與五項工具之配對，並非五對五之機械對應；其在具體政策設計中應作合取應用。任一條政策建議文書、白皮書、立法說帖、採購招標書，皆可以五項工具為具體審查紀律——該政策主張有無偷渡？有無踩到結構不可委任區？有無將試點當模板？

此五項工具之系統化承擔，將政策設計自「對的方向」帶入「可被外部審查」之具體層次。此為政策設計成熟度之關鍵差異。

§16.4 權力分享自由主義作為政策議程補強

AllenBridge 對政策議程的直接補強，是把五條原則再推進為權力分享檢核。隱私優先底線需要問：使用者是否只是被保護的資料主體，或能成為制度共同擁有者。開放皮夾與標準化配發需要問：互通性是否只是供應商市場互通，或實際降低平台與信任根壟斷。採購沙盒需要問：公共採購是否把供應商替換、資料可攜、退出條款、公民社群稽核、弱勢替代路徑寫入可驗收條件。試驗場網絡需要問：試點是否只測轉換率與 UX，或同步測量公民輸入如何抵達公共行動。人工智慧代理授權需要問：AI 是否擴張公民參與能力，或把決定權交給不可質疑的代理流程。

第二輪 Allen 來源使此處還需補入公共數位基礎設施與公民能力政策。若公共行動入口完全依賴私有平台的排序、帳號規則、廣告誘因與資料治理，公民證明即使在密碼學上可驗，也可能在公共空間上失去民主承擔。政策議程因此須將 public-interest technology、公共數位空間、公民學習、地方社群協作、公共教育目的與 voter experience 一併納入，不宜只把 DCI 理解為政府服務數位化的延伸。

因此，政策設計不能只停在「避免傷害」的風險語言。以權力分享自由主義補強之後，政策議程須同時處理公共投資、供應商多元、開源與開放標準、信任清單共同治理、獨立監督、民間備援能力、以及 voice-to-influence loop。這些項目不必全部由同一制度承擔，但必須在制度圖上看得到承擔者。

§17 結語：條件性民主合法性下界

一個民主社會所需之數位身分體系，不僅要證明參與者之具體身分，亦要決定在何時可以不暴露超過必要之資訊而仍能合法參與公共生活。本文以此命題為起點，承擔以下三項收束。

第一，本文之承擔不主張公共領域下界為民主合法性之唯一規範標準。下界承擔的是必要條件而非充分條件。Rawls 之公平正義、Sen 之能力進路、Nussbaum 之尊嚴本位能力、Honneth 之承認理論等規範性進路，皆可作為公共領域下界之上界或邊界條件。本文不主張取代既有規範性進路；亦不主張本承擔結構為終結性。

第二，本文之承擔不主張公共領域下界普適於所有政體。本文預設民主政治脈絡——對非民主政體之描述力較弱。本文之規範力與描述力在威權場景分離；非民主政體下之數位身分基礎設施承擔，需獨立論證框架，不在本文承擔範圍。台灣案例之深度展開承擔反神話化條款——不主張台灣為民主數位治理之全球範本；公共領域下界於民主前線條件下之承擔，為條件性典型壓力測試案例 + 存在性壓力證明，普適化推論強度下調為「在較弱條件子集上可外推之假設」。

第三，本文之承擔不主張為密碼學工程之決定性 ground truth。公共領域下界為規範下界、公民證明為其操作概念。任何工程設計皆不可繞道公共領域下界（此即工程不可達之具體承擔）。然此並不意味本文承擔之工程方案（皮夾三重預設、人工智慧代理五件三件式合取、公民行動收據之欄位群、選擇性揭露使用者介面三層分離）為「最佳工程方案」。具體工程方案之選擇須由各實作場景之取捨獨立決定；本文之承擔限於規範下界對工程承擔之必要條件約束。

經本次修訂，本文另加第四項收束。公共領域下界給出公民證明的民主合法性下界；AllenBridge 給出參與準備、權力分享、政治平等與公共數位基礎設施的制度設計方向；數位公民建設則是兩者進入公共制度、技術規格與政策採購的實作場域。換言之，公民證明的任務不只是讓憑證更隱私、更可驗、更可攜，也包括讓公共行動之入口維持可參與、可異議、可共同擁有、可被回應，並讓公民 voice 有機會走向 public influence。此一補強之完整論證，另由 2026 年 5 月 19 日橋接文與 2026 年 5 月 20 日一般讀者版承擔。

