快訊

鉛中毒案中藥商被搜索 子為父抱不平:重點在不能入藥

登山活動大眾化後,如何從一日登山客成負責任的山友?

發行一張數位身分證 為什麼還需要一部專法跟一個獨立機關來保障?

內政部舉辦的身分證再設計活動票選結果。右為「設計獎」的得獎作品「形|SHAPE」,左為「人氣獎」─「嶼民在地」。 本報資料照片/記者杜建重攝影
內政部舉辦的身分證再設計活動票選結果。右為「設計獎」的得獎作品「形|SHAPE」,左為「人氣獎」─「嶼民在地」。 本報資料照片/記者杜建重攝影

政府各部門權責、資安都坑坑疤疤的,內政部在這時強推數位身分證還把鍋甩回給各機關,就不怕整天光滅火就來不及了嗎?

你期待領到駕照、健保卡、自然人憑證集一身的數位身分證嗎?會不會覺得以後不用再分別帶大張小張的證件覺得很方便?相反的,會不會覺得萬一資訊外洩也很可怕呢?

政府準備發行數位身分證可說是未來十餘年內,台灣整體在談論數位轉型、智慧政府的一等一大事。它的前身最早可回朔到 1998 年,行政院研考會(國發會的前身之一)就決定推行「國民身分健保合一智慧卡」,一口氣把戶政資料、健保資料、指紋資訊、電子簽章、電子錢包等功能全部整合重新發行;但因民間團體強力反彈,最後無疾而終。

直到 2013 年開始,內政部再開始著手新一波研究如何把身份證及自然人憑證合併以「數位身分證」形式發行,並從 2017 年開始屢屢舉辦相關研討會跟民調,到 2018 年行政院拍板決定 2020 年正式上路,發卡對象是台灣全體 2,359 萬位國民全面換發,將用 4 年的時間換發完畢。

同時,內政部還規劃數位身分證將仿照愛沙尼亞的 X-Road 系統,打造跨政府、機關的資料通道網路「T-Road」,搭配數位身分證讓它「一卡走遍遍」,為民眾提供一站式平台的完整服務。

在這段過程中,數位身分證的外部設計和資訊揭露已歷經不少公眾討論,例如到底有沒有國旗?要不要明載婚姻狀態等等,最後內政部也決定從善如流,不只會把卡片正面的左上角加回國旗,還會把婚姻狀態加回去(配偶則需進入數位系統才能看到姓名)。到了四月,內政部則是宣布因武漢肺炎疫情影響,無法去國外取得高防偽 PC 晶片卡樣卡與進口相關設備,只能延後發行,無法在原定 10 月上路。

但相較於取得共識的外部資訊,最重要的核心部分:資安、隱私爭議,則一直都沒停過,甚至在即將換發之際越吵越熱。

今年四月,台灣人權促進會跟開放文化基金會,同時發動了「反對全面換發晶片身分證」、「支持修法與公開數位晶片身分證規劃資訊」兩個連署活動,連署書裡不乏長期以來關心台灣數位治理、開放資料或是網路安全的專家學者。

數位身分證夠安全嗎?內政部資料是這麼說的:晶片卡與其作業系統、應用系統、讀卡機等資通產品都會通過 Common Criteria ISO/IEC 15408 驗證並取得 EAL4+ 以上安全認證,甚至準備上路的數位身分證具有雙晶片備援機制,晶圓不只是台積電公司代工生產的,主晶片裡的硬體架構、密碼學函式庫、作業系統都是 EAL6+ 等級,應用程序 EAC+SAC、SSCD Part2+3 也都有軍事機密等級的 EAL5+。

不過,台權會跟開放文化基金會顯然覺得這不單單是晶片、系統本身安全性的問題,而是對「國家怎麼使用個資」有更深層的憂慮,他們雙方訴求雖略有差異,但有共同三大主軸:1.不應強迫全面換發數位身分證、2.應該先針對資安及隱私風險設立專法、3.發行前應先成立獨立的隱私專責機關。

發行數位身分證茲事體大。為此,我們跟開放文化基金會董事長李柏鋒聊了一次(註1),來跟我們談談在他們眼裡,內政部本次推行數位身分證過程中到底有哪些爭議?

