2020年10月,國家發展委員會(國發會)將開始全面換發俗稱「晶片身分證」的新一代數位身分識別證(New eID),預計斥資40.6億元在兩年內的時間換發完畢。新的晶片身分證將結合自然人憑證,民眾可以選擇開啟自然人憑證功能,一旦開啟,即可用來報稅、開戶、辦信用卡。
內政部表示,之所以推行晶片身分證,是希望能夠提升未來公共服務的效率,並有效防堵偽卡氾濫的狀況。內政部也強調,未來的晶片身分證上的資料不會比現行身分證要多,防偽的技術也會更強,但仍舊隱含不少個資安全問題。在上週五(5)舉辦的台灣網路治理論壇上,台灣人權促進會、開放文化基金會及中央研究院,都針對這張新的晶片身分證,提出了他們的疑慮。
See detail
在上週五舉辦的台灣網路治理論壇上,台灣人權促進會、開放文化基金會及中央研究院,都針對新的晶片身分證,提出了他們的疑慮。
晶片身分證的一大隱憂:個資是否會被侵犯?
人民讓出了哪些權利?
台灣人權促進會專案經理何明諠就表示,政府應另立專法來規範新的晶片身分證,以確保人民的個資隱私。他提出了一系列問題,例如,民眾該如何知道誰有權力讀取自己的資料?身分證晶片化後到底多了什麼用途?其中一項最重要的是,晶片化後,人民是否會被政府做隱形註記而不自知?在缺乏明確法律規範的情況下,民眾很難知道,換發晶片身分證後讓他們讓出什麼權利。
如何確保系統安全性?
開放文化基金會的Pellaeon Lin則認為,政府開發晶片身分證的相關程式碼應該要對大眾公開。他說,雖然政府表示新身分證將會遵循相關的國際標準,但更好的方法應該是透過公開的方式,讓民間的資安人員可以一同檢驗其安全性。
晶片與硬體供應商如何篩選?
同時,新的晶片身分證也牽涉到了國防安全的議題。席間有人質疑,政府要如何確保晶片及硬體的供應商是安全無虞的?雖然《政府採購法》規定不能有中資,但很多時候政府未必能看透廠商背後複雜的投資關係與多層資金來源,使「假外資、真中資」的廠商有漏洞可鑽,將人民的個資暴露在風險中。
向他國取經:愛沙尼亞的晶片身分證及其配套措施
See detail
2011年愛沙尼亞便開始換發晶片身分證,並且陸續開通身分證的多種功能。現在,愛沙尼亞國民可以用它來投票、報稅、看病等,簡化了許多行政流程。
其實,目前國際間已有許多國家陸續開始採用晶片身分證。以數位化大國愛沙尼亞為例,他們自2002年開始發行晶片身分證,並且陸續開通身分證的多種功能。現在,愛沙尼亞國民可以用它來投票、報稅、看病等,簡化了許多行政流程。他們甚至不需出門,只要透過讀卡機、連上電腦,就可以完成所有行政手續。
此外,他們的身分證也不會存取任何資料,而更像是一把鑰匙,可以用來開啟自己在醫療部門的資料、在稅務部門的資料,而不同政府部門間的資料並不互通,所以個人資料的保存是採取更加安全的分散式儲存。
就在上個月,德國內政部也宣布,他們的身分證、居留證與護照內的NFC晶片將與Apple最新iOS 13系統內的晶片讀取功能相容。德國政府也將開發相關的應用程式,讓德國民眾可以正式把iPhone當身分證來用。同樣採用NFC晶片身分證的日本,也有望跟進,將身分證整合到iPhone裡。
不過,中央研究院研究員何建明也表示,採用晶片身分證的國家如德國、西班牙及愛沙尼亞,都曾因晶片身分證有漏洞而引發資安危機。
2017年時,愛沙尼亞政府發現全國有近80萬張身分證的晶片有漏洞,當時政府緊急停用、更換晶片供應廠商並在三個月內更換完成。而為了防患於未然,愛沙尼亞更在盧森堡設立了全球第一間「數據大使館」,將國家重要資料備份在海外,讓他們在遇到國家級駭客攻擊時,能在最短的時間內復原。
晶片身分證故有其方便性,不過伴隨而來的資安風險也不可小覷。將愛沙尼亞對資安漏洞的反應能力及其相對全面的配套措施,對比這陣子甚囂塵上的銓敘部個資洩露案,不難想像為何民間團體會對晶片身分證的推行感到遲疑。何建明直白地表示,政府的資安管控能力有限,而在這樣的情況下,政府如何在明年十月換發前,進一步向大眾證明晶片身分證的安全性,將會是一大考驗。