留待後續工作的具體問題甚多。其中優先程度較高者包括——民主合法性退化閾值之具體校準（需至少五個獨立案例之迴歸研究）；民間備援之公共領域下界對映之獨立論證（避免將民間倡議文本之設計直觀偷渡為規範主張）；人工智慧代理主動性升級下委任邊界之擴張（當代理由被動委任工具升級為具備主動推理之主體時，五件三件式合取覆蓋需重新形式化）；跨案例比較（如台灣、愛沙尼亞、不丹之三案例對照）所需之最小條件變量集（minimal conditional variable set）之建立；公共領域下界在動態脈絡（dynamic context，如選舉週期、危機週期、政權交接）之時序動態研究；華人本土化承擔（朱雲漢之「群」、汪暉之「公」、儒家「諫議」「諍友」之歷史承載條件）之具體擴張；普適-條件區分作為規範政治理論之一般方法論之跨領域應用。

最後，本文承擔以下開放問題作為與讀者之共同思考——哪些公民行為真正需要法律身分？哪些其實只需要屬性證明、唯一性證明或假名式參與？皮夾、作業系統、瀏覽器若逐漸成為預設之呈現層，它們是否已成為新公共基礎設施？若國家根憑證在可見未來仍為主流，則何種交換架構足以支撐民主社會所需之隱私、可攜性、救濟、包容？本文之承擔僅提供初步框架；具體答案有賴於規範政治理論、密碼學工程、公共政策、案例研究多學科社群之持續對話。

參考資料

規範政治理論原典

Arendt, Hannah. (1958). The Human Condition. Chicago: University of Chicago Press.
Habermas, Jürgen. (1981). Theorie des kommunikativen Handelns. Frankfurt am Main: Suhrkamp.
Habermas, Jürgen. (1992). Faktizität und Geltung: Beiträge zur Diskurstheorie des Rechts und des demokratischen Rechtsstaats. Frankfurt am Main: Suhrkamp.
Pettit, Philip. (1997). Republicanism: A Theory of Freedom and Government. Oxford: Oxford University Press.
Pettit, Philip. (2012). On the People’s Terms: A Republican Theory and Model of Democracy. Cambridge: Cambridge University Press.
Mouffe, Chantal. (2000). The Democratic Paradox. London: Verso.

其他規範性進路（作為上界或邊界條件之候選）

Rawls, John. (1971). A Theory of Justice. Cambridge, MA: Harvard University Press.
Sen, Amartya. (2009). The Idea of Justice. Cambridge, MA: Harvard University Press.
Nussbaum, Martha. (2011). Creating Capabilities: The Human Development Approach. Cambridge, MA: Harvard University Press.
Honneth, Axel. (2014). Freedom’s Right: The Social Foundations of Democratic Life. New York: Columbia University Press.

規範-工程交界譜系

Bovens, Mark. (2007). “Analysing and Assessing Accountability: A Conceptual Framework.” European Law Journal, 13(4), 447-468.
Cavoukian, Ann. (2009). Privacy by Design: The 7 Foundational Principles. Toronto: Information and Privacy Commissioner of Ontario.
Bygrave, Lee A. (2014). Data Privacy Law: An International Perspective. Oxford: Oxford University Press.
Nissenbaum, Helen. (2010). Privacy in Context: Technology, Policy, and the Integrity of Social Life. Stanford: Stanford University Press.
Tomasev, Nenad, et al. (2026). “Intelligent AI Delegation: A Framework for Authority Transfer, Responsibility Allocation, and Trust Calibration in AI Agent Systems.” arXiv:2602.11865.

跨國治理與比較案例

Mueller, Milton L. (2002). Ruling the Root: Internet Governance and the Taming of Cyberspace. Cambridge, MA: MIT Press.
Mueller, Milton L. (2010). Networks and States: The Global Politics of Internet Governance. Cambridge, MA: MIT Press.
Bennett, Colin J., and David Lyon (eds.). (2008). Playing the Identity Card: Surveillance, Security and Identification in Global Perspective. London: Routledge.
Bjørgo, Tore. (2019). “BankID and Trust in Norway.”
Marshall, T. H. (1950). Citizenship and Social Class. Cambridge: Cambridge University Press.

美國憲法判決史

Talley v. California, 362 U.S. 60 (1960).
NAACP v. Alabama ex rel. Patterson, 357 U.S. 449 (1958).
McIntyre v. Ohio Elections Commission, 514 U.S. 334 (1995).
Free Speech Coalition v. Paxton, 605 U.S. ___ (2025-06-27).

