內政部戶政司官員受邀在臺灣網路治理論壇揭露最新數位身分證(eID)進展,吸引公民團體及社群對隱私、資安風險的探討。

圖片來源: 

蘇文彬攝

集合政府、技術社群、學術社群、民間企業及公民社群,一起探討網路公共政策的臺灣網路治理論壇在周五正式登場,內政部也在論壇的第一天下午受邀參加,揭露了外界關心的國民身分證換發數位身分證(或稱晶片身分證、eID)最新進展,未來數位身分證將會整合自然人憑證,將實體身分延伸到網路身分,按規劃,明年10月將會開始換發。不過,外界仍對換發數位身分證缺乏專法、安全風險控管等存有疑慮。

代表內政部戶政司出席的代理科長陳嘉淯表示,目前規劃換發的數位身分識別證,最早從民國104年開始規畫,經過幾年的發展,去年12月行政院會,國發會發表了智慧政府藍圖,揭露了智慧政府的基礎架構,前行政院長賴清德指示各部會對全面換發數位身分證,建立安全可靠基礎架構,交由內政部妥善規劃身分證換發工作,預計於2020年全面啟動換發作業。

整合自然人憑證,不另設專法

由於先前曾傳出政府有意結合健保卡、駕照等功能,陳嘉淯指出,這張數位身分證就是國民身分證和自然人憑證的結合,沒有其他的卡片,單純為身分識別,不會儲存其他的資料,沒有侵犯個人隱私,換發數位身分證的原則是,提升防偽的機制,個資最小化、隱私保護及資訊自主。

依內政部的規劃,數位身分證整合自然人憑證,使用者可以選擇開啟或不開啟自然人憑證功能,但目前的規劃是,現有的自然人憑證效期截止後,可能不再換發新的自然人憑證,換言之,鼓勵民眾在數位身分證上開啟自然人憑證。內政部也規劃在明年公布API規格。

另外,內政部規劃換發的數位身分證,其平面資料不會比現行的紙本身分證的資料還多,並且透過晶片辨別卡片的真偽,提升數位身分證的防偽,並有防竄改、複製及內建電子小偷的功能。若民眾不慎遺失卡片,拾得者若沒有持有者的同意,沒有取得密碼之下,無法取得配偶欄、父母等延伸性的資料。

對於外界對數位身分證可能引發的安全疑慮,陳嘉淯補充解釋,這張數位身分證將採用國際標準身分識別的最高等級,在高安全性、保障隱私的原則下換發,外界不用太過擔心資料外洩。所有換發的費用由政府負擔。

因數位身分證換發,以晶片身分證取代傳統的紙本身分證,並整合自然人憑證,兼具實體身分及網路身分識別功能,為國內身分證的一大革新,帶來方便之餘,外界認為也應修法或比照其他國家制定新法規範,以保障民眾使用數位身分證的權益。

內政部長徐國勇今年5月在立委質詢時提及,數位身分證將以現行的戶籍法、個資法、資通安全管理法、電子簽章法,足以從各面向支撐換發,不需修法或另立新法。對此,台灣人權促進會曾為文批評,不論是部份換發或全面換發eID,由於和傳統紙本身分證相比在功能上有很大的落差,政府應考慮修法,甚至是立法,僅以行政規則作為換發晶片卡的法源依據,不足以達成行政機關保障民眾權益的承諾。該會也質疑政府推動換發數位身分證政策,缺乏相關配套措施,例如對公務機關使用eID存取其他行政機關的資料庫,是否需要民眾的同意?個人是否可檢視eID或相關資料被存取的紀錄?

陳嘉淯表示,目前換發數位身分證向朝向不設立專法,依現行戶籍法相關規定,身分證換發、期程由中央主管機關制定,即由內政部負責,而數位身分證牽涉到電子簽章法、資通安全法、個資法,內政部已行文請經濟部、國發會、行政院資通安全處盤點現有法令,是否需配合數位身分證進行修法,另依中央行政機關法注意事項,以修法優先於立法。

隱私、資安風險仍是外界關心

儘管內政部強調數位身分證的安全性,但今天參與論壇的公民團體、學者或個人仍關心未來換發的數位身分證背後可能被忽視的隱私及資安風險。

中研院資訊科學研究所研究員何建明表示,身分證的數位化並非僅僅數位化而已,採用晶片卡片設計,可整合自然人憑證,除了能以自然人憑證的讀卡機存取卡片內的資料,無人知道政府還儲存了什麼,誰可以讀取,政府換發數位身分證是場冒險,各項相關服務的背後,政府也需要承擔相當大的資安風險。

台灣人權促進會專案經理何明瑄也提出了他的看法,民眾要如何確認誰讀得到裡面的資料?如何知道所讀取資料就是晶片身分證裡所有的資料?有沒有針對特定對象的隱形註記?在缺乏明確法律規範下,大家只能相信內政部的善意,沒有侵犯人權的疑慮。

他從更根本的角度來看身分認證,為何需要一人一號的身分認證制度,以最近銓敘部外洩24萬公務人員資料為例,這些外洩的資料若再結合私部門的資料,就能發動特定類型的攻擊。一人一號的身分制度雖然帶來方便,但也帶來相當大的風險,以日本為例,沒有一人一號的身分,日本民眾一樣可以報稅、駕照、申請保險,因為不同的服務對應使用不同的身分。以相同的角度探討是否需要數位身分,當愈來愈多的服務要求數位身分認證,例如臺鐵購票以實名制防止搶票,民眾使用服務留下紀錄,反而衍生出政府監控、隱私保護問題。

代表開放文化基金會的Pellaeon Lin則關心政府推動數位身分證,相關的系統程式碼應開放出來,在歐洲「Public Money Public Code」已是趨勢,透過開放可以更容易的移植到不同的平臺如Mac或是Linux,民間的資安研究人員也可以研究發現問題點,提高資訊安全。

他認為愈是開放的系統,因為愈多人檢驗,比較安全。最安全的系統不是符合國際標準就好,而是經過多人的安全檢驗。另外,他也建議政府可以學習德國的晶片身分證的做法,先從小規模換發開始,作為資安的測試,再擴大到更大的規模。


Advertisement

更多 iThome相關內容