發行一張數位身分證,為什麼還需要一部專法跟一個獨立機關來保障?

政府各部門權責、資安都坑坑疤疤的,內政部在這時強推數位身分證還把鍋甩回給各機關,就不怕整天光滅火就來不及了嗎?
評論
Photo Credit: 取自內政部網頁moi.gov.tw
Photo Credit: 取自內政部網頁moi.gov.tw
評論

你期待領到駕照、健保卡、自然人憑證集一身的數位身分證嗎?會不會覺得以後不用再分別帶大張小張的證件覺得很方便?相反的,會不會覺得萬一資訊外洩也很可怕呢?

政府準備發行數位身分證可說是未來十餘年內,台灣整體在談論數位轉型、智慧政府的一等一大事。它的前身最早可回朔到 1998 年,行政院研考會(國發會的前身之一)就決定推行「國民身分健保合一智慧卡」,一口氣把戶政資料、健保資料、指紋資訊、電子簽章、電子錢包等功能全部整合重新發行;但因民間團體強力反彈,最後無疾而終。

直到 2013 年開始,內政部再開始著手新一波研究如何把身份證及自然人憑證合併以「數位身分證」形式發行,並從 2017 年開始屢屢舉辦相關研討會跟民調,到 2018 年行政院拍板決定 2020 年正式上路,發卡對象是台灣全體 2,359 萬位國民全面換發,將用 4 年的時間換發完畢。

同時,內政部還規劃數位身分證將仿照愛沙尼亞的 X-Road 系統,打造跨政府、機關的資料通道網路「T-Road」,搭配數位身分證讓它「一卡走遍遍」,為民眾提供一站式平台的完整服務。

在這段過程中,數位身分證的外部設計和資訊揭露已歷經不少公眾討論,例如到底有沒有國旗?要不要明載婚姻狀態等等,最後內政部也決定從善如流,不只會把卡片正面的左上角加回國旗,還會把婚姻狀態加回去(配偶則需進入數位系統才能看到姓名)。到了四月,內政部則是宣布因武漢肺炎疫情影響,無法去國外取得高防偽 PC 晶片卡樣卡與進口相關設備,只能延後發行,無法在原定 10 月上路。

但相較於取得共識的外部資訊,最重要的核心部分:資安、隱私爭議,則一直都沒停過,甚至在即將換發之際越吵越熱。

今年四月,台灣人權促進會跟開放文化基金會,同時發動了「反對全面換發晶片身分證」、「支持修法與公開數位晶片身分證規劃資訊」兩個連署活動,連署書裡不乏長期以來關心台灣數位治理、開放資料或是網路安全的專家學者。

數位身分證夠安全嗎?內政部資料是這麼說的:晶片卡與其作業系統、應用系統、讀卡機等資通產品都會通過 Common Criteria ISO/IEC 15408 驗證並取得 EAL4+ 以上安全認證,甚至準備上路的數位身分證具有雙晶片備援機制,晶圓不只是台積電公司代工生產的,主晶片裡的硬體架構、密碼學函式庫、作業系統都是 EAL6+ 等級,應用程序 EAC+SAC、SSCD Part2+3 也都有軍事機密等級的 EAL5+。

不過,台權會跟開放文化基金會顯然覺得這不單單是晶片、系統本身安全性的問題,而是對「國家怎麼使用個資」有更深層的憂慮,他們雙方訴求雖略有差異,但有共同三大主軸:1.不應強迫全面換發數位身分證、2.應該先針對資安及隱私風險設立專法、3.發行前應先成立獨立的隱私專責機關。

發行數位身分證茲事體大。為此,我們跟開放文化基金會董事長李柏鋒聊了一次(註1),來跟我們談談在他們眼裡,內政部本次推行數位身分證過程中到底有哪些爭議?

1
▲開放文化基金會董事長李柏鋒。Photo Credit: 本人提供

到底該不該一口氣強制換發?

前文有提到,數位身分證將針對台灣全體 2,359 萬位國民全面換發,雖然中間有 4 年的緩衝期,但性質上還是「強制」換發。

李柏鋒指出,首先縱看 7 大工業國中,只有德國強制發行晶片身分證(註2),但使用率僅有 7%;另外全世界至目前為止,有推行數位身分證的國家幾乎都有為其設立專法,台灣這種沒有設立專法,卻還強制換發可說微乎其微。

開放文化基金會另外還有幾個提倡不要強制換發的主張:第一是部分民眾容易產生數位落差。數位身分證需要自行設定 PIN2 碼(PIN1 會是證件號碼後六碼或機讀碼),如果年長者或智能 、精神狀況不佳者,可能會因為不擅長使用數位服務,而把有重要個資的數位身分證交給他人保管使用。

第二則是數位身分證技術上還有遠端讀取風險存在。李柏鋒使用開放文化基金會的簡報說明,根據招標規範,數位身分證的非接觸介面是採用 ISO 14443 的工作頻率 13.56MHz,雖然說是屬於 0~10cm 的近距離的讀取,但網路上已有工具可以從 40~50 cm 的距離直接讀取,理論值應該可以達到 1~1.5 m (超過 1.5m 需要用微波)。

此外也存在另外一個讀取 RFID reader 發送給 RFID tag 訊號的方式,根據台大鄭振牟教授的論文 《MIFARE Classic: Practical Attacks and Defenses》,兩公尺是一定有把握讀取到的距離,鄭教授並表示理論值應可以達到十幾公尺。

但接下來的第三項則是開放文化基金會跟李柏鋒最重要的反對理由:沒有專法。

內政部說不用立專法,到底夠不夠用?

