數位身分證預計在今年 10 月上路,不但搭載加密晶片儲存個資,還能結合健保卡、駕照,一卡多用,操作更方便。
然而,近期卻有超過百位的專家連署反對數位身分證,反對點主要是「資安」。他們是具有中研院、資訊、資安、法律等背景的學者。有這麼多大咖反對,我們不禁要問:數位身分證有什麼資安疑慮?
連署反對數位身分證的學者名單(資料來源:台灣人權促進會,「連署反對全面換發晶片身分證」頁面)
數位身分證具有 3 大特點,是政府數位轉型的一環
數位身分證的全稱是「數位身分識別證」(New eID),具有資安提升,可線上辦理業務,多卡整合等 3 個特點。
1. 卡面只顯示 6 項個資,透過 3 組密碼保障資安
為了保護隱私,數位身分證的實體欄位資訊只有姓名、身分證字號、照片、生日、配偶、戶籍地址等 6 項個資,至於父母姓名、出生地等資訊則存在晶片內,必須得到密碼授權才能取得。關於密碼,每個使用者可以設定 3 組密碼,1 組是身分證後六碼,可以授權讀取身分證實體欄位上的個資;另 2 組是自訂,長度為 6 到 8 碼,可授權父母姓名、出生地等晶片加密個資。此外,數位身分證沒有儲存功能,使用時不會留下紀錄,可保障使用者的個資安全,也避免被第三方監控。
2. 辦事不用跑政府機關,用數位身分證線上搞定
由於身分證數位化,未來有高達 80% 需要用身分證辦理的業務,例如報稅、公投聯署、申請電子病例、查詢退休金、申請津貼與補助等都可以在線上辦理,省下去各種單位「跑 RPG」的時間,也讓政府單位無紙化,提升作業效率。
3. 多卡結合,還可以綁定手機
換發數位身分證之後,政府也將開發「行動身分證 APP」,並將駕照、健保卡等證件與身分證結合,未來出門不用帶各種卡,開車、看病用一張身分證就可搞定;甚至不帶身分證也 ok,用手機就可以走天下。
推行數位身分證是政府數位轉型的一環,台灣政府從 2015 年開始相關研究,在 2017 年完成計畫草案,預計 2020 年 10 月開始換發,要用 4 年時間達到 100% 換證。
數位身分證有 4 個資安疑慮,專家學者連署反對
但近日學者連署反對數位身分證,主要是對「資安」有疑慮。根據《科技新報》的報導與《台灣人權促進會》的聯署書,他們的反對理由大致可歸結為 4 個因素:
1. 這世界上「本來就沒有絕對安全的資安系統」,但具體的資安強化措施又是什麼?
這世界上本來就沒有絕對安全的密碼系統,只要給電腦足夠的時間,任何系統都能被破解。當然,資訊學者也知道這個本質問題,只不過內政部不斷強調數位身分證「絕對安全,資料絕不外洩」,這種空泛的答案讓不少學者產生疑慮。學者想得到具體的說明,想了解相關單位透過怎樣的機制強化資安,增加破解的難度等。
此外,目前的數位身分證密碼設計是 6 到 8 個數字,學者認為安全性不可靠。
2. 多卡整合是數位身分證的「單點脆弱環節」
數位身分證的特點之一是「多卡整合」,然而將各種卡片的服務集合在一張卡片上,萬一卡片遺失,風險就會很大。此外,政府未來也打算開通數位身分證綁定手機,這相當於新開管道,給有心人士一個入侵的機會。
3. 台灣晶片及印製設備無法自產自足,資料被駭風險高
聯署書上表示,台灣在晶片及印製設備上無法自產自足,須仰賴國外廠商的部分協助,是台灣資安管理上的隱憂;而數位身分驗證一旦被廣泛使用,個人數位身分集中管理而被駭的風險與代價也將大幅提高。
此外,行政院資安處曾在 2019 年 11 月表示,台灣台灣公部門每月遭到網攻次數達 3000 萬,是歐洲國家的千倍,而且還有增加的趨勢;資安處也推測,有一半以上的攻擊來自中國。以政治上來說,台灣與中國處於敵對關係;以經濟上來說,台灣具有半導體等高科技產業技術,這些都是吸引有心人士網攻台灣的因素。既然台灣遭到網攻的次數比別國高,數位身分證的資安就更讓人疑慮。
4. 沒有專責機關,法源依據未完善
目前政府並沒有專責機關,負責處理數位身分證的資安與隱私問題,若未來真的出問題,可能會是內政部、財政部、金管會、科技部、NCC 等單位「集體負責」,甚至可能互踢皮球。
因此連署的學者希望政府能成立隱私保護專責機關,並要求立數位身分證專法,或者是修法,以確保執法的法源依據。
內政部:會在完備相關法規下推動換發作業
針對疑慮,內政部也在 23 日發布新聞稿回應。根據新聞稿,政府「會在完備相關法規下推動換發作業」。此外,「民眾也可自行選擇是否附加自然人憑證功能」,換發數位身分證時,可選擇不申請自然人憑證,就算開通自然人憑證的功能,也可自行決定停用或廢止。若不開通自然人憑證功能,數位身分證就相當於現階段的傳統身分證,只是換個外觀與加入內含個資的晶片。
內政部並沒有回應到單點脆弱環節等資安議題,但有提到「會在完備相關法規下推動換發作業。」我們可關注數位身分證專法或是修法,以及政府是否會成立隱私保護專責機關等議題。
其實根據《數位新報》的報導,政府有對數位身分證的資安問題做功課,對數位身分證的安全規格說明也很明確,例如採用高於護照晶片的 ICAO 9303 機制,硬體架構安全性符合 CC EAL4+ 安全認證(依循 ISO/IEC 15408)或 FIPS140-2(密碼模組安全需求標準)規格;使用上也跟自然人憑證一樣,不會留下紀錄。我們肯定政府的努力,但從台灣遭激烈網攻的外在環境,沒有專責機關的責任歸屬問題,多卡整合的風險,以及內部系統的資安機制,都是數位身分證仍需考慮的資安問題。期望政府單位能針對學者提出的疑慮處理,屆時數位身分證上路後,不僅能讓人民享受便利的服務,也能讓台灣往「數位治理」更進一步,強化政府效能與國家政爭力。
參考資料來源:
1. 《台灣人權促進會》:〈連署 反對全面換發晶片身分證〉
2. 《數位新報》:〈「數位身分證」即將上路,卻有百位學者專家連署反對〉
3. 《聯合新聞網》:〈學者網路連署反對換發身分證 內政部:政府會重視資安〉
4. 《內政部》:〈資訊自主 內政部:數位身分證可選是否附憑證功能〉
(本文提供合作夥伴轉載。首圖來源:內政部)
延伸閱讀
數位身分證將在 10 月上路!3 個亮點:融合健保卡、駕照,讓你「一卡打天下」
台美首次舉辦聯合網攻演練!資安處:台灣每月遭攻擊 3000 萬次,比歐洲多上千倍
【全球個資風暴】南韓嚴重到開放「改身分證號碼」,日本咖啡廳卻用個資換免費飲料
