從邊境管控的技術演進,我們可以清晰看到香港數碼化進程的縮影。2026 年 6 月,入境處在港珠澳大橋香港口岸正式推出「無感 e-道」,合資格市民過關時全程無需停步,亦無需出示身份證或二維碼,僅憑容貌識別即可在 5 秒內完成出境手續。入境處之所以能成為香港數碼政府的模範,在於他們沒有將科技僅僅視為「把紙本變成電腦檔案」的工具,而是將其作為重塑整個服務流程的核心。
以下是香港出入境管理的數碼化演進時間表,這不僅是技術的升級,更是管治思維的突破:
- 2003 年(首代智能身份證與 e-道):香港成為全球先驅,大規模簽發內置晶片的智能身份證,並同步推出「e-道」(e-Channel),首次實現自助出入境檢查,打破了依賴人工蓋章的傳統。
- 2018 年(新一代智能身份證換發):引入具備更強大非接觸式讀取技術 (RFID) 的晶片,大幅提升讀取速度與防偽級別,為後續的無感通關奠定硬件基礎。
- 2021 年(非觸式 e-道與二維碼通關):推出專屬流動應用程式,市民過關時只需出示加密二維碼 (QR Code) 配合容貌識別,全程無需出示實體身份證,標誌著「無卡化」通關的開端。
- 2026 年 6 月(無感 e-道):在港珠澳大橋香港口岸推出,合資格市民過關時全程無需停步,亦無需出示任何證件或二維碼,僅憑容貌識別即可在 5 秒內完成出境手續。
- 2026 年 7 月預計(新皇崗口岸「合作查驗、一次放行」):新口岸將全面升級通關模式。旅客只需排一次隊、檢查一次證件(拍卡或人臉識別),最快 5 分鐘內即可同步完成深港兩地的出入境手續,徹底顛覆傳統的「兩地兩檢」或常規的「一地兩檢」。
創新與突破:從「認證件」到「認數據」
入境處的成功,在於他們抓住了數碼身份的核心邏輯:身份驗證的本質是確認「你是誰」,而不是確認「你拿著什麼卡」。
早期的 e-道雖然自動化,但仍然依賴實體晶片作為讀取媒介。真正的突破發生在「非觸式 e-道」及機場「登機易」系統的普及。當底層的生物特徵數據庫與前端的掃描設備實現毫秒級別的安全對接後,手機二維碼甚至旅客的臉孔,就成了最強大的通行證。
到了預計 2026 年中啟用的新皇崗口岸,這種創新更是跨越了司法管轄區的界限。「合作查驗、一次放行」意味著香港與內地在邊境線上實現了極高水平的系統協同與數據互信。這種不再拘泥於傳統流程、以極致效率和使用者體驗為導向的設計,正是其他政府部門最需要學習的「破局思維」。
不缺執行力,缺的是跨部門的整體政策
必須公道地說,特區政府在推動數碼化方面,從來不缺乏技術能力與資源。問題的真正癥結,不在於「做不到」,而在於這種能力只集中體現在個別獨立部門的執行力上,卻始終欠缺一套貫穿全政府、跨部門協調的整體數字身份政策。
以入境處為例,其執行力堪稱一流。e-道系統自 2004 年推出以來,累計使用人次已超過 20 億;2021 年推出的「非觸式 e-道」服務,截至 2024 年底已有超過 500 萬名香港居民登記,使用人次達 1.5 億。這證明單一部門完全有能力開發並普及承載龐大數據量與極高安全要求的大型數碼基建。同樣地,數字政策辦公室 (DPO) 的「智方便」(iAM Smart) 平台,截至 2025 年底登記用戶已突破 400 萬,每日使用量超過 18 萬人次,接達超過 1,300 項服務;立法會財務委員會更於 2024 年 6 月批出 3 億元撥款,專項建立「數碼企業身份」(CorpID) 平台。無論是技術、人才還是財政資源,香港都一應俱全。
然而,這些亮眼成績背後,是一幅「各做各的」的圖景:入境處把出入境場景做到極致、數字辦全力推「智方便」與 CorpID、各個提供服務的部門與機構則自行其是。每個部門在自己的範疇內都交出了好成績,但全港卻始終沒有一套統一的數字身份政策,去規範這些系統之間應如何對接、數據應如何授權互通、責任應如何劃分。換言之,香港擁有的是一堆出色的「點」,卻缺乏把它們連成一張安全網絡的「面」。一旦某個服務脫離了這個本應存在卻並不存在的整體框架,風險便會立即浮現——「積金易」事件正是這種結構性缺陷的最佳註腳。
