為了轉型數位政府、讓公部門服務更便民,內政部原先預計,今年10月全面換發數位身分證(New eID)。但是,內政部4月27日再次宣布,因為新冠肺炎疫情嚴峻,外國的高防偽PC晶片的資源與技術無法按時引進,因而推延換發時程。
什麼是數位身分證?它就像一把鑰匙,幫你在虛擬的數位世界開分身。
未來,民眾洽公不必像玩「大地遊戲」一樣奔波各地、蒐集各單位印章;只要上網敲敲按鍵,就能享受免臨櫃、無紙化、不受時空限制的業務功能。(延伸閱讀|為何我們反對內政部的數位身分證政策?)
本來應該更智慧,為什麼可能變成資安破口?
新版數位身分證示意圖。圖片來源:內政部
一鍵搞定確實讓人超心動,但背後核心的資安問題也引來各方疑慮。
事實上,在內政部發布延期訊息前,台灣人權促進會早已發起連署,要求政府優先解決數位身分證的個資保護問題,且有超過200位專家加入連署。
連署的三大訴求分別是:
一、應保留無晶片身分證。
二、應暫停換發作業,先修法或立法。
三、應成立獨立的隱私保護專責機關。
重點在於,數位身分證只要一張晶片,就能整合身分證、駕照與健保卡等多種個人資訊,並提供國民年金、勞保、不動產交易、護照簽證、公投連署等功能。
反之,若個資未受到完善保障,一旦被駭,每個人的全數資料極有可能瞬間被攻掠。此外,還有政府數位監控、人民資料外洩升級成國安危機等隱憂。
因此,成功大學電機工程學系教授李忠憲就曾直指,數位身分證恐怕成為台灣資安的「阿基里斯腱」。
這些國家都曾在數位身分證上跌一跤
內政部報告提及,各國都正努力發展智慧政府藍圖,換發數位身分證是世界趨勢;預計2021年,使用數位身分證國家比率將成長至89%。加上5G時代來臨,行動裝置結合身分識別更是未來潮流。
愛沙尼亞、比利時及德國等國家都已發行數位身分證,且能應用在報稅、投票、健保等日常活動。(延伸閱讀|為什麼這些國家的投票率都超爆高?)
但不少國家也曾在資安問題上摔了一跤。
提到數位身分證,多數人首先想到愛沙尼亞——《自由之家》(Freedom House)全國網路自由度報告名列前茅、2005年首次推行線上投票、政府資訊幾乎全面電子化、從小學一年級學程式的數位模範國家。
2002年,愛沙尼亞政府全面換發數位身分證,並能通用公、私部門業務。
愛沙尼亞的「Smart-ID」功能。圖片來源:截自愛沙尼亞官網
儘管成為全球數位身分證的典範,2007年,愛沙尼亞也曾受到俄羅斯駭客的大規模攻擊;2017年,則發現80萬張晶片有漏洞。為此,他們特地成立「數位大使館」保護資料。(延伸閱讀|數位身分證很安全?愛沙尼亞曾遭駭,德國反個資存手機)
愛沙尼亞總理Juri Ratas宣布成立數位大使館計畫。圖片來源:Juri Ratas Twitter
而在德國,也有資安業者發現了數位身分證的漏洞。
一般而言,使用網路服務前,須先啟動認證程序,才能由數位身分證上的RFID晶片傳送使用者資料。但資安業者破解後指出,他們能繞過認證程序的保護,並傳送竄改過的身分資料,等於可以假冒身分完成線上作業。
除了資安,上路後的使用率也是一大考驗。
例如西班牙,2006年發行6,000萬張與愛沙尼亞類似的數位身分證;但到2014年,使用率卻只有0.02%──就算免親自跑一趟,但數位身分證卻要搭配特定瀏覽器才能使用,導致相容度低,反而「很不智慧」,變成線上服務的一大門檻。(延伸閱讀|日本數位身分證My Number|憂遭政府監控,40歲以下僅12%領證)
沒有數位身分證,就不能變成數位政府嗎?
