數位身分證風險論壇邀請中研院院士李德財(右一)、中研院資訊科技創新中心研究員也是TWISC 專題中心執行長李育杰(右二)、臺灣駭客協會理事也是前國安會副研究員王仁甫(左二),以及臺灣人權協會副秘書長何明諠(左一),從資訊科技面、法律及政策面、隱私保護面等三個面向分析遭遇的風險。

圖片來源: 

黃彥棻攝

行政院內政部日前已經正式公布,未來民眾如果要申請補發新的數位身分證New eID的話,政府將收取費用900元,如果是第一次換發數位身分證時,則不需要支付費用,由政府預算編列。即便外界對於數位身分證面臨的各種風險,仍有許多質疑之際,政府對於數位身分證換發進度,其實都按照既定的步調進行。

在先前舉辦的臺灣資安大會,就有一場攸關你我數位身分證New eID風險論壇,現場有將近三百名與會來賓,共同關心數位身分證到底面臨哪一些的風險。

中央研究院院士也是前國安會諮詢委員李德財擔任論壇引言人,中研院資訊科技創新中心研究員也是TWISC 專題中心執行長李育杰、臺灣駭客協會理事也是前國安會副研究員王仁甫,以及臺灣人權協會副秘書長何明諠,分別從資訊科技面、法律及政策面、隱私保護面等三個面向來看,政府積極推動換發數位身分證所面臨的相關風險;可惜的是,負責數位身分證換發業務的內政部戶政司,並未能推派代表到場做進一步的政策說明或政策辯護。

但日前內政部部長徐國勇在立法院答詢時則強調,預計明年一月將選擇三個縣市進行數位身分證換發作業,面對外界對於沒有專法、沒有設立個資隱私保護專責機構,甚至是面對政府部門如何公布民眾相關數位足跡的方式也都沒有進一步釐清時,政府在既定數位身分證換發政策目標下執意推動,視外界相關疑慮為無物,也讓各種質疑數位身分證換發的論點與意見團體,成為狗吠火車的無用觀點罷了。

數位身分證是紙本身分證加上可選擇關閉的自然人憑證

因為戶政司部門代表並未出席該論壇,李德財在簡介時表示,目前數位身分證的規畫,其實是紙本身分證加上自然人憑證(晶片)兩卡合一的產物,在2019年由國發會提出,經行政院核定「智慧政府推動策略計畫書」,而智慧政府的基礎架構包括:全面換發數位身分識別證New eID,以及建立具安全且可信賴的資料交換機制(T-ROAD),該計畫的目的就是希望可以建立安全、便利、可信賴的身分識別、資料串連與互通的數位環境。

只不過,在民眾越來越在意個資和隱私保護時,大家對於數位身分證上揭露存放個資的底線就是「不多於紙本身分證所揭露的個人資料」。事實上,他也指出,既然有晶片可以儲存更多的資訊,就數位身分證所規畫的存放資料,一定會超過紙本身分證的內容。

以內政部戶政司目前對外揭露的資料可以看到,政府將數位身分證的資料欄位分成4區,有僅到村里鄰戶籍地址的「戶籍區」;還有包括:姓名、統一編號、出生年月日、戶籍地址、役別、結婚狀態、證件號碼、應換領日期、製證日期和具有300dpi高解析度相片的「公開區」。

李德財表示,目前戶籍區和公開區都可以透過讀卡機插卡和感應的方式讀取相關的資料內容,但是,即便要讀取公開區的資料,民眾仍必須輸入證件後碼後六碼或是機讀碼的讀取碼,才可以讀取公開區的個人資料。

另外還有加密區,包括:父母和配偶姓名、出生地、性別、身分證號碼後六碼以及之前公開區的所有資料,也都會加密儲存在晶片中。其他部門如果想要存取加密區的資料,必須要經內政部同意外,當事人也必須輸入自定六位數字的密碼(PIN1)才能插卡讀取資料。

至於讓數位身分證可以成為數位身分證的關鍵,就是整合自然人憑證功能。他說,自然人憑證的資訊包括:姓名、統一編號後四碼、憑證序號和憑證有效期,要取用自然人憑證區的資訊,只有當事人插卡並輸入自訂8~12位數字的憑證密碼(PIN2)後才可以使用。