失落的一塊拼圖:當「積金易」跟不上科技發展步伐
2025 年 12 月爆發的「積金易」(eMPF) 詐騙案,正是「有部門執行力、無整體政策」這種治理斷層的最佳註腳。
事件中,犯罪集團利用盜取的個人資料,配合「高仿真的偽造身份證」,透過平台的第三方電子身份認證 (eKYC) 功能成功冒名開戶,盜取了約 180 萬元的強積金,共有 12 名供款人被冒認身份。值得深思的是,這場騙局的成功,並非因為黑客攻破了任何政府的核心系統,而是因為認證流程本身存在結構性漏洞。
「積金易」的 eKYC 流程,是要求用戶自行拍攝實體身份證並對比容貌。問題的根源在於:入境處明明掌握著全港市民最權威的身份與生物特徵資料(包括登記在案的真實臉孔),但政府從來沒有一套政策,讓這些權威資料可供其他政府部門或公共服務在用戶授權下直接使用,更沒有把這些資料綜合整合到「智方便」這個統一認證平台之上。結果是,「積金易」根本無法調用入境處手上的真實數據,只能要求用戶自行拍攝實體身份證並對比容貌。這種所謂的「容貌核對」,本質上只是將用戶一張自拍,與一張(可能是偽造的)證件相片作比較,而無法與政府的權威身份資料核對。這恰恰為黑客利用 AI 偽造實體身份證、再配合用戶臉孔(甚至深偽技術)欺騙系統,提供了可乘之機。
這宗事件揭示了一個被長期忽略的根本問題:入境處簽發身份證的原意,從來不是為了讓其他政府部門或商業機構藉此核實身份。入境證件的法定用途是出入境管制與人事登記,其晶片內的防偽特徵與生物數據,是為了入境處自身的通關場景而設計,並非一個開放給全社會調用的身份認證介面。當 eMPF 這類新興數碼服務試圖「借用」實體身份證來做身份驗證時,便等於把一件並非為此設計的工具硬套在高風險的金融場景上,漏洞自然應運而生。
事件爆發後,「積金易」隨即暫停 eKYC 註冊功能,並引導用戶改用早與入境處身份證資料庫有對接的「智方便」進行身份核實——這正好反證了問題的解法本就存在,只是各部門各自為政,未能在系統設計之初就統一採用具權威數據後盾的認證渠道。
沒有整體政策:香港與領先典範的差距
歸根究柢,香港的問題並非「沒有技術」,也不是個別部門「做得不好」,而是「沒有一套貫穿全政府的整體數字身份政策,以及一個負責統籌執行這套政策的專責部門」。入境處負責實體證件、數字政策辦公室主理「智方便」與 CorpID、各個提供服務的部門與機構(如積金局、銀行)則各自採購不同的認證方案。各部門雖然都有執行力,但在沒有上層整體政策統籌下,數字身份的標準、責任與數據互通便長期處於碎片化狀態。
這與全球領先的典範形成鮮明對比:
| 地區/經濟體 | 統一數字身份 | 治理模式 | 關鍵特徵 |
|---|---|---|---|
| 新加坡 | Singpass(國家數字身份 NDI) | 由 GovTech(政府科技局)統一發行及管理 | 單一平台接達逾 2,700 項政府及商業服務,內建官方容貌核實 (Face Verification),所有機構共用同一權威數據源 |
| 歐盟 | 歐盟數字身份錢包 (EUDI Wallet) | 以《eIDAS 條例》為法定框架,成員國互認 | 提供安全、跨境、可信的數字身份,由法規明確界定數據屬性與互認機制 |
| 香港 | 「智方便」、CorpID、實體身份證並存 | 缺乏單一專責發行及管理部門 | 認證標準與責任碎片化,部分服務仍依賴可被偽造的實體證件 eKYC |
新加坡的 Singpass 由 GovTech 統一營運,無論是政府服務還是銀行開戶,所有機構都調用同一個經官方容貌核實的權威身份,從根本上杜絕了「商業機構無法核對真人」的漏洞;歐盟則以《eIDAS 條例》這套法定框架,明確規範了數字身份錢包的數據屬性、安全標準與跨境互認。反觀香港,正因缺乏一個如 GovTech 般的專責機構及對應法例,才會出現 eMPF 繞過入境處、自行採用脆弱 eKYC 的亂局。