國外也有不少無數位身分證,但仍轉型數位政府的案例。圖片來源:Shutterstock
不少國家把數位身分證視為邁向智慧治理的重要基石,但或許,數位治理的運行邏輯才是一切的本質與根基。
例如,美國、英國等國的公民不會擁有一張「身分證」,反而利用其他方式辨別身分。
置換到網路時代,不少國家雖沒有數位身分證,依然透過各類管道授權,實施多樣化的電子化服務。
政治大學電子治理研究中心的論文研究,澳洲、英國、芬蘭、新加坡、韓國等國家持續拓展「MyData」服務,努力完成更便利的跨組織、跨平台服務,並確保個資自主管理。
澳洲利用線上平台辦理數位政府服務。圖片來源:Shutterstock
例如,澳洲政府重視資料開放與流通的重要性,曾在開放知識基金會(Open Knowledge International)「全球開放資料指標」(Global Open Data Index)評比中拿下全球第二。雖然未發行身分證,但澳洲人也能透過駕照、護照等文件識別身分。
2013年,澳洲政府成立線上平台「myGov」——只要一個e-mail信箱、一組帳號密碼就能創建,但想查詢更隱密的個人資料,就必須透過手機簡訊或政府代碼驗證。
「myGov」雖整合醫療、稅務、退伍軍人等訊息,並能連結到個人健康紀錄系統──但民眾隨時能到後台管理個人健康資訊、瀏覽蒐尋過個人紀錄的人、管理隱私與安全設定。
「myGov」網站是澳洲公民辦理眾多政府線上服務的入口。圖片來源:截自「myGov」網站
為了守護人民的個資與隱私,政府持續發布數據報告,宣告民眾擁有的「消費者數據權」;同時規定各產業使用個資範圍與標準,立新法維護資安,強化數據共享的安全性與效率。
就算有完善的資安規定與電子化服務,許多政府也滾動式調整技術與法令。
例如,陸續推出智慧城市與數位政策藍圖的新加坡政府,並沒有晶片身分證;但政府的「個人存取系統(SingPass)」系統,仍可申辦逾60項政府數位服務。就算已成為領先各國的智慧國家,新加坡仍逃不過資安危機。
「SingPass」網站能辦理超過60項政府業務。圖片來源:截自「SingPass」網站
2018年,新加坡最大醫療集團遭駭,有1/4民眾資料遭洩,其中包含總理李顯龍的就醫紀錄與用藥處方。
這次的資安危機,促使新加坡政府加緊改革腳步,並在2019年提出新措施,包含重新審視舊法、訂定個資外洩時的執法指南等,不只加強資訊守衛力,也努力鞏固民眾對數位服務的信任感。(延伸閱讀|新加坡總理病歷遭駭 專家:駭客可能為中國國家級組織)
時程暫緩,也要拓展資安守備範圍
台灣的數位身分證推行時程雖然暫緩,但各方專家的爭論依然未止。
在法國也是。其實,2001年,法國就想將舊式身分證改為數位身分證,但20年來爭議不休。
2005年,資安、人權、法律等領域的非營利團體集體聲明,認為數位身分證的資安與隱私風險過高;2006年,超過50個團體連署反對數位身分證計畫,國會甚至因此設置委員會。
法國Alicem系統引來不少資安質疑。圖片來源:法國Alicem網站
經過20年的討論,去年11月,法國領先全歐實施臉部辨識計畫「Alicem」,可電子驗證民眾身分。雖然打著安全的旗幟上路,但民眾認為政府的資安紀錄欠佳,不願買單;甚至有駭客只花一個多小時便駭入這項系統。
資訊安全永遠存在著風險,法國經驗也能成為前車之鑑,在數位身分證計畫稍停下腳步的同時,政府應持續與民眾溝通政策,並與各路專家分進合擊、努力擴張個資守備範圍。
