台灣數位身分證政策暫緩。圖片來源:pxhere
長達一年多以來,「什麼時間」、「在哪一個城市」換發數位身分證(new eID)的紛擾,總算在蘇揆這周一(11 日)定調全國暫緩中停了下來。行政院秘書長李孟諺強調,蘇揆指示資安防護一定不能打折,專法部分會再做研商、探究,務必讓資安疑慮都完備後,才會推動上路。
在全民都鬆了一口氣之際,讓我們重新來定義在這個數位時代,什麼叫做 ID(Identity)。這個縮寫不再只是名詞上的「身分」、「身分證」,更指涉這個身分之後,關於這個人一切動態的、有機的「登入」狀態。
認識現代 ID:會員登入系統
在現代社會,任何企圖和用戶建立長期關係的電商、手遊或雲端服務,一定都會有一套安全、順暢、整合細緻的 ID 系統。
比如使用 momo 購物,我們會先登入購物平台的官網然後下單。我們信賴 momo 購物「可以」知道我們的購物紀錄,我們也「願意」把信用卡資料暫時交給 momo 購物,讓金流逐步完成。
除了 momo 購物,我們也天天登入、使用 Facebook,讓臉書蒐集我們和朋友之間人際互動的資料(雖然它的演算法跟觸及率真的很要人命)。我們更頻繁地登入、使用 google,進行各種資訊搜尋和地圖服務,努力不介意讓 google 知道我們的喜好和動向,然後開始接受它們的各種推播。
這些智慧型服務,都有一套長年發展累積經驗後,迄今令人信賴的 ID 系統(會員登入系統)。
台灣要在各方面全速數位轉型,成為一個智慧民主國家,我們應該要支持政府加緊腳步,集合全國的科技力量,同時尋求網路服務的先驅、一流的軟體工程師、可靠的硬體大廠,培養正在茁壯的資安大軍,然後,攜手熟稔民主自由精神的公共行政專家,以及專業務實的立法工作者,加緊推進一套可持續演進、累積技術與經驗,並且逐步擴張應用服務與提高人民信任度的 ID 系統。
不過,我們必須要充分意識到的重點是,前面所述的「公司與顧客」之間的商用 ID 系統,和「政府與人民之間建立國民識別關係,同時啟用各種公共服務」的這套 ID 系統,所要達成的使用目的不同,資訊安全系統的要求等級也就完全不一樣。
換而言之,政府若要研發並使用這套系統,絕對不能演變為當政者的數位獨裁工具,而必須要成為現代公民落實網路民主的途徑。
要達到這樣的終極目的,我認為至少有 4 個面向的工作要積極進行:
一、這套以落實網路民主為目的的 ID 系統,需要搭配各項「以用戶為導向」的個人化應用服務。
例如:當我的小孩出生了,只要我一幫他申報戶口,戶政、財稅、健保等系統就應該在「我同意授權後」進行串接,自動比對稽核,給予我一筆生育補助津貼,且自動匯入我的戶頭;並且能在對應時間以自動系統通知我,要帶小孩去打預防針了、小孩長大要讀小學了,自動通知我小孩的學區資料是哪裡等等。
但當然,只要我不願意,人民也可以選擇不同意授權給國家串接隱私資料,國家必須提供給人民選擇的自由。
二、要做到個人化的服務同時保護全國人民的數據,政府就必須建立順暢可信的數據基礎建設,並建立長期務實的資安機制、經驗與能量,這包含軟硬體建置、資安防護、系統整合、專業人才培育及公民養成教育等等。
依據中研院法律所資訊法中心於 2020 年 11 月 2 日所發布的《數位時代下的國民身分證與身分識別政策建議書》指出,除了晶片製造的安全之外,其他還包括硬體安全、整體系統安全、軟體安全、管理安全,目前皆有所不足。也就是說,光是一直抬出晶片是台積電製造,並不能證明資安機制便已完備。
此外,目前在晶片設計、晶片作業系統與應用程序開發、晶片寫入設備、資訊應用軟體等,也都是採用外包,存在系統與軟體安全風險、讀卡裝置亦缺乏安全驗證而有硬體風險;再者,個人使用習慣、私部門與政府機構也都欠缺妥適管理資訊安全,以及維護資料隱私所需的習慣與文化。
老實說,若沒有一套細緻的佈建與養成機制,是無法達到「政府當責、人民賦權」的數位社會的。
三、任何新產品都一樣,要讓人願意使用,最起碼就要讓人足以信任。
要讓人民信賴這套系統,政府不應該再以傳統的行政流程來思考數位時代的需求,而必須在政策型塑的過程充分與民眾溝通,以了解人民的需求,才能進行下一步「數位」的「行政流程再造」。
同時,政府也應該充分與資訊專業的學者及產業界進行多面向的溝通與討論,才能設計出符合人民期待的便民操作流程。在尋求專業建議的過程中,也可以透過社會溝通,讓民眾了解整套個資防護經過專業的設計與把關,最後才能得到全民的信任。
四、最後,也是最重要的,要避免當政者利用數據侵犯人民隱私、控制人民,我們就一定要有足夠完整的法律授權作為依歸,讓政府各單位合法地使用數據;這套機制也應同時具有透明問責性,讓人民知道自己的資料在何時何地被何人以何法授權的狀態下使用過。政府也應定期做出使用民眾資料的統計,作為讓民眾問責的透明度報告。
公民社會展現強大力道,監督政府暫緩腳步
回頭檢視內政部網站的 eID 換發計畫,一共分 4 年期辦理,經費需求共 48 億 9285 萬,這筆龐大預算究竟是怎麼「需求」的。
去年度編列 4 億 1250 萬,是為建置階段,曾被立法院凍結 2000 萬,已於去年10 月解凍;今年本來預計為試行階段,預算也進階到 2 倍規模,也就是 8 億 6796 萬。
然而,這一年多以來,社會上的對此政策的疑慮及爭議卻越來越大。也許是立委諸公們聽到民間的聲音了,故而在去年 11 月內政委員會,再次凍結本案今年試行的一半經費,也就是 4 億。從只凍 2000 萬到 4 億,顯見國會對換發 eID 戒慎恐懼。
筆者認為,這就是臺灣公民社會監督這個政策長達一年多所達到的階段性成果,敦促立委對這個政策從一開始只是凍結 10 分之 1,到凍結整整一半。除了直接擋下內政部強推硬幹的顢頇步伐,也終於促使更上位的行政院長蘇貞昌更仔細思考這個政策!
若內政部再不好好對社會大眾進行政策溝通與研議專法訂定,可以想見的是明、後年全面換證階段的 22 億 2646 萬和 13 億 8592 萬預算,也都可能會胎死腹中!這就是公民社會監督政府的力道,促使政府機關更仔細思考政策型塑與社會溝通。
最後,筆者在此還是要強調一下,New eID 並不是不好,而是不夠好。蘇揆暫緩全面換發 New eID,是謹慎且正確的決斷。政府或許更應該積極邀集全國的相關學者與專業人士,共同合作擬定台灣的智慧民主國家發展計劃,保護並發展我們的網路民主,抵禦國內外正在急速擴張的數位獨裁勢力,方為上策。
推薦閱讀
【最新!蘇揆下令全面暫緩換發 eID】優化資安文化,請看第一線資安人員怎麼說
【戴季全專欄】修蛋幾勒,先別為央行鼓掌!你以為政府介入打房,你就買得起了嗎?
【戴季全社長專訪】台灣特色的數位化治理!政務委員郭耀煌:以民主為本,讓社會走向更好的明天
(本文歡迎合作對象轉載分享。首圖來源:pxhere)
