政經時事 > 焦點新聞

隱私疑慮未解恐成「資安阿基里斯腱」 數位身分證換發倒數,台灣準備好了嗎?

2020-02-20
作者: 蔣宜婷

▲(圖/今周刊)

數位身分證究竟能帶給民眾哪些便利的公私部門服務?又能帶動「哪些」創新應用與產業發展?距離全面換發剩下八個月,內政部說清楚了嗎?

2019年8月22日,行政院長蘇貞昌在行政院會上拍板,預計自今年10月至2023年3月間,投入48億元經費,為全國兩千300萬人換發「數位身分識別證(New eID)」(下稱eID),屆時,紙本國民身分證將正式走入歷史。

這項被政府視為「發展智慧政府重要基礎」的重大政策,推出以來始終爭議不斷。在科技應用面,不少學者對使用晶片卡的資料安全與個人隱私維護持悲觀態度,甚至有人權團體懷疑,eID將成為國家監控人民的工具。

在政策執行面,eID規畫案去年4月由國巨管理顧問公司得標後,內政部在6月底便公告卡片將由中央印製廠製作,時任國民黨立委許毓仁等人因此批評,內政部尚未完成細部規畫便草率招標。

隱私維護遭質疑 內政部:不會監控人民

面對質疑聲浪,內政部長徐國勇去年9月底親赴立法院進行專題報告,他強調,eID相關系統建置皆符合國際安全管理規格與資安防護標準,內政部既不會、也無法透過eID監控。

儘管徐國勇拍胸脯掛保證,卻未能平息各方疑慮,其中癥結就在於內政部除了宣示性語言以外,始終無法針對eID的規畫內容與未來應用方向,提出詳細具體說明。因此,11月底立法院內政委員會審查eID預算案時,許毓仁、林麗蟬、林為洲、鄭秀玲、蔣絜安、張宏陸等跨黨派立委,共提出10項凍結預算案,要求內政部提出完整評估方案,才得以動支。

全案經朝野黨團協商後,以「民眾對資安問題仍有疑慮」為由,決議凍結10%eID預算;時任民進黨立院黨團書記長李俊俋也承諾,新一屆立法院民進黨團將持續討論修法及相關細節。

預算遭小幅凍結,並不影響專案進行,內政部去年12月仍依原計畫要求廠商在6月底完成系統建置作業,但至今仍未公布細部規畫報告,包括立法院在內,至今仍無人能掌握即將影響全體國人生活的eID真實樣貌。

根據內政部日前公開的網路簡報,eID是一張植入晶片的塑膠卡,晶片與卡面皆乘載個人身分資訊,未來民眾可使用eID在實體世界與網路世界識別身分,並結合自然人憑證的電子簽章功能,在網路上申辦公私部門服務、進行網路交易等,有望帶動創新應用與產業發展。

內政部戶政司司長張琬宜說明,「eID不僅滿足我國長達14年未換發身分證的需求,得以更新當事人資訊、加強卡片防偽,也是台灣打造智慧政府的基礎,符合實施電子化身分文件的國際潮流。」

上述文字為eID擘畫一張看似美好,卻高度抽象的藍圖,光看內政部簡報,無法明確得知換發eID後,識別身分將「如何」進行、可申辦「什麼」公私部門服務、進而帶動「哪些」創新應用與產業發展。

一位熟悉eID政策規畫的內部專家接受《今周刊》訪問時解釋:「我們稱它(eID)為基礎建設,就好像蓋高速公路要先把路給打平;要在網路上做大量全面性服務,得先有個最基礎的身分證明工具。」

打造數位國家的肥沃土壤 未來應用尚待政府開發

這位專家舉例,換發eID以後,民眾到飯店住房,只要感應eID,就能省下手寫表格與留下身分證影本程序;eID公開區的姓名、身分證字號、出生年月日、戶籍地址等資料,不僅能符合飯店登記需求,櫃枱還能在辦理入住手續同時,將資料傳給觀光局,直接替民眾申請旅遊補助。

不過,專家提醒,上述場景僅是他個人想像,未來仍需由各權責部會提出應用規畫,「eID的目的,是先打造一塊肥沃的土壤,有了土壤以後,各種應用自然就會百花齊放。」他說。

張琬宜也證實,eID只是單純進行身分識別,「未來如何應用,將取決於各部會自行規畫。」eID會不會結合健保卡、駕照,都不是內政部目前能夠回答的問題。

據內政部去年8月於行政院提出的報告,積極推動eID的最重要理由是:「全球各國皆積極進行數位轉型、打造電子化政府,發展數位化的身分識別工具成為國際趨勢。」身為資訊科技大國的台灣,當然不能落居世界潮流之後。

然而,盤點全球120多國實施「電子式身分證明文件」的國家就能發現,各國發展數位身分證的脈絡隨國情不同而有相當差異,卡片的識別方式與應用功能也各具特色。

例如在全球公認智慧化程度極高的新加坡,公民身分證只是張塑膠卡,民眾要獲得政府電子服務,須上網登入SingPass(新加坡個人存取)系統,以單一密碼通往新加坡政府超過60項數位服務,包含申辦護照、申請醫療處方箋、處理個人稅務等。

「想發展數位政府,晶片身分證其實不是必要條件。紐西蘭、新加坡這些國家,雖然沒有晶片身分證,但仍透過其他網路授權方式,讓民眾享受許多電子化服務。」長期研究數位政府的政治大學電子治理研究中心副主任蕭乃沂說。

歐洲不少國家包含瑞士、奧地利等,並未實施晶片身分證;英、美兩國甚至沒有一致發放的身分證,而是使用護照、駕照、社會安全卡作為替代性身分證明文件。

借鑑他國經驗 新政策通常會遭遇社會反彈

事實上,許多發行晶片身分證的先進國家,推動政策之初也都面臨強烈的社會反彈,因為這項新科技應用,推翻了許多存在已久的觀念和經驗,讓一般民眾傾向拒絕接受。例如我國內政部的參考對象之一德國,2010年推動晶片身分證時,便有近6成民眾認為政府提供的數位服務不夠誘人,不願開啟晶片功能。

早在2001年就推出晶片身分證計畫的法國,更遭遇長達近20年的政策撞牆期。2005年,法國六個包含資安、人權、法律的大型非營利團體聲明反對該計畫,指出隱私資安配套不夠周延;去年,法國總統馬克宏重新推出結合人臉辨識系統的數位身分方案,引發質疑聲浪,甚至遭到其國家數據保護委員會(CNIL)反對。

「換發eID的重點不是發卡製卡,而是公部門準備了哪些有關的服務?私部門如金融業者又可能發展出哪些創新業務?目的事業主管機關是否有所準備?」蕭乃沂的意思很簡單,「晶片身分證」不是不能做,但一項政策必有利弊得失,政府應該先說清楚效益與便利性,民眾才能根據「牛肉」,衡量願不願意承擔可能風險。

除了效益不明以外,內政部一再強調,eID是「開啟數位服務」的身分驗證鑰匙,但資安專家對於這把「鑰匙」,未來能否被妥善保管,仍不免感到憂心。

政府網路一年受3.6億次攻擊 專家憂eID成資安破口

研究專長為通訊工程、網路安全的成功大學電機工程學系教授李忠憲便認為,eID做為登入各個公私部門網絡服務的憑證,帶來的方便性確實令人心動,但也很可能成為我國的「資安阿基里斯腱」,只要一個漏洞,就可能讓整個政府網絡曝於風險中;雖然內政部承諾將強化資通安全、建構資安聯防系統,但因為沒看到具體方案,實在無法讓人放心。

李忠憲的說法並非危言聳聽,因為根據行政院資安處統計,2018年,台灣政府網路系統每月平均遭受約2億次網路掃描(駭客試圖探測政府資安弱點,尋找攻擊標的);政府網路全年更承受超過3億6千萬次駭客攻擊,是不折不扣的資訊戰火藥庫。

為了控管資安及隱私風險,德國和愛沙尼亞等國在推動eID政策時,都同步建構了嚴謹的法規框架作為配套。例如,德國政府發行eID之前,就先花了3年時間,制定一套聯邦層級專法:《身分證和電子身分證明文件法》(個人識別法PAuswG),除了規範晶片儲存的資料範圍不得任意擴張外,也要求服務提供者完成身分識別後,必須刪除持卡人個資,以免遭外洩或不當使用。

「我們相信贏得德國民眾信任的最好方法,是一開始就把話講清楚,eID有怎麼樣的功能、怎麼樣的設計……。」德國聯邦印製廠資深副總裁海斯(Roland Heise)2017年來台交流時解釋,「盡量透明就是最好的方法,我們從制訂法源就開始凝聚共識。」

在台灣,內政部2017年研擬eID政策時曾一度考慮修改《戶籍法》及相關辦法,內容包括須經當事人同意才能讀取eID、未經法院或持有人同意不得對外提供使用紀錄等。但徐國勇去年9月底在立法院報告時,推翻先前意見,認為相關法源已臻完備,無修法必要。

法規不完備、民間疑慮未解 內政部應考慮試行

然而,中研院資料科學研究所副研究員莊庭瑞認為,關於eID應用,台灣法規其實不完備,例如現行《戶籍法》無明確條文限制身分證及身分證字號在公、私領域的使用範圍與條件;《個人資料保護法》條文中也僅模糊規範「不得逾越特定目的之必要範圍」,形同對公務機關空白授權,政府使用若超乎比例原則,民眾也未必知情或有權拒絕。

「eID絕對是台灣近年最大、最重要的資訊採購案。願景很宏偉,但實施過程絕對沒有這麼簡單。德國規畫了10年、愛沙尼亞也規畫了11、12年。」資策會顧問廖宏祥強調,目前eID預算案雖已經通過,但仍須被有力監督,若內政部計畫引入第三方獨立驗證與測試機構,現在就須讓團隊進入專案流程中,及早公布團隊、協助並找出問題。

廖宏祥也建議,面對外界對eID的質疑及不信任,內政部可考慮辦試行計畫,「先做個2萬張或20萬張,吸取經驗,有錯誤的話再更改。如果做下去了,漏洞百出,就會造成更大的問題。」

從愛沙尼亞與德國的經驗可以得知,被視為數位政府關鍵基礎建設的eID,絕不是一項簡單任務,必須經過長期的規畫、修正,配合持續不斷的社會溝通,才得以發揮預期成效。求好心切的內政部在埋頭苦幹之餘,也應審慎對全民說明效益、排解各項疑慮,進而讓這項立意良善的政策,獲得社會支持,順利上路。…(更多內容,請參閱最新一期《今周刊》第1209期)

延伸閱讀:

曾被吐槽「口罩日產量超過300萬,我頭給你!」 他用三週拚出每日千萬產能

社區感染總有一天會來臨!兒科醫師:比起疫情擴散,更該害怕這4件事

新冠肺炎》國內出現首例死亡好害怕?醫師:1招阻斷傳染途徑

TOP