從法律層面來看,內政部認為這次推行數位身分證已經有足夠法源,戶籍法 52 條就有授權內政部制定國民身分證格式、內容、製發,沒有限制只能採紙本形式;而且資訊安全有資通安全管理法、個資保護有個人資料保護法,自然人憑證有電子簽章法,每個層面都已經有專法規定了,不用再針對數位身分證擬定專法了。

但開放文化基金會認為,目前台灣政府並沒有一套全方面完整保障「數位足跡」的規劃方案。內政部曾一再強調,內政部本身並不會作東統一蒐集數位身分證的使用紀錄(正式應該被稱為線上憑證狀態查詢系統 Online Certificate Status Protocol,OCSP),而且這些使用紀錄只會留存在各服務機關內部。

不過問題就在這:既然使用紀錄只留存在各服務機關內部,那就變相等於把資料管理的責任推回給了各機關,也就是說內政部根本就「發後不理」。

這代表民眾使用數位身分證夠不夠安不安全,還得看機關各自的資安能力與水準;乍聽之下好像很合理,因為現況不是也如此嗎?但就在去年,台北市衛生局才發生駭客竊取 298 萬筆市民個資、牽連十數個公部門企業網站,以及銓敘部爆出 71% 公務人員個資遭到外洩等兩起重大資安事件,顯示國內從中央到地方,各部門、機關的資安能力有相當的落差,也代表台灣缺乏高強度且統一的資安策略。

ROC_Ministry_of_Civil_Service_building
▲銓敘部日前爆出 71% 公務人員個資外洩。Photo Credit: Solomon203

李柏鋒就批,發卡是內政部戶政司、服務運用是國發會在想,自然人憑證是經濟部主管的電子簽章法,根本就各行其是,結果自然一團混亂,該管的事情沒有人管;民間司法改革基金會執行委員林煜騰律師也在 5 月召開記者會,表示內政部曾說過廠商要獲內政部同意,才能使用 API 讀取個資,但問題在於這部分沒有法源,變相等於「內政部想怎麼發就怎麼發」,但怎麼跟各主管機關對接,都是問題;另一方面,政府內部的資料交換機制 T-Road 卻是由國發會規劃推動,對內、對外缺乏明確分則,自然容易被人疑慮互踢皮球。

這也是開放文化基金會、李柏鋒跟外界普遍最擔心的一件事:政府各部門權責、資安都坑坑疤疤的,內政部在這時強推數位身分證還把鍋甩回給各機關,就不怕整天光滅火就來不及了嗎?

不過內政部至今也不是沒有鬆動,上個月即宣布初步將開放部分縣市讓民眾自願申請數位身分證進行,小規模試行約半年並輔以民間賞金獵人競賽測試後,才會推動。

不是不要 eID,但請給專法跟獨立專責機構

李柏鋒倡議,唯有針對數位身分證設立專法,並同時輔以修改早已該調整的個資法,成立獨立的個資專責機關才能全面性解決上述疑慮。他指出就連台灣積極仿效的愛沙尼亞,也是歷經十餘年,不斷修訂個資法、國家檔案法、國家機密法等好幾項法規,才能走到今天有九成使用率。

事實上政府並不是沒有考慮過成立獨立的個資專責機關。根據中央社報導,台灣去年已經跟歐盟爭取 GDPR 適足性認定完成第一輪協商,相關事項超過四分之三已經討論完畢,但剩下的大問題,就是歐盟也希望台灣成立個資保護的獨立專責機關。(註2)

當時的國發會主委陳美伶就表示,「台灣個資法區分為公務機關、非公務機關,不同產業又由不同的目的事業主管機關來規範,保護機制參差不齊,導致國人往往認為個資沒有被完善保護;未來是否不再區分公務機關、非公務機關,讓個資保護有一致性的機制,將是個資法檢討修正的重要議題。」(中央社,2019/11/26)。

到了這裡,讀者們會發現:獨立個資專責機關與數位身分證、以及台灣是否能獲得 GDPR 適足性幾個問題都綁在一起了,這幾乎確定是政府一定要面對的問題,甚至急迫性比數位身分證本身還要高,但問題是政府反而沒把重點放在這件事情上,其實也讓台灣在進入數位經濟的過程中,顯得急功近利。

既然台灣想努力成為繼日本、韓國之後第三個獲得 GDPR 適足性認定的國家,那為什麼就不乾脆再等等,先著手成立獨立個資專責機關,讓全民個資保障更周全的狀況下,再推行數位身分證,降低不必要的風險?畢竟,欲速則不達。

註1:開放文化基金會董事長李柏鋒跟 INSIDE 主編李柏鋒並非同一人,他是 INSIDE 的前股東之一,但目前已無 The News Lens 或 INSIDE 的股份。

註2:德國避免個人資料遭串連使用,並沒有固定的身份字號,居留證號、社會福利碼、健康保險號碼、稅號、駕照證號都個別獨立,而且所有證件上都沒有列印另外一個證件的號碼。

註3:國發會說明,GDPR 除了在歐盟境內設立據點的企業外,還包括對歐盟境內人民提供產品、服務或監測歐盟境內人民網路行為的境外企業。

而且在個資跨境傳輸的部分,由於歐盟是採「原則禁止、例外允許」模式,因此只有在符合例外之情形下,個資才能進行跨境傳輸,而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施,例如企業自行擬定具約束性企業規則,並報請歐盟個資主管機關許可、取得特定認證;或取得個資當事人明確同意等方式。

但 GDPR 亦規定對第三國個資保護水平是否達到 GDPR 標準的適足性認定制度,取得此一認定資格的國家,即可自由與歐盟間進行個資跨境傳輸。

核稿編輯:李柏鋒

延伸閱讀: