【倒數 8 個月換新證件,台灣真準備好了嗎】政府一年被網攻 3.6 億次!學者憂數位身分證成「資安破口」

【我們為什麼選擇這篇文章?】

台灣將在 2020 年 10 月正式發行數位身分證,政府期望藉此提升數位治理與便民度,儘管新版身分證版面呈現更 簡潔 ,並加註國旗、國號,外界對此政策仍抱持疑慮。

台灣人權促進會等民間團體近日提出 質疑 ,他們認為數位身分證在資安保護、資訊自主上配套不足,表示應謹慎規劃再推行。從政府 2015 年規劃數位身分證到現在,新證面臨了哪些待解難題?一起透過本文瞭解。(責任編輯:黃梅茹)

台灣將在 2020 年 10 月正式發行數位身分證,首圖來源:今周刊

數位身分證究竟能帶給民眾哪些便利的公私部門服務?又能帶動「哪些」創新應用與產業發展?距離全面換發剩下八個月,內政部說清楚了嗎?

2019 年 8 月 22 日,行政院長蘇貞昌在行政院會上拍板,預計自今年 10 月至 2023 年 3 月間,投入 48 億元經費,為全國 2300 萬人換發「數位身分識別證(New eID)」(下稱 eID),屆時,紙本國民身分證將正式走入歷史。

這項被政府視為「發展智慧政府重要基礎」的重大政策,推出以來始終爭議不斷。在科技應用面,不少學者對使用晶片卡的資料安全與個人隱私維護持悲觀態度,甚至有人權團體懷疑,eID 將成為國家監控人民的工具。

在政策執行面,eID 規畫案去年 4 月由國巨管理顧問公司得標後,內政部在 6 月底便公告卡片將由中央印製廠製作,時任國民黨立委許毓仁等人因此批評,內政部尚未完成細部規畫便草率招標。

圖片來源:今周刊

隱私維護遭質疑,內政部:不會是監控人民工具

面對質疑聲浪,內政部長徐國勇去年 9 月底親赴立法院進行專題報告,他強調,eID 相關系統建置皆符合國際安全管理規格與資安防護標準,內政部既不會、也無法透過 eID 監控。

儘管徐國勇拍胸脯掛保證,卻未能平息各方疑慮,其中癥結就在於內政部除了宣示性語言以外,始終無法針對 eID 的規畫內容與未來應用方向,提出詳細具體說明。因此,11 月底立法院內政委員會審查 eID 預算案時,許毓仁、林麗蟬、林為洲、鄭秀玲、蔣絜安、張宏陸等跨黨派立委,共提出 10 項凍結預算案,要求內政部提出完整評估方案,才得以動支。

全案經朝野黨團協商後,以「民眾對資安問題仍有疑慮」為由,決議凍結 10%eID 預算;時任民進黨立院黨團書記長李俊俋也承諾,新一屆立法院民進黨團將持續討論修法及相關細節。

預算遭小幅凍結,並不影響專案進行,內政部去年 12 月仍依原計畫要求廠商在 6 月底完成系統建置作業,但至今仍未公布細部規畫報告,包括立法院在內,至今仍無人能掌握即將影響全體國人生活的 eID 真實樣貌。

根據內政部日前公開的 網路簡報 ,eID 是一張植入晶片的塑膠卡,晶片與卡面皆乘載個人身分資訊,未來民眾可使用 eID 在實體世界與網路世界識別身分,並結合自然人憑證的電子簽章功能,在網路上申辦公私部門服務、進行網路交易等,有望帶動創新應用與產業發展。

內政部戶政司司長張琬宜說明,「eID 不僅滿足我國長達 14 年未換發身分證的需求,得以更新當事人資訊、加強卡片防偽,也是台灣打造智慧政府的基礎,符合實施電子化身分文件的國際潮流。」

上述文字為 eID 擘畫一張看似美好,卻高度抽象的藍圖,光看內政部簡報,無法明確得知換發 eID 後,識別身分將「如何」進行、可申辦「什麼」公私部門服務、進而帶動「哪些」創新應用與產業發展。

