訂閱電子報∣ 友善列印字體大小 文章分享-Facebook 文章分享-Plurk 文章分享-Twitter
數位身分證技術探討(二):資安隱私議題和安全防護機制
資策會Find究員:李啟榮
獲取產業訊息零時差!立即訂閱電電公會電子報。

自行政院108年8月核定、內政部預定109年10月全面換發「數位身分識別證(New eID)」後,New eID未來提供民眾便利服務的同時,也可能帶來資安和隱私等隱憂,引起社會公民團體的關注和爭論;為減少New eID對民眾資安和隱私的衝擊,並兼顧民眾使用New eID的便利性,本篇藉由歸納New eID面臨的各項隱私及安全議題,同時探討New eID的各項防護機制,使民眾更為了解New eID在提供便利的同時,如何設法保障民眾自身個資隱私和安全性。

【New eID隱私和資安議題,受到公民團體關注】

根據內政部長徐國勇108年5月16日於立法院就「數位身分識別證」之報告,宣示將於109年10月起全面換發後,引起了各界對民眾隱私、便民服務等關注和爭論,例如臺灣人權促進會等公民團體對於內政部New eID政策表達關切和顧慮,擔憂New eID是否能保障民眾隱私安全管控和資訊完整,表達3大顧慮議題並引述如後:
1.New eID目前無法證明有保護隱私、資訊自主的功能:內政部雖表示New eID依循「eID版面個資揭露最小、隱私資料加密保護需民眾授權開啟、自然人憑證可自由選擇開啟與否」三項作法,但公民團體仍對於司法/執法機關是否無視使用者許可跨機構調閱表達擔憂。
2.現行法規配套不足,換發New eID缺乏立論基礎:內政部雖表示「現行的法規如《戶籍法》、《個資法》、《資通安全管理法》、《電子簽章法》等,已足以在各面向支撐全面換發New eID的政策,毋須修訂現行法規或另立專法」;但公民團體認為New eID換發若僅有行政規則而無專法配套,人民要如何確保行政機關當前所有關於權益保障的承諾(例如晶片資料最小化、允許人民選擇自行開啟與否等)。因此公民團體也希望政府能仿效歐盟GDPR一般資料保護規範,為New eID建立足以保護持有者隱私的專法,避免未來政府以行政力量逕行介入干預民眾隱私之可能性。
3.不應強制性全面換發New eID,同持保留紙本身分證效力:內政部於立院質詢時表示「當前政策不存在領取紙本卡的空間,民眾可以在領到晶片卡後,選擇是否要開通自然人憑證,如無開通,則那張晶片卡其實就等同於紙卡」,但公民團體仍有所質疑,呼籲政府方面應暫緩New eID的全面強制換發、保留現行紙本身分證之使用,並讓民眾選擇性停用New eID自然人憑證功能。

【New eID安全防護機制和政府骨幹網路安全架構設計】

有鑑於我國數位身分識別證New eID的隱私和安全議題,探討技術面之可行解決方案,使New eID的隱私及資安防護機制加以改良,維護民眾資料完整性,也保障民眾資料私隱性,減少被惡意第三方窺探、盜取與破解。
在此引述內政部108年9月,針對公民團體New eID關注隱私及資安議題之回應,New eID在安全機制和隱私保障法規有如下作法:
1.New eID與紙本身分證一樣,只有身分識別的用途,卡面資料比現行國民身分證更少,防偽功能較現行身分證更高,晶片資料會透過加密保護,要民眾同意輸入讀取碼或密碼,才能取用,且New eID只是單純作為身分辨識的鑰匙,將國民身分證結合自然人憑證,民眾可選擇自然人憑證是否停用、復用或廢止,各機關將來所推出各種的應用服務,民眾也有權選擇要不要使用。
2.New eID卡面上已有身分證統一編號、姓名、出生日期及相片等最基礎的個人資料,查驗國民身分證機關,如依這些資料已足夠確認當事人身分,便不必使用晶片功能,不會強制要求民眾使用電子化服務。公、私部門若需使用民眾個人資料,均受個人資料保護法的規範,應盡資料保護之責。
3.戶籍法已賦予New eID製發的依據,在個人隱私、資訊安全的保護方面,透過個人資料保護法、資通安全管理法、電子簽章法等法規,可建構綿密的保護網,會在這些法律基礎上進行製發及應用,無需再另訂專法。
4.現行使用紙本身分證辦理任何服務,是否會留下紀錄,均取決於提供服務的機關,其依法不得做「目的外之利用」,內政部也沒有蒐集這些紀錄,將來New eID也是在保護個資運用的法律框架下,任何目的外之利用,均受到嚴格限制,比紙本身分證更保護民眾隱私及資訊自主權

另由於New eID持有者可經由國發會的T-Road政府骨幹網路,存取各項政府網站服務,使用者以New eID登入T-Road政府入口網站,並依據使用者的需求與個別政府機關連線,辦理不同用途的政府網站服務;而使用者的資料只會單獨留存在個別政府機關,且個別政府機關後台資料不互通,也不會連線回憑證中心,以減少政府逕行跨部門調閱、干預民眾個資隱私的情形。

【結語】

我國數位身分識別證New eID雖旨在提供民眾便利服務、加強防偽防盜、保障個人隱私和資料完整等用途,但因為社會公民團體仍對政府如何保障New eID隱私和安全的作法感到隱憂,並擔心政府對New eID公開資訊不完整、不透明,造成政府和民眾之間的資訊不對等,導致對民眾個資隱私的侵害。
故政府應針對New eID上路前需改善的安全和隱私議題,對社會大眾進行溝通及說明,並將New eID安全防護機制透明化使民眾更容易了解,也能用明確的個資隱私保護法規,限制政府公權力逕行調閱和干預民眾個資隱私,進而依法保障民眾權益。


參考來源:
1.內政部戶政司. (2019年9月10日). 內政部:數位身分證程序嚴謹 重資安. 2020年2月19日 擷取自 內政部: https://www.moi.gov.tw/chi/chi_news/news_detail.aspx?type_code=02&sn=16737
2.何明諠. (2019年5月22日). 為何我們反對內政部的eID政策. 2020年2月4日 擷取自 臺灣人權促進會: https://www.tahr.org.tw/news/2435
3.國家發展委員會. (2019年7月). T-Road資料傳輸規劃說明. 2020年2月6日 擷取自 國家發展委員會: https://ws.ndc.gov.tw/Download.ashx?u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvMC8xMjk2OS81YzdiNTM5NS02YWQwLTQyYzMtYjlmMC1iMzlhZDM5NjhmNDMucGRm&n=VC1Sb2Fk6LOH5paZ5YKz6Ly45aCx5ZGKLnBkZg%3D%3D&icon=..pdf

訂閱電子報 友善列印 字體大小:
獲取產業訊息零時差!立即訂閱電電公會電子報。