原本自然人憑證功能是強制啟用的,不過,戶政司代表之前在一場數位身分證研討會中則公開表示,未來民眾可以自行選擇是否要啟用自然人憑證的功能;行政院政務委員唐鳳也對外公開宣示,未來在領取數位身分證時,她也會選擇關閉數位身分證上預設的自然人憑證功能,而透過額外領取一張獨立的自然人憑證,避免兩卡合一,一旦遺失、就全部遺失的窘境。

數位身分證面臨的資訊科技風險,從晶片卡到讀卡機都有潛在風險

內政部戶政司對外一直宣稱,數位身分證所使用的晶片卡其加密等級已經是達到軍方的安全規格,認為民眾不需要擔心晶片卡的安全性。李育杰表示,像是臺灣普遍使用的悠遊卡和自然人憑證也都是晶片卡,但在2010年臺大電機系鄭振牟教授在臺灣駭客年會示範以監聽封包的方式,竄改悠遊卡的餘額;在2011年也有臺灣駭客破解悠遊卡的儲值加密系統;到2013年,鄭振牟也破解自然人憑證的憑證金鑰系統。「從悠遊卡和自然人憑證的例子可以證明,晶片的安全並不是萬無一失。」他說。

此外,王仁甫表示,在2013年也爆發使用1024位元的舊版自然人憑證,發現有部分金鑰存在安全風險,導致駭客可能破解金鑰後,冒用他人網路身分;在2017年則是愛沙尼亞政府發現80萬張的身分證的晶片有漏洞,立即停用有漏洞晶片卡,並在三個月內完成更換;今年的7月,則有通報HITCON Zero Day漏洞通報平臺,憑證管理中心提供的HiCOS跨平臺網頁元件存在命令注入(Command Injection)的漏洞。

除了晶片本身的安全性外,李育杰也提到,「讀卡機等讀取設備的安全性,也具有潛在的資安風險。」他進一步指出,設備出廠時,或者是讀卡機和相關連接裝置,可能因為社交工程、設備本身軟體或作業系統的弱點,遭到業者或駭客植入木馬或惡意程式;也可能讀卡機在連網時,沒有惡意程式監控機制,使得遭到駭客竊取的資訊,可以透過讀卡機的漏洞外洩。

另外,即使資料已經加密,也無法確保加密資料不會外洩,加上量子電腦應用逐漸成熟,後量子密碼標準可能在2022年推出草案,在面對未來量子電腦發展可能改變現有加密技術的同時,他也提出質疑:「一用至少十年的數位身分證,有需要趕在這個時候推動嗎?」

最後,他也說,數位身分證裡面儲存的高解析度照片,不論是300dpi或是600dpi,都已經足以透過各種人臉辨識系統或者是街頭監視攝影機,甚至搭配上AI的分析辨識技術,都足以侵犯到民眾隱私,中間份際的拿捏也是一大挑戰。

為了解決資訊科技帶來的風險,李育杰也建議,從開發人員、供應鏈、讀卡機、各種App等所有環節可能的弱點和隱含風險,每一個系統的設計上,都應該做到Security by Design(內建隱私設計);針對數位身分證系統應該要建立相關的SOC(資安維運中心)並在閘道端設置IPS(入侵偵測防禦系統);更重要的是,政府應該要留下數位足跡,並且要有專法規範資料的傳輸和使用,才能夠取得民眾的信任。

數位身分證面臨法律及政策風險,應制定專法

數位身分證是紙本身分證加上自然人憑證的結合,因此相對應的法源依據,則來自於紙本身分證法律授權的戶籍法,以及自然人憑證的法律授權依據的數位簽章法。

不過,王仁甫表示,戶籍法規範國民身分證是用以識別個人身分,電子簽章法則是為了規範自然人憑證作為電子文件簽署的身分識別之用,結合兩者功用的數位身分證,政府宣稱數位身分證的目的是為了可以做到跨機關使用,但這樣的目的,已經逾越單一戶籍法或電子簽章法的法律授權範圍和資料收集的目的。

他進一步指出,未來,數位身分證也將透過T-Road和政府各部門做各種個資的存取,同時也要符合個資法的規範。所以,政府在推動換發數位身分證時,應該也要同步制定數位身分證專法,或者是個資法中,另訂數位身分證專章,才能夠真正做到數位身分證具有完整的法律授權依據。

數位身分證內存放高解析度的照片,王仁甫認為,這對民眾隱私的侵害,遠比蒐集指紋的侵害更大。他進一步援引大法官釋字第603號解釋文:「資訊蒐集應屬與重大公益之目的,具備密切關聯之侵害較小手段,以法律明確規定之,以符合憲法第二十二條、第二十三條之意旨。 」

也就是說,內政部預計推出的數位身分證就是把現有紙本的國民身分證加入自然人憑證,也宣稱數位身分證的重大公益目的就是為了要做到跨機關使用的應用,王仁甫認為,這個應用範圍已經逾越戶籍法第51條國民身分證用以辨識個人身分的用途,「因此,數位身分證的推動,就必須要修法,才能達到以法律明確規定的目的。」他說。

王仁甫表示,數位身分證未來也必須遵守個資法對於個資當事人的個資蒐集、處理、利用和刪除等程序,不過,目前個資法並沒有專責的主管機關,在面對個資盜賣的撞庫風險,個人身分偽造、詐騙以及假新聞,以及大量個資外洩造成的國安風險等,這也意味著,未來推出數位身分證時,與個資法相關的流程,勢必應該先成立一個保護個資隱私政策的主管機關。

近年來,也曾爆發多起大規模資料外洩的資安事件,王仁甫表示,未來的數位身分證系統eID也將成為中國網軍鎖定攻擊的首要目標,一旦遭到網軍入侵導致民眾個資外洩,就會如同香港解密網站會即時公布反送中人士的個資一樣,香港反送中民眾因為個資外洩導致人身安全不保的情況,「今日香港、明日臺灣」是否也可能同樣發生在臺灣呢?值得令人深思。

數位身分證面臨隱私保護風險

政府想要推動換發數位身分證,除了面臨科技、政策與法規的風險外,臺灣人權協會副秘書長何明諠更直言,隱私風險更是換發新版數位身分證最關鍵的風險之一。

他進一步解釋,「一人一證、一證一號、終身不變」的身分制度, 並沒有限制可以驗證的範圍,所以,以臺灣目前對於身分證的使用程度來看,許多身分資料被任意留存、利用,加上資料串聯成本低,也讓個人被監控的成本低,資訊安全維護成本相對高,造成個資一旦外洩就難以補救。

不過,何明諠最擔心的還包括各種數位足跡與身分資料大規模的留存。他以自然人憑證管理中心(MOICA)的線上憑證狀態協定(OCSP)為例,因為OCSP可以針對應用程式即時確認憑證是否有效,進而提高使用憑證時的安全性;而在針對伺服器端提出查詢時,這個OCSP會將正確格式的請求查詢資料轉往憑證管理(CA)伺服器進行狀態查詢,確認憑證是否由該憑證管理中心核發、是否已經被廢止,也會將查詢結果回傳給查詢者。這種種的數位足跡未來在內政部推動數位身分證時,留存的數位足跡只會更多,他質疑:「政府和企業是否會留存所有的數位足跡和身分資料?這些資料留存多久?是否會因此暴露個人的數位行蹤?」這些都是必須要更嚴謹去做相關規範的。

他指出,內政府希望透過數位身分證上的自然人憑證提供的數位簽章功能,不僅可以快速辨識當事人網路上的身分,透過網路交易時,也可以大幅降低成本與風險,進一步促進產業轉型等。但「水可載舟亦可覆舟」,何明諠認為,這隨處可以留存的數位身分,讓民眾在網路上的各種蹤跡無所遁形,是否變成另外一種數位實名制呢?

雖然目前已經有個人資料保護法可以保護民眾個資,但何明諠認為,公務機關只要是執行法定職務、經當事人同意以及對當事人權益無侵害的話,就可以進行個資蒐集和處理,不過,他指出,只要遇到法律明文規定;為維護國家安全或增進公共利益;免除當事人生命、身體、自由或財產上的危險;防止他人權益的重大損害;公務機關或學術機構基於公共利益所做的統計或學術研究而有必要,相關資料都已經經過去識別化;有利於當事人權益;經當事人同意等七項前提,都可以對相關個資做特定目的外的利用。

何明諠質疑:「什麼是公共利益?什麼是國家安全?『必要』如何判斷?在在都彰顯既有個資法對個資保護不夠全面,隨著未來數位身分證的推動,既有個資法對個資保護的範疇,似乎稍嫌不足。」

所以,針對數位身分證的推動,他也建議,參照歐盟GDPR的規範,應該要設立獨立的個資保護專責機關;再者,政府應該保留換發「無晶片身分證」的選項;第三,應該先修法或立法以確保資安及隱私風險,同時且應暫停數位身分證的換發作業。


Advertisement

更多 iThome相關內容