一位熟悉 eID 政策規畫的內部專家接受《今周刊》訪問時解釋:「我們稱它(eID)為基礎建設,就好像蓋高速公路要先把路給打平;要在網路上做大量全面性服務,得先有個最基礎的身分證明工具。」

有學者認為:晶片身分證非數位政府必要條件

這位專家舉例,換發 eID 以後,民眾到飯店住房,只要感應 eID,就能省下手寫表格與留下身分證影本程序;eID 公開區的姓名、身分證字號、出生年月日、戶籍地址等資料,不僅能符合飯店登記需求,櫃枱還能在辦理入住手續同時,將資料傳給觀光局,直接替民眾申請旅遊補助。

不過,專家提醒,上述場景僅是他個人想像,未來仍需由各權責部會提出應用規畫,「eID 的目的,是先打造一塊肥沃的土壤,有了土壤以後,各種應用自然就會百花齊放。」他說。

張琬宜也證實,eID 只是單純進行身分識別,「未來如何應用,將取決於各部會自行規畫。」eID 會不會結合健保卡、駕照,都不是內政部目前能夠回答的問題。

據內政部去年 8 月於行政院提出的報告,積極推動 eID 的最重要理由是:「全球各國皆積極進行數位轉型、打造電子化政府,發展數位化的身分識別工具成為國際趨勢。」身為資訊科技大國的台灣,當然不能落居世界潮流之後。

然而,盤點全球 120 多國實施「電子式身分證明文件」的國家就能發現,各國發展數位身分證的脈絡隨國情不同而有相當差異,卡片的識別方式與應用功能也各具特色。

例如在全球公認智慧化程度極高的新加坡,公民身分證只是張塑膠卡,民眾要獲得政府電子服務,須上網登入 SingPass(新加坡個人存取)系統,以單一密碼通往新加坡政府超過 60 項數位服務,包含申辦護照、申請醫療處方箋、處理個人稅務等。

「想發展數位政府,晶片身分證其實不是必要條件。紐西蘭、新加坡這些國家,雖然沒有晶片身分證,但仍透過其他網路授權方式,讓民眾享受許多電子化服務。」長期研究數位政府的政治大學電子治理研究中心副主任蕭乃沂說。

歐洲不少國家包含瑞士、奧地利等,並未實施晶片身分證;英、美兩國甚至沒有一致發放的身分證,而是使用護照、駕照、社會安全卡作為替代性身分證明文件。

圖片來源:今周刊。

其他國家在推動數位新政策,也同樣受社會反彈

事實上,許多發行晶片身分證的先進國家,推動政策之初也都面臨強烈的社會反彈,因為這項新科技應用,推翻了許多存在已久的觀念和經驗,讓一般民眾傾向拒絕接受。例如我國內政部的參考對象之一德國,2010 年推動晶片身分證時,便有近 6 成民眾認為政府提供的數位服務不夠誘人,不願開啟晶片功能。

早在 2001 年就推出晶片身分證計畫的法國,更遭遇長達近二十年的政策撞牆期。2005 年,法國六個包含資安、人權、法律的大型非營利團體聲明反對該計畫,指出隱私資安配套不夠周延;去年,法國總統馬克宏重新推出結合人臉辨識系統的數位身分方案,引發質疑聲浪,甚至遭到其國家數據保護委員會(CNIL)反對。

「換發 eID 的重點不是發卡製卡,而是公部門準備了哪些有關的服務?私部門如金融業者又可能發展出哪些創新業務?目的事業主管機關是否有所準備?」蕭乃沂的意思很簡單,「晶片身分證」不是不能做,但一項政策必有利弊得失,政府應該先說清楚效益與便利性,民眾才能根據「牛肉」,衡量願不願意承擔可能風險。

除了效益不明以外,內政部一再強調,eID 是「開啟數位服務」的身分驗證鑰匙,但資安專家對於這把「鑰匙」,未來能否被妥善保管,仍不免感到憂心。

政府網路一年受 3.6 億次攻擊!專家憂 eID 成資安破口

研究專長為通訊工程、網路安全的成功大學電機工程學系教授李忠憲便認為,eID 做為登入各個公私部門網絡服務的憑證,帶來的方便性確實令人心動,但也很可能成為我國的「資安阿基里斯腱」,只要一個漏洞,就可能讓整個政府網絡曝於風險中;雖然內政部承諾將強化資通安全、建構資安聯防系統,但因為沒看到具體方案,實在無法讓人放心。