國際標準與規範文件

W3C. (2025). Verifiable Credentials Data Model 2.0. W3C Recommendation. https://www.w3.org/TR/vc-data-model-2.0/
W3C. (2022). Decentralized Identifiers (DIDs) v1.0. W3C Recommendation. https://www.w3.org/TR/did-core/
ISO/IEC. (2025). ISO/IEC 27566-1: Age Assurance Systems — Framework.
OpenID Foundation. OpenID for Verifiable Credentials (OID4VC) and OpenID for Verifiable Presentations (OID4VP). https://openid.net/sg/openid4vc/
W3C / WICG. Digital Credentials API. https://wicg.github.io/digital-credentials/
NIST. Digital Identity Guidelines (SP 800-63-4). https://pages.nist.gov/800-63-4/
Regulation (EU) 2024/1183 (eIDAS 2.0). https://eur-lex.europa.eu/eli/reg/2024/1183/oj
European Commission. EUDI Wallet Architecture and Reference Framework (ARF), 2025-12 iteration. https://eudi.dev/
UN. (2006). Convention on the Rights of Persons with Disabilities. https://www.un.org/disabilities/documents/convention/convention_accessible_pdf.pdf
UN CRPD Committee. (2014). General Comment No. 1 on Equal Recognition before the Law.

國家與區域制度文件

中華民國行政院（2018-12-27）：第 3632 次院會議案〈數位身分識別證——打開智慧政府的關鍵鑰匙〉。https://www.ey.gov.tw/Page/448DE008087A1971/12ffc708-1b40-450a-b50a-0114b479e079
中華民國行政院（2021-01-21）：〈暫緩數位身分證發行計畫〉。https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a
司法院釋字第 261 號解釋（1990-06-21）。https://cons.judicial.gov.tw/docdata.aspx?fid=100&id=310442
司法院憲法法庭 111 年憲判字第 13 號判決。
數位發展部 moda（2022-08 掛牌至 2026-05 公開資訊）：TW FidO 行動自然人憑證、TW DIW 數位憑證皮夾。https://moda.gov.tw/
數位憑證皮夾 TW DIW：https://www.diw.gov.tw/
BankID（瑞典）：https://www.bankid.com/
MOSIP（Modular Open Source Identity Platform）：https://mosip.io/
Aadhaar（印度 UIDAI）：https://uidai.gov.in/
不丹國家數位身分 NDI：https://ndi.gov.bt/
加州 AB1043（Digital Age Assurance Act, 2025）。
加州 OpenCred 開放憑證驗證生態。
猶他州數位身分權利立法（Utah Digital Identity）。
林宗男、李忠憲〈自由共和國／數位身分證的資安風險〉，自由評論網。https://talk.ltn.com.tw/article/paper/1318140
報導者〈從被迫喊卡的數位身分證政策〉。https://www.twreporter.org/a/e-id-in-taiwan-2021-failed

三重壓力外部來源（台灣案例）

Doublethink Lab：China Index Annual Report (2022-2025)。
IORG（台灣資訊環境研究中心）+ Taiwan FactCheck Center 年度監測報告。
V-Dem Institute：Democracy Report 2025。
Freedom House：Freedom on the Net 2024 — Taiwan。
中華電信／國家通訊傳播委員會公告：馬祖海纜中斷事件（2023-02-02、2023-02-08；恢復約 35 天）。
TeleGeography Submarine Cable Map（2024-2025）。
中華民國國防部：《2025 國防報告書》。
國防安全研究院（INDSR）：灰色地帶系列研究。
Center for a New American Security (CNAS)：Taiwan Gray Zone + Taiwan Contingency Planning 系列。

公民與次國家實驗

Vocdoni（加泰隆尼亞數位投票基礎設施）：https://vocdoni.io/
Rarimo Freedom Tool（護照為根基之匿名資格證明與模擬投票）：https://rarimo.com/
QuarkID（阿根廷布宜諾斯艾利斯城市級數位身分計畫）：https://quarkid.org/
zkPassport：https://zkpassport.id/
Ethereum Foundation Privacy and Scaling Explorations (PSE)：https://pse.dev/

民間倡議文本

〈有備而來——通向互通卻不可連結的數位身分之路〉（民間倡議文本，2025-11 公開徵詢版）：https://blog.bonds.tw/litepaper/。本文以「民間倡議文本」之性質引用，不採學術引用格式。