建議解決方案
要徹底告別這種「各自為政」的風險,香港需要從治理架構、技術標準與法律框架三方面入手:
- 第一,設立或明確指定統一的數字身份專責部門。 建議由數字政策辦公室升格擔當類似新加坡 GovTech 的角色,成為全港數字身份的唯一發行及管理機構,統籌「智方便」(個人)與 CorpID(企業)兩大引擎,並明確界定其與入境處(實體證件)之間的數據授權關係,終結多頭管理。
- 第二,強制以「智方便」作為高風險服務的唯一法定認證渠道。 對於涉及金錢、資產或具法律效力的服務(如提取強積金、銀行開戶、簽署合約),應立法要求必須使用接駁入境處權威生物特徵數據的「智方便」進行認證,全面淘汰僅靠「自拍對證件」的脆弱 eKYC 流程,從源頭堵塞 AI 偽造證件與深偽攻擊的空間。
- 第三,建立官方身份核實 API 的開放與問責機制。 在嚴格的私隱保障與審計框架下,透過「智方便」向銀行、強積金受託人等持牌機構提供官方認可的身份核實接口(而非任由市場各自採購第三方方案),讓商業機構也能在用戶授權下調用權威數據;同時明確承辦商在系統測試與防偽上的合約責任,避免重蹈 eMPF「投放近 50 億元卻仍出現結構性漏洞」的覆轍。
- 第四,以法定框架明確數字身份的法律地位。 參考歐盟《eIDAS 條例》的經驗,為香港的數字身份制定專屬法例和執行機關,清晰界定數字身份的法律效力、數據屬性、各方權責及跨境(尤其是大灣區)互認機制,為整個數字社會提供穩固的法律基石。
數字政策辦公室的願景:iAM Smart 與 CorpID 的雙引擎
入境處解決了「人」在物理空間的流動效率,而數字政策辦公室的終極願景,則是透過建立統一的數碼身份基礎設施,解決「人」與「企業」在虛擬空間中的業務流動效率。
1. 個人層面的數碼基建:「智方便」(iAM Smart)
「智方便」的願景是成為全港市民在虛擬世界的「單一通行證」。它不僅要取代各個政府部門繁複的登入帳號和密碼,更重要的是推動「單次輸入」(Once-only) 原則。透過沙盒計劃,數字政策辦公室正積極將「智方便」的 API 整合到銀行、電訊等私營機構,讓市民在網上開戶或簽署具法律效力的文件時,能直接調用已核實的政府數據,免去上傳身份證副本和住址證明的繁瑣。「積金易」事件後迅速改用「智方便」認證的安排,正好印證了這一方向的迫切與正確。
2. 商業層面的最後一塊拼圖:數碼企業身份 (CorpID)
如果說「智方便」解放了市民,那麼正在全速推進的「數碼企業身份」(CorpID) 平台,就是要解放全港的中小企。以往企業與政府部門或銀行打交道,往往需要提交海量的實體商業登記證、公司註冊處文件及董事授權書。
數字政策辦公室的願景,是在 2026 年底前全面啟動這個耗資 3 億元建立的平台。CorpID 將與「智方便」生態深度綁定,為根據《公司條例》及《商業登記條例》註冊的企業提供:
- 一站式企業數碼認證: 企業在申請牌照、報稅或開立銀行戶口時,系統能自動驗證公司身份及董事授權。
- 電子商務的信任錨: 大幅縮減 B2B 和 B2G 流程中的背景審查和合規 (KYC) 時間。
當入境處的無感通關、iAM Smart 的個人認證,以及 CorpID 的企業認證三者完全成熟並互相交織,並且由一個專責部門以統一的標準與法律框架加以治理時,香港才能真正告別「紙本時代」與「各自為政」的亂局,邁入一個全天候、無縫連接且安全可信的智慧城市新紀元。
作者:Emil Chan 陳家豪
Unwire Pro 特約編輯
以「還俗IT人」自居。香港金融科技革命「吹哨人」。主要工作除了擔任金融科技初創企業顧問外,也在香港多家知名商學院擔任特約教授及客席講師,積極透過教育推動本地及大灣區金融科技及智慧城市發展。 放下幾十年編寫電腦程式的鍵盤後近年重新以此寫作。以「但憑愚公志,復我獅山茂」為工作目標。