▲開放文化基金會董事長李柏鋒。Photo Credit: 本人提供
▲開放文化基金會董事長李柏鋒。Photo Credit: 本人提供

到底該不該一口氣強制換發?

前文有提到,數位身分證將針對台灣全體 2,359 萬位國民全面換發,雖然中間有 4 年的緩衝期,但性質上還是「強制」換發。

李柏鋒指出,首先縱看 7 大工業國中,只有德國強制發行晶片身分證(註2),但使用率僅有 7%;另外全世界至目前為止,有推行數位身分證的國家幾乎都有為其設立專法,台灣這種沒有設立專法,卻還強制換發可說微乎其微。

開放文化基金會另外還有幾個提倡不要強制換發的主張:第一是部分民眾容易產生數位落差。數位身分證需要自行設定 PIN2 碼(PIN1 會是證件號碼後六碼或機讀碼),如果年長者或智能 、精神狀況不佳者,可能會因為不擅長使用數位服務,而把有重要個資的數位身分證交給他人保管使用。

第二則是數位身分證技術上還有遠端讀取風險存在。李柏鋒使用開放文化基金會的簡報說明,根據招標規範,數位身分證的非接觸介面是採用 ISO 14443 的工作頻率 13.56MHz,雖然說是屬於 0~10cm 的近距離的讀取,但網路上已有工具可以從 40~50 cm 的距離直接讀取,理論值應該可以達到 1~1.5 m (超過 1.5m 需要用微波)。

此外也存在另外一個讀取 RFID reader 發送給 RFID tag 訊號的方式,根據台大鄭振牟教授的論文 《MIFARE Classic: Practical Attacks and Defenses》,兩公尺是一定有把握讀取到的距離,鄭教授並表示理論值應可以達到十幾公尺。

但接下來的第三項則是開放文化基金會跟李柏鋒最重要的反對理由:沒有專法。

內政部說不用立專法,到底夠不夠用?

從法律層面來看,內政部認為這次推行數位身分證已經有足夠法源,戶籍法 52 條就有授權內政部制定國民身分證格式、內容、製發,沒有限制只能採紙本形式;而且資訊安全有資通安全管理法、個資保護有個人資料保護法,自然人憑證有電子簽章法,每個層面都已經有專法規定了,不用再針對數位身分證擬定專法了。

但開放文化基金會認為,目前台灣政府並沒有一套全方面完整保障「數位足跡」的規劃方案。內政部曾一再強調,內政部本身並不會作東統一蒐集數位身分證的使用紀錄(正式應該被稱為線上憑證狀態查詢系統 Online Certificate Status Protocol,OCSP),而且這些使用紀錄只會留存在各服務機關內部。

不過問題就在這:既然使用紀錄只留存在各服務機關內部,那就變相等於把資料管理的責任推回給了各機關,也就是說內政部根本就「發後不理」。

這代表民眾使用數位身分證夠不夠安不安全,還得看機關各自的資安能力與水準;乍聽之下好像很合理,因為現況不是也如此嗎?但就在去年,台北市衛生局才發生駭客竊取 298 萬筆市民個資、牽連十數個公部門企業網站,以及銓敘部爆出 71% 公務人員個資遭到外洩等兩起重大資安事件,顯示國內從中央到地方,各部門、機關的資安能力有相當的落差,也代表台灣缺乏高強度且統一的資安策略。

▲銓敘部日前爆出 71% 公務人員個資外洩。圖/擷自Google Maps
▲銓敘部日前爆出 71% 公務人員個資外洩。圖/擷自Google Maps

李柏鋒就批,發卡是內政部戶政司、服務運用是國發會在想,自然人憑證是經濟部主管的電子簽章法,根本就各行其是,結果自然一團混亂,該管的事情沒有人管;民間司法改革基金會執行委員林煜騰律師也在 5 月召開記者會,表示內政部曾說過廠商要獲內政部同意,才能使用 API 讀取個資,但問題在於這部分沒有法源,變相等於「內政部想怎麼發就怎麼發」,但怎麼跟各主管機關對接,都是問題;另一方面,政府內部的資料交換機制 T-Road 卻是由國發會規劃推動,對內、對外缺乏明確分則,自然容易被人疑慮互踢皮球。

這也是開放文化基金會、李柏鋒跟外界普遍最擔心的一件事:政府各部門權責、資安都坑坑疤疤的,內政部在這時強推數位身分證還把鍋甩回給各機關,就不怕整天光滅火就來不及了嗎?

不過內政部至今也不是沒有鬆動,上個月即宣布初步將開放部分縣市讓民眾自願申請數位身分證進行,小規模試行約半年並輔以民間賞金獵人競賽測試後,才會推動。

不是不要 eID,但請給專法跟獨立專責機構

李柏鋒倡議,唯有針對數位身分證設立專法,並同時輔以修改早已該調整的個資法,成立獨立的個資專責機關才能全面性解決上述疑慮。他指出就連台灣積極仿效的愛沙尼亞,也是歷經十餘年,不斷修訂個資法、國家檔案法、國家機密法等好幾項法規,才能走到今天有九成使用率。

事實上政府並不是沒有考慮過成立獨立的個資專責機關。根據中央社報導,台灣去年已經跟歐盟爭取 GDPR 適足性認定完成第一輪協商,相關事項超過四分之三已經討論完畢,但剩下的大問題,就是歐盟也希望台灣成立個資保護的獨立專責機關。(註2)

當時的國發會主委陳美伶就表示,「台灣個資法區分為公務機關、非公務機關,不同產業又由不同的目的事業主管機關來規範,保護機制參差不齊,導致國人往往認為個資沒有被完善保護;未來是否不再區分公務機關、非公務機關,讓個資保護有一致性的機制,將是個資法檢討修正的重要議題。」(中央社,2019/11/26)。

到了這裡,讀者們會發現:獨立個資專責機關與數位身分證、以及台灣是否能獲得 GDPR 適足性幾個問題都綁在一起了,這幾乎確定是政府一定要面對的問題,甚至急迫性比數位身分證本身還要高,但問題是政府反而沒把重點放在這件事情上,其實也讓台灣在進入數位經濟的過程中,顯得急功近利。

既然台灣想努力成為繼日本、韓國之後第三個獲得 GDPR 適足性認定的國家,那為什麼就不乾脆再等等,先著手成立獨立個資專責機關,讓全民個資保障更周全的狀況下,再推行數位身分證,降低不必要的風險?畢竟,欲速則不達。

註1:開放文化基金會董事長李柏鋒跟 INSIDE 主編李柏鋒並非同一人,他是 INSIDE 的前股東之一,但目前已無 The News Lens 或 INSIDE 的股份。

註2:德國避免個人資料遭串連使用,並沒有固定的身份字號,居留證號、社會福利碼、健康保險號碼、稅號、駕照證號都個別獨立,而且所有證件上都沒有列印另外一個證件的號碼。

註3:國發會說明,GDPR 除了在歐盟境內設立據點的企業外,還包括對歐盟境內人民提供產品、服務或監測歐盟境內人民網路行為的境外企業。

而且在個資跨境傳輸的部分,由於歐盟是採「原則禁止、例外允許」模式,因此只有在符合例外之情形下,個資才能進行跨境傳輸,而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施,例如企業自行擬定具約束性企業規則,並報請歐盟個資主管機關許可、取得特定認證;或取得個資當事人明確同意等方式。

但 GDPR 亦規定對第三國個資保護水平是否達到 GDPR 標準的適足性認定制度,取得此一認定資格的國家,即可自由與歐盟間進行個資跨境傳輸。

《本文作者Chris,原文刊登於合作媒體INSIDE,聯合新聞網獲授權轉載。》

身分證 個資 內政部 歐盟 資安 隱私權

延伸閱讀

洽公實名制個資最多存28天 鄭文燦今天公開示範銷毀

防疫實聯制被刷身分證 蒐集個資亂象多

避免實聯制過度蒐個資 專家籲政府別撒手不管

新聞中的法律/防疫採實聯制 減少個資爭議

相關新聞

微軟傳收購短影片服務TikTok 但川普揚言將TikTok趕出美國

消息指稱,微軟可能有意收購字節跳動旗下在海外營運的短影片服務TikTok。而除了微軟,似乎也有其他公司有意加入競購。

臉書取得播放MV權利 將與YouTube爭高下

彭博30日報導,臉書已完成一系列交易,取得播放MV的權利,更有可能與YouTube競爭...

沒有Switch 不再邊緣人!《動物森友會 口袋露營廣場》中文版手遊29日登場

不管是還沒入手Switch,還是不想隨時多帶一台遊戲機到處跑,現在台灣玩家想要入坑《動物森友會》還有另外的新選擇!早在其...

2020下半年品牌加速推動5G手機 全球總產量將突破2億支

今年智慧型手機市場延續5G話題,手機品牌與行動處理器大廠高通、聯發科等,都以擴大5G手機市占為目標。根據TrendFor...

世界表情符號日!蘋果為Memoji戴口罩 珍奶也變表情符號

大家每天透過手機傳遞訊息,少不了搭配各種表情符號來更貼切傳達語氣、心情,蘋果在即將於秋季推出的iOS 14中,除了針對對...

推特名人遭駭事件得手約348萬元!駭客經Twitter內部工具犯案 自家員工關係重大

在美國時間星期三,社群網路平台 Twitter 傳出嚴重資安事件,一名駭客透過不明手段,於眾多知名人士帳號如 Apple、比爾蓋茲、拜登、馬斯克、歐巴馬等人的頁面上,發布一則要求外界捐款比特幣到指定帳號的貼文訊息,引起外界一陣譁然。

iOS 13.6更新 讓iPhone變身汽車鑰匙

蘋果公司(Apple)今天釋出iOS 13.6作業系統更新,加入數位汽車鑰匙支援,並在「健康」App中包含新的症狀類別,...

撐不住!知名機票比價網Skyscanner 裁員兩成並關閉2間辦公室

受到武漢肺炎疫情嚴重影響、做出裁員措施的公司名單再添一家!總部位於英國蘇格蘭首府愛丁堡(Edinburgh, Scotland, UK)的知名機票比價服務公司 Skyscanner 宣布,將裁員大約兩成,並關閉 2 間辦公室。

整理包/新冠疫情發威…科技業佈局大亂 下一步怎麼走?

新冠肺炎疫情爆發突然,令全球產業措手不及,紛紛停工停運防止疫情擴大,然而疫情並未隨之停止,反而逐步擴及全球,各國只好極力降低人口流動減緩傳染速度,甚至出現長達數月的「鎖國期」,商業活動徹底停擺,對全球經濟造成重大打擊。

紐約時報不再與蘋果合作新聞提供 原因希望有更高內容自主權

紐約時報證實,未來將不再與蘋果合作新聞內容,原因是希望維持自有新聞報導,以及與讀者互動方式,同時也能符合本身業務運作需求。

不再放縱!腳踩這紅線 臉書真刪了美國總統川普的誤導性貼文

臉書這次移除了美國總統川普發表的貼文,理由是涉及散播不實的疫情言論,臉書以違反社群政策將其下架。

Galaxy Note 20系列比一比 手機規格哪裡不一樣?

針對此次推出的Galaxy Note 20系列,mashdigi這裡也做了簡易比較表格,藉此對比不同機種規格上的差異。

熱門新聞

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。