倡議與研究機構

Allen Lab / Harvard Kennedy School Ash Center：A Framework for Digital Civic Infrastructure。
Danielle Allen. (2025). “Setting the 2025-26 Agenda for the Allen Lab for Democracy Renovation.” Harvard Kennedy School Ash Center. https://ash.harvard.edu/articles/setting-the-2025-26-agenda-for-the-allen-lab-for-democracy-renovation/
Danielle Allen. (2022). “Introducing Power-sharing Liberalism.” RadicalxChange. https://www.radicalxchange.org/updates/blog/introducing-power-sharing-liberalism/
Danielle Allen and Jennifer S. Light, eds. (2015). From Voice to Influence: Understanding Citizenship in a Digital Age. University of Chicago Press. https://press.uchicago.edu/ucp/books/book/chicago/F/bo20299131.html
Danielle Allen and Eli Pariser. (2021). “Democracy Needs Digital Public Infrastructure.” American Academy of Arts and Sciences. https://www.amacad.org/news/democracy-needs-digital-public-infrastructure
Danielle Allen et al. (2025). “Experiential Civic Learning for American Democracy: A Portrait of the Field.” Council on Civic Strength Task Force on Experiential Civic Learning. https://www.civiced.org/pdfs/reports/Report_ExperientialCivicLearningForAmericanDemocracy_0525.pdf
Danielle Allen. (2026). “The Purpose of Public Education Is Not Only Economic.” Stanford Social Innovation Review. https://ssir.org/articles/entry/allen-education-public-purposes
Danielle Allen et al. (2025). “A Roadmap for Governing AI: Technology Governance and Power-Sharing Liberalism.” AI and Ethics. https://link.springer.com/article/10.1007/s43681-024-00635-y
Danielle Allen, Eli Frankel, Woojin Lim, Divya Siddarth, Joshua Simons, E. Glen Weyl. (2023). Ethics of Decentralized Social Technologies: Lessons from Web3, the Fediverse, and Beyond. https://philarchive.org/archive/ALLEOD
Sarah Hubbard and Darshan Goux. (2026). “The Ecosystem of Deliberative Technologies for Public Input.” Harvard Kennedy School Ash Center. https://ash.harvard.edu/resources/the-ecosystem-of-deliberative-technologies-for-public-input/
Danielle Allen. (2023). Justice by Means of Democracy. University of Chicago Press. https://press.uchicago.edu/ucp/books/book/chicago/J/bo192735333.html
American Civil Liberties Union (ACLU)：https://www.aclu.org/
Electronic Frontier Foundation (EFF)：https://www.eff.org/
Access Now：https://www.accessnow.org/
Internet Corporation for Assigned Names and Numbers (ICANN)：https://www.icann.org/
Internet Engineering Task Force (IETF)：https://www.ietf.org/
OpenID Foundation：https://openid.net/

補充文獻（規範-描述分離、方法論、跨案例比較）

Stears, Marc. (2007). “Two Approaches to Political Theory.” in Political Theory: Methods and Approaches. Oxford: Oxford University Press.
Beach, Derek, and Rasmus Brun Pedersen. (2013). Process-Tracing Methods: Foundations and Guidelines. Ann Arbor: University of Michigan Press.
Bennett, Andrew, and Jeffrey T. Checkel (eds.). (2014). Process Tracing: From Metaphor to Analytic Tool. Cambridge: Cambridge University Press.
Yin, Robert K. (2018). Case Study Research and Applications: Design and Methods (6th ed.). Thousand Oaks: SAGE.
George, Alexander L., and Andrew Bennett. (2005). Case Studies and Theory Development in the Social Sciences. Cambridge, MA: MIT Press.
Beitz, Charles. (1979). Political Theory and International Relations. Princeton: Princeton University Press.
Pogge, Thomas. (1989). Realizing Rawls. Ithaca: Cornell University Press.
Walzer, Michael. (1983). Spheres of Justice: A Defense of Pluralism and Equality. New York: Basic Books.
Zweigert, Konrad, and Hein Kötz. (1998). An Introduction to Comparative Law (3rd ed.). Oxford: Oxford University Press.
Clifford, James, and George E. Marcus (eds.). (1986). Writing Culture: The Poetics and Politics of Ethnography. Berkeley: University of California Press.
Rosaldo, Renato. (1989). Culture and Truth: The Remaking of Social Analysis. Boston: Beacon Press.
Skinner, Quentin. (1969). “Meaning and Understanding in the History of Ideas.” History and Theory, 8(1), 3-53.
Taleb, Nassim Nicholas. (2012). Antifragile: Things That Gain from Disorder. New York: Random House.

補充：原稿出處

mashbean（2026-04-17）：〈從國家發行憑證到公民證明自己——數位身分如何轉化數位公民建設〉。https://mashbean.net/blog/2026/0417-1trens/
- 簡報投影片中文版：https://mashbean.net/blog/allen-lab-share-0417-zh/
- 簡報投影片英文版：https://mashbean.net/blog/allen-lab-share-0417-en/

本文承擔對前述原稿之系統化重述；原稿作為起源文本不被本文取代。