【2021資安大預測】趨勢8：數位身分證｜數位身分證政策不會喊停，但時程和方式將再評估

原訂2020年7月，內政部預計將逐年全面換發數位身分證（New eID）的政策，原先已經因為武漢肺炎疫情之故，導致相關設備無法如期抵達臺灣，政策因此順延。但更重要的關鍵在於，面對數位身分證的應用，許多立委、學者和民間團體共同提出質疑，行政院對於訂定數位身分證的專法、資安與隱私保護議題等都存有疑慮的前提下，為何要堅持推出數位身分證的政策呢？

政府此舉，不僅引發各界不滿，連原本預計在今年一月由澎湖縣、新北市和新竹市率先推動數位身分證試辦的政策，在彼此信任不足的狀況下，澎湖縣、新北市率先退出試辦活動，而最後一個試辦縣市新竹市，雖然放寬為小規模、自願申辦數位身分證，能在難抵內部壓力下，最後仍決定陣前縮手，決定暫緩新竹市數位身分證的小規模試辦活動。

行政院院長蘇貞昌日前在面對立委質詢時也終於鬆口，強調數位身分證不一定要在2021年7月正式換發，也會邀請資安專家針對數位身分證平臺找漏洞，確認沒有資安問題後，才會進行全國換發。而行政院秘書長李孟諺接受媒體訪問時則強調，數位身分證政策不會中途喊卡，但在推動時程、方式、規模上會重新評估，未來也會透過小規模試辦解除民眾疑慮後，再大規模推動。

就算沒有數位身分證，也可以推動智慧政府

其實在馬英九政府時代，已經有數位身分證的政策推動，當時也引發許多學者的連署反對，相關政策也沒有進一步發展。但是，內政部戶政司對於推動換發數位身分證的政策，其實一直都沒有放棄。

國發會在2018年12月發表「智慧政府發展藍圖」中，正式對外公布數位身分識別證是智慧政府基礎架構，要推動「智慧政府」目標，就必須率先完成「全面換發數位身分識別證」及「建立具安全且可信賴的資料交換機制」（T-Road）等基礎架構，並預計於2020年啟動數位身分證全面換發作業。

為什麼要推動智慧政府，就一定得要將現有的紙本身分證換成數位身分證呢？從2020年1月爆發武漢肺炎疫情以來，光是以口罩實名制的政策推動來看，就可以發現，許多民眾都能以健保卡的晶片卡，作為串連政府服務的介面。從這個政策推動的方式也可以證明，要達到智慧政府的目標，民眾可以便利使用智慧政府所提供的服務，即便沒有數位身分證，有健保卡，或者是其他可以證明個人身分的工具，例如行動裝置等，也可以達到同樣的目的。

嚴格說來，數位身分證只是民眾串連智慧政府服務的其中一種工具而已，「有，很方便；沒有，不妨礙」的情況下，數位身分證就應該只是其中的一種選項而已。

數位身分證原訂由新竹市、澎湖縣及新北市3個縣市小規模試辦，但這些地方政府陸續退出，於是，2020年12月初內政部宣布新竹市將是唯一試辦地區，然而，到了12月底，新竹市也決定暫緩試辦。

關於漏洞檢測的部分，12月21日內政部在網路公共政策參與平臺網站，公布了數位身分識別證賞金獵人活動計畫草案。圖片來源／內政部

將紙本身分證轉變成晶片身分證明文件，並不等於數位身分證

不可諱言，其他世界各國發行的身分證明文件中，已經有許多是朝向發行晶片式身分證明，根據2017年一份調查報告指出，全球已經有82％國家使用晶片卡作為身分證明文件，預估到2021年，採用晶片式身分證明文件的國家，比例將成長到89％。

像是德國、日本或是愛沙尼亞等國，都有推動晶片身分證，但上述有些國家本身，並沒有如同臺灣一樣同時具備身分證字號、足資證明個人身分，且需隨身攜帶的「身分證」。晶片身分證重點在於識別個人身分而已，像是，德國沒有身分證字號，日本不強制領晶片身分證，愛沙尼亞雖然有身分證字號，也有晶片身分證，但該國已經有獨立的個資保護機關，一旦出現爆發個資外洩或隱私保護疑慮的事件時，有專責的機關出面負責。

臺灣的數位身分證其實是將既有的紙本身分證，轉換成晶片身分證外加自然人憑證的功能，紙本身分證的防偽功能不足，轉換成具有高規格AES-128或AES-256對稱式加密演算法的晶片身分證，其實是大勢所趨。

但若只是把紙本身分證數位化，轉變成加密程度較高的晶片身分證，其實可以就晶片卡的規格本身去做各種安全性的討論即可，數位身分證更多的應用在於，新增自然人憑證的功能在內——雖然換發時，當事人可以選擇不啟用，或者是申請後再關閉自然人憑證功能，但民眾對於晶片身分證和自然人憑證兩證合一的資安及應用上，仍有疑慮未解時，推動數位身分證並無法讓民眾真正安心。

在國家發展委員會制定的服務型智慧政府2.0推動計畫當中，數位身分證屬於基礎架構層級的建設，透過這項身分識別機制的普及，可串連政府所有服務，之後，也將建立跨機關的資料共享與介接機制T-Road。圖片來源／國發會

數位身分證招標過程重硬體、輕軟體

這次數位身分證在推動的過程中，也罕見地先完成印製數位身分證的硬體設備發包，更從原本的公開招標轉成限制性招標，原本編列40億元的預算，直接發包一個大採購案，由中央印製廠負責印製並對外招標，最後並由東元電機得標。

不過，數位身分證不只有晶片身分證的識別功能，還有串連其他應用功能的自然人憑證功能，而這次詭異的發包流程，先是40億元的硬體發包案，沒有對外公開相關的規畫案，卻快速進行硬體設備發包，但真正決定數位身分證會有多好用的後續相關軟體標案，整整歷經三次的流標，直到第四次，才強迫由中華電信得標。

臺灣向來輕軟體、重硬體，明明數位身分證最重要的環節，是提供相關的軟體功能和API串連的服務，高價的硬體標案早早發包得標，軟體標案卻像委屈的小媳婦，遲遲無法獲得政府和業者的垂青，最後不得不由中華電信低價得標，這樣的下場將是未來全體民眾必須要共同承受的苦果。

建構完善的數位身分證法制基礎是推行的關鍵

數位身分證是紙本身分證數位化加上自然人憑證的結合，因此相對應的法源依據，則來自於紙本身分證法律授權的戶籍法，以及自然人憑證的法律授權依據的數位簽章法。

不過，戶籍法規範國民身分證是用以識別個人身分，電子簽章法則是為了規範自然人憑證作為電子文件簽署的身分識別之用，而對於結合兩者功用的數位身分證，政府宣稱其存在的目的是為了可以做到跨機關使用，但這樣的目的，臺灣駭客協會理事王仁甫認為，內政部推動數位身分證的作法，已經逾越單一戶籍法或電子簽章法的法律授權範圍，以及資料收集的目的。

而數位身分證之後須透過T-Road平臺，與政府各個部門進行各種個資存取和服務串連，同時，也必須符合個資法的規範，王仁甫認為，如果數位身分證要真正做到有完整的法律授權，應該要制定數位身分證專法，或者是在現有的法律中，另外制定數位身分專章，力求法律授權的完整性。

中研院院士李德財則表示，內政部在推動數位身分證New eID計畫時，在缺乏完整的法制規範基礎，加上各種包括晶片卡、讀卡機、系統面、平臺和API等資安考量未完備，也沒有獨立的個資主管機關下，強推數位身分證成了問題所在。

李德財也認為，儘早完備法制基礎、確立個資主管機關，加上針對政府具有法規監理的服務項目，提供民眾小規模而非地域性的試行政府規畫的T-Road，進而提升民眾的信任度，也有助於政府逐步完善推動數位身分證政策的不足之處。