李忠憲的說法並非危言聳聽,因為根據行政院資安處統計,一八年,台灣政府網路系統每月平均遭受約 2 億次網路掃描(駭客試圖探測政府資安弱點,尋找攻擊標的);政府網路全年更承受超過 3 億 6 千萬次駭客攻擊,是不折不扣的資訊戰火藥庫。

借鑑國外,他國如何在推行數位政策時贏民眾信任

為了控管資安及隱私風險,德國和愛沙尼亞等國在推動 eID 政策時,都同步建構了嚴謹的法規框架作為配套。例如, 德國政府發行 eID 之前,就先花了 3 年時間,制定一套聯邦層級專法:《身分證和電子身分證明文件法》(個人識別法 PAuswG),除了規範晶片儲存的資料範圍不得任意擴張外,也要求服務提供者完成身分識別後,必須刪除持卡人個資,以免遭外洩或不當使用。

「我們相信贏得德國民眾信任的最好方法,是一開始就把話講清楚,eID 有怎麼樣的功能、怎麼樣的設計……。」德國聯邦印製廠資深副總裁海斯(Roland Heise)2017 年來台交流時解釋,「盡量透明就是最好的方法,我們從制訂法源就開始凝聚共識。」

在台灣,內政部一七年研擬 eID 政策時曾一度考慮修改《戶籍法》及相關辦法,內容包括須經當事人同意才能讀取 eID、未經法院或持有人同意不得對外提供使用紀錄等。但徐國勇去年 9 月底在立法院報告時,推翻先前意見,認為相關法源已臻完備,無修法必要。

法規不完備、民間疑慮未解,學者認為內政部應考慮試行

然而,中研院資料科學研究所副研究員莊庭瑞認為,關於 eID 應用,台灣法規其實不完備,例如現行《戶籍法》無明確條文限制身分證及身分證字號在公、私領域的使用範圍與條件;《個人資料保護法》條文中也僅模糊規範「不得逾越特定目的之必要範圍」,形同對公務機關空白授權,政府使用若超乎比例原則,民眾也未必知情或有權拒絕。

「eID 絕對是台灣近年最大、最重要的資訊採購案。願景很宏偉,但實施過程絕對沒有這麼簡單。德國規畫了 10 年、愛沙尼亞也規畫了 11、12 年。」資策會顧問廖宏祥強調,目前 eID 預算案雖已經通過,但仍須被有力監督,若內政部計畫引入第三方獨立驗證與測試機構,現在就須讓團隊進入專案流程中,及早公布團隊、協助並找出問題。

廖宏祥也建議,面對外界對 eID 的質疑及不信任,內政部可考慮辦試行計畫,「先做個 2 萬張或 20 萬張,吸取經驗,有錯誤的話再更改。如果做下去了,漏洞百出,就會造成更大的問題。」

從愛沙尼亞與德國的經驗可以得知,被視為數位政府關鍵基礎建設的 eID,絕不是一項簡單任務,必須經過長期的規畫、修正,配合持續不斷的社會溝通,才得以發揮預期成效。求好心切的內政部在埋頭苦幹之餘,也應審慎對全民說明效益、排解各項疑慮,進而讓這項立意良善的政策,獲得社會支持,順利上路。

推薦閱讀

【更美更強的新身分證】蘇揆核定身分證有「國旗、國號」,砸 40 億加入「晶片」護個資

【瑞典 3000 人開始丟身分證】瑞典正流行:用「一粒米」取代身分證

【跟紙本身分證說再見】12 年來最大變革,「數位身分識別證」將在 2020 年登場

(本文經合作夥伴 今周刊 授權轉載,並同意 BuzzOrange 編寫導讀與修訂標題,原文標題為 〈隱私疑慮未解恐成「資安阿基里斯腱」 數位身分證換發倒數,台灣準備好了嗎?〉。首圖來源: 今周刊 。)


想看到每天《報橘》精選好文?趕快把我們加入你的 Line 好友

加入好友
   

點關鍵字看更多相關文章: