揭露数位身分证2大隐忧 台权会:个资外泄及国家机器监控
https://www.upmedia.mg/news_info.php?SerialNo=71325
王怡蓁 2019年09月15日 16:10:00
https://www.upmedia.mg/upload/article/20190915120437686994.jpg
即将于2020年换发的“数位身分证”引起资安疑虑,台权会专案经理何明諠直指,内政部
保证不会有资安问题,但他认为政府并未将其放在最优先考量。(取自台权会脸书)
2018年底行政院拍板定案新的“数位身分识别证”(New E-ID),预计结合自然人凭证以
及其他功能,将于2020年正式上路,此举引发立法院、民间团体及学界质疑资安等疑虑。
对于外界质疑内政部不断澄清,但台湾人权促进会(台权会)并不买单,台权会专案经理
何明諠直指,内政部保证不会有资安问题,但他怀疑政府的承诺,也认为政府并未将资安
风险放在最优先考量。
数位身分证也称为芯片身分证,行政院规划将多卡导到数位身分证中,只要国人拿一张卡
,并可以进行多种认证。内政部在今年5月16日的内政委员会上曾进行专题报告,在会议
中指出,数位身分证是基于国发会在发展“智慧政府”的架构下,优先完成“全面换发数
位身分识别证”及“建立具安全且可信赖的资料交换机制(政府骨干网络, T-Road)”等
基础架构,预计在2020年10月进行全面换发。
会中,内政部长徐国勇强调,数位身分证仅是结合国民身分证与自然人凭证,单纯是身份
识别用,基于防伪、隐私保护等原则,没有个资安全的问题。行政院与国发会对外将数位
身分证形容为“一把钥匙”,在数位世界打开各种资料。但多名不同党籍的立委都质疑,
现有的个资法、户籍法规范不足,应另立“数位身分证专法”加以规范,以及如何说服人
民这张卡片的使用是安全的?
数位身分证泄漏个资? 台权会:有被政府监控疑虑
对于内政部的保证,民间团体显然不满意,日前台权会邀集其他民间团体及中研院资讯科
学研究所副研究员庄庭瑞开记者会,表示内政部在推动数位身分证上在多处程序上的瑕疵
,包含“新一代国民身分证规划案”中外部委员全为已退公务员;规画案成果未公开,却
已在六月进行33亿元的卡片印制招标等疑虑,并要求监委介入调查。
在数位身分证的推行上,台权会专案经理何明諠接受上报访问提出两项最大的隐忧:资安
问题及国家监控。针对个资安全问题,庄庭瑞表示,现行户籍法未明确规范身分证及身分
证号的使用范围,但人民生活中的多数资讯系统,如健保、医疗、政府、学校等,都可透
过身分证号做连接。他认为,目前看到的芯片身分证规格,可以用非接触方法(RFID)读
取及覆写资料,若人民随身带着芯片身分证,就造成资料外泄的可能,也导致国家监控人
民活动的疑虑。
何明諠表示,非接触方法(RFID)功能可以在数公尺外透过机器侦测到卡片,若是未来路
面装设侦测机器,人民的活动、行踪都将可能被记录。他说另一个未来可能将发生的风险
是,读取芯片卡的读卡机会不会未经民众授权读取资料?
何明諠认为,推展到最极致的状况就是类似中国对人民活动的监控。他指出,数位身分证
也许在非法活动的防止及调查上会很有效率,但“代价就是多数没犯罪的人隐私不见了”
。
现行法规已足够资安防护 内政部:无需另立专法
对于台权会及学者的质疑,内政部户政司强调,数位身分证的私密金钥产制无法汇出、重
制,任何人都无法取得,并在封闭隔离的环境制作,确保资安绝对无虞。内政部也指出,
数位身分证不会储存或记录个人地域、人际网络或其他数位痕迹等资料,不会有隐私资料
外泄的疑虑,目前也在发展安全软件开发,包含基本弱点扫描、防渗透等检测,找出各种
可能遭攻击的手法。
内政部也重申一直以来的立场,就是不需要另立“数位身分证专法”。内政部认为,目前
的个人资料保护法、资通安全管理法等法规,都已有足够保护,不需要再另订专法。
然而,近年来发生多起政府机关、学校资料外泄的状况,如今年6月份铨叙部59笔的公务
人员个资遭泄事件,按照个资法规定,公务机关资料遭窃或泄露,查明后应该通知当事人
,并做赔偿。
反对数位身分证 何明諠:个资遭窃风险过高
何明諠认为,政府在推动数位身分证时强调“效率”跟“便利”,却没有提醒人民应面对
的风险跟安全性。他说并不是反对“数位身份验证”,在数位时代,抹申请一组帐密都是
“数位身份验证”,他强调,应该将风险分散在不同地方,而不是透过一张“数位身份证
”,进行串接服务,何明諠悲观地说:“政府说数位身份证是一把钥匙,通往各个资料,
那如果我是骇客,我就去攻击,我不用钥匙,而是把墙打破了,可能就会拿到所有个资。
”
问他是否反对推行“数位身分证”?他表示台权会一直以来都是反对的,从20年前国民党
打算推结合健保、电子钱包、驾照等功能的“国民卡”;2015年底国民党团也曾提出立法
草案;内政部也曾藉换发身分证搜集指纹,后遭大法官释字603宣告违宪。
内政部曾表示,人民可以自行选择是否开通数位身份证的自然人凭证等串接。何明諠质疑
,如果如果不开通,跟一般身分证的差别在哪?又为何需要大费周章来换发?
但也有支持推行数位身份证的人认为,像爱沙尼亚、德国都已推行十多年,何明諠表示,
这些国家在数位身份证推行上,有专法、有主管机关,但国内也不乏反对声浪。他认为,
如果数位身分证势在必行,那至少参考欧盟一般资料保护规范(General Data Protec-
tion Regulation,GDPR),也必须制定数位身份证专法,并成立主管机关。